Un partner vuole una copia della nostra politica di sicurezza IT scritta e non sono sicuro di cosa fare [chiuso]

23

La mia azienda sta lavorando con un'altra società e come parte del contratto stanno richiedendo una copia della politica di sicurezza IT scritta della mia azienda. Non ho una politica di sicurezza IT scritta e non sono esattamente sicuro di cosa voglio dare loro. Siamo un negozio Microsoft. Abbiamo programmi di aggiornamento, account ad accesso limitato per la gestione di server, firewall, certificati SSL e di volta in volta eseguiamo Microsoft Baseline Security Analyzer.

Configuriamo i servizi e gli account utente perché riteniamo che sia principalmente sicuro e protetto (è difficile quando non si ha il controllo completo su quale software si esegue), ma non posso entrare in ogni dettaglio, ogni servizio e server è diverso. Sto ottenendo ulteriori informazioni su ciò che vogliono, ma mi sento come se fossero in una spedizione di pesca.

Le mie domande sono: è una pratica standard chiedere queste informazioni? (Non sono contrario, ma non è mai successo prima.) E se questo è standard, esiste un formato standard e un livello di dettaglio atteso che dovrei presentare?

best-practices 
reconbot
fonte
1
Si scopre che stiamo richiedendo la certificazione c-tpat. Ci viene richiesto solo di aderire a due cose. 1) Protezione con password 2) Responsabilità ( cbp.gov/xp/cgov/trade/cargo_security/ctpat/security_guideline/… ) L'incredibile quantità di buone risposte qui mi ha fatto pensare, ho iniziato un progetto per avere un piano formale usando molti dei tuoi consigli, non per la certificazione ma per noi stessi.
Riconnetto il
Questa domanda è fuori tema in base alle attuali regole di attualità.
HopelessN00b

Risposte:

44

Non hanno bisogno di una copia dell'intera politica IT interna, ma penso che potrebbero essere alla ricerca di qualcosa di simile a questo: qualcuno deve sicuramente fornirti informazioni sufficienti sul contratto per determinare quanti dettagli devi fornire e su cosa. Tuttavia, sono d'accordo con Joseph: se hanno bisogno delle informazioni per motivi legali / di conformità, devono esserci input legali.

Informazioni di base

1) Qualcuno dei tuoi dipendenti si trova al di fuori degli Stati Uniti?

2) La vostra azienda ha messo in atto politiche di sicurezza delle informazioni formalizzate e documentate?

3) Il trattamento e la classificazione delle informazioni e dei dati sono coperti dalle vostre politiche di sicurezza delle informazioni?

4) Esistono problemi normativi in ​​sospeso che stai affrontando nello stato in cui operi? Se sì, per favore spiega.

Sicurezza generale

1) Avete un programma di formazione sulla consapevolezza della sicurezza delle informazioni per dipendenti e appaltatori?

2) Quale dei seguenti metodi per autenticare e autorizzare l'accesso ai vostri sistemi e applicazioni utilizzate attualmente:

  • Eseguito dal sistema operativo
  • Eseguito da prodotto commerciale
  • Single Sign-On
  • Certificati digitali lato client
  • Altra autenticazione a due fattori
  • Coltivato in casa
  • Nessun meccanismo di autenticazione in atto

3) Chi autorizza l'accesso per dipendenti, appaltatori, interinali, fornitori e partner commerciali?

4) Consenti ai tuoi dipendenti (inclusi appaltatori, interinali, fornitori, ecc.) Di avere accesso remoto alle tue reti?

5) Hai un piano di risposta agli incidenti sulla sicurezza delle informazioni? In caso negativo, come vengono gestiti gli incidenti di sicurezza delle informazioni?

6) Avete una politica che affronta la gestione delle informazioni interne o riservate nei messaggi di posta elettronica all'esterno dell'azienda?

7) Esaminate le vostre politiche e standard di sicurezza delle informazioni almeno una volta all'anno?

8) Quali metodi e controlli fisici sono in atto per impedire l'accesso non autorizzato alle aree sicure della tua azienda?

