Beveilig gebruikerseindpunttoestelle: ISO 27002-beheer 8.1 verduidelik
Terwyl die verskuiwing na afgeleë werk en toenemende gebruik van mobiele toestelle werknemers se produktiwiteit 'n hupstoot gee en organisasies geld spaar, is gebruikerseindpunttoestelle soos skootrekenaars, selfone en tablette kwesbaar vir kuberbedreigings. Dit is omdat kubermisdadigers hierdie toestelle dikwels uitbuit om te wen ongemagtigde toegang tot korporatiewe netwerke en kompromie inligting bates.
Byvoorbeeld, kubermisdadigers kan werknemers teiken met 'n uitvissing-aanval, werknemers oorreed om 'n wanware-aanhangsel af te laai, en dan hierdie wanware-geïnfekteerde gebruiker-eindpunttoestel gebruik om die wanware oor die hele korporatiewe netwerk te versprei. Hierdie aanval kan lei tot die verlies van beskikbaarheid, integriteit of vertroulikheid van inligtingsbates.
Volgens 'n opname uitgevoer met 700 IT-professionele persone, het ongeveer 70% van organisasies in 2020 inbreuk op inligtingbates en IT-infrastruktuur ervaar as gevolg van 'n eindpuntgebruiker-toestelverwante aanval.
Beheer 8.1 spreek aan hoe organisasies onderwerpspesifieke beleid, prosedures en tegniese maatreëls kan vestig, in stand hou en implementeer om te verseker dat inligtingsbates wat op gebruikereindpunttoestelle gehuisves of verwerk word, nie gekompromitteer, verlore of gesteel word nie.
Doel van beheer 8.1
Beheer 8.1 stel organisasies in staat om die sekuriteit, vertroulikheid, integriteit en beskikbaarheid van inligtingsbates gehuisves op of toeganklik via eindpuntgebruikerstoestelle te beskerm en in stand te hou deur in plek te stel geskikte beleide, prosedures en kontroles.
Eienskappe Tabel van beheer 8.1
Beheer 8.1 is voorkomend van aard. Dit vereis van organisasies om beleide, prosedures en tegniese maatreëls te implementeer wat van toepassing is op alle gebruikereindpunttoestelle wat inligtingbates huisves of verwerk sodat dit nie gekompromitteer, verlore of gesteel word nie.
| beheer Tipe | Eienskappe vir inligtingsekuriteit | Kuberveiligheidskonsepte | Operasionele vermoëns | Sekuriteitsdomeine |
|---|---|---|---|---|
| #Voorkomende | #Vertroulikheid | #Beskerm | #Batebestuur | #Beskerming |
| #Integriteit | #Inligtingbeskerming | |||
| #Beskikbaarheid |
Kry 'n voorsprong van 81%.
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.
Eienaarskap van beheer 8.1
Aangesien voldoening aan Beheer 8.1 die skepping, instandhouding van en nakoming van organisasiewye onderwerpspesifieke beleid, prosedures en tegniese maatreëls behels, het die hoof inligtingsekuriteitsbeampte moet verantwoordelikheid dra vir voldoening met die vereistes van Beheer 8.1.
Algemene riglyne oor nakoming
Beheer 8.1 vereis van organisasies om 'n onderwerpspesifieke beleid te skep wat aanspreek hoe gebruikerseindpunttoestelle veilig gekonfigureer moet word en hoe hierdie toestelle deur gebruikers hanteer moet word.
Alle personeel moet oor hierdie Polis ingelig word en die Polis moet die volgende dek:
- Watter tipe inligting, veral op watter vlak van klassifikasie, kan in gebruikerseindpunttoestelle verwerk, gestoor of gebruik word.
- Hoe die toestelle geregistreer moet word.
- Vereistes vir die fisiese beskerming van toestelle.
- Beperkings op die installering van sagtewareprogramme op toestelle.
- Reëls oor die paaiement van sagteware op die toestelle en oor sagteware-opdaterings.
- Reëls oor hoe die gebruiker se eindpunttoestelle aan publieke netwerke of aan netwerke op ander perseel buite die perseel gekoppel kan word.
- Toegangskontroles.
- Enkripsie van die stoormedia wat inligtingbates huisves.
- Hoe toestelle teen wanware-aanvalle beskerm sal word.
- Hoe toestelle gedeaktiveer of uitgesluit kan word. Hoe inligting vervat in die toestelle op afstand uitgevee kan word.
- Rugsteunmetodes en -prosedures.
- Reëls oor die gebruik van webtoepassings en dienste.
- Ontleding van eindgebruikersgedrag.
- Hoe verwyderbare bergingsmedia soos USB-aandrywers gebruik kan word en hoe fisiese poorte soos USB-poorte gedeaktiveer kan word.
- Hoe segregasievermoëns kan gebruik word om die organisasie se inligting te skei bates van ander bates wat op die gebruikertoestel gestoor is.
Verder merk die Algemene Riglyne op dat organisasies dit moet oorweeg om die berging van sensitiewe inligtingbates op gebruikereindpunttoestelle te verbied deur tegniese kontroles te implementeer.
