ISO 27001:2022 Bilag A 8.1 – Brugerendepunktsenheder

• Se ISO 27002:2022 Kontrol 8.1 for mere information.
• Se ISO 27001:2013 Bilag A 6.2.1 for mere information.
• Se ISO 27001:2013 Bilag A 11.2.8 for mere information.

Beskyttelse af endepunktsenheder: En vejledning til ISO 27001 Annex A 8.1

Overgangen til fjernbetjening og den øgede afhængighed af mobile enheder har været fordelagtig for medarbejdernes produktivitet og omkostningsbesparelser for organisationer. Desværre er brugerens slutpunkter som bærbare computere, mobiltelefoner og tablets modtagelige for cybertrusler. Cyberkriminelle udnytter ofte disse enheder til at få ulovlig adgang til virksomhedens netværk og kompromittere fortrolige oplysninger.

Cyberkriminelle kan søge at målrette medarbejdere med phishing og overtale dem til at downloade en malware-inficeret vedhæftet fil, som kan bruges til at sprede malwaren i hele virksomhedens netværk. Dette kan føre til tab af tilgængelighed, integritet eller fortrolighed af informationsaktiver.

A undersøgelse af 700 it-professionelle afslørede, at 70 % af organisationerne oplevede et brud på deres informationsaktiver og it-infrastruktur på grund af et brugerenhedsangreb i 2020.

ISO 27001: 2022 Bilag A Kontrol 8.1 skitserer trin, organisationer kan tage for at sikre, at deres informationsaktiver, der hostes eller behandles på brugerens slutpunktsenheder, er beskyttet mod kompromittering, tab eller tyveri. Dette omfatter etablering, vedligeholdelse og implementering af relevante politikker, procedurer og teknologiske foranstaltninger.

Formål med ISO 27001:2022 bilag A 8.1

ISO 27001: 2022 Bilag A 8.1 giver virksomheder mulighed for at beskytte og opretholde sikkerheden, fortroligheden, integriteten og tilgængeligheden af ​​informationsaktiver gemt på eller tilgængelige fra slutpunktbrugerenheder. Dette opnås ved at etablere passende politikker, procedurer og kontroller.

Ejerskab af bilag A 8.1

Chief Information Security Officer bør tage ansvar for at sikre overholdelse af kravene i ISO 27001:2022 Bilag A Kontrol 8.1, som nødvendiggør oprettelse og vedligeholdelse af organisationsdækkende politik, procedurer og tekniske foranstaltninger.

Generel vejledning om ISO 27001:2022 Bilag A 8.1 Overholdelse

Organisationer skal i henhold til ISO 27001:2022 Annex Al 8.1 oprette en politik, der dækker sikker konfiguration og brug af brugerens slutpunktsenheder.

Personalet skal gøres opmærksom på denne politik, som omfatter:

• Hvilken slags data, især med hensyn til sikkerhedsniveau, kan behandles, gemmes eller bruges i brugerens slutpunkter?
• Enheder skal registreres.
• Fysisk beskyttelse af enheder er obligatorisk.
• Det er forbudt at installere softwareprogrammer på enheder.
• Regler for installation af software på enheder og opdatering af software skal følges.
• Reglerne for tilslutning af brugerens slutpunktsenheder til det offentlige netværk eller til netværk, der er placeret off-site.
• Adgangskontrol.
• Lagermediets hostinginformationsaktiver skal være krypteret.
• Enheder skal beskyttes mod indtrængen af ​​malware.
• Enheder kan deaktiveres eller spærres for brug, og data gemt i dem kan fjernslettes.
• Back-up planer og protokoller bør være på plads.
• Regler vedrørende brug af webapplikationer og tjenester.
• Analyse af slutbrugeres adfærd for at få indsigt i, hvordan de interagerer med systemet.
• Aftagelige lagermedier, såsom USB-drev, kan bruges med stor effekt. Desuden kan fysiske porte, f.eks. USB-porte, deaktiveres.
• Segregationsfunktioner kan bruges til at holde organisationens informationsaktiver adskilt fra andre aktiver, der er gemt på brugerenheden.

