BYOD-irányítás ISO 27001, NIS2, DORA és GDPR szerint

Az elveszett iPad 8:12-kor

8:12-kor Sarah képernyőjén megjelent egy hétköznapinak tűnő támogatási jegy: „Elveszett iPad, értékesítési igazgató.”

Sarah egy gyorsan növekvő fintech vállalat információbiztonsági vezetője volt, és azonnal tudta, hogy ez nem szokványos eszközkezelési ügy. Az értékesítési igazgató intenzíven használta a személyes iPadjét. Szállodai szobákból, repülőtéri várókból és ügyfélhelyszínekről ért el CRM-nyilvántartásokat, e-maileket, érzékeny ügyféljelölt-listákat, együttműködési munkaterületeket és fizetési folyamatokat megjelenítő irányítópultokat.

Perceken belül romlott a helyzet. Az eszköz nem volt bevonva mobileszköz-kezelésbe. Nem volt igazolás arról, hogy titkosítva van. Nem állt rendelkezésre távoli törlési lehetőség. Léteztek feltételes hozzáférési szabályok, de az értékesítési igazgató hónapokkal korábban kivételt kapott, mert „mindig úton van”. Az adatvédelmi csapat nem tudta megerősíteni, milyen ügyféladatok kerültek helyben gyorsítótárazásra. A megfelelőségi vezető továbbított egy új üzenetet a külső auditortól: „Kérjük, nyújtsanak be bizonyítékot arra, hogy az ügyféladatokhoz hozzáférő személyes mobileszközök irányítottak, felügyeltek, titkosítottak, és kompromittálódás esetén kivonhatók a szolgáltatásból.”

Az elveszett iPad nem maga volt a robbanás. Ez volt a figyelmeztető lövés.

Ez a mobileszköz- és BYOD-irányítás problémája 2026-ban. A személyes telefonok és táblagépek már nem pusztán munkavállalói kényelmi eszközök. Üzleti végpontok, identitástényezők, adattárak, fizetésjóváhagyási eszközök, emelt jogosultságú hozzáférést kísérő eszközök és incidensbejelentési csatornák. Egyetlen személyes eszközön lehet adminisztrátori hozzáféréshez használt hitelesítő alkalmazás, személyes adatokat tartalmazó vállalati e-mail, gyorsítótárazott felhőfájlok, szabályozott információkról készült képernyőképek, aktív böngészőmunkamenetek SaaS-konzolokhoz és hozzáférési tokenek üzemeltetési eszközökhöz.

Az információbiztonsági vezetők, megfelelőségi vezetők és igazgatóságok számára a kérdés már nem az, hogy „Engedélyezzük-e a BYOD-ot?” A valódi kérdés az, hogy „Tudjuk-e bizonyítani, hogy minden mobil hozzáférési út irányított, kockázatértékelt, technikailag kontrollált, felügyelt és helyreállítható?”

A válaszhoz nem kellene külön megfelelési programokat működtetni ISO 27001, NIS2, DORA és GDPR szerint. Egy megfelelően meghatározott alkalmazási területű ISO/IEC 27001:2022 ISO/IEC 27001:2022 információbiztonság-irányítási rendszer képes a mobil- és BYOD-kockázatot szabályzatokba, eszköztulajdonosi felelősségbe, hozzáférés-szabályozásba, eszközmegfelelésbe, naplózásba, incidenskezelésbe, adatvédelmi kontrollokba és beszállítói bizonyítékokba beépíteni. A Clarysec megközelítése szerint ezeket a bizonyítékokat egyszer kell felépíteni, majd újra felhasználni a NIS2 kiberhigiénia, a DORA IKT-kockázatkezelés és a GDPR Article 32 szerinti adatkezelés biztonsága céljaira.

Miért lett a BYOD igazgatósági szintű megfelelési kérdés?

A hibrid munkavégzés állandóvá tette a mobilhozzáférést. Az értékesítési vezetők személyes iPhone-ról hagynak jóvá szerződéseket. A pénzügyi vezetők táblagépről engedélyeznek kifizetéseket. A mérnökök saját telefonjukon használnak hitelesítő alkalmazásokat. A felsővezetők személyes eszközökön viszik magukkal a vállalati e-mailt, mert kényelmes. A szerződéses közreműködők mobil böngészőből férnek hozzá a jegyekhez. A támogatási csapatok mobil üzenetküldő alkalmazásokon kapnak incidensriasztásokat.

