Kokia yra šio rinkinio tikslinė auditorija?

Šis rinkinys skirtas SVV, siekiančioms įgyvendinti su ISO 27001:2022 suderintas kibernetinio saugumo kontrolės priemones, neturint dedikuoto IT saugumo padalinio.

Kaip šiose politikose atspindėti SVV reikalavimai?

Akcentuojami tokie vaidmenys kaip General Manager ir External IT Provider, užtikrinant, kad politikos būtų operatyviai taikomos organizacijose su supaprastintomis struktūromis.

Ar šis rinkinys užtikrina ISO 27001:2022 atitiktį?

Taip. Visos įtrauktos politikos yra tiesiogiai susietos su pagrindiniais ISO 27001:2022 ir 27002:2022 reikalavimais, kaip nurodyta atitikties susiejimuose.

Ar šios politikos apima tiek IT, tiek reglamentavimo reikalavimus?

Taip. Politikos palaiko atitiktį ISO 27001:2022, GDPR, EU NIS2, EU DORA, NIST SP 800-53 Rev.5 ir COBIT 2019.

Mini rinkinys: Prieigos ir tinklo saugumas

Apžvalga

Mini rinkinys: Prieigos ir tinklo saugumas – SVV siūlo šešias esmines politikas, apimančias prieigos kontrolę, paskyras, pažeidžiamumus, apsaugą nuo kenkėjiškos programinės įrangos, tinklus ir žurnalinimo bei stebėsenos politiką, pritaikytas SVV, kad būtų įvykdyti ISO/IEC 27001:2022 ir reglamentavimo reikalavimai, su praktiškais vaidmenų priskyrimais ir auditui parengtomis kontrolės priemonėmis.

Visapusiška SVV saugumo aprėptis

Šešios pagrindinės politikos viename atitiktį užtikrinančiame rinkinyje, apimančios prieigą, tinklus, galinius įrenginius, paskyras, pažeidžiamumus ir žurnalinimo bei stebėsenos politiką.

ISO 27001:2022 parengta SVV

Politikos susietos ir supaprastintos SVV be dedikuotų saugumo komandų, naudojant vaidmenis, pvz., General Manager ir išoriniai tiekėjai.

Aiškūs vaidmenys ir audito pėdsakai

Sukurta operaciniam aiškumui, su dokumentuotais peržiūrų ciklais, rizikos valdymo procesu ir atitikties ataskaitų teikimu.

