Politik for endepunktsbeskyttelse og malware

Politikken for endepunktsbeskyttelse/malware (P20) fastlægger de væsentlige kontroller og driftskrav, der er nødvendige for at sikre alle organisationens endepunkter mod et bredt spektrum af malwaretrusler. Politikkens formål er at påbyde tekniske og proceduremæssige standarder for beskyttelse af stationære computere, bærbare computere, mobile enheder, servere og virtuel infrastruktur mod virus, ransomware, spyware, rootkits, filfri malware og andre avancerede trusler. Den adresserer hele livscyklussen for endepunktsforsvar, herunder realtidsdetektion af malware, adfærdsbaseret overvågning, inddæmning af hændelser og genopretning, og sikrer, at organisationens systemer forbliver robuste og operationelle, også over for nye malwareteknikker. Politikkens omfang er omfattende og gælder alle endepunkter, der ejes, administreres eller autoriseres af organisationen, herunder Bring Your Own Device (BYOD) og cloud-hostede aktiver. Den omfatter interne medarbejdere, kontrahenter, Managed Service Providers og enhver bruger eller administrator, der har tilladelse til at betjene, vedligeholde eller understøtte organisationens endepunkter. Trusselsbilledet, som politikken anerkender, er bredt og omfatter både almindelige og avancerede angrebsvektorer såsom adware, phishing, botnets, udnyttelse af sårbarheder og USB-baseret spredning af malware. Politikkens centrale mål er at opretholde integritet, fortrolighed og tilgængelighed for endepunktsystemer og de data, de behandler. Den kræver udrulning af centralt administrerede platforme til malwareforsvar, såsom antivirus, Endpoint Detection and Response (EDR) og Security Information and Event Management (SIEM), med foreskrevne minimumstekniske funktioner: realtidsscanning, heuristisk detektion, automatiseret karantæne og robust alarmering. Politikken kræver desuden problemfri integration af endepunktsbeskyttelse med omkringliggende sikkerhedsprocesser, herunder aktivstyring, håndtering af sikkerhedshændelser, adgangskontrol og analyse af trusselsintelligens. Der defineres klare roller og ansvar for informationssikkerhedschef (CISO), endepunktssikkerhedsansvarlige/SOC-ledere, IT-drift, applikationsejere, almindelige medarbejdere og tredjepartsudbydere. Hver rolle er ansvarlig for specifikke forhold, fra vedligeholdelse af registre over beskyttelsesværktøjer og sikring af håndhævelse af politikker til brugeransvar såsom rapportering af mistænkelige hændelser og forbud mod uautoriserede enhedstilslutninger. Håndhævelsen af politikken er stringent med bestemmelser om agentudrulning, stramme opdateringsregimer, tekniske baselinekontroller, ugentlige gennemgange og eksplicitte procedurer for politikundtagelser eller manglende overholdelse. Håndtering af sikkerhedshændelser understøttes af en vedligeholdt Malware Response Playbook, og løbende overholdelse sikres gennem periodiske audits, obligatoriske korrigerende handlinger for afdækkede svagheder samt klare konsekvenser ved overtrædelser. Politikken er tæt harmoniseret med en bred vifte af internationale standarder og reguleringer, herunder ISO/IEC 27001:2022 (Clause 8.1 og Annex A: 8.7), ISO/IEC 27002:2022 (Kontrol 6, kontroller 8.7, 8.8), NIST SP 800-53 Rev.5, EU GDPR (Artikel 32), EU NIS2 (Artikel 21), EU DORA (Artikel 9) og COBIT 2019, hvilket sikrer industriens bedste praksis og revisionsparathed for regulerede organisationer. Krav til gennemgang og løbende forbedring er også specificeret for at sikre tilpasningsevne til udviklende trusler og ændringer i retlige eller tekniske miljøer.