Ez a rugalmasság irányítási hiányosságot hoz létre, ha a hozzáférés gyorsabban növekszik, mint a szabályzatok és kontrollok kialakítása.

A NIS2 vezetői szinten teszi láthatóvá ezt a hiányosságot. Az Article 20 előírja, hogy az irányító testületek hagyják jóvá a kiberbiztonsági kockázatkezelési intézkedéseket, felügyeljék azok végrehajtását és képzésben részesüljenek. Az Article 21 megfelelő és arányos technikai, operatív és szervezeti intézkedéseket követel meg, ideértve a kockázatelemzést, az incidenskezelést, az üzletmenet-folytonosságot, az ellátási lánc biztonságát, a biztonságos beszerzést és karbantartást, az eredményesség értékelését, a kiberhigiéniát, a kriptográfiát, a HR-biztonságot, a hozzáférés-szabályozást és az eszközkezelést. A mobil- és BYOD-irányítás szinte mindegyik területet érinti.

A DORA növeli a tétet a pénzügyi szervezetek számára. 2025 januárja óta a DORA dokumentált IKT-kockázatkezelési keretrendszert, irányító testületi felügyeletet, IKT üzletmenet-folytonosságot, IKT-incidenskezelést, digitális működési rezilienciatesztelést és IKT harmadik fél kockázatkezelést ír elő. Ha a munkavállalók mobileszközökön keresztül férnek hozzá kritikus vagy fontos funkciókhoz, ezek az eszközök az IKT-kockázati felület részét képezik. A mobileszköz-kezelési vagy egységes végpontkezelési szolgáltató is relevánssá válhat az IKT harmadik fél bizonyítékok szempontjából, ha szabályozott műveletekhez való hozzáférést véd.

A GDPR az elszámoltathatósági nézőpontot adja hozzá. Az Article 5 előírja, hogy a személyes adatokat biztonságosan kell kezelni, és az adatkezelőnek igazolnia kell a megfelelést. Az Article 32 megfelelő technikai és szervezeti intézkedéseket ír elő, beleértve a bizalmasságot, sértetlenséget, rendelkezésre állást, rezilienciát és szükség esetén a hozzáférés helyreállításának képességét. A gyakorlatban az adatvédelmi felülvizsgálók konkrét kérdéseket tesznek fel: Ki férhet hozzá személyes adatokhoz mobileszközről? Hogyan korlátozott a hozzáférés? Mi történik, ha egy telefon elveszik? Törölhetők-e a vállalati adatok a magánszféra megsértése nélkül? Megőrzik-e a naplókat? Rendelkezésre áll-e bizonyíték az incidens hatásvizsgálatához?

Az ISO/IEC 27001:2022 adja a működési modellt. A 4.1–4.4 pontok előírják, hogy a szervezetek határozzák meg a belső és külső tényezőket, az érdekelt felek követelményeit, a szabályozási kötelezettségeket, az alkalmazási területet és a függőségeket. Az 5. pont vezetést, szerepköröket és felelősségeket követel meg. A 6. pont kockázatértékelést és kockázatkezelést ír elő. A 8.2 és 8.3 pontok előírják, hogy a szervezet végezzen információbiztonsági kockázatértékeléseket és hajtson végre kockázatkezelési terveket.

Ez azt jelenti, hogy a BYOD nem maradhat egy elfelejtett IT-emlékeztetőben. Az IBIR alkalmazási területén belül van a helye, ahol a jogi kötelezettségeket, ügyfélelvárásokat, működési függőségeket és kockázatkezelési döntéseket kezelik.

Az ISO 27001 kontrollcsoportja a mobil- és BYOD-irányításhoz

A Clarysec a mobilirányítást jellemzően az ISO/IEC 27001:2022 Annex A három kontrollból álló csoportjával kezdi, az ISO/IEC 27002:2022 végrehajtási útmutatásával támogatva.

