Turvalise teabevahetuse ja mitmefaktorilise autentimise poliitika

Turvalise teabevahetuse ja mitmefaktorilise autentimise (MFA) poliitika kehtestab terviklikud kontrollimeetmed organisatsiooni teabevahetuse ja kasutajate juurdepääsu kaitsmiseks kooskõlas rangete regulatiivsete ja tööstusstandarditega. Selle peamine eesmärk on tagada kõigi teabevahetuskanalite kaudu edastatava teabe konfidentsiaalsus ja terviklus, sh kõne, video, tekst ja erakorralised süsteemid, nõudes täiustatud autentimisprotsesse kooskõlas NIS2 artikli 21(2)(j) nõuetega. Poliitika kehtib kõigile töötajatele, töövõtjatele ja välistele osapooltele ning nõuab tundliku või operatiivse teabe puhul üksnes organisatsiooni poolt heakskiidetud ja krüpteeritud teabevahetusvahendite kasutamist. Need nõuded laienevad ka erakorralistele teavitussüsteemidele, tagades, et ka kriiside ajal püsib teabevahetus turvaline, vastupidav ja kättesaadav. Erakorralise reageerimise koordinaatoritele määratakse otsene roll nii nende süsteemide perioodilises testimises kui ka personali koolitamises nende nõuetekohaseks ja turvaliseks kasutamiseks. Poliitika oluline eesmärk on jõustada mitmefaktoriline autentimine (MFA) kogu võrgu- ja süsteemijuurdepääsu jaoks, eriti privilegeeritud ja kaugjuurdepääsuga kontode puhul. Privilegeeritud kontode omanikud peavad kasutama eraldi unikaalseid autentimisandmeid, mis alati jõustavad mitmefaktorilise autentimise (MFA) või pideva autentimise, ning igasugune õiguste tõstmine on rangelt ajaliselt piiratud ja seiratud. Kui tehnilised piirangud takistavad mitmefaktorilise autentimise (MFA) või krüpteerimise viivitamatut rakendamist, näiteks pärandsüsteemide piirangute või operatiivsete katkestuste tõttu, on nõutavad kompenseerivad kontrollimeetmed, näiteks tõhustatud süsteemide seire või ajutised juurdepääsupiirangud; kõik erandid peab ametlikult heaks kiitma infoturbejuht ning need läbivad kord kvartalis ülevaatuse. Poliitika nõuab ka ranget turvateadlikkuse ja koolituse raamistikku kõigile kasutajatele nii sisseelamisel kui ka seejärel iga-aastaselt. Need sessioonid, millel on suurem fookus kõrge riskiga rollidele, nagu IT-administraatorid ja tippjuhid, tagavad, et personal suudab eristada turvalisi ja ebaturvalisi kanaleid, mõistab õngitsusrünnakuid ja sotsiaalse manipulatsiooni taktikaid ning kasutab korrektselt turvalise teabevahetuse vahendeid. Lisaks sisseelamisele pakutakse sihipärast koolitust kõrgendatud riskitasemega kasutajatele, keskendudes täiustatud autentimismeetoditele ja erakorralise teabevahetusega seotud eririskidele. Pideva vastavuse tagamiseks viiakse läbi vastavuse pidev seire ning iga-aastane auditeerimine kõigi autentimis- ja teabevahetussüsteemide osas. Iga kasutaja, kes püüab poliitikast mööda hiilida või kasutada autoriseerimata või ebaturvalisi teabevahetusmeetodeid, seisab silmitsi distsiplinaarmeetmetega, sh võimaliku töösuhte lõpetamisega. IT- ja infoturbemeeskonnad vastutavad logide seire ja turvaliste vaikeseadistuste jõustamise eest, samas kui auditeerimisprotsessid kinnitavad pidevat kooskõla poliitika ja regulatiivsete kohustuste nõuetega. Seega pakub see poliitika kihilist ja terviklikku lähenemist organisatsiooni teabevarade kaitsmiseks, integreerides tihedalt kontrollimeetmed nii turvalise teabevahetuse kui ka juurdepääsu autentimise jaoks, täielikus kooskõlas direktiividega nagu NIS2, ISO/IEC 27001:2022 ja seotud raamistikud.