Säkra användarens slutpunktsenheter: ISO 27002-kontroll 8.1 förklaras
Medan övergången till distansarbete och växande användning av mobila enheter ökar medarbetarnas produktivitet och sparar organisationer pengar, är användarens slutpunktsenheter som bärbara datorer, mobiltelefoner och surfplattor sårbara för cyberhot. Detta beror på att cyberbrottslingar ofta utnyttjar dessa enheter för att vinna obehörig åtkomst till företagsnätverk och äventyrar informationstillgångar.
Till exempel kan cyberbrottslingar rikta in sig på anställda med en nätfiskeattack, övertala anställda att ladda ner en bifogad fil med skadlig programvara och sedan använda denna skadlig programvara-infekterade användarändpunktsenhet för att sprida skadlig programvara över hela företagets nätverk. Denna attack kan resultera i förlust av tillgänglighet, integritet eller konfidentialitet för informationstillgångar.
Enligt en undersökning genomfört med 700 IT-proffs, upplevde omkring 70 % av organisationerna kompromisser med informationstillgångar och IT-infrastruktur som ett resultat av en slutpunktsanvändares enhetsrelaterad attack 2020.
Kontroll 8.1 tar upp hur organisationer kan upprätta, underhålla och implementera ämnesspecifika policyer, procedurer och tekniska åtgärder för att säkerställa att informationstillgångar som lagras eller bearbetas på användarens slutpunktsenheter inte äventyras, förloras eller stjäls.
Syfte med kontroll 8.1
Kontroll 8.1 gör det möjligt för organisationer att skydda och upprätthålla säkerhet, konfidentialitet, integritet och tillgänglighet för informationstillgångar som finns på eller tillgängliga via slutpunktanvändarenheter genom att installera lämpliga policyer, rutiner och kontroller.
Attributtabell för kontroll 8.1
Kontroll 8.1 är förebyggande till sin natur. Det kräver att organisationer implementerar policyer, procedurer och tekniska åtgärder som gäller för alla användares slutpunktsenheter som är värd för eller bearbetar informationstillgångar så att de inte äventyras, förloras eller blir stulna.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess | #Skydda | #Asset Management | #Skydd |
| #Integritet | #Informationsskydd | |||
| #Tillgänglighet |
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Äganderätt till kontroll 8.1
Med tanke på att överensstämmelse med kontroll 8.1 innebär att skapa, underhålla och följa organisationsomfattande ämnesspecifik policy, procedurer och tekniska åtgärder, informationssäkerhetsansvarig bör bära ansvaret för efterlevnaden med kraven i kontroll 8.1.
Allmän vägledning om efterlevnad
Control 8.1 kräver att organisationer skapar en ämnesspecifik policy som tar upp hur användarens slutpunktsenheter ska konfigureras säkert och hur dessa enheter ska hanteras av användare.
All personal bör informeras om denna policy och policyn bör omfatta följande:
- Vilken typ av information, särskilt på vilken klassificeringsnivå, kan bearbetas, lagras eller användas i användarens slutpunktsenheter.
- Hur enheterna ska registreras.
- Krav på fysiskt skydd av enheter.
- Restriktioner för installation av program på enheter.
- Regler om installation av programvara på enheterna och om programuppdateringar.
- Regler om hur användarens slutpunktsenheter kan anslutas till offentliga nätverk eller till nätverk i andra lokaler utanför anläggningen.
- Åtkomstkontroller.
- Kryptering av lagringsmedia som är värd för informationstillgångar.
- Hur enheter kommer att skyddas mot attacker med skadlig programvara.
- Hur enheter kan inaktiveras eller låsas ute. Hur information som finns i enheterna kan raderas på distans.
- Back-up metoder och procedurer.
- Regler för användning av webbapplikationer och tjänster.
- Analys av slutanvändarnas beteende.