A Zenith Controls: keresztmegfelelési útmutató Zenith Controls keretében a Clarysec ezeket a kontrollokat egymást erősítő kontrollként kezeli. A felhasználói végponti eszközök esetében a Zenith Controls az A.8.1 kontrollt megelőző kontrollként sorolja be, amely támogatja a bizalmasságot, a sértetlenséget és a rendelkezésre állást, és megfelelteti a Protect kiberbiztonsági koncepciónak, valamint az eszközkezelési és információvédelmi operatív képességeknek.

Az útmutató azt is bemutatja, miért kapcsolódnak a végponti eszközökre vonatkozó kontrollok közvetlenül az elfogadható használathoz, a távmunkához, a hozzáférés-korlátozáshoz, a biztonságos hitelesítéshez, a fizikai védelemhez, a titoktartási kötelezettségekhez és a tudatossági képzéshez.

„A végponti eszközök azok az elsődleges platformok, amelyeken keresztül az elfogadható használatra vonatkozó szabályzatok érvényesülnek.”
Forrás: Zenith Controls, Felhasználói végponti eszközök, 8.1 kontroll Zenith Controls

A távmunka esetében a Zenith Controls az A.6.7 kontrollt az A.7.9 telephelyen kívüli eszközök biztonságához, az A.8.1 felhasználói végponti eszközökhöz, az A.5.1 információbiztonsági szabályzatokhoz, az A.6.3 információbiztonsági tudatossághoz, oktatáshoz és képzéshez, az A.5.14 információátadáshoz, az A.8.20 hálózatbiztonsághoz, az A.8.22 hálózatok szétválasztásához, az A.7.7 tiszta asztalhoz és tiszta képernyőhöz, az A.5.29 zavarhelyzet alatti információbiztonsághoz és az A.5.30 üzletmenet-folytonossági IKT-felkészültséghez rendeli.

Ez a megfeleltetés tükrözi, hogyan zajlanak a valós auditok. Az auditor nem áll meg annál, hogy „Van BYOD-szabályzatuk?” Azt vizsgálja, hogy a szabályzat végrehajtott-e, az eszközök be vannak-e vonva, a hozzáférés függ-e a megfeleléstől, léteznek-e naplók, a felhasználók képzettek-e, az elveszett eszközökkel kapcsolatos incidenseket kezelik-e, és a kivételek kockázatként elfogadottak-e.

A szabályzati alap: az irányítási szabályok egyértelmű kimondása

Egy bizonyítható BYOD-program egyértelmű szabályokkal kezdődik. A Clarysec szabályzattára KKV- és vállalati mintákat is biztosít, így a szervezetek auditálási egyértelműség elvesztése nélkül skálázhatják a követelményeket.

KKV-k számára a Clarysec Mobileszköz- és BYOD-szabályzat – KKV Mobileszköz- és BYOD-szabályzat – KKV egyszerű irányítási kaput hoz létre:

„A személyes BYOD-eszközöket használat előtt az ügyvezetőnek jóvá kell hagynia.”
Forrás: Mobileszköz- és BYOD-szabályzat – KKV, irányítási követelmények, 5.1.1 pont Mobileszköz- és BYOD-szabályzat – KKV

Ez a rövid mondat lezár egy gyakori auditmegállapítást. Megakadályozza a csendes személyeseszköz-hozzáférést, jóváhagyási pontot hoz létre, és látható irányítási szerepet ad az üzlettulajdonosnak vagy ügyvezetőnek. Támogatja továbbá az ISO 27001 5.1–5.3 pontjait, amelyek szerint a felső vezetésnek vezetői szerepet kell demonstrálnia, elvárásokat kell kommunikálnia és felelősségeket kell kijelölnie.

A KKV-szabályzat az alapkövetelmények betartatását is egyértelművé teszi:

„Az alábbi kontrollokat minden mobileszközön (vállalati tulajdonú és BYOD) érvényesíteni kell:”
Forrás: Mobileszköz- és BYOD-szabályzat – KKV, irányítási követelmények, 5.2.1 pont Mobileszköz- és BYOD-szabályzat – KKV

Szabályozott vagy nagyobb szervezetek számára a Clarysec Mobileszköz- és BYOD-szabályzat Mobileszköz- és BYOD-szabályzat előíróbb megközelítést alkalmaz:

