Politika synchronizácie času – SME

Táto politika synchronizácie času (P23S) stanovuje jasné, povinné požiadavky na konfiguráciu a udržiavanie presnej synchronizácie času vo všetkých systémoch organizácie, ktoré sa podieľajú na ukladaní, prenose alebo spracúvaní podnikovo relevantných údajov. Ako politika pre SME je P23S navrhnutá špecificky pre organizácie so zjednodušenými rolami IT, ako sú generálny manažér a poskytovateľ IT podpory, pričom dosahuje súlad s ISO/IEC 27001:2022, GDPR, NIS2, DORA a ďalšími rámcami. Účelom tejto politiky je zachovať integritu systémových záznamov, uľahčiť presné vyšetrovanie incidentov a zabezpečiť obhájiteľnosť pri auditoch prostredníctvom prísneho vynucovania kontrol automatizovanej synchronizácie času. Vyžaduje, aby všetky firemné, vzdialené a systémy hostované v cloude, vrátane koncových zariadení používateľov, serverov, firewallov a platforiem SaaS, používali dôveryhodné, kryptograficky zabezpečené zdroje času (napr. autentifikované NTP servery alebo nástroje poskytovateľa cloudu). Zariadenia sa musia synchronizovať aspoň dvakrát denne a zostať v rámci definovaných prahových hodnôt (±5 sekúnd pre pracovné stanice; ±1 sekunda pre servery a bezpečnostné zariadenia). Časové odchýlky mimo prahových hodnôt spúšťajú upozornenia a musia byť bezodkladne opravené, aby sa predišlo ohrozeniu vysledovateľnosti údajov alebo regulačného postavenia. Politika priraďuje zodpovednosti generálnemu manažérovi, poskytovateľovi IT podpory a koordinátorovi ochrany údajov alebo právnemu a compliance officerovi. Generálny manažér dohliada a schvaľuje politiku alebo akékoľvek výnimky, zatiaľ čo IT podpora konfiguruje, monitoruje a dokumentuje stav synchronizácie času. Zamestnancom a dodávateľom je prísne zakázané meniť nastavenia času zariadení; akékoľvek problémy so synchronizáciou musia byť okamžite eskalované. Pravidelné kontroly stavu systémov a periodické preskúmania pomáhajú zabezpečiť priebežný súlad, pričom ošetrenie výnimiek a kompenzačné kontroly sú starostlivo riadené a dokumentované. Synchronizácia času je explicitne prepojená s ďalšími kľúčovými politikami pre SME, vrátane politiky zaznamenávania a monitorovania, politiky reakcie na incidenty (P30), ochrany a minimalizácie údajov, správy aktív a bezpečnosti tretích strán. Spoločne tieto politiky poskytujú ucelené pokrytie a zabezpečujú, že záznamy používané na súlad, monitorovanie bezpečnosti alebo reakciu na porušenie sú presné obsahovo aj časovou pečiatkou. Dokument zdôrazňuje prísny proces preskúmania a aktualizácie, ktorý vyžaduje ročné opätovné posúdenie generálnym manažérom, IT a rolami ochrany údajov, pričom aktualizácie sa spúšťajú zmenami technológií alebo novými regulačnými povinnosťami. Tento holistický prístup dáva SME schopnosť dodržiavať bezpečnostné štandardy na úrovni podnikov bez potreby zložitých, na zdroje náročných štruktúr dohľadu.