Управление на BYOD за ISO 27001, NIS2, DORA и GDPR
Изгубеният iPad в 8:12 ч.
В 8:12 ч. екранът на Сара светна с обикновена заявка към поддръжката: „Изгубен iPad, директор продажби“.
Сара беше CISO в бързо растяща финтех компания и веднага разбра, че това не е обикновен проблем с актив. Директорът продажби използваше интензивно личния си iPad. От хотелски стаи, летищни салони и обекти на клиенти той осъществяваше достъп до CRM записи, електронна поща, чувствителни списъци с потенциални клиенти, работни пространства за сътрудничество и табла за платежния пайплайн.
За минути ситуацията се влоши. Устройството не беше включено в управление на мобилни устройства. Нямаше потвърждение, че е криптирано. Нямаше възможност за дистанционно изтриване. Правила за условен достъп съществуваха, но преди месеци директорът продажби беше получил изключение, защото „винаги пътува“. Екипът по защита на личните данни не можеше да потвърди какви клиентски данни са били кеширани локално. Мениджърът по съответствието препрати ново съобщение от външния одитор: „Моля, предоставете доказателства, че личните мобилни устройства с достъп до клиентски данни се управляват, наблюдават, криптират и могат да бъдат извадени от употреба при компрометиране.“
Изгубеният iPad не беше истинската експлозия. Той беше предупредителният изстрел.
Това е проблемът с управлението на мобилни устройства и BYOD през 2026 г. Личните телефони и таблети вече не са удобство за служителите. Те са бизнес крайни точки, фактори за идентичност, хранилища на данни, инструменти за одобряване на плащания, помощни средства за привилегирован достъп и канали за докладване на инциденти. Едно лично устройство може да съдържа приложение за автентикация за администраторски достъп, корпоративна електронна поща с лични данни, кеширани облачни файлове, екранни снимки на регулирана информация, активни браузърни сесии към административни конзоли на SaaS и токени за достъп до оперативни инструменти.
За CISO, мениджърите по съответствието и управителните органи въпросът вече не е: „Разрешаваме ли BYOD?“ Истинският въпрос е: „Можем ли да докажем, че всеки път за мобилен достъп се управлява, оценен е от гледна точка на риска, технически е контролиран, наблюдава се и може да бъде възстановен или прекратен при нужда?“
Отговорът не трябва да изисква отделни програми за съответствие за ISO 27001, NIS2, DORA и GDPR. Добре дефинирана система за управление на информационната сигурност по ISO/IEC 27001:2022 ISO/IEC 27001:2022 може да включи риска от мобилни устройства и BYOD в политиките, собствеността върху активите, контрола на достъпа, съответствието на устройствата, регистрирането, реагирането при инциденти, контролите за защита на личните данни и доказателствата за доставчици. Подходът на Clarysec е тези доказателства да се изградят веднъж и след това да се използват повторно за киберхигиена по NIS2, управление на ИКТ риска по DORA и сигурност на обработването по GDPR Article 32.
Защо BYOD вече е въпрос на съответствие на ниво управителен орган
Хибридната работа направи мобилния достъп постоянен. Директорите продажби одобряват договори от лични iPhone устройства. Финансовите мениджъри разрешават плащания от таблети. Инженерите използват приложения за автентикация на собствените си телефони. Висшите ръководители пътуват с корпоративна електронна поща на лични устройства, защото е удобно. Външните изпълнители достъпват заявки през мобилни браузъри. Екипите по поддръжка получават предупреждения за инциденти чрез мобилни приложения за съобщения.
Тази гъвкавост създава управленски пропуск, когато достъпът расте по-бързо от политиките и дизайна на контролите.
NIS2 прави този пропуск видим на управленско ниво. Article 20 изисква управителните органи да одобряват мерките за управление на риска в киберсигурността, да упражняват надзор върху внедряването и да преминават обучение. Article 21 изисква подходящи и пропорционални технически, оперативни и организационни мерки, включително анализ на риска, обработване на инциденти, непрекъсваемост на дейността, сигурност на веригата на доставки, сигурно придобиване и поддръжка, оценка на ефективността, киберхигиена, криптография, сигурност на човешките ресурси, контрол на достъпа и управление на активите. Управлението на мобилни устройства и BYOD засяга почти всяка от тези области.