„Minden, szervezeti erőforrásokhoz hozzáférő mobileszköznek (vállalati vagy személyes) meg kell felelnie az alábbiaknak:
5.1.1 Regisztrálva és bevonva kell lennie egy jóváhagyott mobileszköz-kezelési (MDM) platformba.
5.1.2 Technikai biztonsági kontrollokkal kell konfigurálni, beleértve a kötelező titkosítást és hitelesítést.
5.1.3 Felügyelni kell a meghatározott operációsrendszer- (OS) és javításkezelési alapkövetelményeknek való megfelelés szempontjából.”
Forrás: Mobileszköz- és BYOD-szabályzat, irányítási követelmények, 5.1 pont Mobileszköz- és BYOD-szabályzat

Ez auditálásra kész megfogalmazás. Az auditor tesztelheti a mobileszközök populációját, összevetheti a hozzáférési naplókkal, mintát vehet a bevonási nyilvántartásokból, és ellenőrizheti, hogy a titkosítási, hitelesítési és javításkezelési alapkövetelmények érvényesülnek-e.

A BYOD adatvédelmi szempontból érzékeny hozzájárulási határokat is igényel. A vállalati szabályzat kimondja:

„BYOD-hozzáférés csak a szervezet BYOD használati megállapodásának formális elfogadását követően adható, amely tartalmazza:
5.2.1 Hozzájárulás a vállalati tárolók vagy felügyelt alkalmazások felügyeletéhez
5.2.2 A mobileszköz-kezelési (MDM) kontrollok, például a távoli törlés vagy zárolás tudomásulvétele
5.2.3 Megállapodás az önkéntes részvételről és a kilépés jogáról”
Forrás: Mobileszköz- és BYOD-szabályzat, irányítási követelmények, 5.2 pont Mobileszköz- és BYOD-szabályzat

Ez a pont központi jelentőségű a GDPR-ral való összhang szempontjából. Egyértelművé teszi, hogy a felügyelet a vállalati tárolókra vagy felügyelt alkalmazásokra vonatkozik, dokumentálja a munkavállaló tudomásulvételét a zárolásról vagy távoli törlésről, és fenntartja a kilépés jogát. Segít elválasztani a legitim vállalati biztonsági felügyeletet a magánélet túlzott megfigyelésétől.

A szabályzattól a kontrollokig: MDM, tárolók, hozzáférés és naplók

A szabályzat csak akkor válik irányítássá, ha végrehajtják és bizonyítékokkal alátámasztják. A gyakorlati alap a bevonással kezdődik.

„Minden mobileszközt be kell vonni mobileszköz-kezelési (MDM) megoldásba, mielőtt vállalati rendszerekhez hozzáférne.”
Forrás: Mobileszköz- és BYOD-szabályzat, a szabályzat végrehajtásának követelményei, 6.1.1 pont Mobileszköz- és BYOD-szabályzat

Vállalati környezetben ugyanez a végrehajtási réteg érvényesítse a titkosítást, a PIN-t, a jelkódot vagy biometrikus azonosítást, az inaktivitási zárolást, a támogatott OS-verziókat, a jailbreak- vagy root-észlelést, a javításkezelési alapkövetelményeket, valamint az ismételt sikertelen bejelentkezési kísérleteket követő törlést vagy újratelepítést.

BYOD esetén a jobb kialakítás általában felügyelt alkalmazásokat vagy vállalati tárolókat használ teljes eszközszintű felügyelet helyett. A szabályzat ezt így rögzíti:

„A vállalati adatokat kizárólag titkosított, felügyelt tárolókban szabad tárolni.”
Forrás: Mobileszköz- és BYOD-szabályzat, a szabályzat végrehajtásának követelményei, 6.6.1 pont Mobileszköz- és BYOD-szabályzat

Ez támogatja a GDPR szerinti adattakarékosságot és az Article 32 szerinti adatkezelés biztonságát, mivel az üzleti adatok felügyelt területekre korlátozódnak, a személyes területeket pedig nem kezelik vállalati adattárként. Gyakorlati választ is ad a szervezetnek, ha egy személyes telefon elveszik: vissza lehet vonni a munkameneteket, törölni lehet a vállalati adatokat, meg lehet őrizni a naplókat, és értékelni lehet a kitettséget a személyes fényképek, üzenetek vagy alkalmazások törlése nélkül.

