policy SME

Lõppseadmete kaitse ja pahavara poliitika – VKE

Tagage, et kõik lõppseadmed on kaitstud pahavaraohtude eest selle VKE-sõbraliku, ISO 27001:2022-ga kooskõlas oleva poliitikaga tehnilistele, BYOD- ja pilveseadmetele.

Ülevaade

See poliitika sätestab selged, VKE-sõbralikud nõuded kõigi lõppseadmete, sh BYOD- ja mobiilseadmete, kaitsmiseks pahavara eest, toetades vastavust ISO 27001:2022, GDPR-i ja seotud standarditega. See määrab vastutused tegevjuhile ja IT-teenuseosutajatele, kirjeldab kontrollimeetmeid ennetuse, tuvastamise, reageerimise, dokumentatsiooni ja teadlikkuse jaoks ning on kohandatud organisatsioonidele, kellel puuduvad pühendunud küberturbe meeskonnad.

Põhjalik lõppseadmete turve

Kaitseb kõiki organisatsiooni ja isiklikke seadmeid pahavara eest, sh sülearvuteid, mobiilseadmeid ja kaasaskantavaid andmekandjaid.

Selged rollid VKEdele

Lihtsustatud vastutused tegevjuhtidele ja IT-teenuseosutajatele tagavad poliitika järgimise väikeettevõtte keskkonnas.

Regulatiivne ühtlustatus

Toetab ISO/IEC 27001:2022, GDPR-i, NIS2 ja DORA nõuetele vastavust tugevate pahavarakontrollide kaudu.

BYOD ja kaugtöö katvus

Kohaldub nii ettevõtte omandis kui ka isiklikus omandis olevatele seadmetele, toetades hübriidseid ja kaugtöötajaid.

Loe täielikku ülevaadet
See lõppseadmete kaitse – pahavara poliitika (P20S) on spetsiaalselt loodud väikestele ja keskmise suurusega ettevõtetele (VKEdele), kes vajavad tugevat, praktilist ja standarditega kooskõlas olevat kaitset lõppseadmeid sihtivate pahavaraohtude vastu. Dokumendinumbri „S“ tähis ja esmase vastutuse delegeerimine tegevjuhile peegeldavad lihtsustatud lähenemist, mis sobib organisatsioonidele, kellel puuduvad pühendunud infoturbejuht, turbeoperatsioonide keskus või täiskohaga IT-meeskonnad, kuid mis on siiski täielikult kooskõlas juhtivate raamistikega, sh ISO/IEC 27001:2022. Selle poliitika eesmärk on kehtestada selged, jõustatavad miinimumstandardid kõigi lõppseadmete turvamiseks, sh sülearvutid, lauaarvutid, tahvelarvutid, nutitelefonid ja eemaldatavad andmekandjad. Käsitledes lõppseadmete turbe tehnilisi, protseduurilisi ja käitumuslikke elemente, on eesmärk maandada levinud riske, nagu lunavara, nuhkvara, klahvilogijad ja USB-põhine pahavara. Poliitika on kirjutatud organisatsiooni kübervastupidavuse eesmärkide toetamiseks ja regulatiivse vastavuse hõlbustamiseks, eeskätt GDPR-i, NIS2, DORA ja COBIT 2019 kontekstis. Kohaldamisala on terviklik: see hõlmab organisatsiooni ja BYOD-seadmeid sõltumata sellest, kas need on kohapeal, kaugkasutuses, pilvega ühendatud või võrguühenduseta. Nõuded kehtivad kogu personalile, hallatud teenuseosutajatele, töövõtjatele ja praktikantidele. Poliitika kirjeldab juhtimist nii ettevõtte omandis kui ka isiklikus omandis olevate seadmete puhul, pöörates erilist tähelepanu BYOD-kontrollidele, nagu kohustuslik viirusetõrje või MDM-agendid, ajakohane paikamine, krüpteeritud salvestus ja ekraaniluku jõustamine. Peamised operatiivsed nõuded hõlmavad heakskiidetud viirusetõrje või lõppseadme tuvastuse ja reageerimise (EDR) lahenduste kasutamist kõigil lõppseadmetel, iganädalasi täielikke süsteemiskaneeringuid, automaatseid signatuurivärskendusi, kahtlaste failitüüpide blokeerimist, kasutamata teenuste keelamist ja reaalajas USB-skaneerimist. Pahavara tuvastamisel on selgelt kirjeldatud viivitamatu lahtiühendamine, IT-teavitamine, ohjeldamine, parandusmeetmed ja intsidentidest teavitamine. Täiendavad kontrollimeetmed nõuavad regulaarset turvateadlikkuse koolitust ning pidevaid simuleeritud õngitsuskampaaniaid, et vähendada kasutajapoolsetest vigadest tulenevaid nakatumisriske. Poliitika sätestab lisaks, et kriitilised sündmused (nt keelatud kaitsed või korduvad nakatumiskatsed) logitakse ja nende kohta tehakse automaatsed teavitused, et vastavuse audititõendus säilitatakse auditi jaoks vähemalt 12 kuud ning et erandid dokumenteeritakse rangelt ja on ajaliselt piiratud. Iga-aastane läbivaatamine ja päästikupõhised ajakohastused tagavad, et poliitika püsib tõhus muutuvate ohtude ja regulatiivsete muudatuste suhtes. Kõik need kontrollimeetmed sobivad VKEdele, pakkudes tegevjuhtidele ja IT-toe teenuseosutajatele rakendatavaid ja hallatavaid turbesamme, mis täidavad peamiste regulatiivsete raamistike ootusi.