DORA повишава залога за финансовите субекти. От януари 2025 г. DORA изисква документирана рамка за управление на ИКТ риска, надзор от управителния орган, непрекъсваемост на дейността в областта на ИКТ, управление на ИКТ инциденти, тестване на цифровата оперативна устойчивост и управление на риска от ИКТ доставчици трети страни. Ако служители осъществяват достъп до критични или важни функции чрез мобилни устройства, тези устройства са част от повърхността на ИКТ риска. Доставчик на управление на мобилни устройства или унифицирано управление на крайни точки може също да стане релевантен за доказателства относно ИКТ трети страни, ако защитава достъпа до регулирани операции.
GDPR добавя гледната точка на отчетността. Article 5 изисква личните данни да се обработват сигурно и изисква администраторът да демонстрира съответствие. Article 32 изисква подходящи технически и организационни мерки, включително поверителност, цялостност, наличност, устойчивост и способност за възстановяване на достъпа, когато е необходимо. На практика специалистите по защита на личните данни задават конкретни въпроси: Кой може да достъпва лични данни от мобилни устройства? Как се ограничава достъпът? Какво се случва при изгубен телефон? Могат ли корпоративните данни да бъдат изтрити, без да се навлиза в личната сфера? Съхраняват ли се журнали? Налични ли са доказателства за оценка на нарушение?
ISO/IEC 27001:2022 предоставя оперативния модел. Клаузи 4.1 до 4.4 изискват организациите да определят вътрешни и външни обстоятелства, изисквания на заинтересованите страни, регулаторни задължения, обхват и зависимости. Клауза 5 изисква лидерство, роли и отговорности. Клауза 6 изисква оценка и третиране на риска. Клаузи 8.2 и 8.3 изискват организацията да извършва оценки на риска за информационната сигурност и да внедрява планове за третиране на риска.
Това означава, че BYOD не може да остане в забравена ИТ бележка. Той принадлежи в обхвата на ISMS, където се управляват правните задължения, очакванията на клиентите, оперативните зависимости и решенията за третиране на риска.
Клъстерът от контроли по ISO 27001 за управление на мобилни устройства и BYOD
Clarysec обичайно започва управлението на мобилни устройства с клъстер от три контрола от Приложение A на ISO/IEC 27001:2022, подкрепен от насоките за внедряване в ISO/IEC 27002:2022.
| Тема на контрола | Значение за управлението на мобилни устройства | Типични доказателства |
|---|---|---|
| A.8.1 Потребителски крайни устройства | Смартфони, таблети и лаптопи трябва да бъдат укрепени, управлявани и наблюдавани според риска | Отчети за включване в MDM, статус на криптиране, съответствие с базова конфигурация на OS, защита от зловреден софтуер, възможност за дистанционно изтриване |
| A.6.7 Дистанционна работа | Достъпът извън обекта трябва да се управлява чрез политика, критерии за допустимост, сигурен достъп и очаквания към поведението на потребителите | Политика за дистанционна работа, споразумение за BYOD, VPN или правила за условен достъп, записи за обучение |
| A.7.9 Сигурност на активи извън помещенията | Устройствата и носителите извън контролирани помещения трябва да бъдат физически защитени и проследявани | Инвентар на активите, назначена собственост, процедура при изгубено устройство, указания за пътуване, доказателства за криптиране |
В Zenith Controls: The Cross-Compliance Guide Zenith Controls Clarysec разглежда тези контроли като взаимно подсилващи се. За потребителските крайни устройства Zenith Controls класифицира контрол A.8.1 като превантивен, подкрепящ поверителност, цялостност и наличност, съпоставен с концепцията Protect в киберсигурността и с оперативните способности за управление на активите и защита на информацията.
Ръководството обяснява и защо контролите за крайни устройства са пряко свързани с допустима употреба, дистанционна работа, ограничаване на достъпа, сигурна автентикация, физическа защита, задължения за поверителност и обучение за осведоменост.
