8.5 KiB
#iso27002/2022/NL
Standard: ISO 27002:2022 NL
+------------------------+----------------------------------------------------+----------------------+---------------------------------------------------------+---------------------+ | Type | Informatie- | Cybersecurity- | Operationele | Beveiligings- | | | | | | | | beheersmaatregel | beveiligings- | concepten | capaciteiten | domeinen | | | | | | | | | eigenschappen | | | | +========================+====================================================+======================+=========================================================+=====================+ | #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Beheer_van_bedrijfs- middelen #Informatiebescherming | #Bescherming | +------------------------+----------------------------------------------------+----------------------+---------------------------------------------------------+---------------------+
Beheersmaatregel
Informatie die is opgeslagen op, wordt verwerkt door of toegankelijk is via 'user endpoint devices' behoort te worden beschermd.
Doel
Informatie beschermen tegen de risico's als gevolg van het gebruik van 'user endpoint devices'.
Richtlijn
Algemeen
De organisatie behoort onderwerpspecifiek beleid vast te stellen inzake beveiligde configuratie en beveiligd gebruik van 'user endpoint devices'. Het onderwerpspecifieke beleid behoort aan al het relevante personeel te worden gecommuniceerd en het volgende in aanmerking te nemen:
a) het soort informatie en het classificatieniveau waarmee de 'user endpoint devices' kunnen omgaan
of dat ze kunnen verwerken, opslaan of ondersteunen;
b) registratie van 'user endpoint devices';
c) eisen voor fysieke bescherming;
d) beperking van de installatie van software (bijvp afstand beheerst door systeembeheerders);
e) eisen voor software (met inbegrip van softwareversies) van de 'user endpoint devices' en voor het
toepassen van updates (bijvctief automatisch updaten);
f) regels voor de verbinding met informatiediensten, publieke netwerken of andere netwerken buiten
het gebouw of terrein (bijvet gebruik van een persoonlijke firewall vereisen);
g) toegangsbeveiliging;
h) versleuteling van opslagapparaten;
i) bescherming tegen malware;
j) het op afstand onbruikbaar maken, wissen, uitsluiten;
k) back-ups;
l) het gebruik van internetdiensten en -toepassingen;
m)analyse van het gedrag van de eindgebruiker (zie 8.16);
n) het gebruik van verwijderbare apparaten, met inbegrip van verwijderbare geheugenapparaten, en
de mogelijkheid om fysieke poorten (bijvSB-poorten) uit te schakelen;
o) het gebruik van partitioneringsmogelijkheden, indien ondersteund door de 'user endpoint devices', waarmee de informatie en andere gerelateerde bedrijfsmiddelen (bijvoftware) van de organisatie veilig kunnen worden gesegmenteerd van andere informatie en andere gerelateerde bedrijfsmiddelen op het apparaat.
Er behoort te worden overwogen of bepaalde informatie zo gevoelig is dat er via 'user endpoint devices' slechts toegang toe kan worden gemaakt, maar de informatie niet op die apparaten mag worden opgeslagenn dergelijke gevallen kunnen aanvullende technische beveiligingen op het apparaat vereist zijnijvoorbeeld, ervoor zorgen dat het downloaden van bestanden voor offline werken is uitgeschakeld en dat lokale opslag zoals SD-kaarten is uitgeschakeld.
De aanbevelingen met betrekking tot deze beheersmaatregel behoren voor zover mogelijk te worden afgedwongen via configuratiebeheer (zie 8.9) of geautomatiseerde instrumenten.
