ISO 27002:2022, Controle 8.23, Webfiltering

Begrijpen van ISO 27002 Control 8.23: Webfiltering voor cyberbeveiliging

Als werknemers websites met schadelijke inhoud bezoeken, kan dit bedrijfsnetwerken en informatiesystemen blootstellen aan beveiligingsrisico's zoals malware-aanvallen.

Cyberaanvallers kunnen bijvoorbeeld een phishing-e-mail naar het zakelijke e-mailadres van een werknemer sturen, hem ertoe overhalen op een link te klikken en een website te bezoeken. Wanneer de medewerker deze website bezoekt, kan deze automatisch malware op het apparaat van de medewerker uploaden en vervolgens in bedrijfsnetwerken infiltreren. Dit type aanval wordt genoemd drive-by downloaden en het downloadt automatisch malware zodra een medewerker een website bezoekt.

Daarom moeten organisaties passende webfiltercontroles invoeren om de toegang tot externe websites te beperken en te controleren en veiligheidsbedreigingen te voorkomen.

Doel van de controle 8.23

Met Control 8.23 kunnen organisaties beveiligingsrisico's elimineren, zoals malware-infecties die kunnen optreden als gevolg van toegang tot externe websites met kwaadaardige inhoud.

Attributen Controletabel 8.23

Controle 8.23 is een preventieve vorm van controle waarbij organisaties passende toegangscontroles en maatregelen moeten invoeren om toegang tot kwaadaardige inhoud op externe websites te voorkomen.

controle Type	Eigenschappen voor informatiebeveiliging	Cyberbeveiligingsconcepten	Operationele mogelijkheden	Beveiligingsdomeinen
#Preventief	#Vertrouwelijkheid	#Beschermen	#Systeem- en netwerkbeveiliging	#Bescherming
	#Integriteit
	#Beschikbaarheid

ISMS.online geeft u een voorsprong van 81% vanaf het moment dat u inlogt

ISO 27001 eenvoudig gemaakt

Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.

Start

Eigendom van zeggenschap 8.23

Gezien het feit dat 8.28 betrekking heeft op de identificatie van externe websites met een hoog risico en het ontwerpen en implementeren van passende controles op toegang en webfiltering, moet de Chief Information Security Officer verantwoordelijk zijn voor het nemen van passende stappen voor naleving.

Algemene richtlijnen voor naleving

Organisaties moeten de nodige controles instellen en implementeren om te voorkomen dat werknemers toegang krijgen tot externe websites die virussen, phishing-materiaal of andere soorten illegale informatie kunnen bevatten.

Een effectieve techniek om de toegang tot gevaarlijke externe websites te voorkomen, is het blokkeren van het IP-adres of domein van websites die als gevaarlijk zijn geïdentificeerd. Sommige browsers en anti-malwaretools stellen organisaties bijvoorbeeld in staat dit automatisch te doen.

Controle 8.23 merkt op dat organisaties moeten bepalen welke soorten websites niet mogen worden bezocht door werknemers.

In het bijzonder moeten de volgende soorten websites worden geblokkeerd:

Websites met functionaliteit voor het uploaden van informatie. Toegang moet afhankelijk zijn van toestemming en mag alleen worden verleend om geldige zakelijke redenen.
Websites waarvan bekend is of vermoed wordt dat ze kwaadaardig materiaal bevatten, zoals websites met malware-inhoud.
Commando- en controleservers.
Schadelijke websites verkregen uit dreigingsinformatie. Organisaties moeten Controle 5.7 raadplegen voor meer details.
Websites die illegale inhoud en materialen verspreiden.

Voordat deze controle wordt ontworpen en geïmplementeerd, wordt organisaties geadviseerd regels op te stellen voor veilige en passende toegang tot en gebruik van online bronnen. Dit zou ook het opleggen van beperkingen moeten omvatten aan websites die ongepast materiaal bevatten.

Deze regels moeten regelmatig worden herzien en bijgewerkt.

Aanvullende richtlijnen voor de opleiding van personeel

Controle 8.23 vereist dat al het personeel training moet krijgen over hoe ze online bronnen veilig kunnen openen en gebruiken.

Deze training moet de eigen regels van de organisatie behandelen en moet ingaan op de manier waarop het personeel zijn/haar veiligheidsproblemen kan uiten door contact op te nemen met de relevante persoon binnen de organisatie.

