Политика за защита на крайните точки и зловреден софтуер

Политиката за защита на крайните точки / зловреден софтуер (P20) кодифицира основните контроли и оперативни изисквания, необходими за защита на всички крайни точки на организацията срещу широк спектър от заплахи от зловреден софтуер. Целта на политиката е да наложи технически и процедурни стандарти за защита на настолни компютри, лаптопи, мобилни устройства, сървъри и виртуална инфраструктура от вируси, ransomware, spyware, rootkits, fileless malware и други усъвършенствани заплахи. Тя обхваща пълния жизнен цикъл на защитата на крайните точки, включително откриване на зловреден софтуер в реално време, поведенчески мониторинг, ограничаване на инциденти и възстановяване, като гарантира, че системите на организацията остават устойчиви и оперативни дори при нововъзникващи техники за зловреден софтуер. Обхватът на политиката е всеобхватен и се отнася за всички крайни точки, които са собственост на организацията, се управляват от нея или са разрешени от нея, включително използване на лични устройства (BYOD) и активи, хоствани в облак. Тя обхваща вътрешни служители, изпълнители, Managed Service Providers и всеки потребител или администратор, на когото е разрешено да оперира, поддържа или подпомага крайните точки на организацията. Признатият от политиката пейзаж на заплахите е широк и включва както често срещани, така и сложни вектори на атака, като adware, phishing, botnets, експлоатиране на уязвимости и разпространение на зловреден софтуер чрез USB. Ключовите цели на политиката са да поддържа цялостност, поверителност и наличност на системите на крайните точки и данните, които те обработват. Тя изисква внедряване на централно управлявани платформи за защита от зловреден софтуер, като антивирусен софтуер, откриване и реагиране на крайни точки (EDR) и Security Information and Event Management (SIEM), с предписани минимални технически функции: сканиране в реално време, евристично откриване, автоматизирана карантина и надеждно предупреждаване. Политиката допълнително изисква безпроблемна интеграция на защитата на крайните точки със съпътстващите процеси по сигурността, включително управление на активи, реагиране при инциденти, контрол на достъпа и анализ на разузнавателна информация за заплахи. Определени са ясни роли и отговорности за директор по информационна сигурност (CISO), ръководител по сигурността на крайни устройства/мениджъри на Център за операции по сигурността (SOC), ИТ операции, собственици на приложения, редовни служители и доставчици от трети страни. Всяка роля носи отчетност за конкретни аспекти – от поддържане на регистри на инструментите за защита и осигуряване на прилагане на политиката, до отговорности на ниво потребител като докладване на подозрителни инциденти и забрана за неоторизирани връзки на устройства. Прилагането на политиката е строго, с разпоредби за внедряване на агенти, строги режими на актуализации, базови технически контроли, седмични прегледи и изрични процедури за изключения от политики или несъответствие. Реагирането при инциденти се подпомага от поддържан Malware Response Playbook, а текущото съответствие се гарантира чрез периодични одити, задължителни коригиращи действия за открити пропуски и ясни последствия при нарушения. Политиката е тясно съгласувана с широк набор от международни стандарти и регулации, включително ISO/IEC 27001:2022 (Клауза 8.1 и Приложение A: 8.7), ISO/IEC 27002:2022 (Контроли 8.7, 8.8), NIST SP 800-53 Rev.5, EU GDPR (Член 32), EU NIS2 (Член 21), EU DORA (Член 9) и COBIT 2019, като осигурява най-добри практики и одитна готовност за регулирани организации. Изискванията за преглед и постоянно подобряване също са определени, за да се гарантира адаптивност към развиващи се заплахи и промени в правната или техническата среда.