Švaraus stalo ir švaraus ekrano politika

Švaraus stalo ir švaraus ekrano politika (P10) nustato griežtas kontrolės priemones, kad jautri informacija būtų apsaugota nuo nesankcionuotos prieigos, atskleidimo, praradimo ar vagystės bet kurioje fizinėje ar hibridinėje darbo vietos aplinkoje. Ji palaiko pasauliniu mastu pripažintus reglamentavimo įpareigojimus, tokius kaip ISO/IEC 27001:2022 (ypač nuostatas, susijusias su fiziniu ir elgsenos saugumu), BDAR straipsnius dėl duomenų apsaugos ir konfidencialumo, taip pat kitas sistemas, įskaitant NIST SP 800-53, ES NIS2, ES DORA ir COBIT 2019. Šios politikos taikymo sritis yra plati: ji universaliai taikoma nuolatiniams ir laikiniems darbuotojams, rangovams, trečiųjų šalių paslaugų teikėjams ir net lankytojams, kurie gali turėti prieigą prie konfidencialių darbo vietų. Ji griežtai reglamentuoja elgesį individualiuose kabinetuose, atvirose erdvėse, posėdžių kambariuose ir nuotolinėse ar hibridinėse darbo aplinkose, pavyzdžiui, dirbant prie bendrų darbo vietų (hot-desking). Tikslas – standartizuoti saugų elgesį, kad visas personalas, nepriklausomai nuo vaidmens ar darbo vietos, laikytųsi tų pačių informacijos apsaugos taisyklių. Aiškūs reikalavimai nustatomi tiek fizinėms, tiek technologinėms kontrolės priemonėms. Naudotojai privalo nepalikti ant stalų atvirai padėtų jautrių dokumentų, prieš pasitraukdami užrakinti ekranus, saugiai laikyti arba sunaikinti konfidencialią medžiagą ir nepalikti be priežiūros autentifikavimo duomenų ar įrenginių. IT privalo sukonfigūruoti sistemas taip, kad ekrano užrakto laikmačiai būtų nustatyti ne ilgesniam kaip 5 minučių laikui, didelio srauto zonose diegti privatumo filtrus ir įgyvendinti techninį vykdymo užtikrinimą visuose galiniuose įrenginiuose. Patalpų ir fizinės prieigos saugumo komandos užtikrina rakinamas saugojimo vietas, smulkintuvus ir aiškų ženklinimą, taip pat vykdo reguliarias atitikties apžiūras ir tvarko pažeidimus. Vykdymo užtikrinimo ir priežiūros atsakomybės paskirstomos tarp aukščiausiosios vadovybės, vyriausiojo informacijos saugumo pareigūno (CISO) / ISVS vadovo, patalpų ir turto valdymo, IT operacijų ir tiesioginių vadovų, užtikrinant sluoksniuotą atskaitomybės modelį. Politika nustato tvirtą mokymų programą, įvedimą į darbą ir periodinius pakartotinius mokymus, kad visas personalas būtų supažindintas su rizikomis, susijusiomis su neprižiūrima jautria informacija. Reguliarūs auditai, atitikties rodiklių sekimas (pvz., pastebėti pažeidimai ir mokymų baigimo įrašai) ir griežti eskalavimo keliai dėl neatitikties, įskaitant Personalo skyriaus drausmines nuobaudas, parodo įsipareigojimą tiek operacinei drausmei, tiek teisiniam pasirengimui. Taip pat taikomi išimčių tvarkymo ir likutinės rizikos procesai, reikalaujantys išankstinio patvirtinimo, dokumentavimo ir papildomų kontrolės priemonių bet kokiam nukrypimui. Apibendrinant, ši politika suvienija naudotojų elgseną, darbo vietos dizainą, techninį vykdymo užtikrinimą ir audito procesus į pakartojamą sistemą, kuri yra būtina organizacijos atsparumui ir atitikčiai reglamentavimo reikalavimams. Visi atnaujinimai yra valdomi peržiūros kontrolės būdu, komunikuojami oficialiais kanalais ir reikalauja pakartotinio politikos susipažinimo patvirtinimo. Suderintos politikos dėl informacijos saugumo, rizikos valdymo, turto tvarkymo, duomenų klasifikavimo, saugojimo, šalinimo ir stebėsenos papildomai sustiprina bendrą valdymo sistemą.