Politika ochrany koncových bodů a ochrany proti malwaru

Politika ochrany koncových bodů / ochrany proti malwaru (P20) kodifikuje základní kontroly a provozní požadavky potřebné k zabezpečení všech koncových bodů organizace proti široké škále hrozeb malwaru. Účelem politiky je nařídit technické a procesní normy pro ochranu stolních počítačů, notebooků, mobilních zařízení, serverů a virtuální infrastruktury před viry, ransomwarem, spywarem, rootkity, fileless malwarem a dalšími pokročilými hrozbami. Zabývá se celým životním cyklem obrany koncových bodů, od detekce malwaru v reálném čase, přes behaviorální monitorování, zamezení šíření incidentů až po obnovu, a zajišťuje, že systémy organizace zůstávají odolné a provozuschopné i vůči nově vznikajícím technikám malwaru. Rozsah politiky je komplexní a vztahuje se na všechny koncové body vlastněné, spravované nebo autorizované organizací, včetně využívání soukromých zařízení (BYOD) a aktiva hostovaná v cloudu. Zahrnuje interní zaměstnance, dodavatele, Managed Service Providers a jakéhokoli uživatele nebo správce, kterému je povoleno provozovat, udržovat nebo podporovat koncové body organizace. Hrozby uznávané politikou jsou široké a zahrnují jak běžné, tak sofistikované vektory útoku, jako jsou adware, phishing, botnety, zneužití zranitelností a šíření malwaru prostřednictvím USB. Klíčovými cíli politiky je zachovat integritu, důvěrnost a dostupnost systémů koncových bodů a dat, která zpracovávají. Nařizuje nasazení centrálně spravovaných platforem ochrany před škodlivým kódem, jako je antivirový program, EDR (detekce a reakce na koncové body) a Security Information and Event Management (SIEM), s předepsanými minimálními technickými funkcemi: skenování v reálném čase, heuristická detekce, automatizovaná karanténa a robustní upozorňování. Politika dále vyžaduje bezproblémovou integraci ochrany koncových bodů s navazujícími bezpečnostními procesy, včetně správy aktiv, reakce na incidenty, řízení přístupu a analýzy threat intelligence. Jsou definovány jasné role a odpovědnosti pro ředitele informační bezpečnosti (CISO), vedoucí zabezpečení koncových bodů/manažery Bezpečnostního operačního centra (SOC), provoz IT, vlastníky aplikací, běžné zaměstnance a poskytovatele služeb třetích stran. Každá role je odpovědná za konkrétní oblasti od udržování registrů nástrojů ochrany a zajištění vynucování politiky až po odpovědnosti na úrovni uživatelů, jako je hlášení podezřelých incidentů a zákaz připojování neoprávněných zařízení. Vynucování politiky je přísné, s ustanoveními pro nasazení agentů, přísné režimy aktualizací, základní technické kontroly, týdenní přezkumy a explicitní postupy pro výjimky z politik nebo nesoulad. Reakce na incidenty je podporována udržovaným Malware Response Playbookem a průběžný soulad je zajištěn prostřednictvím periodických auditů, povinných nápravných opatření pro odhalené nedostatky a jasných důsledků porušení. Politika je úzce sladěna s širokou škálou mezinárodních norem a předpisů, včetně ISO/IEC 27001:2022 (Clause 8.1 a Annex A: 8.7), ISO/IEC 27002:2022 (Opatření 8.7, 8.8), NIST SP 800-53 Rev.5, EU GDPR (článek 32), EU NIS2 (článek 21), EU DORA (článek 9) a COBIT 2019, čímž zajišťuje osvědčené postupy a připravenost na audit pro regulované organizace. Jsou také specifikovány požadavky na přezkum a neustálé zlepšování, aby byla zaručena adaptabilita na vyvíjející se hrozby a změny v právním nebo technickém prostředí.