A feltételes hozzáférés ezután összekapcsolja az identitást az eszközállapottal. Minimálisan az érzékeny rendszereknek meg kell követelniük a bevonást, a többtényezős hitelesítést, a titkosítást, a támogatott OS-t, a képernyőzárat, a jailbreak- vagy root-hiba hiányát, a felügyelt alkalmazáson keresztüli hozzáférést, valamint kockázat alapján a letöltések, vágólapmegosztás vagy képernyőrögzítés korlátozását. Ez gyakorlati érvényt ad az A.8.1 felhasználói végponti eszközöknek, az A.8.3 információ-hozzáférési korlátozásnak és az A.8.5 biztonságos hitelesítésnek.

A naplózás zárja a kontrollkört. A vállalati szabályzat előírja:

„A mobilhozzáférési naplókat rögzíteni kell, és legalább 90 napig meg kell őrizni, ahol alkalmazható, a központi SIEM-platformmal integrálva.”
Forrás: Mobileszköz- és BYOD-szabályzat, irányítási követelmények, 5.6 pont Mobileszköz- és BYOD-szabályzat

Kisebb környezetekhez a Clarysec Naplózási és felügyeleti szabályzat – KKV Naplózási és felügyeleti szabályzat – KKV gyakorlati minimumot ad:

„A BYOD- és távoli rendszereken engedélyezni kell a helyi naplózást a hitelesítési eseményekre és a vírusirtó észleléseire”
Forrás: Naplózási és felügyeleti szabályzat – KKV, a szabályzat végrehajtásának követelményei, 6.3.1 pont Naplózási és felügyeleti szabályzat – KKV

Naplók nélkül a mobilirányítási program nehezen védhető. Egy elveszett eszköz kivizsgálásához szükséges a hozzáférési előzmény, a sikertelen kísérletek, az eszközmegfelelési állapot, a munkamenet-visszavonási bizonyíték és minden releváns DLP- vagy tárolótevékenység.

Hol illeszkedik a mobilirányítás a 30 lépéses ütemtervbe?

A Clarysec Zenith Blueprint: auditori 30 lépéses ütemterv Zenith Blueprint a mobil- és BYOD-irányítást több végrehajtási szakaszon keresztül helyezi el. Nem kezeli a BYOD-ot egyetlen szabályzati dokumentumként.

A „Kontrollok működés közben” szakasz 16. lépésében, a Személyi biztonsági intézkedések II alatt a Zenith Blueprint a távmunkát és a BYOD-ot tárgyalja:

„A személyes eszközök használatát (BYOD) vagy tiltani kell, vagy csak szigorú feltételek mellett szabad engedélyezni, például olyan mobileszköz-kezelési (MDM) megoldásba történő bevonással, amely támogatja az adatok konténerizációját és a vállalati adatok távoli törlését, ha az eszköz elveszik, vagy ha a felhasználó kilép a vállalattól.”
Forrás: Zenith Blueprint, Kontrollok működés közben szakasz, 16. lépés, Személyi biztonsági intézkedések II Zenith Blueprint

A 19. lépésben, Technikai kontrollok I alatt a Zenith Blueprint a végpontokat a digitális interakció kiindulópontjaként írja le:

„A felhasználói végponti eszközök – laptopok, okostelefonok, táblagépek, asztali gépek, sőt vékonykliensek – azok a pontok, ahol a digitális interakció elkezdődik. Ezek jelentik a rendszerek ajtóit és ablakait.”
Forrás: Zenith Blueprint, Kontrollok működés közben szakasz, 19. lépés, Technikai kontrollok I Zenith Blueprint

A 18. lépés, Fizikai védelmi intézkedések II, a telephelyen kívüli eszközbiztonságot fedi le. Ide tartoznak az autóban hagyott eszközök, a nyilvános terekben használt táblagépek, a feladott poggyászba kerülő laptopok és az offline tárolt fájlok. Az elv egyszerű: még ha az eszköz el is vész vagy ellopják, az adatoknak hozzáférhetetlennek kell maradniuk.

Ez a rétegzett megközelítés mutatja, hogyan jutott Sarah a pániktól az irányításig. Nem vett egy eszközt és nem nyilvánította megoldottnak a problémát. Az emberekre vonatkozó szabályokat, a fizikai magatartást és a technikai kikényszerítést egyetlen auditálható rendszerbe kapcsolta össze.

