Politika reakcie na incidenty – SME

Politika reakcie na incidenty (P30S) je účelovo vytvorená pre malé a stredné podniky (SME), ktoré potrebujú robustné protokoly v súlade s ISO/IEC 27001:2022 bez potreby interného centra bezpečnostných operácií (SOC) alebo CISO na plný úväzok. Táto politika pre SME výslovne priraďuje zodpovednosť za dohľad nad incidentmi a regulačné notifikácie generálnemu riaditeľovi (GM) a poskytuje jasnú štruktúru vhodnú pre organizácie s obmedzenými vyhradenými zdrojmi na prevádzku IT. Dokument podrobne opisuje požiadavky, ktoré umožňujú SME minimalizovať škody, chrániť citlivé informácie a plniť kritické regulačné povinnosti, ako je 72-hodinové pravidlo notifikácie porušenia podľa GDPR. Rozsah je široký a pokrýva všetok personál (zamestnanci, dodávatelia, externí poskytovatelia služieb IT), všetky technické aktíva (webové stránky, cloudové platformy, e-mailové účty a mobilné zariadenia) a každú významnú formu incidentu (od neoprávneného prístupu po infekciu škodlivým kódom, phishing, výpadky systémov a stratu/krádež zariadení). Politika stanovuje podrobné ciele: rýchle rozpoznanie, auditné logovanie, eskalácia, právna notifikácia, účinné zamedzenie šírenia, obnova údajov a prevencia založená na príčine. Zároveň podporuje SME pri úspešnom absolvovaní auditov ISO/IEC 27001 a pri preukazovaní náležitej zodpovednosti voči klientom a regulátorom. Konkrétne roly a zodpovednosti sú zjednodušené tak, aby sa prispôsobili kontextu SME: GM si ponecháva celkovú zodpovednosť, podporovaný internou alebo outsourcovanou IT administráciou. Zamestnanci a dodávatelia sú poučení, aby akýkoľvek incident nahlásili okamžite bez pokusov o neautorizované opravy. Externí dodávatelia sú povinní informovať GM a podporiť opatrenia zamedzenia šírenia podľa povinnosti súladu, pričom podliehajú rovnakým notifikačným lehotám eskalácie ako interné incidenty. Politika stanovuje štruktúrované postupy nahlasovania incidentov vrátane jasných komunikačných kanálov (vyhradený incidentný e-mail alebo ústne hlásenie), požadovaných detailov (čas zistenia, povaha, dotknuté systémy a pozorovateľný dopad) a kategorizácie do jednej hodiny. Záznamy o incidentoch, ktoré vedie GM, sú jadrom vedenia záznamov pre audity. Štvrťročné preskúmania, analýzy príčin a poincidentná revízia a aktualizácie zabezpečujú priebežnú účinnosť aj reakcieschopnosť na vznikajúce hrozby. Dokument tiež podrobne opisuje požiadavky na školenia a povedomie pre všetok personál, proces nástupu, obnovovacie školenie a povinné očakávania nahlasovania. Ustanovenia o vynucovaní vyžadujú, aby všetky subjekty vrátane tretích strán plne dodržiavali: zlyhania alebo porušenia protokolu môžu viesť k upozorneniam, zrušeniu prístupových oprávnení, zmluvným sankciám alebo odstráneniu zo zoznamov dodávateľov. Všetky dôkazy a záznamy musia byť uchovávané najmenej jeden rok a poskytnuté pre audity podľa potreby. Komplexné mechanizmy preskúmania zabezpečujú, že politika zostáva zosúladená s vyvíjajúcimi sa normami, regulačnými zmenami a prevádzkovými posunmi a zostáva relevantná pre SME.