Mobiliųjų įrenginių ir nuosavų įrenginių naudojimo (BYOD) politika

Mobiliųjų įrenginių ir nuosavų įrenginių naudojimo (BYOD) politika (P34) suteikia tvirtą valdymo sistemą saugiam mobiliųjų ir asmeninių įrenginių naudojimui visoje organizacijoje. Pagrindinis jos tikslas – apsaugoti organizacijos duomenų konfidencialumą, vientisumą, prieinamumą, kai duomenys pasiekiami ar tvarkomi per galinius įrenginius, tokius kaip išmanieji telefonai, planšetės, nešiojamieji kompiuteriai ir kiti nešiojamieji įrenginiai, įskaitant tiek įmonei priklausančius, tiek nuosavų įrenginių naudojimo (BYOD) scenarijus (Bring Your Own Device). Politikos taikymo sritis yra išsami ir taikoma visiems darbuotojams, rangovams, praktikantams ir trečiųjų šalių paslaugų teikėjams, kurie pasiekia įmonės išteklius per mobiliuosius galinius įrenginius. Ji apima platų įrenginių spektrą – nuo išmaniųjų telefonų, planšečių ir nešiojamųjų kompiuterių iki hibridinių išmaniųjų įrenginių ir dėvimų įrenginių – ir nustato, kad atitiktis privaloma nepriklausomai nuo nuosavybės modelio. Apimama prieiga apima virtualųjį privatųjį tinklą (VPN), nuotolinius darbalaukius, debesijos taikomąsias programas, el. paštą, komunikacijos priemones ir failų sinchronizavimo platformas, taip atliepiant įvairias, hibridines ir nuotolinio darbo realijas šiuolaikinėje įmonėje. Pagrindiniai tikslai apima duomenų nutekėjimo mažinimą, standartizuotą saugumo kontrolės priemonių vykdymo užtikrinimą ir paramą suderinimui su reglamentavimo reikalavimais (pvz., ISO/IEC 27001, GDPR ir DORA). Tam pasiekti politika nustato techninius ir procedūrinius reikalavimus, tokius kaip privalomas MDM įtraukimas, įrenginių šifravimas, autentifikavimo kontrolės priemonės (įskaitant privalomą kelių veiksnių autentifikavimą (MFA)), privalomas taikomųjų programų įtraukimas į baltąjį sąrašą ir nuolatinė atitikties stebėsena realiuoju laiku. Taip pat ribojamos praktikos, didinančios riziką, pavyzdžiui, „jailbreak“/„root“ įrenginių ar šoniniu būdu įdiegtų taikomųjų programų naudojimas. Dokumente aiškiai apibrėžiami suinteresuotųjų šalių vaidmenys ir atsakomybės, įskaitant vyriausiąjį informacijos saugumo pareigūną (CISO) / saugumo vadovą dėl politikos priežiūros ir incidentų valdymo; IT/MDM administratorių dėl prieigos suteikimo, vykdymo užtikrinimo ir stebėsenos; žmogiškuosius išteklius ir teisę dėl privatumo, sutikimo ir drausminės priežiūros; tiesioginį vadovą dėl vietinės atitikties; ir galutinius naudotojus dėl kasdienio laikymosi ir pranešimo. BYOD prieiga priklauso nuo naudotojo sutikimo techninėms kontrolės priemonėms ir organizacijos stebėsenai darbo skaidiniuose, kartu taikant tvirtas asmens privatumo apsaugos priemones. Valdysenos reikalavimai nustato griežtą įrenginių įtraukimą, nuolatinę stebėseną, saugius konteinerius organizacijos duomenims, prieigos žurnalinimą ir struktūrizuotą patvirtinimų, išimčių ir rizikos mažinimo procesą. Politika numato išimčių mechanizmus, reikalaujančius formalios dokumentacijos, rizikos peržiūros ir kompensacinių kontrolės priemonių, kai to reikia. Vykdymo užtikrinimas remiamas apibrėžtomis nuobaudomis už neatitiktį, incidentų žurnalų tvarkymu ir įgaliojimais atlikti nuotolinį duomenų ištrynimą bei sustabdyti prieigą. Politikos aktualumas ir veiksmingumas palaikomi per kasmetinį pakartotinį patvirtinimą ir tarpinius atnaujinimus, kuriuos lemia reglamentavimo, technologiniai ar operaciniai veiksniai. Galiausiai, P34 yra glaudžiai integruota su susijusiomis organizacijos politikomis (pvz., P01 Informacijos saugumo politika, Nuotolinio darbo politika, Duomenų klasifikavimas, Žurnalinimo ir stebėsenos politika ir reagavimo į incidentus politika), užtikrinant, kad visi mobiliųjų įrenginių ir BYOD saugumo aspektai būtų sprendžiami kaip platesnės informacijos saugumo valdymo sistemos (ISVS) dalis. Šis holistinis požiūris užtikrina operacinį produktyvumą, kartu išlaikant atitiktį pagrindiniams standartams ir reglamentams.