Hierdie tegniese kontroles kan die deaktivering van plaaslike bergingsfunksies soos SD-kaarte insluit.
Om hierdie aanbevelings in die praktyk toe te pas, moet organisasies hul wend tot Konfigurasiebestuur soos uiteengesit in die Beheer 8.9 en geoutomatiseerde gereedskap gebruik.
Aanvullende leiding oor gebruikersverantwoordelikheid
Alle personeel moet ingelig word oor die sekuriteitsmaatreëls vir gebruikerseindpunttoestelle en prosedures waaraan hulle moet voldoen. Verder moet hulle wees bewus gemaak van hul verantwoordelikhede vir die toepassing van hierdie maatreëls en prosedures.
Organisasies moet personeel opdrag gee om aan die volgende reëls en prosedures te voldoen:
- Wanneer 'n diens nie meer benodig word nie of wanneer 'n sessie eindig, moet gebruikers uit sessie afmeld en dienste beëindig.
- Personeel moet nie hul toestelle sonder toesig los nie. Wanneer toestelle nie gebruik word nie, moet personeel die onderhou sekuriteit van die toestelle teen ongemagtigde toegang of gebruik deur fisiese kontroles toe te pas soos sleutelslotte en deur tegniese kontroles soos robuuste wagwoorde.
- Personeel moet met ekstra sorg optree wanneer hulle eindpunttoestelle wat sensitiewe inligting bevat in onveilige openbare areas gebruik.
- Gebruikerseindpunttoestelle moet teen diefstal beskerm word, veral in riskante areas soos hotelkamers, konferensiekamers of openbare vervoer.
Verder word organisasies ook aangeraai om 'n spesiale prosedure in te stel vir die verlies of diefstal van gebruikerseindpunttoestelle. Hierdie prosedure moet geskep word met inagneming van wetlike, kontraktuele en sekuriteitsvereistes.
Nakoming hoef nie ingewikkeld te wees nie.
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.
Aanvullende leiding oor die gebruik van persoonlike toestelle (BYOD)
Terwyl personeel toe te laat om hul eie persoonlike toestelle vir werkverwante doeleindes te gebruik, organisasies geld bespaar, stel dit sensitiewe inligtingbates aan nuwe risiko's bloot.
Beheer 8.1 lys vyf aanbevelings wat organisasies moet oorweeg wanneer hulle werknemers toelaat om hul eie toestelle vir werkverwante take te gebruik:
- Daar moet tegniese maatreëls soos sagteware-instrumente in plek wees om die persoonlike en besigheidsgebruik van die toestelle te skei sodat die organisasie se inligting beskerm word.
- Personeel moet slegs toegelaat word om hul eie toestel te gebruik nadat hulle tot die volgende ingestem het:
- Personeel erken hul pligte om toestelle fisies te beskerm en nodige sagteware-opdaterings uit te voer.
- Personeel stem in om geen eienaarskap van die organisasie se inligtingsbates op te eis nie.
- Personeel stem in dat inligting vervat in die toestel oor 'n afstand uitgevee kan word wanneer die toestel verlore of gesteel word, onderhewig aan wetlike vereistes vir persoonlike data.
- Vestiging van beleide oor die eienaarskap van intellektuele eiendomsregte wat geskep word deur die gebruik van gebruikerseindpunttoestelle.
- Hoe toegang tot die privaat toestelle van personeel verkry sal word, met inagneming van die statutêre beperkings op sodanige toegang.
- Om personeel toe te laat om hul private toestelle te gebruik, kan lei tot wetlike aanspreeklikheid as gevolg van die gebruik van derdeparty-sagteware op hierdie toestelle. Organisasies moet die sagteware-lisensiëringsooreenkomste wat hulle met hul verskaffers het, oorweeg.
Aanvullende leiding oor draadlose verbindings
Organisasies moet prosedures ontwikkel en in stand hou vir:
- Hoe draadlose verbindings op die toestelle opgestel moet word.
- Hoe draadlose of bedrade verbindings met voldoende bandwydte gebruik sal word in nakoming van onderwerpspesifieke beleide.
Bykomende leiding oor beheer 8.1
Wanneer gebruikerseindpunttoestelle uit die organisasie se perseel geneem word, kan inligtingsbates aan verhoogde risiko's van kompromie blootgestel word. Daarom sal organisasies dalk verskillende kontroles moet instel vir toestelle wat buite die perseel gebruik word.
Verder waarsku Control 8.1 organisasies teen verlies van inligting as gevolg van twee risiko's wat verband hou met draadlose verbindings:
- Draadlose verbindings met lae bandwydte kan lei tot mislukking van data-rugsteun.
- Gebruikerseindpunttoestelle kan soms van die draadlose netwerk ontkoppel word en geskeduleerde rugsteune kan misluk.
Bestuur al jou nakoming op een plek
ISMS.online ondersteun meer as 100 standaarde
en regulasies, gee jou 'n enkele
platform vir al jou voldoeningsbehoeftes.
