Politika zaščite končnih točk in zaščite pred zlonamerno programsko opremo

Politika zaščite končnih točk / zaščite pred zlonamerno programsko opremo (P20) kodificira bistvene kontrole in operativne zahteve, potrebne za zavarovanje vseh organizacijskih končnih točk pred širokim naborom groženj zlonamerne programske opreme. Namen politike je določiti tehnološke in postopkovne standarde za zaščito namiznih računalnikov, prenosnikov, mobilnih naprav, strežnikov in virtualne infrastrukture pred virusi, izsiljevalsko programsko opremo, vohunsko programsko opremo, rootkiti, zlonamerno programsko opremo brez datotek in drugimi naprednimi grožnjami. Obravnava celoten življenjski cikel obrambe končnih točk, vključno z zaznavanjem zlonamerne programske opreme v realnem času, spremljanjem vedenja, zajezitvijo incidentov in obnovitvijo, ter zagotavlja, da organizacijski sistemi ostanejo odporni in operativni tudi ob novih tehnikah zlonamerne programske opreme. Obseg politike je celovit in se razteza na vse končne točke v lasti, upravljanju ali pooblastilu organizacije, vključno z uporabo lastnih naprav (BYOD) in v oblaku gostovanimi sredstvi. Zajema notranje zaposlene, pogodbene izvajalce, ponudnike storitev tretjih oseb in vsakega uporabnika ali skrbnika, ki mu je dovoljeno upravljati, vzdrževati ali podpirati organizacijske končne točke. Krajina groženj, ki jo politika upošteva, je široka in vključuje tako pogoste kot tudi sofisticirane vektorje napadov, kot so oglaševalska programska oprema, napadi z lažnim predstavljanjem, botneti, izkoriščanja ranljivosti in širjenje zlonamerne programske opreme prek USB. Ključni cilji politike so ohranjanje celovitosti, zaupnosti in razpoložljivosti sistemov končnih točk in podatkov, ki jih obdelujejo. Zahteva uvedbo centralno upravljanih platform za obrambo pred zlonamerno programsko opremo, kot so antivirusna programska oprema, zaznavanje in odzivanje na končnih točkah (EDR) in Security Information and Event Management (SIEM), z določenimi minimalnimi tehnološkimi funkcijami: skeniranje v realnem času, hevristično zaznavanje, avtomatizirana karantena in robustno opozarjanje. Politika nadalje zahteva nemoteno integracijo zaščite končnih točk z okoliškimi varnostnimi procesi, vključno s storitvami upravljanja sredstev in imenikov, odzivom na incidente, nadzorom dostopa in analizo obveščevalnih podatkov o grožnjah. Za vodjo informacijske varnosti (CISO), vodje varnosti končnih točk/vodje SOC, IT-operacije, lastnike aplikacij, redne zaposlene in zunanje ponudnike so opredeljene jasne vloge in odgovornosti. Vsaka vloga je odgovorna za specifične vidike, od vzdrževanja registrov orodij za zaščito in zagotavljanja uveljavljanja politike do odgovornosti na ravni uporabnikov, kot so poročanje o sumljivih incidentih in prepoved nepooblaščenih povezav naprav. Uveljavljanje politike je strogo, z določbami za uvajanje agentov, stroge režime posodobitev, osnovne tehnološke kontrole, tedenske preglede in izrecne postopke za izjeme politike ali neskladnost. Odziv na incidente je podprt z vzdrževanim priročnikom za odziv na zlonamerno programsko opremo, stalna skladnost pa je zagotovljena s periodičnimi presojami, obveznimi korektivnimi ukrepi za odkrite pomanjkljivosti in jasnimi posledicami za kršitve. Politika je tesno usklajena s širokim naborom mednarodnih standardov in predpisov, vključno z ISO/IEC 27001:2022 (Clause 8.1 in Annex A: 8.7), ISO/IEC 27002:2022 (Kontrola 8.7, 8.8), NIST SP 800-53 Rev.5, EU GDPR (Article 32), EU NIS2 (Article 21), EU DORA (Article 9) in COBIT 2019, kar zagotavlja najboljše prakse in pripravljenost na revizijo za regulirane organizacije. Določene so tudi zahteve za pregled in nenehno izboljševanje, da se zagotovi prilagodljivost razvijajočim se grožnjam ter spremembam v pravnem ali tehnološkem okolju.