  • Server di rete in stanze chiuse
  • Accesso fisico ai server limitato dall'identificazione di sicurezza (carte di accesso, dati biometrici, ecc.)
  • Monitoraggio video
  • Log e procedure di accesso
  • Badge di sicurezza o carte d'identità visibili in ogni momento in aree sicure
  • Guardie di sicurezza
  • Nessuna
  • Altro, si prega di fornire ulteriori dettagli

9) Descrivi la tua password per tutti gli ambienti? Vale a dire. Lunghezza, forza e invecchiamento

10) Hai un piano di disaster recovery (DR)? Se sì, con che frequenza lo collaudi?

11) Hai un piano di continuità operativa (BC)? Se sì, con che frequenza lo collaudi?

12) Ci fornirai una copia dei risultati dei tuoi test (BC e DR) se richiesto?

Revisione di architettura e sistema

1) I dati e / o le applicazioni di [The Company] saranno archiviati e / o elaborati su un server dedicato o condiviso?

2) Se su un server condiviso, come verranno segmentati i dati di [Azienda] da quelli di altre società?

3) Quali tipi di connettività da azienda a società saranno forniti?

  • Internet
  • Linea privata / noleggiata (ad es. T1)
  • Dial-up
  • VPN (rete privata virtuale)
  • Servizio terminal
  • Nessuna
  • Altro, si prega di fornire ulteriori dettagli

4) Questa connettività di rete sarà crittografata? In caso affermativo, quali metodi di crittografia verranno utilizzati?

5) È necessario un codice lato client (incluso codice ActiveX o Java) per utilizzare la soluzione? Se sì, descrivi.

6) Hai un firewall per controllare l'accesso alla rete esterna ai tuoi server web. In caso negativo, dove si trovano questi server?

7) La tua rete include una DMZ per l'accesso a Internet alle applicazioni? Se no, dove si trovano queste applicazioni?

8) La tua organizzazione adotta misure per evitare interruzioni del servizio Denial of Service? Descrivi questi passaggi

9) Eseguite una delle seguenti revisioni / prove sulla sicurezza delle informazioni

  • Scansioni interne di sistema / rete
  • Autovalutazioni gestite internamente e / o revisioni di due diligence
  • Revisioni del codice interno / revisioni tra pari
  • Test / studi di penetrazione di terze parti esterni
  • Altro, fornire dettagli Con quale frequenza vengono eseguiti questi test?

10) Quali delle seguenti pratiche di sicurezza delle informazioni vengono utilizzate attivamente all'interno dell'organizzazione

  • Elenchi di controllo degli accessi
  • Certificati digitali - Lato server
  • Certificati digitali - Lato client
  • Firme digitali
  • Rilevamento / prevenzione delle intrusioni basato sulla rete
  • Rilevazione / prevenzione delle intrusioni basate sull'host
  • Aggiornamenti pianificati per i file delle firme di rilevamento / prevenzione delle intrusioni
  • Monitoraggio delle intrusioni 24x7
  • Scansione antivirus continua
  • Aggiornamenti pianificati per i file delle firme antivirali
  • Studi e / o test di penetrazione
  • Nessuna

11) Hai standard per la protezione o la protezione dei tuoi sistemi operativi?

12) Hai un programma per applicare aggiornamenti e hotfix ai tuoi sistemi operativi? In caso negativo, comunicaci come determinare cosa e quando applicare patch e aggiornamenti critici

13) Per fornire protezione da un'interruzione dell'alimentazione o della rete, gestite sistemi completamente ridondanti per i vostri sistemi transazionali chiave?

Server Web (se applicabile)

1) Qual è l'URL che verrà utilizzato per accedere all'applicazione / ai dati?

2) Quali sistemi operativi sono i server web? (Fornire nome del sistema operativo, versione e service pack o livello di patch.)

3) Cos'è il software del server Web?

Server applicazioni (se applicabile)

1) Quali sistemi operativi sono i server delle applicazioni? (Fornire nome del sistema operativo, versione e service pack o livello di patch.)

2) Cos'è il software del server delle applicazioni?

3) Stai utilizzando il controllo degli accessi in base al ruolo? Se sì, come vengono assegnati i livelli di accesso ai ruoli?

4) In che modo è possibile garantire un'adeguata autorizzazione e separazione dei compiti?

5) La tua applicazione impiega accesso / sicurezza multi-livello utente? In caso affermativo, si prega di fornire dettagli.

