Attālinātā darba politika

Attālinātā darba politika (P09) nodrošina visaptverošu ietvaru drošas attālinātas piekļuves pārvaldībai un unikālo risku mazināšanai, kas saistīti ar izkliedētām darba vidēm. Tā ir paredzēta visam personālam, tostarp pilna laika, nepilna laika, līgumdarbiniekiem, trešo pušu pakalpojumu sniedzējiem, konsultantiem, trešo pušu piegādātājiem un projektu komandām, kuri ir pilnvaroti veikt darba pienākumus ārpus uzņēmuma telpām. Politika ir spēkā visās ģeogrāfiskajās vietās un laika joslās, kur organizācija darbojas, nodrošinot vienotu drošības bāzlīniju neatkarīgi no tā, kur vai kad notiek attālinātais darbs. Tās pamatmērķis ir uzturēt konfidencialitāti, integritāti un pieejamību organizācijas informācijas aktīviem, kuriem piekļūst vai kurus apstrādā ārpus uzņēmuma telpām. Politika to panāk, ieviešot stingrus tehniskos un procesuālos drošības pasākumus, piemēram, obligātu šifrēšanu, spēcīgu autentifikāciju (tostarp daudzfaktoru autentifikāciju (MFA)), galapunktu aizsardzību un drošus piekļuves kanālus, piemēram, virtuālo privāto tīklu (VPN) vai attālinātās darbvirsmas. Tā ir cieši saskaņota ar ISO/IEC 27001:2022 prasībām, tostarp Pielikuma A 6. kontroles 6.7, kas koncentrējas uz drošiem attālinātā darba nosacījumiem, nodrošinot gan fiziskās, gan loģiskās aizsardzības pasākumu ievērošanu. Kontroles pasākumi atbilst arī nozares regulējumam, piemēram, NIST SP 800-53 (piekļuves kontrole un kriptogrāfija aizsardzībai), GDPR un NIS2 (datu drošībai un datu privātumam), kā arī DORA (finanšu IKT noturībai). Konkrētas politikas sadaļas nosaka lomas un pienākumus izpildu vadībai, informācijas drošības vadībai (galvenajam informācijas drošības vadītājam (CISO)/informācijas drošības pārvaldības sistēmas vadītājam), IT operācijām, Cilvēkresursiem (HR), tiešajiem vadītājiem, Juridiskajām lietām un atbilstībai, kā arī attālinātajam personālam. Piemēram, IT ir atbildīga par drošas infrastruktūras ieviešanu un atbalstu, ierīču atbilstības izsekošanu un žurnālu uzturēšanu. Darbiniekiem un līgumslēdzējiem, kas strādā attālināti, ir jāievēro droša ierīču izmantošana, apstiprinātas piekļuves metodes, datu apstrādes noteikumi un nekavējoties jāziņo par jebkuru informācijas drošības incidentu vai ierīces nozaudēšanu. Politika stingri aizliedz attālinātu piekļuvi, izņemot autorizētas konfigurācijas, un pieprasa, lai visas ierīces — gan uzņēmuma, gan personīgās ierīces (BYOD) — atbilstu pamatprasībām (konfigurācijas pārvaldība, ielāpu uzstādīšana, šifrēšana, aizsardzība pret ļaunprogrammatūru) un aktīvu reģistrācijas prasībām. Politikā iekļautie pārvaldības mehānismi stingri risina riska apstrādi, izņēmumu pārvaldību un izpildi. Riska kategorijas, piemēram, akreditācijas datu zādzība, datu eksfiltrācija, iekšējie draudi, regulatīvie pārkāpumi un ļaunprogrammatūras kompromitēšana, tiek tieši risinātas ar slāņotiem kontroles pasākumiem: lomu balstīta piekļuve, SIEM brīdinājumi, galapunktu drošība, datu apstrādes noteikumi un lietotāju apmācība. Turklāt visiem izņēmumiem jābūt galvenā informācijas drošības vadītāja (CISO) apstiprinātiem, dokumentētiem un periodiski pārskatītiem. Nepārtraukta uzraudzība tiek nodrošināta ar uzraudzību, centralizētu audita žurnālu veidošanu un definētiem audita procesiem. Politikas pārkāpumi ir pakļauti piekļuves tiesību atsaukšanai, disciplinārajiem pasākumiem, līguma izbeigšanai vai tiesiskai rīcībai. Politika ir cieši integrēta ar saistītajām politikām, tostarp P01 Informācijas drošības politiku, Pieļaujamās izmantošanas politiku, Piekļuves kontroles politiku, risku pārvaldības politiku, aktīvu pārvaldības politiku, Datu uzglabāšanas politiku un Žurnālfiksēšanas un uzraudzības politiku, lai veidotu pilna cikla attālinātā darba pārvaldības modeli. Tās ikgadējais vai notikumu vadītais pārskatīšanas cikls nodrošina reaģētspēju uz mainīgiem draudiem, regulatīvām izmaiņām vai tehnoloģiju attīstību, un visi atjauninājumi tiek formāli paziņoti un apliecināti. Tas konsekventi nodrošina drošu, atbilstošu un uzticamu darbību visos attālinātā darba scenārijos.