Poliitika diagramm

Lõppseadmete kaitse – pahavara poliitika diagramm, mis näitab juhtimisrolle, põhilisi tehnilisi kontrollimeetmeid, BYOD-nõudeid, intsidentidele reageerimise samme ja vastavuse pidevat seiret auditivalmiduse tagamiseks.

Klõpsake diagrammil, et vaadata seda täissuuruses

Sisu

Kohaldamisala ja rakendamise reeglid

BYOD ja mobiilseadmete kontrollimeetmed

Intsidentidele reageerimine ja intsidentidest teavitamine

Auditi ja auditilogimise nõuded

Pahavara teadlikkuse tõstmise koolitus

Seadmete krüpteerimine ja seadme kõvendamine

Raamistiku vastavus

🛡️ Toetatud standardid ja raamistikud

See toode on kooskõlas järgmiste vastavusraamistikkudega, üksikasjalike klauslite ja kontrolli kaardistustega.

Raamistik Kaetud klauslid / Kontrollid
ISO/IEC 27001:2022
8.1
ISO/IEC 27002:2022
8.7
NIST SP 800-53 Rev.5
SI-3SI-4
EU NIS2
21(2)(d)21(2)(e)
EU DORA
10(1)15
COBIT 2019
DSS05.02DSS05.04
EU GDPR
32(1)(b)33

Seotud poliitikad

Kaugtööpoliitika – VKE

Tagab, et lõppseadmete kaitse nõuded on jõustatud väljaspool asukohta või hübriidsetes tingimustes kasutatavatel seadmetel.

Varade halduse poliitika – VKE

Toetab kõigi lõppseadmete jälgimist ja kontrolli, tagades, et kasutatakse ainult volitatud ja kaitstud seadmeid.

Andmekaitse ja privaatsuse poliitika – VKE

Tugevdab pahavara ennetamist kui andmekaitse põhikontrolli, et kaitsta isikuandmeid ja tundlikke andmeid kompromiteerimise eest.

Logimis- ja seirepoliitika – VKE

Kehtestab nõuded pahavara sündmuste logimiseks ja teavituste nähtavuse säilitamiseks varajaseks reageerimiseks.

Intsidentidele reageerimise poliitika – VKE

Määratleb eskaleerimise, ohjeldamise ja välise teavitamise sammud, kui pahavara viib andmete kompromiteerimiseni või operatiivse häireni.

Claryseci poliitikate kohta - Lõppseadmete kaitse ja pahavara poliitika – VKE

Üldised turbepoliitikad on sageli loodud suurkorporatsioonidele, jättes väikeettevõtted hätta keerukate reeglite ja määratlemata rollidega. See poliitika on teistsugune. Meie VKE-poliitikad on algusest peale loodud praktiliseks rakendamiseks organisatsioonides, kus puuduvad pühendunud turvameeskonnad. Me määrame vastutused rollidele, mis teil tegelikult olemas on, nagu tegevjuht ja teie IT-teenuseosutaja, mitte spetsialistide armeele, mida teil ei ole. Iga nõue on jaotatud unikaalselt nummerdatud punktideks (nt 5.2.1, 5.2.2). See muudab poliitika selgeks samm-sammuliseks kontrollnimekirjaks, muutes selle lihtsaks rakendada, auditeerida ja kohandada ilma tervete jaotiste ümberkirjutamiseta.

Automatiseeritud pahavara tuvastamine ja reageerimine

Kasutab reaalajas skaneeringuid, automaatseid karantiine ja intsidentidest teavitamist ohtude ohjeldamiseks ning seadmete kiireks taastamiseks.

Sisseehitatud töötajate koolitus ja teadlikkus

Nõuab pidevat kasutajate teadlikkust, simuleeritud õngitsuskampaaniaid ja teatamist, et vähendada kasutajavigadest tulenevat pahavara riski.

Korduma kippuvad küsimused

Loodud juhtidele, juhtide poolt

Selle poliitika on koostanud turbejuht, kellel on üle 25 aasta kogemust ISMS-raamistike juurutamisel ja auditeerimisel globaalsetes organisatsioonides. See ei ole mõeldud vaid dokumendina, vaid kaitstava raamistikuna, mis peab vastu audiitori kontrollile.

Koostanud ekspert järgmiste kvalifikatsioonidega:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Katvus ja teemad

🏢 Sihtosakond

IT turvalisus vastavus

🏷️ Temaatiline katvus

Juurdepääsukontroll vastavuse juhtimine turbeoperatsioonid seire ja auditilogimine haavatavuste haldus paikade ja püsivara haldus Intsidendihaldus
€29

Ühekordne ost

Kohene allalaadimine
Eluaegsed uuendused
Endpoint Protection and Malware Policy - SME

Toote üksikasjad

Tüüp: policy
Kategooria: SME
Standardid: 7