„Крайните устройства са основните платформи, чрез които се прилагат политиките за допустима употреба.“
Източник: Zenith Controls, Потребителски крайни устройства, контрол 8.1 Zenith Controls
За дистанционната работа Zenith Controls съпоставя A.6.7 с A.7.9 сигурност на активи извън помещенията, A.8.1 потребителски крайни устройства, A.5.1 политики за информационна сигурност, A.6.3 осведоменост, образование и обучение по информационна сигурност, A.5.14 пренос на информация, A.8.20 сигурност на мрежите, A.8.22 разделяне на мрежите, A.7.7 чисто бюро и чист екран, A.5.29 информационна сигурност по време на прекъсване и A.5.30 ИКТ готовност за непрекъсваемост на дейността.
Това съпоставяне отразява начина, по който одитите действително протичат. Одиторът не спира до въпроса „Имате ли политика за BYOD?“ Той проверява дали политиката е внедрена, дали устройствата са включени в управление, дали достъпът зависи от съответствието, дали съществуват журнали, дали потребителите са обучени, дали инцидентите с изгубени устройства се обработват и дали изключенията са приети на база риск.
Основата на политиката: правилата за управление да бъдат изрично формулирани
Защитима програма за BYOD започва с ясни правила. Библиотеката с политики на Clarysec предоставя модели както за МСП, така и за корпоративна среда, така че организациите да могат да мащабират изискванията, без да губят яснота за одит.
За МСП Mobile Device and BYOD Policy-sme на Clarysec Политика за мобилни устройства и BYOD - МСП създава прост управленски контрол:
„Личните BYOD устройства трябва да бъдат одобрени от GM преди използване.“
Източник: Mobile Device and BYOD Policy-sme, Изисквания за управление, клауза 5.1.1 Политика за мобилни устройства и BYOD - МСП
Това кратко изречение затваря често срещан одитен пропуск. То предотвратява неформален достъп от лични устройства, създава точка за одобрение и дава на собственика на бизнеса или управителя видима управленска роля. То подкрепя и клаузи 5.1 до 5.3 на ISO 27001, където висшето ръководство трябва да демонстрира лидерство, да комуникира очакванията и да възлага отговорности.
Политиката за МСП също ясно посочва прилагането на базови контроли:
„Следните контроли трябва да се прилагат за всички мобилни устройства (собственост на дружеството и BYOD):“
Източник: Mobile Device and BYOD Policy-sme, Изисквания за управление, клауза 5.2.1 Политика за мобилни устройства и BYOD - МСП
За регулирани или по-големи организации Mobile device and byod policy на Clarysec Политика за мобилни устройства и BYOD е по-предписваща:
„Всички мобилни устройства (корпоративни или лични), които достъпват организационни ресурси, трябва да бъдат:
5.1.1 Регистрирани и включени в одобрена платформа за управление на мобилни устройства (MDM).
5.1.2 Конфигурирани с технически контроли за сигурност, включително задължително криптиране и автентикация.
5.1.3 Наблюдавани за съответствие с дефинирани базови изисквания за операционна система (OS) и прилагане на корекции.“
Източник: Mobile device and byod policy, Изисквания за управление, клауза 5.1 Политика за мобилни устройства и BYOD
Това е език, готов за одит. Одиторът може да тества популацията от мобилни устройства, да я сравни с журналите за достъп, да направи извадка от записите за включване в управление и да провери дали криптирането, автентикацията и базовите изисквания за корекции се прилагат.
BYOD изисква и граници на съгласието, съобразени със защитата на личните данни. Корпоративната политика посочва:
„Достъп чрез използване на лични устройства (BYOD) се предоставя само след формално приемане на споразумението на организацията за използване на BYOD, което включва:
5.2.1 Съгласие за мониторинг на корпоративни контейнери или управлявани приложения
5.2.2 Потвърждение за контролите за управление на мобилни устройства (MDM), като дистанционно изтриване или блокиране
5.2.3 Съгласие за доброволно участие и право на отказ“
Източник: Mobile device and byod policy, Изисквания за управление, клауза 5.2 Политика за мобилни устройства и BYOD
Тази клауза е централна за съгласуването с GDPR. Тя уточнява, че мониторингът се прилага за корпоративни контейнери или управлявани приложения, документира потвърждението на служителя относно блокиране или дистанционно изтриване и запазва правото на отказ. Така се разграничават легитимният корпоративен мониторинг за сигурност и прекомерното наблюдение на личния живот.
