Etätyöhön siirtyminen ja mobiililaitteiden lisääntyvä käyttö lisäävät työntekijöiden tuottavuutta ja säästävät organisaatioiden rahaa, mutta käyttäjien päätelaitteet, kuten kannettavat tietokoneet, matkapuhelimet ja tabletit, ovat alttiina kyberuhkille. Tämä johtuu siitä, että verkkorikolliset käyttävät usein hyväkseen näitä laitteita hyötyäkseen luvaton pääsy yritysten verkkoihin ja tietovarallisuuden vaarantaminen.
Esimerkiksi verkkorikolliset voivat kohdistaa työntekijöihin tietojenkalasteluhyökkäyksen, suostutella työntekijää lataamaan haittaohjelmaliitteen ja sitten levittää haittaohjelmia koko yritysverkkoon tämän haittaohjelman saastuttaman käyttäjän päätelaitteen avulla. Tämä hyökkäys voi johtaa menetykseen tietovarojen saatavuus, eheys tai luottamuksellisuus.
Mukaan tutkimus 700 IT-ammattilaisen kanssa tehdyssä noin 70 % organisaatioista koki tietoresurssien ja IT-infrastruktuurin vaarantumisen päätelaitteen käyttäjien laitteisiin liittyvän hyökkäyksen seurauksena vuonna 2020.
Ohjaus 8.1 käsittelee sitä, kuinka organisaatiot voivat luoda, ylläpitää ja toteuttaa aihekohtaisia käytäntöjä, menettelyjä ja teknisiä toimenpiteitä varmistaakseen, että käyttäjän päätepistelaitteilla isännöity tai käsitelty tietovarasto ei vaarannu, katoa tai varasteta.
Ohjaus 8.1:n avulla organisaatiot voivat suojata ja ylläpitää päätepisteen käyttäjälaitteissa olevien tai niiden kautta saatavilla olevien tietoresurssien turvallisuutta, luottamuksellisuutta, eheyttä ja saatavuutta ottamalla käyttöön asianmukaiset käytännöt, menettelyt ja valvonta.
Valvonta 8.1 on luonteeltaan ennaltaehkäisevää. Se edellyttää, että organisaatiot ottavat käyttöön käytännöt, menettelyt ja tekniset toimenpiteet, jotka koskevat kaikkia käyttäjän päätelaitteita, jotka isännöivät tai käsittelevät tietoresursseja, jotta ne eivät vaarantu, katoa tai varasteta.
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus #Integrity #Saatavuus | #Suojella | #Vahvuuksien hallinta #Tiedon suojaus | #Suojaus |
Ottaen huomioon, että Control 8.1:n noudattaminen edellyttää koko organisaation aihekohtaisen politiikan, menettelytapojen ja teknisten toimenpiteiden luomista, ylläpitoa ja noudattamista, päällikkö Tietoturvavastaavan tulee olla vastuussa noudattamisesta valvonnan 8.1 vaatimusten mukaisesti.
Ohjaus 8.1 edellyttää, että organisaatiot luovat aihekohtaisen käytännön, joka kertoo, kuinka käyttäjän päätelaitteet tulee määrittää turvallisesti ja kuinka käyttäjien tulee käsitellä näitä laitteita.
Kaikille työntekijöille tulee tiedottaa tästä käytännöstä, ja sen tulee kattaa seuraavat asiat:
Lisäksi yleisissä ohjeissa todetaan, että organisaatioiden tulisi harkita arkaluonteisten tietovarojen tallentamisen kieltämistä käyttäjän päätelaitteisiin ottamalla käyttöön teknisiä valvontatoimia.
Näihin teknisiin säätimiin voi kuulua paikallisten tallennustoimintojen, kuten SD-korttien, poistaminen käytöstä.
Toteuttaessaan näitä suosituksia käytäntöön organisaatioiden tulee turvautua Configuration Managementiin Control 8.9:n mukaisesti ja käyttää automaattisia työkaluja.
