ISO 27002 Control 8.23: Web Filtering kyberturvallisuuden ymmärtäminen
Jos työntekijät vierailevat haitallista sisältöä sisältävillä verkkosivustoilla, yritysverkot ja tietojärjestelmät voivat altistua tietoturvariskeille, kuten haittaohjelmahyökkäyksille.
Kyberhyökkääjät voivat esimerkiksi lähettää phishing-sähköpostin työntekijän työsähköpostiin, saada hänet napsauttamaan linkkiä ja vierailemaan verkkosivustolla. Kun työntekijä vierailee tällä verkkosivustolla, hän saattaa automaattisesti ladata haittaohjelmia työntekijän laitteelle ja soluttautua sitten yritysverkkoihin. Tämän tyyppistä hyökkäystä kutsutaan ajaa-lataus ja se lataa automaattisesti haittaohjelmia, kun työntekijä vierailee verkkosivustolla.
Siksi organisaatioiden tulisi ottaa käyttöön asianmukaiset verkkosuodatuksen hallintalaitteet, joilla rajoitetaan ja valvotaan pääsyä ulkoisille verkkosivustoille ja estetään turvallisuusuhat.
Valvonnan tarkoitus 8.23
Control 8.23:n avulla organisaatiot voivat eliminoida tietoturvariskit, kuten haittaohjelmatartunnan, joka voi syntyä haitallista sisältöä sisältävien ulkoisten verkkosivustojen käytön seurauksena.
Attribuuttien ohjaustaulukko 8.23
Control 8.23 on ennaltaehkäisevä valvonta, joka vaatii organisaatioita ottamaan käyttöön asianmukaiset pääsynvalvontatoimenpiteet ja toimenpiteitä estääkseen pääsyn haitalliseen sisältöön ulkoisilla verkkosivustoilla.
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus | #Suojella | #Järjestelmä- ja verkkoturvallisuus | #Suojaus |
| #Integrity | ||||
| #Saatavuus |
ISO 27001 helposti
81 %:n etumatka ensimmäisestä päivästä lähtien
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään. Sinun tarvitsee vain täyttää tyhjät kohdat.
Määräysvallan omistus 8.23
Ottaen huomioon, että kohtaan 8.28 sisältyy riskialttiiden ulkoisten verkkosivustojen tunnistaminen ja asianmukaisten pääsyn ja verkkosuodatuksen hallintalaitteiden suunnittelu ja käyttöönotto, tietoturvapäällikön tulisi olla vastuussa tarvittavien toimien toteuttamisesta vaatimustenmukaisuuden varmistamiseksi.
Yleiset noudattamisohjeet
Organisaatioiden tulee luoda ja ottaa käyttöön tarvittavat valvontatoimenpiteet, joilla estetään työntekijöitä pääsemästä ulkoisille verkkosivustoille, jotka voivat sisältää viruksia, tietojenkalastelumateriaaleja tai muun tyyppistä laitonta tietoa.
Yksi tehokas tapa estää pääsy vaarallisille ulkoisille verkkosivustoille on estää vaarallisiksi tunnistettujen verkkosivustojen IP-osoite tai verkkotunnus. Esimerkiksi jotkut selaimet ja haittaohjelmien torjuntatyökalut antavat organisaatioille mahdollisuuden tehdä tämä automaattisesti.
Valvonta 8.23 huomauttaa, että organisaatioiden tulee määrittää, minkä tyyppisiä verkkosivustoja työntekijät eivät saa käyttää.
Erityisesti seuraavan tyyppiset verkkosivustot tulisi estää:
- Verkkosivustot, joissa on tiedonsiirtotoiminto. Pääsyn tulee edellyttää lupaa, ja se pitäisi myöntää vain pätevistä liiketoiminnallisista syistä.
- Verkkosivustot, joiden tiedetään tai joiden epäillään sisältävän haitallista materiaalia, kuten sivustot, joissa on haittaohjelmia.
- Komento- ja ohjauspalvelimet.
- Haitalliset verkkosivustot, jotka on saatu uhkatiedustelusta. Organisaatioiden tulee katsoa lisätietoja kohdasta Control 5.7.
- Verkkosivustot, jotka jakavat laitonta sisältöä ja materiaaleja.
Ennen tämän valvonnan suunnittelua ja käyttöönottoa organisaatioita kehotetaan ottamaan käyttöön säännöt turvallisesta ja asianmukaisesta verkkoresurssien pääsystä ja käytöstä. Tämän pitäisi sisältää myös rajoitusten asettaminen sopimatonta materiaalia sisältäville verkkosivustoille.
Nämä säännöt tulee tarkistaa ja päivittää säännöllisin väliajoin.
Henkilökunnan koulutusta koskevat lisäohjeet
Valvonta 8.23 edellyttää, että koko henkilöstölle on annettava koulutusta verkkoresurssien turvallisesta käytöstä ja käytöstä.
Tämän koulutuksen tulee kattaa organisaation omat säännöt ja käsitellä sitä, kuinka henkilökunta voi tuoda esiin turvallisuushuolensa ottamalla yhteyttä asianomaiseen organisaation henkilöön.
Lisäksi koulutuksessa tulisi käsitellä myös sitä, kuinka henkilöstö voi käyttää rajoitettuja verkkosivustoja pätevistä liiketoiminnallisista syistä ja miten tämä poikkeusprosessi toimii tällaisen pääsyn osalta.
Viimeisenä, mutta ei vähäisimpänä, koulutuksessa tulisi käsitellä selaimen neuvoja, jotka varoittavat käyttäjiä siitä, että verkkosivusto ei ole suojattu, mutta joiden avulla käyttäjät voivat jatkaa. Henkilökuntaa tulee neuvoa olemaan huomioimatta tällaisia varoituksia.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Valvontaa koskevat lisäohjeet 8.23
On olemassa useita verkkosuodatustekniikoita, kuten:
- Heuristiikka.
- Allekirjoitukset.
- Luettelo kielletyistä ja hyväksytyistä verkkosivustoista.
- Verkkotunnuksen määritys.
Muutokset ja erot standardista ISO 27002:2013
27002:2022/8.23 on uudenlainen ohjaus.
Uudet ISO 27002 -säätimet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | UUSI | Uhan älykkyys |
| 5.23 | UUSI | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | UUSI | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | UUSI | Fyysisen turvallisuuden valvonta |
| 8.9 | UUSI | Kokoonpanonhallinta |
| 8.10 | UUSI | Tietojen poistaminen |
| 8.11 | UUSI | Tietojen peittäminen |
| 8.12 | UUSI | Tietovuotojen esto |
| 8.16 | UUSI | Toimien seuranta |
| 8.23 | UUSI | Web-suodatus |
| 8.28 | UUSI | Turvallinen koodaus |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | UUSI | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
Miten ISMS.online auttaa
Voit seurata ja hallita kaikkia ISO 27002 -vaatimustenmukaisuuspolkuasi yhdestä paikasta – auditoinnin hallintaa, puutteiden analysointia, koulutuksen hallintaa, riskinarviointia jne.
Se tarjoaa helppokäyttöisen, integroidun ratkaisun, jota voi käyttää 24/7 millä tahansa Internet-yhteydellä varustetulla laitteella. Alustan avulla kaikki työntekijät voivat työskennellä yhdessä saumattomasti ja turvallisesti turvallisuusriskien hallinnassa ja organisaation vaatimustenmukaisuuden seuraamisessa sekä matkalla kohti ISO 27001 -sertifiointia.
Ota yhteyttä jo tänään varaa esittely.
