Politika viacfaktorovej autentifikácie a bezpečnej komunikácie

# Politika MFA, continuous authentication a bezpečnej komunikácie

**Vlastník:** {{OWNER_NAME}} ({{OWNER_ROLE}})
**Schválil:** {{APPROVER_NAME}} ({{APPROVER_ROLE}})
**Dátum schválenia:** {{APPROVAL_DATE}}
**Verzia:** 1.0
**Plánovaná ďalšia revízia:** {{NEXT_REVIEW_DATE}}
**Rozsah:** {{SCOPE}}

## 1. Účel
Stanovuje pravidlá pre viacfaktorovú autentifikáciu, kontinuálnu autentifikáciu a bezpečné komunikačné kanály podľa NIS2 čl. 21(2)(j) a ENISA IR kap. 11.

## 2. Rozsah
Vzťahuje sa na:
- všetky prístupy k firemným systémom,
- komunikáciu obsahujúcu citlivé alebo klasifikované dáta,
- núdzové komunikačné kanály pre incident response.

---

## Časť A: Multi-Factor Authentication (MFA)

## A1. Povinné nasadenie
MFA je **povinné** pre:
- ✅ Administratívne prístupy (root, admin, DevOps).
- ✅ VPN a remote access.
- ✅ Email a collaboration tools.
- ✅ Cloud konzoly (AWS, Azure, GCP).
- ✅ Finančné a HR systémy.
- ✅ Customer-facing admin funkcie.
- ✅ Prístup k produkčnému prostrediu.
- ✅ Source code repozitáre (vrátane privátnych repo).

## A2. Akceptované faktory
Zoradené podľa preferencie (najvyšší → najnižší):
1. **FIDO2 / WebAuthn** (hardware security keys: YubiKey, Titan, Nitrokey) — **preferred**.
2. **Platform authenticators** (Touch ID, Face ID, Windows Hello).
3. **TOTP** (Google Authenticator, 1Password, Authy) — prijateľné.
4. **Push notifications** s number matching (Duo, Microsoft Authenticator) — prijateľné.
5. **SMS / voice** — **iba ako fallback**, nie primary.

Preferovaný je phishing-resistant MFA (FIDO2) pre privileged roly.

## A3. Recovery
- **Backup codes** generované pri MFA setup, uložené offline.
- **Admin override** — reset cez {{IDENTITY_HELP_DESK}} s in-person alebo video verifikáciou identity.
- **Zakázané:** self-service reset len na základe emailového odkazu.

## A4. MFA-bypass monitoring
- **Alerting** na každý úspešný admin reset MFA.
- **Audit log** všetkých zmien MFA faktorov.
- **Review:** CISO quarterly prechádza zoznam MFA-disabled účtov.

---

## Časť B: Continuous Authentication

## B1. Session management
- **Session timeout:** {{SESSION_TIMEOUT}} inaktivity.
- **Absolute timeout:** {{ABS_SESSION_TIMEOUT}} od prihlásenia.
- **Step-up authentication** pri citlivých operáciách (payments, permission change, crypto key access).

## B2. Adaptive / risk-based auth
- Signály: geolokalizácia, device fingerprint, impossible travel, známa IP.
- **Risk score** nad prah ({{RISK_THRESHOLD}}) → vynútiť MFA challenge aj v prebiehajúcej session.
- **Continuous device posture:** MDM-verified health check pre corporate devices.

## B3. Behavioral signals (kde aplikovateľné)
Pre vysoko-rizikové systémy:
- Typing cadence, mouse patterns.
- API call patterns (anomaly detection na service accounts).

---

## Časť C: Bezpečná komunikácia

## C1. Email
- **TLS mandatory** pre emailové servery (enforced via MTA-STS / DANE).
- **Interná DLP** pre prevention leak citlivých dát cez email.
- **Email encryption** pre Confidential+ správy:
  - S/MIME pre B2B.
  - PGP / password-protected ZIP pre ad-hoc.
  - Secure file sharing portal (S3 presigned URL, OneDrive) pre veľké prílohy.

## C2. Interné chat a collaboration
- **End-to-end encryption** (Signal / Matrix) pre obsah nad Confidential level.
- **Záznam retention** definovaný v data retention policy.
- **Zákazy:** Telegram, WhatsApp pre firemnú komunikáciu nad Internal level.

## C3. Video konferenice
- **Schválené nástroje:** {{APPROVED_VIDEO_TOOLS}} (napr. Teams, Zoom Enterprise, Google Meet).
- **End-to-end encryption** pre board / sensitive discussions (Zoom E2EE, Meet client-side encryption).
- **Recording policy:** consent od všetkých účastníkov, retention podľa účelu.

## C4. Voice / telefón
- Citlivé hovory len cez schválené VoIP s SRTP.
- Pre klasifikované / incident-response hovory — E2EE aplikácie (Signal).

---

## Časť D: Núdzové komunikačné kanály

## D1. Out-of-band (OOB) komunikácia
Pre prípad incidentu, kde je primárny kanál (corporate email, chat) kompromitovaný:
- **Primary OOB:** Signal skupinový chat pre CMT.
- **Backup OOB:** SMS bridge + osobné mobilné čísla na zozname {{CMT_CONTACT_LIST}}.
- **Offline backup:** vytlačený core contact sheet u CISO a CMT členov.

## D2. Aktivácia
- OOB kanál sa aktivuje pri:
  - Podozrení na kompromitáciu interných systémov.
  - Ransomware / DDoS incidente s dopadom na IT.
  - Insider threat investigation.
- Aktivácia oznámená cez {{ACTIVATION_PROCESS}}.

## D3. Testovanie
- **Quarterly drill** — CMT posielavy/posielajú testovaciu správu cez OOB kanál.
- **Kontakty revidované** každé 6 mesiacov (HR sync).

## 3. Zodpovednosti
- **CISO** — vlastník politiky, schvaľuje výnimky.
- **IT Ops** — nasadzuje a udržuje MFA infraštruktúru.
- **HR** — aktualizuje kontaktný zoznam pri nástupoch/výstupoch.
- **Všetci zamestnanci** — dodržiavajú MFA pre pridelené systémy.

## 4. Revízia
Ročne + pri:
- objavení slabosti v používanom MFA mechanizme,
- zavedení nového kritického systému,
- zmene regulačnej požiadavky.

## 5. Súvisiace dokumenty
- Politika HR bezpečnosti, prístupových práv a správy aktív
- Incident response policy (OOB aktivácia)
- Business continuity policy (crisis komunikácia)
- Politika kryptografie

---

**Schválenie**

{{APPROVER_NAME}}, {{APPROVER_ROLE}}
Dátum: {{APPROVAL_DATE}}
Podpis: ____________________