Skaityti visą apžvalgą

Mini rinkinys: Prieigos ir tinklo saugumas – SVV suteikia tvirtą, iš anksto suderintą šešių kibernetinio saugumo valdysenos dokumentų rinkinį, sukurtą specialiai mažoms ir vidutinėms įmonėms (SVV). Atsižvelgiant į unikalius iššūkius, su kuriais susiduria organizacijos be dedikuotų IT ar saugumo padalinių, kiekviena rinkinio politika yra supaprastinta taip, kad naudotų SVV dažniausiai pasitaikančius vaidmenis, pvz., General Manager, padalinių vadovai ir išoriniai tiekėjai. Visi dokumentai kruopščiai susieti su naujausiais ISO/IEC 27001:2022 ir ISO/IEC 27002:2022 reikalavimais, taip pat su susijusiomis sistemomis, pvz., NIST SP 800-53 Rev.5, EU GDPR, EU NIS2, EU DORA ir COBIT 2019. Į šį rinkinį įtraukta Prieigos kontrolės politika, kuri nustato, kaip valdoma prieiga prie IT sistemų, patalpų ir duomenų, taikant aiškius patvirtinimo procesus, formalias peržiūras ir mažiausių privilegijų principo vykdymo užtikrinimą. Naudotojų paskyrų ir privilegijų valdymo politika tai papildo, užtikrindama tvirtas kontrolės priemones paskyrų prieigos suteikimui, keitimui ir prieigos teisių panaikinimui, drausdama bendrus prisijungimo duomenis ir reikalaudama unikalių prisijungimo duomenų bei atsekamų tapatybių, paremtų audito pėdsaku ir atitikties registravimu audito žurnale. Abi politikos parengtos organizacijoms, kuriose General Manager arba išorinė IT funkcija veikia kaip sistemos savininkas ar patvirtinimo institucija, mažinant sudėtingumą ir užtikrinant, kad kontrolė būtų palaikoma net esant ribotiems vidiniams ištekliams. Pažeidžiamumų ir pataisų valdymo politika apibrėžia lūkesčius dėl pažeidžiamumų identifikavimo, vertinimo ir taisomųjų veiksmų visame įmonės IT turte, įskaitant darbo stotis, serverius, debesijos infrastruktūrą ir programinę įrangą. Reikalaujama savalaikio pataisų diegimo, ketvirtinio ataskaitų teikimo ir aiškių išimčių valdymo procesų, o atsakomybės pasidalijamos tarp General Manager ir IT paslaugų teikėjų. Siekiant apsaugoti galinių įrenginių infrastruktūrą, Galinių įrenginių apsauga – apsaugos nuo kenkėjiškos programinės įrangos priemonės politika nustato reikalavimus antivirusinės programinės įrangos diegimui, nuosavų įrenginių naudojimo (BYOD) saugumui, stebėsenai ir reagavimui, su techninėmis ir procedūrinėmis instrukcijomis, pritaikytomis SVV kontekstui, įskaitant nepatvirtintų įrankių naudojimo ribojimą ir reguliarius saugumo informuotumo mokymus apie kenkėjišką programinę įrangą. Kritinės tinklo kontrolės priemonės aptariamos Tinklo saugumo politikoje, kurioje aprašomas projektavimas, tinklo segmentavimas, stebėsena ir saugių laidinių, belaidžių ir nuotolinės prieigos kanalų vykdymo užtikrinimas. Politika apima tiek fizinius, tiek loginius tinklus, reikalaujant tvirtų ugniasienės konfigūracijų, virtualiojo privataus tinklo (VPN) naudojimo su kelių veiksnių autentifikavimu (MFA), reguliarių auditų ir pranešimo apie nesankcionuotą prieigą ar anomalų tinklo elgesį. Žurnalinimo ir stebėsenos politika užtikrina, kad visa kritinė veikla – nuo administracinių pakeitimų iki techninių įspėjimų – būtų registruojama, saugoma ir reguliariai peržiūrima, leidžiant SVV įvykdyti tiek operacines, tiek teisines prievoles dėl atskaitomybės, tyrimo dėl duomenų saugumo pažeidimo ir atitikties auditų. Kaip SVV specifinės politikos (tai patvirtina „S“ jų numeracijoje ir vaidmenų nuorodose), kiekvienas dokumentas pabrėžia praktišką, realistišką įgyvendinimą, naudojant registrus, paprastas patvirtinimo darbo eigas ir kontrolinius sąrašus vietoje didelių komandų struktūrų ar specializuotų pareigybių. Kartu šis rinkinys suteikia išsamų, įgyvendinamą ir audituojamą kibernetinio saugumo geriausiosios praktikos pagrindą mažoms ir vidutinėms įmonėms.

Turinys

Prieigos kontrolės politika

Naudotojų paskyrų ir privilegijų valdymo politika

Pažeidžiamumų ir pataisų valdymo politika

Galinių įrenginių apsauga – apsaugos nuo kenkėjiškos programinės įrangos priemonės politika

Tinklo saugumo politika

Žurnalinimo ir stebėsenos politika

Sistemos atitiktis

Sistema	Aptariamos sąlygos / Kontrolės
ISO/IEC 27001:2022	5.3 5.15 8.1
ISO/IEC 27002:2022	5.15 5.16 8.7 8.8 8.15 8.16 8.20
NIST SP 800-53 Rev.5	AC-1 AC-2 AC-4 AC-5 AC-6 SC-7 SI-2 SI-3 SI-4 AU-2 AU-3 AU-4 AU-5 AU-6 AU-7 AU-8 AU-9 AU-10 AU-11 AU-12 RA-5 CM-2
EU GDPR	Article 5(1)(f)Article 32Article 32(1)(b)Article 33
EU NIS2	Article 21(2)(b)Article 21(2)(d)Article 21(2)(e)Article 23
EU DORA	Article 8(1)Article 9 Article 9(2)(b)Article 10 Article 10(1)Article 10(2)Article 15
COBIT 2019	APO07 APO12.01 APO13.01 DSS01.03 DSS01.04 DSS05.02 DSS05.03 DSS05.04