Egyhetes BYOD-bizonyítékcsomag sprint

A hiányosság lezárásának gyakorlati módja egy BYOD-bizonyítékcsomag felépítése. Ez az a bizonyítóanyag-készlet, amelyet az információbiztonsági vezető átadhat auditornak, szabályozó hatóságnak, ügyfélértékelőnek vagy igazgatósági bizottságnak.

Az 1. napon azonosítsa a vállalati tulajdonú telefonokat, a többtényezős hitelesítéshez használt személyes telefonokat, az irányítópultokat elérő BYOD-táblagépeket, a szerződéses közreműködők mobileszközeit, az adminisztrációs konzolokat elérő kiemelt jogosultságú felhasználókat, valamint minden olyan mobilhozzáférést, amely személyes adatokat vagy pénzügyi tranzakciókat kezelő rendszerekhez kapcsolódik.

A 6. napon teszteljen valószerű forgatókönyvet: egy értékesítési igazgató bejelenti, hogy egy felügyelt vállalati e-mailt tartalmazó személyes telefonját ellopták a repülőtéren. A KKV-szabályzat egyértelmű jelentéstételi elvárást határoz meg:

„Az elveszett, ellopott vagy kompromittálódott eszközöket 1 órán belül jelenteni kell az ügyvezetőnek”
Forrás: Mobileszköz- és BYOD-szabályzat – KKV, a szabályzat végrehajtásának követelményei, 6.4.1 pont Mobileszköz- és BYOD-szabályzat – KKV

A gyakorlatnak tesztelnie kell, hogy a csapat képes-e azonosítani az eszközt, visszavonni a munkameneteket, távolról törölni a vállalati adatokat, megőrizni a naplókat, értékelni a személyes adatok kitettségét, eldönteni, szükséges-e GDPR szerinti incidenselemzés, és megállapítani, kiválthatók-e NIS2 vagy DORA szerinti jelentési küszöbértékek.

Keresztmegfelelés: egy mobilprogram, négy bizonyítéktörténet

Az ISO 27001 alapú BYOD-irányítás értéke az újrafelhasználhatóság. Egy kontrollkészlet több kötelezettséghez is bizonyítékot tud előállítani, ha megfelelően strukturált.

Ugyanez a logika kontrollszinten is érvényes.

A NIS2 esetében az alkalmazási terület döntő fontosságú. A digitális infrastruktúra-szolgáltatók, felhőszolgáltatók, adatközpont-szolgáltatók, tartalomkézbesítő hálózatok, DNS-szolgáltatók, TLD-nyilvántartók, bizalmi szolgáltatók, nyilvános elektronikus hírközlési szolgáltatók, B2B menedzselt szolgáltatók és menedzselt biztonsági szolgáltatók mérettől, ágazattól és nemzeti átültetéstől függően alapvető vagy fontos szervezeti kategóriába tartozhatnak. Ebben az összefüggésben az operatív rendszerekhez való irányítatlan mobilhozzáférés nem kisebb IT-kivétel. Irányítási kérdés.

A DORA esetében az MDM- vagy UEM-szolgáltató a harmadik fél kockázati bizonyítékok részévé válhat, ha kritikus vagy fontos funkciókhoz való hozzáférést támogat. A DORA szemléletű szervezeteknek dokumentálniuk kell az átvilágítást, a szolgáltatási szinteket, az adatok helyét, az incidens-támogatást, a biztonsági intézkedéseket, az auditálási jogot, a kilépési megállapodásokat és adott esetben a szolgáltató részvételét a tesztelésben.

GDPR szempontból egy elveszett személyes telefon nem automatikusan bejelentésköteles személyesadat-sértés. Akkor válik súlyos aggállyá, ha a vállalati adatok hozzáférhetők, titkosítatlanok, felügyelt tárolókon kívül gyorsítótárazottak, vagy aktív munkameneteken keresztül kitettek. A szervezetnek tudnia kell, milyen adatok voltak hozzáférhetők, megakadályozták-e a kontrollok a jogosulatlan hozzáférést, és a naplók alátámasztják-e a következtetést.