От политика към контроли: MDM, контейнери, достъп и журнали
Политиката се превръща в управление само когато е внедрена и доказана. Практическата базова линия започва с включването на устройствата в управление.
„Всички мобилни устройства трябва да бъдат включени в решение за управление на мобилни устройства (MDM), преди да осъществят достъп до корпоративни системи.“
Източник: Mobile device and byod policy, Изисквания за внедряване на политиката, клауза 6.1.1 Политика за мобилни устройства и BYOD
За корпоративни среди същият слой на внедряване трябва да прилага криптиране, PIN, парола или биометрична автентикация, блокиране при неактивност, поддържани версии на OS, откриване на jailbreak или root, базови изисквания за корекции и изтриване или преинсталиране след многократни неуспешни опити за вписване.
За BYOD по-добрият дизайн обичайно са управлявани приложения или корпоративни контейнери вместо наблюдение на цялото устройство. Политиката формулира това така:
„Корпоративните данни трябва да се съхраняват само в криптирани, управлявани контейнери.“
Източник: Mobile device and byod policy, Изисквания за внедряване на политиката, клауза 6.6.1 Политика за мобилни устройства и BYOD
Това подкрепя минимизирането на данните по GDPR и сигурността на обработването по Article 32, защото служебните данни се ограничават до управлявани зони, а личните зони не се третират като корпоративни хранилища. То също дава практически отговор на бизнеса при изгубен личен телефон: отнемане на сесии, изтриване на корпоративни данни, запазване на журнали и оценка на експозицията без изтриване на лични снимки, съобщения или приложения.
След това условният достъп свързва идентичността със състоянието на устройството. Като минимум чувствителните системи трябва да изискват включване на устройството в управление, MFA, криптиране, поддържана OS, заключване на екрана, липса на jailbreak или root, достъп чрез управлявани приложения и ограничения за изтегляния, споделяне чрез клипборд или заснемане на екрана, когато рискът го изисква. Това придава практически ефект на A.8.1 потребителски крайни устройства, A.8.3 ограничаване на достъпа до информация и A.8.5 сигурна автентикация.
Регистрирането затваря цикъла. Корпоративната политика изисква:
„Журналите за мобилен достъп трябва да се събират и съхраняват най-малко 90 дни, с интеграция към централната SIEM платформа, когато е приложимо.“
Източник: Mobile device and byod policy, Изисквания за управление, клауза 5.6 Политика за мобилни устройства и BYOD
За по-малки среди Logging and Monitoring Policy-sme на Clarysec Политика за регистриране и мониторинг - МСП добавя практичен минимум:
„За BYOD и отдалечени системи трябва да бъде активирано локално регистриране за събития по автентикация и откривания от антивирусен софтуер“
Източник: Logging and Monitoring Policy-sme, Изисквания за внедряване на политиката, клауза 6.3.1 Политика за регистриране и мониторинг - МСП
Програма за управление на мобилни устройства без журнали трудно може да бъде защитена. Разследване на изгубено устройство се нуждае от история на достъпа, неуспешни опити, статус на съответствие на устройството, доказателства за отнемане на сесии и всяка релевантна DLP или контейнерна активност.
Къде се вписва управлението на мобилни устройства в 30-стъпковата пътна карта
Zenith Blueprint: An Auditor’s 30-Step Roadmap на Clarysec Zenith Blueprint поставя управлението на мобилни устройства и BYOD в няколко фази на внедряване. Той не третира BYOD като единичен документ на политика.
