Drošas saziņas un daudzfaktoru autentifikācijas politika

Drošas saziņas un daudzfaktoru autentifikācijas (MFA) politika nosaka visaptverošus kontroles pasākumus organizācijas saziņas un lietotāju piekļuves aizsardzībai, saskaņojot tos ar stingriem regulatīvajiem un nozares standartiem. Tās galvenais mērķis ir nodrošināt konfidencialitāti un integritāti informācijai, kas tiek pārsūtīta visos saziņas kanālos, tostarp balss, video, teksta un ārkārtas sistēmās, nosakot uzlabotus autentifikācijas procesus saskaņā ar NIS2 21. panta 2. punkta (j) apakšpunktu. Attiecināma uz visiem darbiniekiem, līgumslēdzējiem un ārējām pusēm, politika nosaka ekskluzīvu organizācijas apstiprinātu un šifrētu kanālu saziņas rīku izmantošanu sensitīvai vai operacionālai informācijai. Šīs prasības tiek attiecinātas arī uz ārkārtas paziņošanas sistēmām, nodrošinot, ka pat krīžu laikā saziņa saglabājas droša, noturīga un pieejama. Ārkārtas reaģēšanas koordinatori tiek norīkoti tiešai lomai gan šo sistēmu periodiskā testēšanā, gan personāla apmācībā to pareizai un drošai izmantošanai. Būtisks politikas mērķis ir daudzfaktoru autentifikācijas (MFA) ieviešana visai tīkla un sistēmu piekļuvei, īpaši privilēģētajiem kontiem un attālinātai piekļuvei. Privilēģēto kontu turētājiem ir jāizmanto atsevišķi unikāli akreditācijas dati, kas vienmēr nodrošina daudzfaktoru autentifikāciju (MFA) vai nepārtrauktu autentifikāciju, un jebkura piekļuves paaugstināšana ir stingri laikā ierobežota un uzraudzīta. Ja tehniski ierobežojumi neļauj nekavējoties ieviest daudzfaktoru autentifikāciju (MFA) vai šifrēšanu, piemēram, mantoto sistēmu ierobežojumu vai operacionālu dīkstāvju dēļ, ir nepieciešamas kompensējošās kontroles, piemēram, pastiprināta sistēmu uzraudzība vai pagaidu piekļuves ierobežojumi; visi izņēmumi ir formāli jāapstiprina galvenajam informācijas drošības vadītājam (CISO) un tiem jāveic ceturkšņa pārskatīšana. Politika arī nosaka stingras apmācību un informētības programmas visiem lietotājiem gan ievadīšanas laikā, gan ikgadējā atkārtotā apmācībā. Šīs sesijas, ar pastiprinātu fokusu augsta riska lomām, piemēram, administratoriem un vadītājiem, nodrošina, ka personāls spēj atšķirt drošus un nedrošus kanālus, izprot pikšķerēšanas uzbrukumus un sociālās inženierijas taktikas, un pareizi izmanto drošas saziņas rīkus. Papildus ievadīšanai mērķtiecīga apmācība tiek nodrošināta lietotājiem ar paaugstinātu riska līmeni, koncentrējoties uz uzlabotām autentifikācijas metodēm un specifiskajiem riskiem, kas saistīti ar ārkārtas saziņu. Lai nodrošinātu pastāvīgu atbilstību, tiek veikta nepārtraukta uzraudzība un ikgadēja visu autentifikācijas un saziņas sistēmu auditēšana. Jebkurš lietotājs, kas mēģina apiet politikas prasības vai izmantot nesankcionētus mākoņpakalpojumus, neautorizētus vai nedrošus saziņas veidus, saskaras ar disciplināriem pasākumiem, tostarp iespējamu darba attiecību izbeigšanu. IT un informācijas drošības komandas uztur atbildību par žurnālu uzraudzību un drošu noklusējuma konfigurāciju ieviešanu, savukārt audita procesi pārbauda nepārtrauktu saskaņotību ar politikas un regulatīvajiem pienākumiem. Tādējādi šī politika nodrošina slāņainu, visaptverošu pieeju organizācijas informācijas aktīvu aizsardzībai, cieši integrējot kontroles pasākumus gan drošai saziņai, gan piekļuves autentifikācijai, pilnībā saskaņā ar tādām direktīvām kā NIS2, ISO/IEC 27001:2022 un saistītajiem ietvariem.