Bovendien moet de training ook ingaan op de manier waarop personeel om gegronde zakelijke redenen toegang kan krijgen tot beperkte websites en hoe dit uitzonderingsproces werkt voor dergelijke toegang.

Als laatste, maar daarom niet minder belangrijk, zou de training aandacht moeten besteden aan browseradvies dat gebruikers waarschuwt dat een website niet veilig is, maar dat gebruikers in staat stelt verder te gaan. Het personeel moet worden geïnstrueerd dergelijke waarschuwingen niet te negeren.

ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Boek uw demo

Aanvullend richtsnoer voor controle 8.23

Er zijn verschillende webfiltertechnieken, zoals:

Heuristieken.
Handtekeningen.
Lijst met verboden en acceptabele websites.
Domeinconfiguratie.

Wijzigingen en verschillen ten opzichte van ISO 27002:2013

27002:2022/8.23 is een nieuw type besturing.

Nieuwe ISO 27002-controles

Nieuwe bedieningselementen

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
5.7	NIEUW	Bedreigingsintelligentie
5.23	NIEUW	Informatiebeveiliging voor gebruik van clouddiensten
5.30	NIEUW	ICT gereed voor bedrijfscontinuïteit
7.4	NIEUW	Fysieke beveiligingsmonitoring
8.9	NIEUW	Configuratiebeheer
8.10	NIEUW	Verwijdering van informatie
8.11	NIEUW	Gegevensmaskering
8.12	NIEUW	Preventie van gegevenslekken
8.16	NIEUW	Monitoring activiteiten
8.23	NIEUW	Web filtering
8.28	NIEUW	Veilige codering

Organisatorische controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
5.1	05.1.1, 05.1.2	Beleid voor informatiebeveiliging
5.2	06.1.1	Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
5.3	06.1.2	Scheiding van taken
5.4	07.2.1	Directie verantwoordelijkheden
5.5	06.1.3	Contact met autoriteiten
5.6	06.1.4	Contact met speciale belangengroepen
5.7	NIEUW	Bedreigingsintelligentie
5.8	06.1.5, 14.1.1	Informatiebeveiliging in projectmanagement
5.9	08.1.1, 08.1.2	Inventarisatie van informatie en andere bijbehorende activa
5.10	08.1.3, 08.2.3	Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen
5.11	08.1.4	Teruggave van activa
5.12	08.2.1	Classificatie van informatie
5.13	08.2.2	Etikettering van informatie
5.14	13.2.1, 13.2.2, 13.2.3	Informatieoverdracht
5.15	09.1.1, 09.1.2	Toegangscontrole
5.16	09.2.1	Identiteitsbeheer
5.17	09.2.4, 09.3.1, 09.4.3	Authenticatie-informatie
5.18	09.2.2, 09.2.5, 09.2.6	Toegangsrechten
5.19	15.1.1	Informatiebeveiliging in leveranciersrelaties
5.20	15.1.2	Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
5.21	15.1.3	Het beheren van informatiebeveiliging in de ICT-toeleveringsketen
5.22	15.2.1, 15.2.2	Het monitoren, beoordelen en wijzigen van de diensten van leveranciers
5.23	NIEUW	Informatiebeveiliging voor gebruik van clouddiensten
5.24	16.1.1	Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
5.25	16.1.4	Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
5.26	16.1.5	Reactie op informatiebeveiligingsincidenten
5.27	16.1.6	Leren van informatiebeveiligingsincidenten
5.28	16.1.7	Verzameling van bewijs
5.29	17.1.1, 17.1.2, 17.1.3	Informatiebeveiliging tijdens verstoring
5.30	5.30	ICT gereed voor bedrijfscontinuïteit
5.31	18.1.1, 18.1.5	Wettelijke, wettelijke, regelgevende en contractuele vereisten
5.32	18.1.2	Intellectuele eigendomsrechten
5.33	18.1.3	Bescherming van documenten
5.34	18.1.4	Privacy en bescherming van PII
5.35	18.2.1	Onafhankelijke beoordeling van informatiebeveiliging
5.36	18.2.2, 18.2.3	Naleving van beleid, regels en standaarden voor informatiebeveiliging
5.37	12.1.1	Gedocumenteerde operationele procedures

