Galinių įrenginių apsaugos ir apsaugos nuo kenkėjiškos programinės įrangos politika

Galinių įrenginių apsaugos / apsaugos nuo kenkėjiškos programinės įrangos politika (P20) kodifikuoja esmines kontrolės priemones ir veiklos reikalavimus, reikalingus apsaugoti visus organizacijos galinius įrenginius nuo plataus spektro kenkėjiškos programinės įrangos grėsmių. Politikos tikslas – nustatyti technologinius ir procedūrinius standartus, skirtus apsaugoti stalinius kompiuterius, nešiojamuosius kompiuterius, mobiliuosius įrenginius, serverius ir virtualią infrastruktūrą nuo virusų, išpirkos reikalaujančių programų, šnipinėjimo programų, rootkit, be failų veikiančios kenkėjiškos programinės įrangos ir kitų pažangių grėsmių. Ji apima visą galinių įrenginių gynybos gyvavimo ciklą – nuo realaus laiko kenkėjiškos programinės įrangos aptikimo, elgsenos stebėsenos, incidentų lokalizavimo iki atkūrimo – užtikrinant, kad organizacijos sistemos išliktų atsparios ir veikiančios net atsirandant naujoms kenkėjiškos programinės įrangos technikoms. Politikos taikymo sritis yra išsami ir apima visus organizacijai priklausančius, jos valdomus ar autorizuotus galinius įrenginius, įskaitant nuosavų įrenginių naudojimą (BYOD) ir debesyje talpinamą turtą. Ji taikoma vidaus darbuotojams, rangovams, valdomų paslaugų teikėjams ir bet kuriam naudotojui ar administratoriui, kuriam leidžiama eksploatuoti, prižiūrėti ar palaikyti organizacijos galinius įrenginius. Politikos pripažįstamas grėsmių kraštovaizdis yra platus ir apima tiek įprastus, tiek sudėtingus atakos vektorius, tokius kaip reklaminė programinė įranga, fišingo atakos, botnetai, pažeidžiamumų išnaudojimas ir per USB plintanti kenkėjiška programinė įranga. Pagrindiniai politikos tikslai – užtikrinti galinių įrenginių sistemų vientisumą, konfidencialumą ir prieinamumą bei jų tvarkomų duomenų apsaugą. Ji reikalauja diegti centralizuotai valdomas apsaugos nuo kenkėjiškos programinės įrangos platformas, tokias kaip antivirusinė programinė įranga, galinių įrenginių aptikimas ir reagavimas (EDR) ir saugumo informacijos ir įvykių valdymas (SIEM), su nustatytomis minimaliomis technologinėmis funkcijomis: realaus laiko skenavimas, euristinis aptikimas, automatinis karantinavimas ir patikimi įspėjimai. Politika taip pat reikalauja sklandžios galinių įrenginių apsaugos integracijos su susijusiais saugumo procesais, įskaitant turto valdymą, reagavimą į incidentus, prieigos kontrolę ir grėsmių žvalgybos analizę. Aiškiai apibrėžiami CISO, galinių įrenginių saugumo vadovų / SOC vadovų, IT operacijų, taikomųjų programų savininkų, įprastų darbuotojų ir trečiųjų šalių paslaugų teikėjų vaidmenys ir atsakomybės. Kiekvienas vaidmuo yra atskaitingas už konkrečius aspektus – nuo apsaugos priemonių registrų palaikymo ir politikos vykdymo užtikrinimo iki naudotojo lygmens pareigų, tokių kaip pranešimas apie incidentus ir draudimas jungti neautorizuotus įrenginius. Politikos vykdymo užtikrinimas yra griežtas: numatytas agentų diegimas, griežti atnaujinimų režimai, bazinės technologinės kontrolės priemonės, savaitinės peržiūros ir aiškios procedūros dėl politikos išimčių ar neatitikties. Reagavimą į incidentus palaiko kenkėjiškos programinės įrangos reagavimo veiksmų planas, o nuolatinė atitiktis užtikrinama periodiniais auditais, privalomais koreguojamaisiais veiksmais dėl nustatytų spragų ir aiškiomis pasekmėmis už pažeidimus. Politika yra glaudžiai suderinta su plačiu tarptautinių standartų ir reglamentų spektru, įskaitant ISO/IEC 27001:2022 (8.1 punktas ir A priedas: 8.7), ISO/IEC 27002:2022 (kontrolės priemonės 8.7, 8.8), NIST SP 800-53 Rev.5, ES GDPR (32 straipsnis), ES NIS2 (21 straipsnis), ES DORA (9 straipsnis) ir COBIT 2019, užtikrinant geriausiąją praktiką ir pasirengimą auditui reglamentuojamoms organizacijoms. Taip pat nurodyti peržiūros ir nuolatinio tobulinimo reikalavimai, kad būtų užtikrintas prisitaikymas prie kintančių grėsmių ir teisinių ar technologinių aplinkų pokyčių.