Във фазата Controls in Action, Step 16, People Controls II, Zenith Blueprint разглежда дистанционната работа и BYOD:
„Използването на лични устройства (BYOD) трябва да бъде или забранено, или разрешено само при строги условия, като включване в решение за Mobile Device Management (MDM), което поддържа контейнеризация на данни и дистанционно изтриване на корпоративни данни, ако устройството бъде изгубено или ако потребителят напусне компанията.“
Източник: Zenith Blueprint, фаза Controls in Action, Step 16, People Controls II Zenith Blueprint
В Step 19, Technological Controls I, Zenith Blueprint описва крайните точки като началото на цифровото взаимодействие:
„Потребителските крайни устройства — лаптопи, смартфони, таблети, настолни компютри и дори thin clients — са мястото, от което започва цифровото взаимодействие. Те са вратите и прозорците към вашите системи.“
Източник: Zenith Blueprint, фаза Controls in Action, Step 19, Technological Controls I Zenith Blueprint
Step 18, Physical Controls II, обхваща сигурността на активите извън помещенията. Това включва устройства, оставени в автомобили, таблети, използвани на обществени места, лаптопи, предадени като чекиран багаж, и файлове, съхранявани офлайн. Принципът е прост: дори ако устройство бъде изгубено или откраднато, данните трябва да останат недостъпни.
| Фаза и стъпка от Zenith Blueprint | Резултат за управлението на мобилни устройства | Стойност за одита |
|---|---|---|
| Controls in Action, Step 16 | Условия за дистанционна работа и BYOD | Показва политика, допустимост, обучение и очаквания за MDM |
| Controls in Action, Step 18 | Защита на активи извън помещенията | Показва възлагане на активи, поведение при пътуване и доказателства за криптиране |
| Controls in Action, Step 19 | Укрепване и управление на крайни устройства | Показва съответствие на устройствата, прилагане на корекции, мониторинг и условен достъп |
Този многослоен подход е начинът, по който Сара премина от паника към управление. Тя не купи инструмент и не обяви проблема за решен. Тя свърза правилата за хората, физическото поведение и техническото прилагане в една одитируема система.
Едноседмичен спринт за пакет доказателства за BYOD
Практичен начин за затваряне на пропуска е изграждането на пакет доказателства за BYOD. Това е наборът от артефакти, които CISO може да предостави на одитор, регулатор, клиентски оценител или комитет към управителния орган.
| Ден | Действие | Създадени доказателства |
|---|---|---|
| Ден 1 | Дефиниране на обхвата на мобилния достъп съгласно клаузи 4.1 до 4.4 на ISO 27001 | Инвентар на сценариите за мобилна употреба, изисквания на заинтересованите страни, системи в обхват |
| Ден 2 | Одобряване на правилото за BYOD и възлагане на собственост | Одобрена политика, RACI, запис за одобрение от ръководството |
| Ден 3 | Конфигуриране на техническата базова линия | Експорт от MDM за управлявани устройства, настройки за криптиране, базова конфигурация на OS, правила за автентикация |
| Ден 4 | Свързване на достъпа със съответствието на устройството | Политика за условен достъп, доказателства за отказ на несъответстващи устройства, списък с изключения |
| Ден 5 | Събиране на доказателства от регистриране и инциденти | SIEM извадка, журнали за мобилен достъп, шаблон за заявка за инцидент, работен поток за изгубено устройство |
| Ден 6 | Тестване на реакцията при изгубено устройство | Протоколи от tabletop упражнение, доказателства за отнемане на сесии, тест за дистанционно изтриване, бележки по оценка на нарушение |
| Ден 7 | Одобряване на изключения и остатъчен риск | Запис за приемане на риска, компенсиращи контроли, дата на изтичане, одобрение от собственик на риска |
За Ден 1 идентифицирайте корпоративно притежавани телефони, лични телефони, използвани за MFA, BYOD таблети с достъп до табла, мобилни устройства на външни изпълнители, привилегировани потребители с достъп до административни конзоли и всеки мобилен достъп до системи, обработващи лични данни или финансови транзакции.
За Ден 6 тествайте реалистичен сценарий: директор продажби докладва, че личен телефон с управлявана корпоративна електронна поща е откраднат на летище. Политиката за МСП задава ясно очакване за докладване:
„Изгубени, откраднати или компрометирани устройства трябва да бъдат докладвани на GM в рамките на 1 час“
Източник: Mobile Device and BYOD Policy-sme, Изисквания за внедряване на политиката, клауза 6.4.1 Политика за мобилни устройства и BYOD - МСП
Упражнението трябва да провери дали екипът може да идентифицира устройството, да отнеме сесиите, дистанционно да изтрие корпоративните данни, да запази журналите, да оцени експозицията на лични данни, да реши дали е необходим анализ на нарушение по GDPR и да определи дали могат да се задействат прагове за докладване по NIS2 или DORA.