Mensencontroles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
6.1	07.1.1	Doorlichting
6.2	07.1.2	Arbeidsvoorwaarden
6.3	07.2.2	Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
6.4	07.2.3	Disciplinair proces
6.5	07.3.1	Verantwoordelijkheden na beëindiging of verandering van dienstverband
6.6	13.2.4	Vertrouwelijkheids- of geheimhoudingsovereenkomsten
6.7	06.2.2	Werken op afstand
6.8	16.1.2, 16.1.3	Rapportage van informatiebeveiligingsgebeurtenissen

Fysieke controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
7.1	11.1.1	Fysieke veiligheidsperimeters
7.2	11.1.2, 11.1.6	Fysieke toegang
7.3	11.1.3	Beveiligen van kantoren, kamers en faciliteiten
7.4	NIEUW	Fysieke beveiligingsmonitoring
7.5	11.1.4	Bescherming tegen fysieke en ecologische bedreigingen
7.6	11.1.5	Werken in beveiligde ruimtes
7.7	11.2.9	Overzichtelijk bureau en helder scherm
7.8	11.2.1	Locatie en bescherming van apparatuur
7.9	11.2.6	Beveiliging van activa buiten het terrein
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Opslag media
7.11	11.2.2	Ondersteunende nutsvoorzieningen
7.12	11.2.3	Beveiliging van de bekabeling
7.13	11.2.4	Apparatuuronderhoud
7.14	11.2.7	Veilige verwijdering of hergebruik van apparatuur

Technologische controles

ISO/IEC 27002:2022 Controle-identificatie	ISO/IEC 27002:2013 Controle-identificatie	Controle naam
8.1	06.2.1, 11.2.8	Eindpuntapparaten van gebruikers
8.2	09.2.3	Bevoorrechte toegangsrechten
8.3	09.4.1	Beperking van toegang tot informatie
8.4	09.4.5	Toegang tot broncode
8.5	09.4.2	Veilige authenticatie
8.6	12.1.3	Capaciteitsmanagement
8.7	12.2.1	Bescherming tegen malware
8.8	12.6.1, 18.2.3	Beheer van technische kwetsbaarheden
8.9	NIEUW	Configuratiebeheer
8.10	NIEUW	Verwijdering van informatie
8.11	NIEUW	Gegevensmaskering
8.12	NIEUW	Preventie van gegevenslekken
8.13	12.3.1	Informatie back-up
8.14	17.2.1	Redundantie van informatieverwerkingsfaciliteiten
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	NIEUW	Monitoring activiteiten
8.17	12.4.4	klok synchronisatie
8.18	09.4.4	Gebruik van bevoorrechte hulpprogramma's
8.19	12.5.1, 12.6.2	Installatie van software op operationele systemen
8.20	13.1.1	Netwerkbeveiliging
8.21	13.1.2	Beveiliging van netwerkdiensten
8.22	13.1.3	Segregatie van netwerken
8.23	NIEUW	Web filtering
8.24	10.1.1, 10.1.2	Gebruik van cryptografie
8.25	14.2.1	Veilige ontwikkelingslevenscyclus
8.26	14.1.2, 14.1.3	Beveiligingsvereisten voor applicaties
8.27	14.2.5	Veilige systeemarchitectuur en engineeringprincipes
8.28	NIEUW	Veilige codering
8.29	14.2.8, 14.2.9	Beveiligingstesten in ontwikkeling en acceptatie
8.30	14.2.7	Uitbestede ontwikkeling
8.31	12.1.4, 14.2.6	Scheiding van ontwikkel-, test- en productieomgevingen
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Wijzig beheer
8.33	14.3.1	Test informatie
8.34	12.7.1	Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

U kunt alle aspecten van uw ISO 27002-compliancetraject vanaf één plek monitoren en beheren: auditbeheer, gap-analyse, trainingsbeheer, risicobeoordeling enz.

Het biedt een gebruiksvriendelijke, geïntegreerde oplossing die 24/7 toegankelijk is via elk apparaat met een internetverbinding. Met het platform kunnen alle medewerkers naadloos en veilig samenwerken om beveiligingsrisico's te beheren en de naleving van de organisatie te volgen, evenals het traject naar ISO 27001-certificering.

Neem vandaag nog contact op met boek een demo.

Wij zijn een leider in ons vakgebied