6) Le attività nella tua applicazione sono monitorate da un sistema o servizio di terze parti? Se sì, forniscici il nome dell'azienda e del servizio e quali informazioni vengono monitorate

Database Server (se applicabile)

1) Quali sistemi operativi sono i server di database? (Fornire nome del sistema operativo, versione e service pack o livello di patch.)

2) Quale software del database server viene utilizzato?

3) Il DB è replicato?

4) Il server DB fa parte di un cluster?

5) Cosa si fa (se non altro) per isolare i dati di [The Company] da altre società?

6) I dati di [The Company], se archiviati su disco, saranno crittografati? In caso affermativo, descrivere il metodo di crittografia

7) Come vengono acquisiti i dati di origine?

8) Come vengono gestiti gli errori di integrità dei dati?

Controllo e registrazione

1) Registrate l'accesso del cliente su:

  • Il web server?
  • Il server delle applicazioni?
  • Il server di database?

2) I registri sono stati revisionati? In caso affermativo, spiegare la procedura e con quale frequenza vengono esaminati?

3) Fornite sistemi e risorse per mantenere e monitorare i log di audit e i log delle transazioni? Se sì, quali registri conservi e per quanto tempo li conservi?

4) Consentirai a [La Società] di rivedere i tuoi registri di sistema in base alla nostra azienda?

vita privata

1) Quali sono i processi e le procedure utilizzati per declassificare / cancellare / scartare i dati di [La Società] quando non sono più necessari?

2) Hai mai divulgato erroneamente o accidentalmente informazioni sui clienti?
Se sì, quali misure correttive hai implementato da allora?

3) Gli appaltatori (non dipendenti) hanno accesso a informazioni sensibili o riservate? In caso affermativo, hanno firmato un accordo di non divulgazione?

4) Hai fornitori autorizzati ad accedere e mantenere reti, sistemi o applicazioni? In caso affermativo, questi fornitori sono soggetti a contratti scritti che prevedono riservatezza, controlli preliminari e assicurazione / indennizzo contro perdite?

5) Come vengono classificati e protetti i tuoi dati?

operazioni

1) Qual è la frequenza e il livello dei tuoi backup?

2) Qual è il periodo di conservazione in loco dei backup?

3) In quale formato sono archiviati i tuoi backup?

4) Conservate i backup in una posizione fuori sede? In caso affermativo, qual è il periodo di conservazione?

5) Crittografate i vostri backup dei dati?

6) Come assicurate che vengano eseguiti solo programmi di produzione validi?

Kara Marfia
fonte
Kara, questa è una delle risposte più ben ponderate e dettagliate che abbia mai avuto. Immagino che tu l'abbia fatto un paio di volte.
Riconnettere il
1
Sono abituato a riempirli, sì. ;) Sospetto che siano stati riuniti da vasti comitati in stanze buie e piene di fumo ... Sono contento che aiuti, però. Il dilemma che ti è stato consegnato è una grande ragione per l'esistenza di SF.
Kara Marfia,
1
"Qualcuno dei tuoi dipendenti si trova al di fuori degli Stati Uniti?" -- divertente. Dal mio punto di vista, è più un rischio avere un dipendente negli Stati Uniti . Il punto è che siamo tenuti per legge a non consentire a nessuno di accedere ai dati o ai server (senza l'approvazione di un giudice) e i nostri avvocati hanno affermato che esattamente questo requisito non può essere soddisfatto se un dipendente degli Stati Uniti ha accesso a questi dati: )
serverhorror il
4

Mi sono mai state chieste queste informazioni solo quando si lavora con industrie regolamentate (banche) o governo.

Non sono a conoscenza di un "formato standard", di per sé, ma poi mi è sempre stato dato un modello che il mio cliente aveva ricevuto da un revisore come "luogo di partenza" quando dovevo crearli.

Probabilmente inizierei con alcune ricerche su Google e vedrò cosa potrei trovare in documenti di esempio sulle norme. SANS ( http://www.sans.org ) è anche un altro buon posto per iniziare a cercare.

Per quanto riguarda il livello di dettaglio, direi che probabilmente deve essere adattato al pubblico e allo scopo. Manterrei i dettagli di alto livello a meno che non mi sia stato specificamente chiesto di fornire dettagli di basso livello.