Cross-Compliance: една мобилна програма, четири истории с доказателства
Стойността на управлението на BYOD, базирано на ISO 27001, е повторното използване. Един набор от контроли може да генерира доказателства за няколко задължения, ако е добре структуриран.
| Рамка | Въпрос за мобилни устройства и BYOD | Доказателства от подхода на Clarysec |
|---|---|---|
| ISO/IEC 27001:2022 | Идентифицирани, третирани и контролирани ли са мобилните рискове чрез ISMS? | Обхват, оценка на риска, Декларация за приложимост, одобрение на политика, MDM отчети, журнали, записи за инциденти |
| NIS2 | Внедрени ли са киберхигиена, контрол на достъпа, управление на активите, обработване на инциденти и обучение? | Одобрение от управителния орган, политика за BYOD, записи за обучение, контроли за достъп, работен поток за изгубено устройство, доказателства за доставчици |
| DORA | Част ли са мобилните устройства от ИКТ риска, управлението на инциденти, тестването на устойчивостта и управлението на трети страни? | Регистър на ИКТ риска, съответствие на устройствата, класификация на инцидентите, доказателства от тестване, надлежна проверка на MDM доставчик |
| GDPR Article 32 | Защитени ли са дейностите по обработване на лични данни с подходящи технически и организационни мерки? | Контейнеризация, криптиране, ограничаване на достъпа, регистриране, оценка на нарушение, записи за защита на данните на етапа на проектирането |
Същата логика се прилага и на ниво контрол.
| Контрол от Приложение A на ISO/IEC 27001:2022 | Стойност на доказателствата за NIS2 | Стойност на доказателствата за DORA | Стойност на доказателствата за GDPR Article 32 |
|---|---|---|---|
| A.8.1 Потребителски крайни устройства | Подкрепя киберхигиена, управление на активите и политики за контрол на достъпа | Подкрепя защита на ИКТ активи, мониторинг на крайни точки и тестване на устойчивостта | Подкрепя криптиране, поверителност, цялостност и сигурен достъп до лични данни |
| A.6.7 Дистанционна работа | Подкрепя сигурен отдалечен достъп, обучение и очаквания за докладване на инциденти | Подкрепя процедури от рамката за ИКТ риск и обработване на инциденти при дистанционна работа | Подкрепя организационни правила за обработване на лични данни извън контролирани помещения |
| A.7.9 Сигурност на активи извън помещенията | Подкрепя защита на активите, непрекъсваемост и очаквания за обработване от трети страни | Подкрепя смекчаване на рисковете от кражба или загуба за устройства, използвани дистанционно | Подкрепя предотвратяване на случайна загуба, унищожаване или неоторизиран достъп |
За NIS2 обхватът е важен. Доставчици на цифрова инфраструктура, доставчици на облачни услуги, доставчици на центрове за данни, мрежи за доставка на съдържание, DNS доставчици, регистри на TLD, доставчици на удостоверителни услуги, публични доставчици на електронни съобщения, B2B доставчици на управлявани услуги и доставчици на управлявани услуги за сигурност могат да попаднат в категориите съществени или важни субекти в зависимост от размера, сектора и националното транспониране. Неуправляваният мобилен достъп до оперативни системи не е малко ИТ изключение в този контекст. Той е управленски въпрос.
За DORA доставчикът на MDM или UEM може да стане част от доказателствата за риск от трети страни, ако поддържа достъп до критични или важни функции. Организации, които работят с оглед на DORA, трябва да документират надлежна проверка, нива на обслужване, местонахождение на данните, съдействие при инциденти, мерки за сигурност, права на одит, договорености за изход и участие на доставчика в тестване, когато е релевантно.
За GDPR изгубен личен телефон не е автоматично подлежащо на уведомяване нарушение на сигурността на личните данни. Той става сериозен проблем, ако корпоративните данни са достъпни, некриптирани, кеширани извън управлявани контейнери или изложени чрез активни сесии. Организацията трябва да знае какви данни са били достъпни, дали контролите са предотвратили неоторизиран достъп и дали журналите подкрепят заключението.