- Hur flyttbara lagringsmedia som USB-enheter kan användas och hur fysiska portar som USB-portar kan inaktiveras.
- Hur segregationsförmåga kan användas för att separera organisationens information tillgångar från andra tillgångar lagrade på användarenheten.
Vidare noterar den allmänna vägledningen att organisationer bör överväga att förbjuda lagring av känslig informationstillgångar på användarens slutpunktsenheter genom att implementera tekniska kontroller.
Dessa tekniska kontroller kan inkludera inaktivering av lokala lagringsfunktioner som SD-kort.
För att omsätta dessa rekommendationer i praktiken bör organisationer tillgripa Configuration Management som anges i Control 8.9 och använda automatiserade verktyg.
Kompletterande vägledning om användaransvar
All personal bör informeras om säkerhetsåtgärderna för användarens slutpunktsenheter och procedurer som de bör följa. Dessutom borde de vara det medvetna om sitt ansvar för att tillämpa dessa åtgärder och förfaranden.
Organisationer bör instruera personalen att följa följande regler och procedurer:
- När en tjänst inte längre behövs eller när en session avslutas ska användare logga ut från sessionen och avsluta tjänsterna.
- Personal bör inte lämna sina enheter utan uppsikt. När enheter inte används bör personalen underhålla säkerhet för enheterna mot obehörig åtkomst eller användning genom att tillämpa fysiska kontroller som nyckellås och genom tekniska kontroller som robusta lösenord.
- Personal bör agera med extra försiktighet när de använder endpoint-enheter som innehåller känslig information i osäkra offentliga områden.
- Användarens slutpunktsenheter bör skyddas mot stöld, särskilt i riskfyllda områden som hotellrum, konferensrum eller kollektivtrafik.
Dessutom rekommenderas organisationer också att upprätta ett särskilt förfarande för förlust eller stöld av användarens slutpunktsenheter. Detta förfarande bör skapas med hänsyn till juridiska, avtalsmässiga och säkerhetskrav.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Kompletterande vägledning om användning av personliga enheter (BYOD)
Samtidigt som att tillåta personal att använda sina egna personliga enheter för arbetsrelaterade ändamål sparar organisationer pengar, men det utsätter känslig informationstillgångar för nya risker.
Kontroll 8.1 listar fem rekommendationer som organisationer bör överväga när de tillåter anställda att använda sina egna enheter för arbetsrelaterade uppgifter:
- Det bör finnas tekniska åtgärder såsom mjukvaruverktyg för att separera den personliga och affärsmässiga användningen av enheterna så att organisationens information skyddas.
- Personal bör endast tillåtas använda sin egen enhet efter att de samtyckt till följande:
- Personalen erkänner sina skyldigheter att fysiskt skydda enheter och att utföra nödvändiga programuppdateringar.
- Personalen samtycker till att inte göra anspråk på något ägande av organisationens informationstillgångar.
- Personalen samtycker till att information som finns i enheten kan fjärrraderas när enheten tappas bort eller blir stulen, med förbehåll för lagkrav på personuppgifter.
- Upprättande av policyer för ägande av immateriella rättigheter skapade genom användning av användarens slutpunktsenheter.
- Hur personalens privata enheter kommer att nås med tanke på de lagstadgade begränsningarna för sådan åtkomst.
- Att tillåta personal att använda sina privata enheter kan leda till juridiskt ansvar på grund av användningen av programvara från tredje part på dessa enheter. Organisationer bör överväga de programvarulicensavtal de har med sina leverantörer.
Kompletterande vägledning om trådlösa anslutningar
Organisationer bör utveckla och underhålla rutiner för:
- Hur trådlösa anslutningar på enheterna ska konfigureras.
- Hur trådlösa eller trådbundna anslutningar med tillräcklig bandbredd kommer att användas i efterlevnad av ämnesspecifika policyer.
