Végpontvédelem és kártevők elleni védelem szabályzat – KKV

Ez a Végpontvédelem – Kártevők elleni védelem szabályzat (P20S) kifejezetten kis- és középvállalkozások (KKV-k) számára készült, amelyek robusztus, gyakorlatias és szabványokhoz igazított védelmet keresnek a végponteszközöket célzó kártevőfenyegetésekkel szemben. A dokumentumszámban szereplő „S” jelölés és az elsődleges felelősség ügyvezetőhöz történő delegálása egy olyan egyszerűsített megközelítést tükröz, amely alkalmas olyan szervezetek számára, amelyek nem rendelkeznek dedikált információbiztonsági vezetővel (CISO), biztonsági műveleti központtal (SOC) vagy teljes munkaidős IT-csapatokkal, ugyanakkor teljes mértékben megfelel a vezető keretrendszereknek, beleértve az ISO/IEC 27001:2022-t. A szabályzat célja egyértelmű, kikényszeríthető minimumszabványok meghatározása valamennyi végponteszköz – beleértve a laptopokat, asztali gépeket, táblagépeket, okostelefonokat és cserélhető adathordozókat – védelmére. A végpontbiztonság technikai, eljárási és magatartási elemeinek kezelésével a szabályzat olyan gyakori kockázatok mérséklését célozza, mint a zsarolóvírusok, kémprogramok, billentyűleütés-naplózó és USB-alapú kártevők. A szabályzat a szervezet kiberreziliencia-céljainak támogatására és a jogszabályi megfelelés elősegítésére készült, különösen a GDPR, NIS2, DORA és COBIT 2019 vonatkozásában. A hatókör átfogó: kiterjed a szervezeti és BYOD-eszközökre, függetlenül attól, hogy helyszíni, távoli, felhőkapcsolt vagy offline környezetben működnek. Valamennyi munkatárs, kiszervezett szolgáltató, vállalkozó és gyakornok a követelmények hatálya alá tartozik. A szabályzat irányítási követelményeket rögzít a vállalati tulajdonú és a személyes tulajdonú eszközökre egyaránt, különös hangsúllyal a BYOD-kontrollokra, például kötelező vírusirtó vagy MDM-ügynökök, naprakész javítások telepítése, titkosított tárolás és képernyőzár kikényszerítése. A fő működési követelmények közé tartozik jóváhagyott vírusirtó vagy végponti észlelés és reagálás (EDR) megoldások futtatása valamennyi végponton, heti teljes rendszerellenőrzések, automatikus aláírásfrissítések, gyanús fájltípusok blokkolása, nem használt szolgáltatások letiltása és valós idejű USB-vizsgálat. Kártevő észlelése esetén a szabályzat egyértelműen rögzíti az azonnali leválasztás, IT-értesítés, elszigetelés, korrekciós intézkedések és incidensbejelentés eljárásait. További kontrollok írják elő a rendszeres munkatársi biztonságtudatossági képzést és a folyamatos szimulált adathalász kampányok alkalmazását a felhasználói hibákból eredő fertőzési kockázatok csökkentésére. A szabályzat továbbá előírja, hogy a kritikus események (például letiltott védelmek vagy ismétlődő fertőzési kísérletek) naplózásra és riasztásra kerüljenek, hogy a megfelelőségi bizonyítékok auditcélra legalább 12 hónapig megőrzésre kerüljenek, valamint hogy a kivételek szigorúan dokumentáltak és időkorlátozottak legyenek. Az éves felülvizsgálat és a kiváltó eseményekhez kötött frissítések biztosítják, hogy a szabályzat hatékony maradjon a változó fenyegetések és szabályozási változások mellett. Ezek a kontrollok KKV-k számára megfelelőek, és az ügyvezetőknek, valamint az IT-támogatást nyújtó szolgáltatóknak végrehajtható, kezelhető biztonsági lépéseket adnak, amelyek teljesítik a főbb szabályozási keretrendszerek elvárásait.