Galapunktu aizsardzības un aizsardzības pret ļaunprogrammatūru politika

Galapunktu aizsardzības / aizsardzības pret ļaunprogrammatūru politika (P20) kodificē būtiskos kontroles pasākumus un operatīvās prasības, kas nepieciešamas, lai aizsargātu visus organizācijas galapunktus pret plašu ļaunprogrammatūras draudu klāstu. Politikas mērķis ir noteikt tehniskos un procesuālos standartus darbvirsmu datoru, klēpjdatoru, mobilo ierīču, serveru un virtuālās infrastruktūras aizsardzībai pret vīrusiem, izspiedējvīrusiem, spiegprogrammatūru, rootkitiem, bezfailu ļaunprogrammatūru un citiem progresīviem draudiem. Tā aptver visu galapunktu aizsardzības dzīves ciklu, tostarp reāllaika ļaunprogrammatūras atklāšanu, uzvedības uzraudzību, incidentu ierobežošanu un atjaunošanu, nodrošinot, ka organizācijas sistēmas saglabā noturību un darbspēju arī pret jaunām ļaunprogrammatūras metodēm. Politikas darbības joma ir visaptveroša un attiecas uz visiem galapunktiem, kas pieder organizācijai, tiek pārvaldīti vai ir autorizēti, tostarp personīgo ierīču izmantošanu (BYOD) un mākoņvidē izvietotos aktīvus. Tā aptver iekšējos darbiniekus, līgumslēdzējus, trešo pušu pakalpojumu sniedzējus un jebkuru lietotāju vai administratoru, kam ir atļauts darbināt, uzturēt vai atbalstīt organizācijas galapunktus. Politika atzīst plašu draudu vidi, ietverot gan izplatītus, gan sarežģītus uzbrukuma vektorus, piemēram, reklāmprogrammatūru, pikšķerēšanu, botnetus, ievainojamību izmantošanu un ļaunprogrammatūras izplatīšanu, izmantojot USB. Politikas galvenie mērķi ir uzturēt galapunktu sistēmu integritāti, konfidencialitāti un pieejamību, kā arī to apstrādāto datu aizsardzību. Tā nosaka centrāli pārvaldītu aizsardzības līdzekļu pret ļaunprogrammatūru platformu ieviešanu, piemēram, antivīrusu programmatūru, galapunktu detektēšanu un reaģēšanu (EDR) un drošības informācijas un notikumu pārvaldību (SIEM), ar noteiktām minimālajām tehniskajām funkcijām: reāllaika skenēšana, heiristiskā detektēšana, automatizēta karantīna un stingra brīdināšana. Politika papildus pieprasa netraucētu galapunktu aizsardzības integrāciju ar apkārtējiem drošības procesiem, tostarp aktīvu pārvaldību, reaģēšanu uz incidentiem, piekļuves kontroli un draudu izlūkošanas analīzi. Ir skaidri definētas lomas un pienākumi: galvenajam informācijas drošības vadītājam (CISO), galapunktu drošības vadītājiem/SOC vadītājiem, IT operācijām, lietojumprogrammu īpašniekiem, parastajiem darbiniekiem un trešo pušu pakalpojumu sniedzējiem. Katra loma ir atbildīga par konkrētiem aspektiem — no aizsardzības rīku reģistru uzturēšanas un politikas izpildes nodrošināšanas līdz lietotāju līmeņa pienākumiem, piemēram, aizdomīgu incidentu ziņošanai un neautorizētu ierīču pieslēgšanas aizliegumam. Politikas izpilde ir stingra, ietverot aģentu izvietošanu, stingrus atjaunināšanas režīmus, tehniskās bāzlīnijas kontroles pasākumus, iknedēļas pārskatus un skaidras procedūras politikas izņēmumiem vai neatbilstībai. Reaģēšana uz incidentiem tiek atbalstīta ar uzturētu ļaunprogrammatūras reaģēšanas rokasgrāmatu, un nepārtraukta atbilstība tiek nodrošināta ar periodiskiem auditiem, obligātām koriģējošajām darbībām atklāto trūkumu novēršanai un skaidrām sekām par pārkāpumiem. Politika ir cieši saskaņota ar plašu starptautisko standartu un regulējumu klāstu, tostarp ISO/IEC 27001:2022 (8.1. klauzula un A pielikums: 8.7), ISO/IEC 27002:2022 (kontroles pasākumi 8.7, 8.8), NIST SP 800-53 Rev.5, ES GDPR (32. pants), ES NIS2 (21. pants), ES DORA (9. pants) un COBIT 2019, nodrošinot nozares labāko praksi un audita gatavību reglamentētām organizācijām. Ir noteiktas arī pārskatīšanas un nepārtrauktas uzlabošanas prasības, lai garantētu pielāgojamību mainīgiem draudiem un izmaiņām juridiskajā vai tehniskajā vidē.