Organisationer bør overveje at forbyde lagring af sarte data på brugerens slutpunktsenheder via tekniske kontroller, ifølge den generelle vejledning.

Deaktivering af lokale lagerfunktioner såsom SD-kort kan være blandt de anvendte tekniske kontroller.

Organisationer bør implementere Configuration Management som beskrevet i ISO 27001:2022 Annex A Control 8.9 og bruge automatiserede værktøjer.

Supplerende vejledning om brugeransvar

Personalet skal informeres om sikkerheden foranstaltninger for brugerens slutpunktsenheder og deres pligter til at overholde dem. Derudover bør de forstå deres rolle i implementeringen af ​​disse foranstaltninger og procedurer.

Organisationer bør instruere personalet til at overholde følgende regler og processer:

• Når en tjeneste ikke længere er nødvendig, eller en session er afsluttet, skal brugerne logge ud og afslutte tjenesten.
• Personale bør ikke efterlade deres enheder uden opsyn. Når de ikke er i brug, skal personalet sikre sikkerheden af deres enheder ved at bruge fysiske foranstaltninger såsom nøglelåse og tekniske foranstaltninger såsom stærke adgangskoder.
• Personale bør udvise ekstra forsigtighed, når de bruger slutpunktsenheder, der indeholder fortrolige data, på offentlige steder, der mangler sikkerhed.
• Brugerens slutpunktsenheder skal beskyttes mod tyveri, især på farlige steder såsom hotelværelser, mødelokaler eller offentlig transport.

Organisationer bør udtænke et særligt system til håndtering af tab eller tyveri af brugerens slutpunktsenheder. Dette system skal konstrueres under hensyntagen til juridiske, kontraktmæssige og sikkerhedsmæssige behov.

Supplerende vejledning om brug af personlige enheder (BYOD)

At tillade personale at bruge deres egne enheder til arbejdsrelaterede aktiviteter kan spare organisationer penge, men det udsætter fortrolige data for potentielle risici.

ISO 27001:2022 Bilag A 8.1 foreslår fem ting, som organisationer skal tage i betragtning, når de tillader personale at bruge deres personlige enheder til arbejdsrelaterede aktiviteter:

1. Tekniske foranstaltninger såsom softwareværktøjer bør indføres for at adskille personlig og forretningsmæssig brug af enheder og beskytte organisationens oplysninger.
2. Personale kan have adgang til deres egen enhed på betingelse af, at de giver samtykke til følgende:
• Personalet anerkender deres pligt til fysisk at beskytte enheder og opfylde væsentlige softwareopdateringer.
• Personale accepterer ikke at hævde nogen ejendomsret over virksomhedens data.
• Personale er enige om, at dataene i enheden kan fjernslettes, hvis de går tabt eller bliver stjålet, i overensstemmelse med juridiske retningslinjer for personlige oplysninger.
3. Opsæt retningslinjer vedrørende rettigheder til intellektuel ejendom genereret ved hjælp af brugerens slutpunktsgadgets.
4. Med hensyn til de lovbestemte begrænsninger for sådan adgang, hvordan tilgås personales private enheder.
5. At tillade personalet at anvende deres individuelle gadgets kan medføre juridisk ansvar forårsaget af anvendelsen af ​​tredjepartssoftware på disse gadgets. Virksomheder bør reflektere over de softwarelicensaftaler, de har med deres udbydere.

Supplerende vejledning om trådløse forbindelser

Organisationer bør skabe og opretholde praksis for:

• Konfiguration af de trådløse forbindelser på enhederne skal ske med omhu. Sørg for, at hver forbindelse er sikker og pålidelig.
• Der skal bruges trådløse eller kablede forbindelser med båndbredde for at overholde emnespecifikke politikker.

Yderligere vejledning om bilag A 8.1

Når medarbejdere tager deres endepunktsenheder ud af organisationen, kan de data, der er lagret på dem, have større risiko for at blive kompromitteret. Derfor skal organisationer implementere forskellige sikkerhedsforanstaltninger for enheder, der bruges uden for deres lokaler.