Sistema

Aptariamos sąlygos / Kontrolės

ISO/IEC 27001:2022

5.3 5.15 8.1

ISO/IEC 27002:2022

5.15 5.16 8.7 8.8 8.15 8.16 8.20

NIST SP 800-53 Rev.5

AC-1 AC-2 AC-4 AC-5 AC-6 SC-7 SI-2 SI-3 SI-4 AU-2 AU-3 AU-4 AU-5 AU-6 AU-7 AU-8 AU-9 AU-10 AU-11 AU-12 RA-5 CM-2

EU GDPR

Article 5(1)(f)Article 32Article 32(1)(b)Article 33

EU NIS2

Article 21(2)(b)Article 21(2)(d)Article 21(2)(e)Article 23

EU DORA

Article 8(1)Article 9 Article 9(2)(b)Article 10 Article 10(1)Article 10(2)Article 15

COBIT 2019

APO07 APO12.01 APO13.01 DSS01.03 DSS01.04 DSS05.02 DSS05.03 DSS05.04

Susijusios politikos

Galinių įrenginių apsauga ir apsaugos nuo kenkėjiškos programinės įrangos politika – SVV

Ši politika apibrėžia minimalius techninius, procedūrinius ir elgsenos reikalavimus, skirtus apsaugoti visus galinių įrenginių įrenginius – pvz., nešiojamuosius kompiuterius, stalinius kompiuterius, mobiliuosius įrenginius ir nešiojamąsias laikmenas – nuo piktavališko kodo.

Prieigos kontrolės politika – SVV

Ši politika apibrėžia, kaip organizacija valdo prieigą prie sistemų, duomenų ir patalpų, kad užtikrintų, jog tik įgalioti asmenys galėtų pasiekti informaciją pagal verslo poreikį.

Naudotojų paskyrų ir privilegijų valdymo politika – SVV

Ši politika nustato taisykles, kaip valdyti naudotojų paskyras ir prieigos teises saugiai, nuosekliai ir atsekamai.

Pažeidžiamumų ir pataisų valdymo politika – SVV

Ši politika apibrėžia, kaip organizacija identifikuoja, įvertina ir mažina pažeidžiamumus sistemose, taikomosiose programose ir infrastruktūroje.

Tinklo saugumo politika – SVV

Šios politikos tikslas – užtikrinti, kad visa vidinė ir išorinė tinklo komunikacija būtų apsaugota nuo nesankcionuotos prieigos, klastojimo, pasiklausymo ar netinkamo naudojimo, taikant aiškiai apibrėžtas saugumo kontrolės priemones.

Žurnalinimo ir stebėsenos politika – SVV

Ši politika nustato privalomas žurnalinimo ir stebėsenos kontrolės priemones, kad būtų užtikrintas organizacijos IT sistemų saugumas, atskaitomybė ir operacinis vientisumas.

Apie Clarysec politikas - Mini rinkinys: Prieigos ir tinklo saugumas – SVV

Bendrosios saugumo politikos dažnai kuriamos didelėms korporacijoms, todėl mažoms įmonėms sunku taikyti sudėtingas taisykles ir neapibrėžtus vaidmenis. Ši politika yra kitokia. Mūsų SVV politikos sukurtos nuo pagrindų praktiškam įgyvendinimui organizacijose be dedikuotų saugumo komandų. Atsakomybes priskiriame vaidmenims, kuriuos iš tikrųjų turite, pvz., General Manager ir jūsų IT Provider, o ne specialistų armijai, kurios neturite. Kiekvienas reikalavimas suskaidytas į unikaliai sunumeruotą punktą (pvz., 5.2.1, 5.2.2). Tai paverčia politiką aiškiu, nuosekliu kontroliniu sąrašu, kurį lengva įgyvendinti, audituoti ir pritaikyti neperrašant ištisų skyrių.

Dažniausiai užduodami klausimai

Sukurta lyderiams, lyderių

Šią politiką parengė saugumo lyderis, turintis daugiau nei 25 metų patirtį diegiant ir audituojant ISMS sistemas tarptautinėse organizacijose. Ji sukurta ne tik kaip dokumentas, bet kaip pagrįsta sistema, atlaikanti auditoriaus vertinimą.

Parengė ekspertas, turintis šias kvalifikacijas:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Aprėptis ir temos

🏢 Tiksliniai skyriai

IT Saugumas Atitiktis Rizikos valdymas

🏷️ Teminė aprėptis

Prieigos kontrolė tapatybės valdymas Autentifikavimas privilegijuotos prieigos valdymas Tinklo saugumas Saugumo operacijų centras (SOC) stebėsena ir žurnalinimas Pažeidžiamumų valdymas pataisų ir programinės aparatinės įrangos valdymas

Mini rinkinys: Prieigos ir tinklo saugumas – SVV