Hogyan tesztelik az auditorok a BYOD-irányítást?

Egy érett programnak fel kell készülnie különböző auditmegközelítésekre.

A Zenith Blueprint távmunka-audit ellenőrzőlistája egyértelmű: az auditorok azt ellenőrzik, hogy a szabályzat végrehajtott-e, nem csupán dokumentált. Készüljön fel a formális szabályzat bemutatására, a betartatás magyarázatára – például VPN-használat, végponti titkosítás vagy MDM –, a BYOD-bevonás vagy korlátozások igazolására, képzési nyilvántartások benyújtására, valamint annak demonstrálására, hogy a távmunkában dolgozók értik a kötelezettségeiket.

A NIST CSF 2.0 hasznos kiegészítő modellt ad. GOVERN funkciója megköveteli, hogy a jogi, szabályozási és szerződéses kiberbiztonsági követelmények ismertek és kezeltek legyenek, a kiberbiztonsági kockázat beépüljön a vállalati kockázatkezelésbe, a szerepkörök és hatáskörök meghatározottak legyenek, a szabályzatokat kialakítsák és nyomon kövessék, valamint a teljesítményt értékeljék. Mobilirányítás esetén egy gyakorlati célprofil így fogalmazhat: minden, személyes adatokhoz vagy kritikus üzleti rendszerekhez hozzáférő eszköz be van vonva, titkosított, megfelelő, felügyelt, és a kompromittálódás bejelentésétől számított egy órán belül kivonható.

Gyakori BYOD auditmegállapítások

A mobilirányítási megállapítások ritkán egyetlen katasztrofális hibából erednek. Általában olyan kisebb kivételekből keletkeznek, amelyeket soha nem zártak le.

Gyakori megállapítások:

• A BYOD a gyakorlatban engedélyezett, de formálisan nem jóváhagyott
• A hitelesítő alkalmazásokat az IBIR alkalmazási területén kívülinek kezelik
• Az MDM vállalati eszközökre konfigurált, de vállalati hozzáféréssel rendelkező személyes eszközökre nem
• A felsővezetők kimaradnak az eszközmegfelelési alapkövetelményekből
• A feltételes hozzáférés megkerülhető örökölt protokollokon vagy nem felügyelt böngészőkön keresztül
• Személyes eszközök konténerizáció nélkül férnek hozzá e-mailhez
• A mobilnaplókat SaaS-platformokban megőrzik, de nem vizsgálják felül és nem exportálják
• Létezik elveszett eszközökre vonatkozó eljárás, de a munkatársak nem ismerik a jelentési határidőt
• Nincs adatvédelmi megfogalmazás arról, hogy a vállalat mit felügyelhet és mit nem
• Nincs bizonyíték arra, hogy a mobilkivételek időkorlátosak és kockázatként elfogadottak
• Az MDM-beszállító nincs bevonva az IKT harmadik fél kockázatkezelésbe
• Nincs asztali gyakorlat mobil kompromittálódásra
• Nincs megfeleltetés a BYOD-kontrollok és a GDPR Article 32, NIS2 vagy DORA bizonyítékok között

Minden megállapítás javítható. A probléma általában nem az eszközök hiánya, hanem a tulajdonosi felelősség, a bizonyítékkialakítás és a keresztmegfelelési megfeleltetés hiánya.

Az igazgatósági szintű történet

A vezetésnek nincs szüksége minden MDM-konfigurációs részletre. Világos elszámoltathatósági narratívára van szüksége.

Egy erős igazgatósági szintű BYOD-álláspont ezt mondja:

1. Tudjuk, mely mobileszközök férnek hozzá a szervezeti erőforrásokhoz.
2. Megkülönböztetjük a vállalati tulajdonú és BYOD-hozzáférést.
3. A BYOD önkéntes, jóváhagyott és megállapodással szabályozott.
4. A vállalati adatok titkosítottak és elkülönítettek.
5. A hozzáférés az eszközmegfeleléstől függ.
6. A naplókat megőrzik és felülvizsgálják.
7. Az elveszett vagy kompromittálódott eszközöket gyorsan jelentik.
8. A vállalati adatok törölhetők vagy a hozzáférés visszavonható.
9. A személyesadat-kockázatokat GDPR szerint értékelik.
10. A kivételek jóváhagyottak, időkorlátosak és felülvizsgáltak.