Gebruikersverantwoordelijkheid
Alle gebruikers behoren op de hoogte te worden gebracht van de beveiligingseisen en de procedures voor het beschermen van 'user endpoint devices' en van hun verantwoordelijkheden voor het implementeren van dergelijke beschermingsmaatregelenebruikers behoren het advies te krijgen:
a) uit te loggen uit actieve sessies en diensten afsluiten die niet langer nodig zijn;
b) 'user endpoint devices' terwijl deze niet in gebruik zijn met een fysieke beheersmaatregel (bijven sleutelslot of speciale sloten) en logische beheersmaatregel (bijvoegang met wachtwoorden) te beschermen tegen gebruik door onbevoegden; geen apparaten met belangrijke, gevoelige of essentiële bedrijfsinformatie onbewaakt achter te laten;
c) apparaten extra zorgvuldig te gebruiken in openbare ruimten, open kantoren, vergaderruimten en andere onbeschermde gebieden (bijvij voorkeur geen vertrouwelijke informatie lezen als mensen van achteren kunnen meelezen, schermfilters gebruiken met het oog op privacy);
d) 'user endpoint devices' fysiek te beveiligen tegen diefstal (bijvn een auto of andere
vervoermiddelen, in hotelkamers, conferentie- en ontmoetingscentra).
Er behoort een speciale procedure te worden vastgesteld voor diefstal of verlies van 'user endpoint devices' waarin rekening is gehouden met wettelijke, statutaire, regelgevende, contractuele (met inbegrip van verzekerings-) en andere veiligheidseisen die in de organisatie gelden.
Het gebruik van persoonlijke apparaten
Indien de organisatie het gebruik van persoonlijke apparaten toestaat (dit wordt soms aangeduid als BYOD), behoort, in aanvulling op de richtlijnen die in deze beheersmaatregel worden gegeven, ook het volgende te worden overwogen:
a) scheiding van persoonlijk en zakelijk gebruik van de apparatuur, met inbegrip van het gebruik van software ter ondersteuning van een dergelijke scheiding en ter bescherming van bedrijfsgegevens op een privéapparaat;
b) verschaffen van toegang tot bedrijfsinformatie alleen nadat gebruikers hun verplichtingen hebben bevestigd (fysieke beveiliging, updaten van software enz afstand doen van eigendom van bedrijfsgegevens, toestaan dat de organisatie op afstand gegevens wist in geval van diefstal of
verlies van het apparaat of indien zij niet langer bevoegd zijnn dergelijke gevallen behoort rekening te worden gehouden met wetgeving inzake de bescherming van persoonsgegevens;
c) onderwerpspecifieke beleidsregels en procedures ter voorkoming van geschillen over rechten van
intellectuele eigendom die is ontwikkeld op privéapparatuur;
d) toegang tot privéapparatuur (om de veiligheid van het apparaat vast te stellen of tijdens een
onderzoek), wat wetgeving kan verhinderen;
e) softwarelicentiecontracten waardoor de organisatie aansprakelijk kan worden gesteld voor de licenties van clientsoftware op 'user endpoint devices' die privébezit zijn van personeel of van externe gebruikers.
Draadloze verbindingen
De organisatie behoort procedures vast te stellen voor:
a) het configureren van draadloze verbindingen op apparaten (bijvwetsbare protocollen
uitschakelen);
b) het gebruik van draadloze of bedrade verbindingen met passende bandbreedte overeenkomstig
relevante onderwerpspecifieke beleidsregels (bijvmdat back-ups of software-updates nodig zijn).
Overige informatie
Beheersmaatregelen voor het beschermen van informatie op 'user endpoint devices' zijn afhankelijk van of het 'endpoint device' van de gebruiker alleen binnen het beveiligde gebouw en terrein en de beveiligde netwerkverbindingen van de organisatie wordt gebruikt of dat het wordt blootgesteld aan meer fysieke en netwerkgerelateerde dreigingen buiten de organisatie.
De draadloze verbindingen van 'user endpoint devices' zijn gelijksoortig aan andere vormen van netwerkverbindingen, maar hebben belangrijke verschillen waar rekening mee behoort te worden gehouden bij het identificeren van beheersmaatregelenr kan met name soms iets fout gaan bij het maken van back-ups van informatie die op 'user endpoint devices' is opgeslagen indien de bandbreedte van het netwerk beperkt is of 'user endpoint devices' niet zijn aangesloten op de tijden waarop de back-ups zijn gepland.
Voor bepaalde USB-poorten, zoals USB-C, is het niet mogelijk de USB-poort uit te schakelen, omdat deze voor andere doelen (bijvoeding of als uitgang voor een weergavescherm) in gebruik is.