Polityka ochrony punktów końcowych i ochrony przed złośliwym oprogramowaniem

Polityka ochrony punktów końcowych / ochrony przed złośliwym oprogramowaniem (P20) kodyfikuje kluczowe środki kontrolne oraz wymagania operacyjne niezbędne do zabezpieczenia wszystkich punktów końcowych organizacji przed szerokim spektrum zagrożeń związanych ze złośliwym oprogramowaniem. Celem polityki jest narzucenie standardów technicznych i proceduralnych w zakresie ochrony komputerów stacjonarnych, laptopów, urządzeń mobilnych, serwerów oraz infrastruktury wirtualnej przed wirusami, ransomware, spyware, rootkitami, złośliwym oprogramowaniem bezplikowym oraz innymi zaawansowanymi zagrożeniami. Obejmuje ona pełny cykl życia obrony punktów końcowych, w tym wykrywanie złośliwego oprogramowania w czasie rzeczywistym, monitorowanie behawioralne, powstrzymanie incydentów oraz odzyskiwanie, zapewniając, że systemy organizacji pozostają odporne i operacyjne nawet wobec nowych technik złośliwego oprogramowania. Zakres polityki jest kompleksowy i obejmuje wszystkie punkty końcowe będące własnością organizacji, zarządzane przez organizację lub autoryzowane przez organizację, w tym wykorzystywanie prywatnych urządzeń (BYOD) oraz aktywa hostowane w chmurze. Obejmuje pracowników wewnętrznych, wykonawców, dostawców usług zarządzanych oraz każdego użytkownika lub administratora uprawnionego do obsługi, utrzymania lub wsparcia punktów końcowych organizacji. Krajobraz zagrożeń uwzględniany przez politykę jest szeroki i obejmuje zarówno typowe, jak i zaawansowane wektory ataku, takie jak adware, ataki phishingowe, botnety, wykorzystanie podatności oraz propagacja złośliwego oprogramowania przez USB. Kluczowymi celami polityki są utrzymanie integralności, poufności oraz dostępności systemów punktów końcowych i danych, które przetwarzają. Wymaga ona wdrożenia centralnie zarządzanych platform ochrony przed złośliwym oprogramowaniem, takich jak oprogramowanie antywirusowe, wykrywanie i reagowanie na punktach końcowych (EDR) oraz Security Information and Event Management (SIEM), z określonymi minimalnymi funkcjami technicznymi: skanowanie w czasie rzeczywistym, wykrywanie heurystyczne, automatyczna kwarantanna oraz solidne alertowanie. Polityka wymaga również płynnej integracji ochrony punktów końcowych z otaczającymi procesami bezpieczeństwa, w tym zarządzaniem aktywami, reagowaniem na incydenty, kontrolą dostępu oraz analizą informacji o zagrożeniach. Zdefiniowano jasne role i odpowiedzialności dla dyrektora ds. bezpieczeństwa informacji (CISO), kierowników ds. bezpieczeństwa punktów końcowych/kierowników SOC, operacji IT, właścicieli aplikacji, zwykłych pracowników oraz dostawców zewnętrznych. Każda rola odpowiada za określone obszary – od utrzymywania rejestrów narzędzi ochrony i zapewniania egzekwowania polityki, po obowiązki na poziomie użytkownika, takie jak zgłaszanie incydentów oraz zakaz podłączania nieautoryzowanych urządzeń. Egzekwowanie polityki jest rygorystyczne i obejmuje postanowienia dotyczące wdrażania agentów, ścisłych reżimów aktualizacji, bazowych środków kontrolnych, cotygodniowych przeglądów oraz jednoznacznych procedur dotyczących zarządzania wyjątkami lub niezgodnościami. Reagowanie na incydenty jest wspierane przez utrzymywany podręcznik działań Malware Response Playbook, a bieżąca zgodność jest zapewniana poprzez okresowe audyty, obowiązkowe działania korygujące dla wykrytych słabości oraz jasne konsekwencje naruszeń. Polityka jest ściśle dostosowana do szerokiego zakresu norm i regulacji międzynarodowych, w tym ISO/IEC 27001:2022 (klauzula 8.1 oraz załącznik A: 8.7), ISO/IEC 27002:2022 (środki kontrolne 8.7, 8.8), NIST SP 800-53 Rev.5, EU GDPR (artykuł 32), EU NIS2 (artykuł 21), EU DORA (artykuł 9) oraz COBIT 2019, zapewniając najlepsze praktyki i gotowość do audytu dla organizacji regulowanych. Określono również wymagania dotyczące przeglądu i ciągłego doskonalenia, aby zagwarantować zdolność adaptacji do ewoluujących zagrożeń oraz zmian w środowisku prawnym lub technicznym.