Ez összekapcsolja a mobilirányítást a kockázatvállalási hajlandósággal, az operatív rezilienciával, a jogi elszámoltathatósággal és az ügyfélbizalommal. Az irányító testületek számára azt a bizonyítékot is biztosítja, amelyre szükségük van a NIS2 és DORA szerinti felügyelet igazolásához.

Hogyan segít a Clarysec?

A Clarysec mobil- és BYOD-irányítási modellje a szabályzatot, a végrehajtást és a keresztmegfelelési megfeleltetést ötvözi.

Először, a szabályzattár a szervezeteknek könnyen adaptálható irányítási megfogalmazást ad. A Mobileszköz- és BYOD-szabályzat – KKV praktikus kisebb vállalkozások számára, amelyeknek egyértelmű jóváhagyási és jelentési szabályokra van szükségük. A Mobileszköz- és BYOD-szabályzat olyan szabályozott környezeteket támogat, amelyek MDM-et, titkosítást, hitelesítést, OS-alapkövetelményeket, DLP-t, tárolókat, naplózást és formális BYOD-megállapodásokat igényelnek.

Másodszor, a Zenith Blueprint biztosítja a végrehajtási útvonalat. Megmutatja, hová tartozik a mobilirányítás a 30 lépéses audittervben: távmunka, telephelyen kívüli eszközbiztonság és végponti eszköz kontrollok. Ez megelőzi azt a gyakori hibát, hogy a BYOD-ot egyetlen dokumentumként kezeljék élő kontrollrendszer helyett.

Harmadszor, a Zenith Controls adja a keresztmegfelelési iránytűt. Összekapcsolja az ISO/IEC 27001:2022 Annex A A.8.1, A.6.7 és A.7.9 kontrolljait a kapcsolódó kontrollokkal, a támogató szabványokkal és az audit elvárásokkal. Ez a megfeleltetés segít az információbiztonsági vezetőknek megválaszolni a szabályozó valódi kérdését: mutassa be, hogy a mobilirányítás arányos, végrehajtott és hatékony.

Következő lépések: építse fel bizonyítható BYOD-bizonyítékcsomagját

Ha a szervezet engedélyezi a mobil- vagy BYOD-hozzáférést, ne várja meg, amíg egy elveszett iPad feltárja a bizonyítékhiányt.

Kezdje fókuszált értékeléssel:

• Sorolja fel a vállalati adatokhoz és kritikus rendszerekhez vezető összes mobil hozzáférési utat.
• Vesse össze a tényleges hozzáférést a Mobileszköz- és BYOD-szabályzat Mobileszköz- és BYOD-szabályzat vagy a Mobileszköz- és BYOD-szabályzat – KKV Mobileszköz- és BYOD-szabályzat – KKV követelményeivel.
• Hozzon létre egyoldalas mobilkockázati nyilvántartási bejegyzést az ISO/IEC 27001:2022 ISO/IEC 27001:2022 követelményeihez kapcsolva.
• Használja a Zenith Blueprint: auditori 30 lépéses ütemterv Zenith Blueprint anyagot a távmunka, a telephelyen kívüli eszközök és a végponti kontrollok megvalósításához.
• Használja a Zenith Controls: keresztmegfelelési útmutató Zenith Controls anyagot a bizonyítékok NIS2, DORA, GDPR, NIST és COBIT 19 elvárásokhoz való megfeleltetéséhez.
• Használja a Naplózási és felügyeleti szabályzat – KKV Naplózási és felügyeleti szabályzat – KKV anyagot a kisebb környezetek gyakorlati naplózási elvárásainak meghatározásához.
• Futtasson elveszett eszközre vonatkozó asztali gyakorlatot, és őrizze meg a bizonyítékokat.

A Clarysec segít az irányítatlan mobilhozzáférést bizonyítható, auditálható irányítási programmá alakítani. Töltse le a szabályzatokat, feleltesse meg kontrolljait a Zenith Controls segítségével, hajtsa végre az ütemtervet a Zenith Blueprint alapján, és ütemezzen Clarysec-értékelést, mielőtt a következő auditor felteszi a 8:12-es kérdést.