Politika ochrany koncových bodov a malvéru

Politika ochrany koncových bodov / malvéru (P20) kodifikuje základné kontrolné opatrenia a prevádzkové požiadavky potrebné na zabezpečenie všetkých koncových bodov organizácie proti širokému spektru hrozieb malvéru. Účelom politiky je nariadiť technické a procesné normy na ochranu stolových počítačov, notebookov, mobilných zariadení, serverov a virtuálnej infraštruktúry pred vírusmi, ransomvérom, spyvérom, rootkitmi, fileless malvérom a ďalšími pokročilými hrozbami. Rieši celý životný cyklus obrany koncových bodov – od detekcie malvéru v reálnom čase, cez behaviorálne monitorovanie, zamedzenie šírenia incidentov až po obnovu – a zabezpečuje, aby systémy organizácie zostali odolné a prevádzkyschopné aj voči novým technikám malvéru. Rozsah politiky je komplexný a vzťahuje sa na všetky koncové body vlastnené, spravované alebo autorizované organizáciou vrátane používania vlastných zariadení (BYOD) a aktív hostovaných v cloude. Zahŕňa interných zamestnancov, dodávateľov, Managed Service Providers a každého používateľa alebo administrátora, ktorému je povolené prevádzkovať, udržiavať alebo podporovať koncové body organizácie. Hrozbové prostredie, ktoré politika zohľadňuje, je široké a zahŕňa bežné aj sofistikované vektory útokov, ako sú adware, phishing, botnety, zneužitia zraniteľností a šírenie malvéru cez USB. Kľúčovými cieľmi politiky je zachovať integritu, dôvernosť a dostupnosť systémov koncových bodov a údajov, ktoré spracúvajú. Vyžaduje nasadenie centrálne spravovaných platforiem ochrany pred malvérom, ako sú antivírusový softvér, detekcia a reakcia na koncových bodoch (EDR) a Security Information and Event Management (SIEM), s predpísanými minimálnymi technickými funkciami: skenovanie v reálnom čase, heuristická detekcia, automatizovaná karanténa a robustné upozorňovanie. Politika ďalej vyžaduje bezproblémovú integráciu ochrany koncových bodov s nadväzujúcimi bezpečnostnými procesmi vrátane správy aktív, reakcie na incidenty, riadenia prístupu a analýzy spravodajstva o hrozbách. Sú definované jasné roly a zodpovednosti pre riaditeľa informačnej bezpečnosti (CISO), vedúcich zabezpečenia koncových bodov/manažérov SOC, prevádzku IT, vlastníkov aplikácií, bežných zamestnancov a poskytovateľov tretích strán. Každá rola je zodpovedná za konkrétne oblasti – od udržiavania registrov nástrojov ochrany a zabezpečenia vynucovania politiky až po povinnosti na úrovni používateľov, ako je nahlasovanie podozrivých incidentov a zákaz pripájania neoprávnených zariadení. Vynucovanie politiky je prísne, s ustanoveniami pre nasadenie agentov, prísne režimy aktualizácií, základné technické kontrolné opatrenia, týždenné preskúmania a explicitné postupy pre výnimky z politiky alebo nesúlad. Reakcia na incidenty je podporená udržiavaným playbookom reakcie na malvér a priebežný súlad je zabezpečený prostredníctvom pravidelných auditov, povinných nápravných opatrení pre odhalené medzery v kontrolách a jasných dôsledkov porušení. Politika je úzko zosúladená so širokým spektrom medzinárodných noriem a predpisov vrátane ISO/IEC 27001:2022 (Clause 8.1 a Annex A: 8.7), ISO/IEC 27002:2022 (Controls 8.7, 8.8), NIST SP 800-53 Rev.5, EU GDPR (Article 32), EU NIS2 (Article 21), EU DORA (Article 9) a COBIT 2019, čím zabezpečuje odvetvové osvedčené postupy a pripravenosť na audit pre regulované organizácie. Sú špecifikované aj požiadavky na preskúmanie a neustále zlepšovanie, aby sa zaručila prispôsobivosť vyvíjajúcim sa hrozbám a zmenám v právnom alebo technickom prostredí.