Kaugtööpoliitika

Kaugtööpoliitika (P09) annab tervikliku raamistiku turvalise kaugjuurdepääsu haldamiseks ja hajutatud töökeskkondadega seotud eripäraste riskide maandamiseks. See on mõeldud kogu personalile, sh täis- ja osalise tööajaga töötajatele, lepingulistele töötajatele, kolmanda osapoole teenuseosutajatele, konsultantidele, kolmanda osapoole tarnijatele ja projektipõhisele personalile, kellel on volitus täita tööülesandeid väljaspool ettevõtte ruume. Poliitika kehtib kõigis geograafilistes piirkondades ja ajavööndites, kus organisatsioon tegutseb, tagades ühtse turvabaastaseme sõltumata sellest, kus või millal kaugtöö toimub. Selle põhieesmärk on säilitada organisatsiooni teabevarade konfidentsiaalsus, terviklus ja käideldavus, kui neile pääsetakse ligi või neid käideldakse väljaspool asukohta. Poliitika saavutab selle, kehtestades tugevad tehnilised ja protseduurilised kaitsemeetmed, nagu kohustuslik krüpteerimine, tugev autentimine (sh mitmefaktoriline autentimine), lõppseadmete kaitse ning turvalised juurdepääsukanalid, nagu virtuaalne privaatvõrk (VPN) või kaugtöölauad. See on tihedalt kooskõlas ISO/IEC 27001:2022 nõuetega, sh lisa A kontrolliga 6.7, mis keskendub turvalistele kaugtöötingimustele, tagades nii füüsilise kui ka loogilise kaitse käsitlemise. Kontrollimeetmed vastavad ka tööstusregulatsioonidele, nagu NIST SP 800-53 (juurdepääsu- ja krüptograafiliste kaitsete jaoks), GDPR ja NIS2 (andmeturbe ja andmekaitse jaoks) ning DORA (finantssektori IKT vastupidavuse jaoks). Poliitika konkreetsed jaotised määratlevad rollid ja vastutused täitevvõimu juhtkonna, infoturbe juhtimise (infoturbejuht/ISMS-i juht), IT-operatsioonide, personali (HR), vahetute juhtide, õigus- ja vastavusüksuse ning kaugtöötajate endi vahel. Näiteks IT vastutab turvalise taristu juurutamise ja toe, seadmete vastavuse jälgimise ning sündmuslogide säilitamise eest. Töötajad ja lepingulised kaugtöötajad peavad järgima turvalise seadmekasutuse, heakskiidetud juurdepääsumeetodite ja andmekäitlusreeglite nõudeid ning teavitama viivitamata turbeintsidentidest või seadme kadumisest. Poliitika keelab rangelt kaugjuurdepääsu muul viisil kui autoriseeritud konfiguratsioonide kaudu ning nõuab, et kõik seadmed, nii ettevõtte omad kui ka oma seadme kasutamine (BYOD), vastaksid turvabaastasemele (konfiguratsioon, paikamine, krüpteerimine, pahavaratõrje) ja varade registreerimise nõuetele. Poliitika juhtimismehhanismid käsitlevad riski käsitlemist, erandite haldust ja jõustamist rangelt. Riskikategooriad, nagu autentimistunnuste vargus, andmete eksfiltreerimine, siseohud, regulatiivsed rikkumised ja pahavara kompromiteerimine, on otseselt kaetud kihiliste kontrollimeetmetega: rollipõhine juurdepääsukontroll, SIEM-i teavitused, lõppseadmete turve, andmekäitlusreeglid ja turvateadlikkuse koolitus. Lisaks peavad kõik erandid olema infoturbejuhi poolt heaks kiidetud, dokumenteeritud ja perioodiliselt üle vaadatud. Pidev järelevalve tagatakse seire, tsentraliseeritud logimise ja määratletud auditeerimisprotsesside kaudu. Poliitika rikkumiste korral rakendatakse juurdepääsuõiguste tühistamist, distsiplinaarmeetmeid, lepingu lõpetamist või õiguslikke meetmeid. Poliitika integreerub tihedalt seotud poliitikatega, sh infoturbepoliitika, lubatud kasutuse poliitika, juurdepääsukontrolli poliitika, riskijuhtimise poliitika, varahaldus, andmete säilitamise poliitika ning logimis- ja seirepoliitika, moodustades otsast lõpuni kaugtöö juhtimismudeli. Iga-aastane või sündmuspõhine läbivaatamise tsükkel tagab reageerimisvõime arenevatele ohtudele, regulatiivsetele muutustele või tehnoloogia arengule, kusjuures kõik uuendused edastatakse ametlikult ja kinnitatakse. See jõustab järjepidevalt turvalise, nõuetele vastava ja usaldusväärse toimimise kõigis kaugtöö stsenaariumides.