ISO 27002:2022, Kiểm soát 8.23 ​​– Lọc Web

Nếu nhân viên truy cập vào các trang web có nội dung độc hại, điều này có thể khiến mạng lưới công ty và hệ thống thông tin gặp rủi ro bảo mật như bị tấn công bằng phần mềm độc hại.

Ví dụ, kẻ tấn công mạng có thể gửi email lừa đảo đến email công việc của nhân viên, thuyết phục anh ta nhấp vào liên kết và truy cập trang web. Khi nhân viên truy cập trang web này, chúng có thể tự động tải phần mềm độc hại lên thiết bị của nhân viên và sau đó xâm nhập vào mạng công ty. Kiểu tấn công này được gọi là tải xuống theo ổ đĩa và nó tự động tải xuống phần mềm độc hại khi nhân viên truy cập trang web.

Do đó, các tổ chức nên áp dụng các biện pháp kiểm soát lọc web phù hợp để hạn chế và kiểm soát quyền truy cập vào các trang web bên ngoài và ngăn ngừa các mối đe dọa bảo mật.

Mục đích của Kiểm soát 8.23

Control 8.23 ​​cho phép các tổ chức loại bỏ các rủi ro bảo mật như nhiễm phần mềm độc hại có thể phát sinh do truy cập vào các trang web bên ngoài có nội dung độc hại.

Bảng Thuộc tính

Kiểm soát 8.23 ​​là loại kiểm soát phòng ngừa yêu cầu các tổ chức phải áp dụng các biện pháp và kiểm soát truy cập phù hợp để ngăn chặn truy cập vào nội dung độc hại trên các trang web bên ngoài.

Quyền sở hữu kiểm soát 8.23

Xem xét rằng 8.28 liên quan đến việc xác định các trang web bên ngoài có rủi ro cao và thiết kế và triển khai các biện pháp kiểm soát truy cập và lọc web phù hợp, giám đốc an ninh thông tin phải chịu trách nhiệm thực hiện các bước thích hợp để tuân thủ.

Hướng dẫn chung về tuân thủ

Các tổ chức nên thiết lập và triển khai các biện pháp kiểm soát cần thiết để ngăn chặn nhân viên truy cập vào các trang web bên ngoài có thể chứa vi-rút, tài liệu lừa đảo hoặc các loại thông tin bất hợp pháp khác.

Một kỹ thuật hiệu quả để ngăn chặn truy cập vào các trang web bên ngoài nguy hiểm là chặn địa chỉ IP hoặc tên miền của các trang web được xác định là nguy hiểm. Ví dụ, một số trình duyệt và công cụ chống phần mềm độc hại cho phép các tổ chức thực hiện việc này tự động.

Điều 8.23 ​​lưu ý rằng các tổ chức phải xác định loại trang web nào mà nhân viên không được phép truy cập.

Đặc biệt, cần chặn các loại trang web sau đây:

• Các trang web có chức năng tải thông tin. Việc truy cập phải được cấp phép và chỉ được cấp vì lý do kinh doanh hợp lệ.
• Các trang web được biết hoặc nghi ngờ có chứa nội dung độc hại, chẳng hạn như các trang web có nội dung phần mềm độc hại.
• Máy chủ chỉ huy và điều khiển.
• Các trang web độc hại thu được từ thông tin tình báo về mối đe dọa. Các tổ chức nên tham khảo Kiểm soát 5.7 để biết thêm chi tiết.
• Các trang web phân phối nội dung và tài liệu bất hợp pháp.

Trước khi thiết kế và triển khai Kiểm soát này, các tổ chức được khuyến cáo nên đưa ra các quy tắc để truy cập và sử dụng các nguồn tài nguyên trực tuyến một cách an toàn và phù hợp. Điều này cũng bao gồm việc áp dụng các hạn chế đối với các trang web có chứa tài liệu không phù hợp.

Những quy định này cần được xem xét và cập nhật thường xuyên.

Hướng dẫn bổ sung về đào tạo nhân viên

Tiêu chuẩn 8.23 ​​yêu cầu tất cả nhân viên phải được đào tạo về cách truy cập và sử dụng tài nguyên trực tuyến một cách an toàn.

Khóa đào tạo này phải đề cập đến các quy tắc riêng của tổ chức và giải quyết cách nhân viên có thể nêu lên mối lo ngại về an ninh của mình bằng cách liên hệ với cá nhân có liên quan trong tổ chức.

Hơn nữa, nội dung đào tạo cũng nên đề cập đến cách nhân viên có thể truy cập vào các trang web bị hạn chế vì lý do kinh doanh hợp lệ và cách thức quy trình ngoại lệ này hoạt động đối với quyền truy cập đó.

Cuối cùng nhưng không kém phần quan trọng, đào tạo nên giải quyết lời khuyên của trình duyệt cảnh báo người dùng rằng một trang web không an toàn nhưng cho phép người dùng tiếp tục. Nhân viên nên được hướng dẫn không bỏ qua những cảnh báo như vậy.

Hướng dẫn bổ sung về Kiểm soát 8.23

Có nhiều kỹ thuật lọc web khác nhau như:

• Phương pháp suy luận.
• Chữ ký.
• Danh sách các trang web bị cấm và được chấp nhận.
• Cấu hình tên miền.

Những thay đổi và khác biệt so với ISO 27002:2013

27002:2022/8.23 là một loại điều khiển mới.