Evan Anderson
fonte
Usavo sempre un modello NIST per creare rapidamente una politica di sicurezza, ma non ne ho più una copia e un veloce google non riesce più a trovare gli originali (penso che ora NIST addebiti). Il governo della California ha alcune buone risorse, compresi i modelli, su oispp.ca.gov/government/Library/samples.asp anche il suggerimento di cui sopra del SANS Institute è un'ottima risorsa.
hromanko,
4

Esistono diversi motivi per cui un'azienda potrebbe voler visualizzare la propria politica di sicurezza. Un esempio è che l'industria delle carte di pagamento (Visa, MasterCard, AmEx, ecc ...) richiede che le aziende che elaborano le carte di credito debbano aderire all'industria delle carte di pagamento - Standard di sicurezza dei dati (PCI-DSS). Una sezione del PCI-DSS richiede che anche i partner dell'azienda debbano aderire al PCI-DSS (che ovviamente richiede politiche scritte).

Francamente se ti concedo l'accesso alla tua rete tramite una VPN o una connessione diretta, allora voglio sapere che hai un certo livello di sicurezza, altrimenti mi sto aprendo a tutti i tipi di potenziali problemi.

Ecco perché la certificazione PCI o ISO 27001 può essere un vantaggio in questo senso perché puoi far sapere all'organizzazione esterna che hai gestito le cose fino a un certo livello. Se le tue politiche sono molto generali quali dovrebbero essere, allora potrebbe non essere un problema fornire una copia al tuo partner. Tuttavia, se vogliono vedere procedure specifiche o informazioni sulla sicurezza, non lascerei che questo lasci il mio sito.

Kara ha una guida eccellente su ciò che vuoi includere nelle tue politiche. Ecco un esempio di una politica.

IT-001 Criterio di backup / ripristino del sistema

I. Introduzione Questa sezione illustra l'importanza dei backup, il modo in cui si prevede di testare e conservare le copie fuori sede.

II. Scopo A. Questa politica coprirà la frequenza, l'archiviazione e il ripristino B. Questa politica copre i dati, i sistemi operativi e il software dell'app C. Tutte le procedure di backup / ripristino devono essere documentate e conservate in un luogo sicuro

III. Ambito di applicazione Questa sezione rileva che la politica copre tutti i server e le risorse di dati della tua azienda (e qualsiasi altra area specifica come gli uffici satellite).

IV. Ruoli e responsabilità A. Manager: decide cosa eseguire il backup, determina la frequenza, il supporto e le procedure, controlla anche che i backup avvengano B. Amministratore di sistema: esegue i backup, controlla i backup, verifica i backup, trasporta i backup, verifica il ripristino, mantiene rotazione del backup nonno / padre / figlio C. Utenti - Ha input su ciò di cui viene eseguito il backup, deve posizionare i dati nella posizione designata per il backup

V. Politica Descrizione Backup: tutte le cose che vuoi dire sui backup in senso generale Ripristino: tutte le cose che vuoi dire sul recupero in senso generale

Le istruzioni passo-passo specifiche devono essere contenute in un documento separato relativo alle procedure / istruzioni di lavoro. Tuttavia, se si dispone di un'organizzazione molto piccola, è possibile che le politiche non vengano separate dalle procedure.

Spero che questo ti aiuti e ti dia alcune informazioni utili.

David Yu
fonte
+1 perché sarei disposto a scommettere sul fatto che PCI potrebbe essere coinvolto in un contratto. (la carta di credito PCI, non il vecchio connettore del bus). in questo caso, non vogliono una specifica completa, ma solo le cose che influiscono sulla loro conformità PCI.
Matt,
1

Ho dovuto scrivere uno di questi di recente e non è stato troppo difficile. Certo, anche il punto sulla sartoria è importante, poiché alcuni dettagli richiederanno più lavoro da descrivere di altri. NIST ha anche una vasta libreria di pubblicazioni online gratuite che descrivono le misure di sicurezza per vari scopi, puoi usarle per idee in cui non sei sicuro di quale tipo / entità della sicurezza sia richiesta.