Как одиторите ще тестват управлението на BYOD
Зрялата програма трябва да бъде подготвена за различни стилове на одит.
| Профил на одитора | Вероятен одитен подход | Очаквани доказателства |
|---|---|---|
| Одитор по ISO 27001 | Проследява мобилния риск от контекста, обхвата, оценката на риска и Декларацията за приложимост до внедрените контроли | Обхват на ISMS, записи за мобилен риск, SoA, политика, отчети за включване в управление, правила за достъп, коригиращи действия |
| Оценител по NIST CSF | Сравнява текущия и целевия профил през резултатите GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND и RECOVER | CSF профил, приоритизиран план за действия, инвентар на устройствата, мониторинг, планове за реагиране, доказателства за възстановяване |
| Одитор по COBIT 2019 или ISACA | Фокусира се върху целите на управлението, отчетността, изпълнението, собствеността върху риска и ефективността на контролите | Одобрение от ръководството, RACI, показатели, регистър на изключенията, тестване на контролите, отстраняване на проблеми |
| Преглеждащ по DORA | Третира мобилния достъп като част от ИКТ риска, управлението на инциденти, тестването на устойчивостта и зависимостите от трети страни | Рамка за ИКТ риск, класификация на инцидентите, записи от тестове за устойчивост, регистър на MDM доставчици, план за изход |
| Одитор по GDPR или специалист по защита на личните данни | Оценява дали мобилното обработване на лични данни е законосъобразно, необходимо, защитено и доказуемо | Граници на съгласието за BYOD, контейнеризация, DLP, криптиране, журнали за достъп, записи за оценка на нарушение |
Одитният контролен списък на Zenith Blueprint за дистанционна работа е директен: одиторите ще проверят дали политиката е внедрена, а не само документирана. Бъдете готови да представите формалната политика, да обясните прилагането ѝ чрез VPN използване, криптиране на крайни точки или MDM, да покажете включване в управление или ограничения за BYOD, да предоставите записи за обучение и да демонстрирате, че дистанционно работещите служители разбират своите задължения.
NIST CSF 2.0 предоставя полезен допълващ модел. Функцията GOVERN изисква правните, регулаторните и договорните изисквания за киберсигурност да бъдат разбрани и управлявани, рискът за киберсигурността да бъде интегриран в корпоративното управление на риска, ролите и правомощията да бъдат дефинирани, политиките да бъдат установени и наблюдавани, а резултатността да бъде оценявана. За управление на мобилни устройства практичен целеви профил може да гласи: всички устройства, които достъпват лични данни или критични бизнес системи, са включени в управление, криптирани, съответстващи, наблюдавани и могат да бъдат извадени от употреба в рамките на един час след уведомление за компрометиране.
Чести одитни констатации при BYOD
Констатациите при управление на мобилни устройства рядко произтичат от един катастрофален отказ. Обикновено идват от малки изключения, които никога не са били закрити.
Чести констатации включват:
- BYOD е разрешен на практика, но не е формално одобрен
- Приложенията за автентикация се третират като извън обхвата на ISMS
- MDM е конфигуриран за корпоративни устройства, но не и за лични устройства с корпоративен достъп
- Висшите ръководители са изключени от базовите изисквания за съответствие на устройствата
- Условният достъп се заобикаля чрез наследени протоколи или неуправлявани браузъри
- Лични устройства достъпват електронна поща без контейнеризация
- Мобилните журнали се съхраняват в SaaS платформи, но не се преглеждат или експортират
- Съществува процедура при изгубено устройство, но персоналът не знае срока за докладване
- Липсва текст за защита на личните данни, който обяснява какво компанията може и не може да наблюдава
- Липсват доказателства, че мобилните изключения са ограничени във времето и приети на база риск
- MDM доставчикът не е включен в управлението на ИКТ риска от трети страни
- Няма tabletop упражнение за компрометиране на мобилно устройство
- Няма съпоставяне от BYOD контролите към доказателства по GDPR Article 32, NIS2 или DORA
Всяка констатация може да бъде отстранена. Проблемът обикновено не е липса на инструменти. Той е липса на собственост, дизайн на доказателствата и cross-compliance съпоставяне.
