Skip to main content

8.1 Urządzenia końcowe użytkowników

Rodzaj kontroli: Informacja
Właściwości bezpieczeństwa: Prewencyjne, Poufność, Integralność
Koncepcje cyberbezpieczeństwa: Ochrona, Zarządzanie zasobami
Obszary operacyjne: Kontrola

Kontrola

Informacje przechowywane, przetwarzane lub dostępne na urządzeniach końcowych użytkowników powinny być chronione.

Cel

Ochrona informacji przed zagrożeniami wynikającymi z użytkowania urządzeń końcowych użytkowników.

Wytyczne

Ogólne

Organizacja powinna ustanowić politykę dotyczącą bezpiecznej konfiguracji i obsługi urządzeń końcowych użytkowników. Powinna ona być przekazana wszystkim odpowiednim osobom i uwzględniać:

  • a) rodzaj i klasyfikację informacji, jakie mogą być przetwarzane, przechowywane lub obsługiwane przez urządzenia końcowe użytkowników;
  • b) rejestrowanie urządzeń końcowych użytkowników;
  • c) wymagania dotyczące ochrony fizycznej;
  • d) ograniczenie instalacji oprogramowania (np. kontrolowane zdalnie przez administratorów systemu);
  • e) wymagania dotyczące oprogramowania urządzeń końcowych (w tym wersji oprogramowania) oraz stosowania aktualizacji (np. automatyczne aktualizacje);
  • f) zasady dotyczące połączeń z usługami informacyjnymi, sieciami publicznymi i innymi sieciami poza organizacją (np. wymaganie stosowania zapory osobistej);
  • g) kontrolę dostępu;
  • h) szyfrowanie nośników pamięci;
  • i) ochronę przed złośliwym oprogramowaniem;
  • j) możliwość zdalnego blokowania, usuwania lub dezaktywacji urządzenia;
  • k) kopie zapasowe;
  • l) korzystanie z usług internetowych i aplikacji webowych;
  • m) analizę zachowania użytkowników (zob. 8.16);
  • n) korzystanie z urządzeń przenośnych, w tym nośników pamięci, oraz możliwość dezaktywacji portów fizycznych (np. USB);
  • o) wykorzystanie funkcji partycjonowania, jeśli obsługiwane przez urządzenie końcowe, w celu oddzielenia informacji organizacyjnych od danych prywatnych.

W niektórych przypadkach informacje mogą być na tyle wrażliwe, że powinny być jedynie dostępne na urządzeniach końcowych użytkowników, ale nie przechowywane na nich. Może to wymagać dodatkowych zabezpieczeń technicznych, np. wyłączenia pobierania plików do pracy offline lub dezaktywacji lokalnej pamięci (np. karty SD).

Tam, gdzie to możliwe, zalecenia dotyczące tej kontroli powinny być egzekwowane za pomocą zarządzania konfiguracją (zob. 8.9) lub narzędzi automatyzujących.

Odpowiedzialność użytkownika

Wszyscy użytkownicy powinni być świadomi wymagań i procedur bezpieczeństwa dotyczących ochrony urządzeń końcowych oraz ich odpowiedzialności za wdrażanie środków zabezpieczających. Użytkownicy powinni:

  • a) wylogowywać aktywne sesje i kończyć usługi, gdy nie są już potrzebne;
  • b) zabezpieczać urządzenia końcowe przed nieautoryzowanym użyciem poprzez środki fizyczne (np. blokady na klucz) i logiczne (np. hasła); nie pozostawiać urządzeń z ważnymi, poufnymi lub krytycznymi informacjami biznesowymi bez nadzoru;
  • c) zachować szczególną ostrożność przy korzystaniu z urządzeń w miejscach publicznych, otwartych biurach i innych niezabezpieczonych obszarach (np. unikać wyświetlania poufnych informacji, jeśli osoby postronne mogą je odczytać, używać filtrów prywatności na ekranie);
  • d) zabezpieczać urządzenia końcowe przed kradzieżą (np. w samochodach, hotelach, centrach konferencyjnych).

Organizacja powinna opracować procedury uwzględniające wymagania prawne, regulacyjne i umowne (w tym ubezpieczeniowe) na wypadek kradzieży lub utraty urządzeń końcowych użytkowników.

Używanie urządzeń prywatnych

Jeśli organizacja zezwala na korzystanie z prywatnych urządzeń (BYOD – Bring Your Own Device), oprócz powyższych zasad należy rozważyć:

  • a) separację danych prywatnych i służbowych na urządzeniu, np. za pomocą dedykowanego oprogramowania zabezpieczającego dane organizacyjne;
  • b) udostępnianie informacji biznesowych dopiero po zaakceptowaniu przez użytkownika zasad bezpieczeństwa (np. zabezpieczenia fizyczne, aktualizacje oprogramowania) oraz zgody na zdalne usunięcie danych organizacyjnych w przypadku kradzieży, utraty lub cofnięcia uprawnień dostępu (z uwzględnieniem przepisów dotyczących ochrony danych osobowych – PII);
  • c) polityki i procedury mające na celu zapobieganie sporom dotyczącym praw własności intelektualnej do treści stworzonych na prywatnym sprzęcie;
  • d) kwestie dostępu do prywatnych urządzeń na potrzeby weryfikacji bezpieczeństwa lub dochodzeń, które mogą być ograniczone przepisami prawa;
  • e) zgodność z licencjami na oprogramowanie – organizacje mogą ponosić odpowiedzialność za licencje na oprogramowanie klienckie instalowane na prywatnych urządzeniach użytkowników.

Połączenia bezprzewodowe

Organizacja powinna ustanowić procedury dotyczące:

  • a) konfiguracji połączeń bezprzewodowych na urządzeniach (np. wyłączania podatnych na ataki protokołów);
  • b) stosowania połączeń przewodowych lub bezprzewodowych o odpowiedniej przepustowości zgodnie z określonymi politykami (np. w celu umożliwienia wykonywania kopii zapasowych lub aktualizacji oprogramowania).

Inne informacje

Środki ochrony informacji na urządzeniach końcowych użytkowników zależą od tego, czy urządzenie jest używane wyłącznie w zabezpieczonych pomieszczeniach organizacji i jej sieciach, czy też jest narażone na zwiększone zagrożenia fizyczne i sieciowe poza organizacją.

Połączenia bezprzewodowe urządzeń końcowych różnią się od innych typów połączeń sieciowych i wymagają szczególnej uwagi. Przykładowo, kopie zapasowe danych mogą nie być wykonywane ze względu na ograniczoną przepustowość sieci lub brak połączenia w momencie planowanego wykonania kopii.

W przypadku niektórych portów USB (np. USB-C) ich całkowite wyłączenie może nie być możliwe, ponieważ są one wykorzystywane do innych celów, takich jak ładowanie urządzeń lub przesył obrazu.