Ytterligare vägledning om kontroll 8.1
När användarens slutpunktsenheter tas ut från organisationens lokaler kan informationstillgångar exponeras för ökade risker för kompromisser. Därför kan organisationer behöva upprätta olika kontroller för enheter som används utanför lokaler.
Dessutom varnar Control 8.1 organisationer mot förlust av information på grund av två risker relaterade till trådlösa anslutningar:
- Trådlösa anslutningar med låg bandbredd kan resultera i att datasäkerhetskopieringen misslyckas.
- Användarens slutpunktsenheter kan ibland kopplas bort från det trådlösa nätverket och schemalagda säkerhetskopieringar kan misslyckas.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
Ändringar och skillnader från ISO 27002:2013
27002:2022/8.1 ersätter 27002:2013/(6.2.1 och 12.2.8)
Strukturella skillnader
In kontrast till 2022 års version som adresserar användarens slutpunktsenheter under en kontroll(8.1), 2013 års version inkluderade två separata kontroller: Mobile Device Policy i Control 6.2.1 och Unnattended User Equipment in Control 11.2.8.
Dessutom, medan Control 8.1 i 2022-versionen gäller för alla användares slutpunktsenheter som bärbara datorer, surfplattor och mobiltelefoner, hänvisade 2013-versionen endast till de mobila enheterna.
2022-versionen föreskriver ytterligare krav för användaransvar
Även om båda versionerna i stort sett är lika när det gäller kraven på användaransvar, innehåller 2022-versionen ytterligare ett krav:
- Personal bör agera med extra försiktighet när de använder endpoint-enheter som innehåller känslig information i osäkra offentliga områden.
2022-versionen är mer omfattande när det gäller BYOD
Jämfört med 2013 års version introducerar kontroll 8.1 i 2022 års version tre nya krav för användning av personalens privata enheter (BYOD):
- Upprättande av policyer för ägande av immateriella rättigheter skapade genom användning av användarens slutpunktsenheter.
- Hur personalens privata enheter kommer att nås med tanke på de lagstadgade begränsningarna för sådan åtkomst.
- Att tillåta personal att använda sina privata enheter kan leda till juridiskt ansvar på grund av användningen av programvara från tredje part på dessa enheter. Organisationer bör överväga de programvarulicensavtal de har med sina leverantörer.
2022-versionen kräver en mer detaljerad ämnesspecifik policy
I likhet med 2013-versionen kräver 2022-versionen också att organisationer antar en ämnesspecifik policy för användarens slutpunktsenheter.
Kontrollen 8.1 i 2022 års version är dock mer omfattande eftersom den innehåller tre nya element som måste inkluderas:
- Analys av slutanvändarnas beteende.
- Hur flyttbara enheter som USB-enheter kan användas och hur fysiska portar som USB-portar kan inaktiveras.
- Hur segregationsförmåga kan användas för att separera organisationens information tillgångar från andra tillgångar lagrade på användarenheten.
Nya ISO 27002 kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | NYA | Hot intelligens |
| 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| 5.30 | NYA | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | NYA | Fysisk säkerhetsövervakning |
| 8.9 | NYA | Konfigurationshantering |
| 8.10 | NYA | Radering av information |
| 8.11 | NYA | Datamaskering |
| 8.12 | NYA | Förebyggande av dataläckage |
| 8.16 | NYA | Övervakningsaktiviteter |
| 8.23 | NYA | Webbfiltrering |
| 8.28 | NYA | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | NYA | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
Hur ISMS.online hjälper
ISMS.Online är den ledande programvaran för ledningssystem för ISO 27002 som stöder efterlevnad av ISO 27002 och hjälper företag att anpassa sina säkerhetspolicyer och procedurer med standarden.
Den molnbaserade plattformen tillhandahåller en komplett uppsättning verktyg för att hjälpa organisationer att sätta upp en ledningssystem för informationssäkerhet (ISMS) enligt ISO 27002.
Hör av dig idag för att boka en demo.