ISO 27001:2022 Bilag A 8.1 advarer organisationer om to risici forbundet med trådløse forbindelser, der kan føre til tab af data:

1. Trådløse forbindelser med begrænset kapacitet kan føre til nedbrud af sikkerhedskopiering af data.
2. Brugerslutpunkter kan nogle gange miste forbindelsen til det trådløse netværk, og planlagte sikkerhedskopier kan vakle. For at sikre datasikkerhed og pålidelighed bør der foretages regelmæssige sikkerhedskopier, og forbindelsen til det trådløse netværk bør overvåges regelmæssigt.

Ændringer og forskelle fra ISO 27001:2013

ISO 27001:2022 Annex A 8.1 erstatter ISO 27001:2013 Annex A 6.2.1 og Annex A 12.2.8 i den reviderede 2022-standard.

Strukturelle forskelle

I modsætning til ISO 27001:2022, som har en enkelt kontrol, der dækker brugerens slutpunktsenheder (8.1), indeholdt ISO 27001:2013 to separate kontroller: Mobil enhedspolitik (bilag A, kontrol 6.2.1) og uovervåget brugerudstyr (kontrol 11.2.8 ).

Mens ISO 27001:2022 Bilag A Kontrol 8.1 dækker alle brugerens slutpunktsenheder såsom bærbare computere, tablets og mobiltelefoner, henvendte 2013-versionen kun til mobile enheder.

ISO 27001:2022 foreskriver yderligere krav til brugeransvar

Begge versioner af aftalen kræver et vist niveau af personlig ansvarlighed fra brugerne; 2022-versionen har dog et ekstra krav:

• Personale bør udvise ekstra forsigtighed, når de bruger slutpunktsenheder, der indeholder følsomme data i offentlige rum, som kan være usikre.

ISO 27001:2022 er mere omfattende med hensyn til BYOD

Sammenlignet med 2013 introducerer bilag A 8.1 i 2022 tre nye krav til BYOD (Bring Your Own Device) brug af personale:

1. Det er nødvendigt at etablere politikker vedrørende de intellektuelle ejendomsrettigheder til kreationer lavet ved hjælp af brugerens slutpunktsenheder. Sådanne politikker skal være nøjagtige og klare og sikre, at alle relevante parter anerkender deres rettigheder og ansvar.
2. I betragtning af de juridiske begrænsninger for adgang til personales private enheder, hvordan vil dette blive administreret?
3. At tillade personale at bruge deres egne enheder kan resultere i juridisk ansvar på grund af brugen af ​​tredjepartssoftware på disse enheder. Organisationer bør tænke over de softwarelicensaftaler, de har med deres leverandører.

ISO 27001:2022 kræver en mere detaljeret emnespecifik politik

I sammenligning med ISO 27001:2013 skal organisationer nu implementere en politik, der er specifik for hvert emne på brugerenheder.

ISO 27001:2022 Bilag A 8.1 er mere omfattende og indeholder tre nye elementer, der skal inkluderes:

1. Analyse af slutbrugeres adfærd blev foretaget.
2. USB-drev er en fantastisk måde at overføre data på, og fysiske USB-porte kan deaktiveres for at forhindre sådanne overførsler.
3. Adskillelse af organisationens informationsaktiver kan opnås ved at udnytte teknologiske muligheder. Dette gør det muligt at adskille aktiver fra andre aktiver gemt på brugerenheden.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.

Hvordan ISMS.online Hjælp

ISMS.online er go-to ISO 27001:2022-styringssystemsoftwaren. Det letter overholdelse af standarden og hjælper organisationer med at tilpasse deres sikkerhedspolitikker og -procedurer.

Denne skybaseret platform tilbyder et komplet udvalg af værktøjer til at hjælpe virksomheder med at skabe et ISMS (Information Security Management System), der overholder ISO 27001.

Kontakt os nu for at arrangere en demonstration.