Időszinkronizálási szabályzat – KKV

Ez az Időszinkronizálási szabályzat (P23S) egyértelmű, kötelező követelményeket állapít meg a pontos időszinkronizálás konfigurálására és fenntartására valamennyi olyan szervezeti rendszeren, amely üzleti szempontból releváns adatot tárol, továbbít vagy kezel. KKV-szabályzatként a P23S kifejezetten olyan szervezetek számára készült, ahol az IT-szerepkörök egyszerűsítettek (például vezérigazgató és IT-támogatási szolgáltató), ugyanakkor megfelelést biztosít az ISO/IEC 27001:2022, a GDPR, a NIS2, a DORA és más keretrendszerek követelményeinek. A szabályzat célja a rendszernaplók sértetlenségének fenntartása, a pontos incidensvizsgálat támogatása, valamint az auditok során a védhetőség biztosítása az automatizált időszinkronizálási kontrollok szigorú kikényszerítésével. Előírja, hogy minden vállalati tulajdonú, távoli és felhőben üzemeltetett rendszer, beleértve a felhasználói végpontokat, kiszolgálókat, tűzfalakat és SaaS-platformokat, megbízható, kriptográfiailag védett időforrásokra támaszkodjon (pl. hitelesített NTP-kiszolgálók vagy felhőszolgáltatói eszközök). Az eszközöknek legalább naponta kétszer kell szinkronizálniuk, és a meghatározott küszöbértékeken belül kell maradniuk (±5 másodperc munkaállomások esetén; ±1 másodperc kiszolgálók és biztonsági eszközök esetén). A küszöbértékeken kívüli időeltérések riasztásokat váltanak ki, és azokat haladéktalanul korrigálni kell, hogy megelőzhető legyen az adatnyomon követhetőség vagy a szabályozási megfelelési státusz veszélyeztetése. A szabályzat felelősségeket rendel a vezérigazgatóhoz, az IT-támogatási szolgáltatóhoz, valamint egy adatvédelmi koordinátorhoz vagy megfelelőségi tisztviselőhöz. A vezérigazgató felügyeli és jóváhagyja a szabályzatot vagy bármely kivételt, míg az IT-támogatás konfigurálja, monitorozza és dokumentálja az időszinkronizálási állapotot. A munkavállalók és vállalkozók számára szigorúan tilos az eszközök időbeállításainak módosítása; bármely szinkronizálási problémát azonnal eszkalálni kell. A rendszeres rendszerállapot-ellenőrzések és időszakos felülvizsgálatok segítik a folyamatos megfelelés fenntartását, miközben a kivételkezelés és a kompenzáló kontrollok alkalmazása szigorúan irányított és dokumentált. Az időszinkronizálás kifejezetten kapcsolódik más alapvető KKV-szabályzatokhoz, beleértve a naplózási és monitorozási szabályzatot, az incidenskezelési szabályzatot, az adatvédelem és adattakarékosság területét, az eszközgazdálkodást és a harmadik fél biztonságát. Ezek a szabályzatok együtt koherens lefedettséget biztosítanak, garantálva, hogy a megfeleléshez, a monitorozáshoz és fenyegetésészleléshez vagy a bejelentésköteles incidensek kezeléséhez használt naplók tartalmukban és időbélyegükben is pontosak legyenek. A dokumentum kiemeli a szigorú felülvizsgálati és frissítési folyamatot, előírva az éves újraértékelést a vezérigazgató, az IT és az adatvédelem szerepkörök részvételével, valamint a frissítéseket technológiai változások vagy új szabályozási kötelezettségek esetén. Ez a holisztikus megközelítés lehetővé teszi a KKV-k számára, hogy vállalati szintű biztonsági szabványoknak feleljenek meg összetett, erőforrás-igényes felügyeleti struktúrák nélkül.