Intsidentidele reageerimise poliitika – VKE

Intsidentidele reageerimise poliitika (P30S) on loodud spetsiaalselt väikestele ja keskmise suurusega ettevõtetele (VKE-dele), kes vajavad tugevaid, ISO/IEC 27001:2022-ga kooskõlas protokolle ilma sisemise turbeoperatsioonide keskuseta või täiskohaga infoturbejuhita. See VKE poliitika omistab intsidentide järelevalve ja regulatiivsete teavituste eest volitused ja aruandekohustuse selgesõnaliselt tegevjuhile (GM), pakkudes selget struktuuri organisatsioonidele, kellel on piiratud pühendatud IT-ressursid. Dokument kirjeldab nõudeid, mis aitavad VKE-del minimeerida kahju, kaitsta tundlikku teavet ja täita kriitilisi regulatiivseid kohustusi, näiteks GDPR-i 72-tunnist andmerikkumise teavitamise reeglit. Kohaldamisala on lai ja hõlmab kogu personali (töötajad, töövõtjad, välised IT-teenuseosutajad), kõiki tehnilisi varasid (veebisaidid, pilveplatvormid, e-posti kontod ja mobiilseadmed) ning kõiki olulisi intsidentide vorme (alates volitamata juurdepääsust kuni pahavara nakatumise, andmepüügikatsete, süsteemi katkestuste ning seadmete kaotuse/varguseni). Poliitika kehtestab üksikasjalikud eesmärgid: kiire äratundmine, logimine, eskaleerimine, õiguslik teavitamine, tõhus ohjeldamine, andmete taaste ja algpõhjusepõhine ennetus. See toetab VKE-sid ka ISO/IEC 27001 auditite läbimisel ning klientidele ja regulaatoritele nõuetekohaste volituste ja aruandekohustuse näitamisel. Konkreetsed rollid ja vastutused on VKE konteksti jaoks lihtsustatud: tegevjuht säilitab üldised volitused ja aruandekohustuse, keda toetab kas sisemine või sisseostetud IT-administreerimine. Töötajatele ja töövõtjatele antakse juhis teavitada igast intsidendist viivitamata, proovimata teha autoriseerimata parandusi. Välised tarnijad on kohustatud tegevjuhti teavitama ja toetama ohjeldamismeetmeid vastavalt regulatiivsetele kohustustele, järgides samu teatamistähtaegu nagu sisemiste intsidentide puhul. Poliitika sätestab struktureeritud intsidentidest teavitamise protseduurid, sh selged teabevahetus- ja sidusrühmade teavitamise kanalid (pühendatud intsidentide e-post või suuline teade), nõutavad üksikasjad (avastamise aeg, olemus, mõjutatud süsteemid ja nähtav mõju) ning kategoriseerimise ühe tunni jooksul. Intsidentide logid, mida haldab tegevjuht, on auditite jaoks dokumenteerimise keskmes. Kvartaalsed ülevaatused, algpõhjuse analüüsid ja intsidendijärgse ülevaatuse järgsed ajakohastused tagavad nii pideva tõhususe kui ka reageerimisvõime uutele ohtudele. Dokument kirjeldab ka turvateadlikkuse koolituse ja teadlikkuse nõudeid kogu personalile, sisseelamisele, korduskoolitusele ning kohustuslikele teavitamise ootustele. Jõustamise sätted nõuavad, et kõik üksused, sh kolmandad osapooled, järgiksid täielikult: ebaõnnestumised või protokolli rikkumised võivad kaasa tuua hoiatused, juurdepääsuõiguste tühistamise, lepingulised sanktsioonid või eemaldamise kolmandate osapoolte tarnijate nimekirjadest. Kõik tõendid ja logid tuleb säilitada vähemalt üks aasta ning esitada auditite jaoks vastavalt vajadusele. Põhjalikud läbivaatamismehhanismid tagavad, et poliitika püsib kooskõlas arenevate standardite, regulatiivsete muudatuste ja operatiivsete nihketega ning jääb VKE-de jaoks asjakohaseks.