Veranderinge en verskille vanaf ISO 27002:2013
27002:2022/8.1 vervang 27002:2013/(6.2.1 en 12.2.8)
Strukturele verskille
In in teenstelling met die 2022-weergawe wat gebruikerseindpunttoestelle onder een beheer (8.1) aanspreek, het die 2013-weergawe twee afsonderlike kontroles ingesluit: Mobiele toestelbeleid in beheer 6.2.1 en onbewaakte gebruikertoerusting in beheer 11.2.8.
Verder, terwyl die Beheer 8.1 in die 2022-weergawe van toepassing is op alle gebruiker-eindpunttoestelle soos skootrekenaars, tablette en selfone, het die 2013-weergawe slegs na die mobiele toestelle verwys.
2022-weergawe skryf bykomende vereistes vir gebruikersverantwoordelikheid voor
Alhoewel beide weergawes grootliks soortgelyk is in terme van die vereistes vir gebruikersverantwoordelikheid, bevat die 2022-weergawe een bykomende vereiste:
- Personeel moet met ekstra sorg optree wanneer hulle eindpunttoestelle wat sensitiewe inligting bevat in onveilige openbare areas gebruik.
2022-weergawe is meer omvattend in terme van BYOD
In vergelyking met die 2013-weergawe stel beheer 8.1 in die 2022-weergawe drie nuwe vereistes vir die gebruik van personeel se private toestelle (BYOD):
- Vestiging van beleide oor die eienaarskap van intellektuele eiendomsregte wat geskep word deur die gebruik van gebruikerseindpunttoestelle.
- Hoe toegang tot die privaat toestelle van personeel verkry sal word, met inagneming van die statutêre beperkings op sodanige toegang.
- Om personeel toe te laat om hul private toestelle te gebruik, kan lei tot wetlike aanspreeklikheid as gevolg van die gebruik van derdeparty-sagteware op hierdie toestelle. Organisasies moet die sagteware-lisensiëringsooreenkomste wat hulle met hul verskaffers het, oorweeg.
2022-weergawe vereis 'n meer gedetailleerde onderwerpspesifieke beleid
Soortgelyk aan die 2013-weergawe, vereis die 2022-weergawe ook van organisasies om 'n onderwerpspesifieke beleid op gebruikereindpunttoestelle aan te neem.
Die beheer 8.1 in die 2022-weergawe is egter meer omvattend aangesien dit drie nuwe elemente bevat wat ingesluit moet word:
- Ontleding van eindgebruikersgedrag.
- Hoe verwyderbare toestelle soos USB-aandrywers gebruik kan word en hoe fisiese poorte soos USB-poorte gedeaktiveer kan word.
- Hoe segregasievermoëns kan gebruik word om die organisasie se inligting te skei bates van ander bates wat op die gebruikertoestel gestoor is.
Nuwe ISO 27002-kontroles
Nuwe kontroles
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 5.7 | Nuut | Bedreigingsintelligensie |
| 5.23 | Nuut | Inligtingsekuriteit vir die gebruik van wolkdienste |
| 5.30 | Nuut | IKT-gereedheid vir besigheidskontinuïteit |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 8.9 | Nuut | Konfigurasiebestuur |
| 8.10 | Nuut | Inligting verwydering |
| 8.11 | Nuut | Datamaskering |
| 8.12 | Nuut | Voorkoming van datalekkasies |
| 8.16 | Nuut | Moniteringsaktiwiteite |
| 8.23 | Nuut | Webfiltrering |
| 8.28 | Nuut | Veilige kodering |
Organisatoriese kontroles
Mense beheer
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Terme en diensvoorwaardes |
| 6.3 | 07.2.2 | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
| 6.4 | 07.2.3 | Dissiplinêre proses |
| 6.5 | 07.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
| 6.6 | 13.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
| 6.7 | 06.2.2 | Afstand werk |
| 6.8 | 16.1.2, 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
Fisiese beheer
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 7.1 | 11.1.1 | Fisiese sekuriteit omtrek |
| 7.2 | 11.1.2, 11.1.6 | Fisiese toegang |
| 7.3 | 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 7.5 | 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
| 7.6 | 11.1.5 | Werk in veilige areas |
| 7.7 | 11.2.9 | Duidelike lessenaar en duidelike skerm |
| 7.8 | 11.2.1 | Toerusting plaas en beskerming |
| 7.9 | 11.2.6 | Sekuriteit van bates buite die perseel |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Berging media |
| 7.11 | 11.2.2 | Ondersteunende nutsprogramme |
| 7.12 | 11.2.3 | Bekabeling sekuriteit |
| 7.13 | 11.2.4 | Onderhoud van toerusting |
| 7.14 | 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
Tegnologiese kontroles
Hoe ISMS.online help
ISMS.Online is die toonaangewende ISO 27002-bestuurstelselsagteware wat voldoening aan ISO 27002, en help maatskappye om hul sekuriteitsbeleide in lyn te bring en prosedures met die standaard.
Die wolk-gebaseerde platform bied 'n volledige stel gereedskap om organisasies te help met die opstel van 'n inligtingsekuriteitbestuurstelsel (ISMS) volgens ISO 27002.
Kontak vandag nog om bespreek 'n demo.
Spring na onderwerp