Kaikille henkilökunnalle tulee kertoa käyttäjän päätelaitteiden turvatoimista ja menettelyistä, joita heidän tulee noudattaa. Lisäksi niiden pitäisi olla ovat tietoisia velvollisuuksistaan näiden toimenpiteiden ja menettelyjen soveltamisesta.
Organisaatioiden tulee ohjeistaa henkilöstöä noudattamaan seuraavia sääntöjä ja menettelyjä:
Lisäksi organisaatioita kehotetaan ottamaan käyttöön erityinen menettely käyttäjän päätelaitteiden katoamista tai varkautta varten. Tämä menettely olisi luotava oikeudelliset, sopimukset ja turvallisuusvaatimukset huomioon ottaen.
Vaikka henkilöstön salliminen käyttää omia henkilökohtaisia laitteitaan työhön liittyviin tarkoituksiin säästää organisaatioiden rahaa, se altistaa arkaluontoiset tietovarat uusille riskeille.
Control 8.1 listaa viisi suositusta, jotka organisaatioiden tulee ottaa huomioon salliessaan työntekijöiden käyttää omia laitteitaan työhön liittyviin tehtäviin:
Organisaatioiden tulee kehittää ja ylläpitää menettelyjä:
Kun käyttäjän päätelaitteet viedään pois organisaation tiloista, tietovarat voivat altistua kohonneelle vaarantumisriskille. Siksi organisaatiot saattavat joutua luomaan erilaisia valvontatoimia tilojen ulkopuolella käytettäville laitteille.
Lisäksi Control 8.1 varoittaa organisaatioita tietojen menettämisestä kahden langattomiin yhteyksiin liittyvän riskin vuoksi:
Annamme sinulle 81 % etumatkan
siitä hetkestä, kun kirjaudut sisään
Varaa esittelysi
27002:2022/8.1 korvaa 27002:2013/(6.2.1 ja 12.2.8)
In toisin kuin 2022 versio joka käsittelee käyttäjän päätelaitteita yhden ohjausobjektin (8.1) alaisuudessa, vuoden 2013 versio sisälsi kaksi erillistä ohjausobjektia: Mobiililaitekäytäntö hallinnassa 6.2.1 ja Unattended User Equipment in Control 11.2.8.
Lisäksi, vaikka 8.1-version Control 2022 koskee kaikkia käyttäjän päätelaitteita, kuten kannettavia tietokoneita, tabletteja ja matkapuhelimia, 2013-versiossa viitattiin vain mobiililaitteisiin.
Vaikka molemmat versiot ovat suurelta osin samankaltaisia käyttäjän vastuulle asetettujen vaatimusten suhteen, vuoden 2022 versio sisältää yhden lisävaatimuksen:
Verrattuna 2013-versioon 8.1-version ohjaus 2022 tuo kolme uutta vaatimusta henkilöstön yksityisten laitteiden (BYOD) käytölle:
Kuten 2013-versio, myös 2022-versio edellyttää, että organisaatiot ottavat käyttöön aihekohtaisen käytännön käyttäjien päätelaitteiden laitteille.
Vuoden 8.1 version ohjaus 2022 on kuitenkin kattavampi, koska se sisältää kolme uutta elementtiä, jotka on sisällytettävä:
ISMS.Online on johtava ISO 27002 -hallintajärjestelmäohjelmisto, joka tukee noudattamista ISO 27002ja auttaa yrityksiä yhdenmukaistamaan turvallisuuspolitiikkansa ja menettelyt standardin mukaisesti.
Pilvipohjainen alusta tarjoaa täydellisen valikoiman työkaluja, jotka auttavat organisaatioita määrittämään tietoturvan hallintajärjestelmä (ISMS) ISO 27002:n mukaan.
Ota yhteyttä jo tänään varaa esittely.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