Историята за управителния орган
Ръководството не се нуждае от всеки детайл на MDM конфигурацията. То се нуждае от ясен разказ за отчетност.
Силната позиция за BYOD на ниво управителен орган гласи:
- Знаем кои мобилни устройства достъпват организационни ресурси.
- Разграничаваме корпоративно притежаван достъп и BYOD достъп.
- BYOD е доброволен, одобрен и управляван чрез споразумение.
- Корпоративните данни са криптирани и изолирани.
- Достъпът зависи от съответствието на устройството.
- Журналите се съхраняват и преглеждат.
- Изгубените или компрометирани устройства се докладват бързо.
- Корпоративните данни могат да бъдат изтрити или достъпът може да бъде отнет.
- Рисковете за личните данни се оценяват съгласно GDPR.
- Изключенията се одобряват, ограничават във времето и преглеждат.
Това свързва управлението на мобилни устройства с апетита за риск, оперативната устойчивост, правната отчетност и доверието на клиентите. То също предоставя на управителните органи доказателствата, от които се нуждаят, за да демонстрират надзор съгласно NIS2 и DORA.
Как помага Clarysec
Моделът на Clarysec за управление на мобилни устройства и BYOD комбинира политика, внедряване и cross-compliance съпоставяне.
Първо, библиотеката с политики дава на организациите готов за адаптиране управленски език. Mobile Device and BYOD Policy-sme е практична за по-малки бизнеси, които се нуждаят от ясни правила за одобрение и докладване. Mobile device and byod policy подкрепя регулирани среди, изискващи MDM, криптиране, автентикация, базови изисквания за OS, DLP, контейнери, регистриране и формални споразумения за BYOD.
Второ, Zenith Blueprint предоставя пътя за внедряване. Той показва къде управлението на мобилни устройства принадлежи в 30-стъпковата одитна пътна карта: дистанционна работа, сигурност на активи извън помещенията и контроли за крайни устройства. Това предотвратява често срещаната грешка BYOD да се третира като единичен документ, а не като жива система от контроли.
Трето, Zenith Controls предоставя cross-compliance компаса. Той свързва контролите A.8.1, A.6.7 и A.7.9 от Приложение A на ISO/IEC 27001:2022 със свързани контроли, поддържащи стандарти и одитни очаквания. Това съпоставяне помага на CISO да отговорят на истинския въпрос на регулатора: покажете, че управлението на мобилни устройства е пропорционално, внедрено и ефективно.
Следващи стъпки: изградете защитим пакет доказателства за BYOD
Ако вашата организация позволява мобилен или BYOD достъп, не чакайте изгубен iPad да разкрие пропуска в доказателствата.
Започнете с фокусирана оценка:
- Избройте всеки път за мобилен достъп до корпоративни данни и критични системи.
- Сравнете действителния достъп с Mobile device and byod policy Политика за мобилни устройства и BYOD или Mobile Device and BYOD Policy-sme Политика за мобилни устройства и BYOD - МСП.
- Създайте едностраничен запис в регистъра на мобилния риск, свързан с ISO/IEC 27001:2022 ISO/IEC 27001:2022.
- Използвайте Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, за да внедрите контроли за дистанционна работа, активи извън помещенията и крайни устройства.
- Използвайте Zenith Controls: The Cross-Compliance Guide Zenith Controls, за да съпоставите доказателствата с очакванията по NIS2, DORA, GDPR, NIST и COBIT 19.
- Използвайте Logging and Monitoring Policy-sme Политика за регистриране и мониторинг - МСП, за да дефинирате практични очаквания за регистриране в по-малки среди.
- Проведете tabletop упражнение за изгубено устройство и запазете доказателствата.
Clarysec може да ви помогне да превърнете неуправлявания мобилен достъп в защитима, одитируема програма за управление. Изтеглете политиките, съпоставете контролите си със Zenith Controls, внедрете пътната карта със Zenith Blueprint и планирайте оценка от Clarysec, преди следващият ви одитор да зададе въпроса от 8:12 ч.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
