Jos työntekijät vierailevat haitallista sisältöä sisältävillä verkkosivustoilla, yritysverkot ja tietojärjestelmät voivat altistua tietoturvariskeille, kuten haittaohjelmahyökkäyksille.
Kyberhyökkääjät voivat esimerkiksi lähettää phishing-sähköpostin työntekijän työsähköpostiin, saada hänet napsauttamaan linkkiä ja vierailemaan verkkosivustolla. Kun työntekijä vierailee tällä verkkosivustolla, hän saattaa automaattisesti ladata haittaohjelmia työntekijän laitteelle ja soluttautua sitten yritysverkkoihin. Tämän tyyppistä hyökkäystä kutsutaan ajaa-lataus ja se lataa automaattisesti haittaohjelmia, kun työntekijä vierailee verkkosivustolla.
Siksi organisaatioiden tulisi ottaa käyttöön asianmukaiset verkkosuodatuksen hallintalaitteet, joilla rajoitetaan ja valvotaan pääsyä ulkoisille verkkosivustoille ja estetään turvallisuusuhat.
Control 8.23:n avulla organisaatiot voivat eliminoida tietoturvariskit, kuten haittaohjelmatartunnan, joka voi syntyä haitallista sisältöä sisältävien ulkoisten verkkosivustojen käytön seurauksena.
Control 8.23 on ennaltaehkäisevä valvonta, joka vaatii organisaatioita ottamaan käyttöön asianmukaiset pääsynvalvontatoimenpiteet ja toimenpiteitä estääkseen pääsyn haitalliseen sisältöön ulkoisilla verkkosivustoilla.
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus #Integrity #Saatavuus | #Suojella | #Järjestelmä- ja verkkoturvallisuus | #Suojaus |
Ottaen huomioon, että kohtaan 8.28 sisältyy riskialttiiden ulkoisten verkkosivustojen tunnistaminen ja asianmukaisten pääsyn ja verkkosuodatuksen hallintalaitteiden suunnittelu ja käyttöönotto, tietoturvapäällikön tulisi olla vastuussa tarvittavien toimien toteuttamisesta vaatimustenmukaisuuden varmistamiseksi.
Organisaatioiden tulee luoda ja ottaa käyttöön tarvittavat valvontatoimenpiteet, joilla estetään työntekijöitä pääsemästä ulkoisille verkkosivustoille, jotka voivat sisältää viruksia, tietojenkalastelumateriaaleja tai muun tyyppistä laitonta tietoa.
Yksi tehokas tapa estää pääsy vaarallisille ulkoisille verkkosivustoille on estää vaarallisiksi tunnistettujen verkkosivustojen IP-osoite tai verkkotunnus. Esimerkiksi jotkut selaimet ja haittaohjelmien torjuntatyökalut antavat organisaatioille mahdollisuuden tehdä tämä automaattisesti.
Valvonta 8.23 huomauttaa, että organisaatioiden tulee määrittää, minkä tyyppisiä verkkosivustoja työntekijät eivät saa käyttää.
Erityisesti seuraavan tyyppiset verkkosivustot tulisi estää:
Ennen tämän valvonnan suunnittelua ja käyttöönottoa organisaatioita kehotetaan ottamaan käyttöön säännöt turvallisesta ja asianmukaisesta verkkoresurssien pääsystä ja käytöstä. Tämän pitäisi sisältää myös rajoitusten asettaminen sopimatonta materiaalia sisältäville verkkosivustoille.
Nämä säännöt tulee tarkistaa ja päivittää säännöllisin väliajoin.
Valvonta 8.23 edellyttää, että koko henkilöstölle on annettava koulutusta verkkoresurssien turvallisesta käytöstä ja käytöstä.
Tämän koulutuksen tulee kattaa organisaation omat säännöt ja käsitellä sitä, kuinka henkilökunta voi tuoda esiin turvallisuushuolensa ottamalla yhteyttä asianomaiseen organisaation henkilöön.
Lisäksi koulutuksessa tulisi käsitellä myös sitä, kuinka henkilöstö voi käyttää rajoitettuja verkkosivustoja pätevistä liiketoiminnallisista syistä ja miten tämä poikkeusprosessi toimii tällaisen pääsyn osalta.
Viimeisenä, mutta ei vähäisimpänä, koulutuksessa tulisi käsitellä selaimen neuvoja, jotka varoittavat käyttäjiä siitä, että verkkosivusto ei ole suojattu, mutta joiden avulla käyttäjät voivat jatkaa. Henkilökuntaa tulee neuvoa olemaan huomioimatta tällaisia varoituksia.
On olemassa useita verkkosuodatustekniikoita, kuten:
27002:2022/8.23 on uudenlainen ohjaus.
Voit seurata ja hallita kaikkia ISO 27002 -vaatimustenmukaisuuspolkuasi yhdestä paikasta – auditoinnin hallintaa, puutteiden analysointia, koulutuksen hallintaa, riskinarviointia jne.
Se tarjoaa helppokäyttöisen, integroidun ratkaisun, jota voi käyttää 24/7 millä tahansa Internet-yhteydellä varustetulla laitteella. Alustan avulla kaikki työntekijät voivat työskennellä yhdessä saumattomasti ja turvallisesti turvallisuusriskien hallinnassa ja organisaation vaatimustenmukaisuuden seuraamisessa sekä matkalla kohti ISO 27001 -sertifiointia.
Ota yhteyttä jo tänään varaa esittely.
Annamme sinulle 81 % etumatkan
siitä hetkestä, kun kirjaudut sisään
Varaa esittelysi
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