Ecco alcune categorie generali da trattare in termini di alto livello:

  • Politica di conservazione dei dati
  • Procedure di backup / Accesso ai backup
  • Restrizioni di accesso interne (fisiche e virtuali)
    • Rete (wireless, cablata)
    • Hardware (server, workstation, locali d'ufficio, fuori sede / telelavoro)
    • Hosting / Data Center (importante se stai memorizzando i dati dei partner)
    • Sistema operativo
  • Screening del personale

Questo elenco può essere espanso o ridotto sulla base di ora sono necessarie molte informazioni. Inoltre, non è necessario agitarsi se non si ha ancora tutto questo a posto. Il mio consiglio è di attenersi alla descrizione delle vostre politiche "previste", ma preparatevi ad espanderle immediatamente per qualsiasi mancanza. Preparati anche a essere chiamato su ciò che stai rivendicando, non importa quanto sia improbabile (gli avvocati non se ne occuperanno in seguito).

Dana the Sane
fonte
1

Vorrei iniziare con la consulenza legale della vostra azienda su questo soprattutto perché fa parte di un contratto.

Giuseppe
fonte
1

Per far fronte alla necessità di inviare una copia del documento sulla politica di sicurezza sarebbe un po 'contrario alla sicurezza. Ho scritto la nostra politica di sicurezza e ho estratto la maggior parte dei documenti dai modelli di SAN. Gli altri che puoi compilare con ricerche di norme specifiche su Google. Il modo in cui gestiamo una parte esterna che desidera vedere la politica è lasciarli sedere nell'ufficio del nostro direttore delle operazioni e consentire loro di leggerlo. La nostra politica è che la politica non lascia mai l'edificio e più specificamente la nostra vista. Abbiamo accordi che qualsiasi terza parte deve concordare quando lavora con capacità specifiche che richiederebbero l'accesso alle nostre informazioni. E sono caso per caso. Questa politica potrebbe non adattarsi al tuo ambiente né tutte le politiche che si trovano su SAN "

TechGuyTJ
fonte
Sono contento di non essere l'unico con questa esperienza.
MathewC
È stata interessante, ma è stata un'esperienza fantastica. I miei utenti potrebbero non piacermi più molto, ma se lo guardi da una prospettiva statistica. Ho letto in e-settimana o settimana informativa che da qualche parte nel vicinato il 70% di tutte le aziende che subiscono una violazione della sicurezza non riescono a riprendersi e entro 2 anni dalla scoperta della violazione chiudere le proprie porte.
TechGuyTJ,
1

È una pratica standard: la mia esperienza è sì per alcuni settori che sono regolamentati, come banche, cibo, energia, ecc.

Esiste un formato standard: ci sono un certo numero di standard, ma se il tuo contratto non specifica uno standard (ISO, ad esempio), dovresti contrattualmente OK per fornire qualunque formato tu scelga.

Non dovrebbe essere difficile. Hai già uno standard di patching e password, quindi il documento dovrebbe specificare che cos'è quello standard e come assicurarti che venga seguito. Non cadere nella trappola di passare troppo tempo a renderlo carino. Basta un semplice documento.

Se il tuo contratto specifica l'uso di uno standard specifico, dovresti cercare un aiuto professionale per assicurarti di essere contrattualmente conforme.

Shawn Anderson
fonte
1

Riceviamo molto questa domanda perché siamo una struttura di hosting. La linea di fondo è che non lo diamo a meno che non sappiamo esattamente cosa stanno cercando in anticipo. Se stanno cercando qualcosa nella nostra politica di sicurezza che non abbiamo, è in genere perché la natura della nostra attività non lo richiede e lo diciamo noi. Questo può essere soggettivo, ma non importa - dobbiamo ancora perdere affari a causa sua. Più spesso, lo chiedono perché devono dire a qualcun altro che hanno fatto. Una risposta "NO" non è necessariamente una cosa negativa o un affare.

Abbiamo appena ottenuto la certificazione SAS70 II, quindi ora forniamo solo la lettera di opinione del revisore e lasciamo che parli per le nostre politiche scritte.

Scott Kantner
fonte
0

Avrai bisogno di un accordo di riservatezza prima di mostrare loro qualcosa. Poi li lascerei venire a rivedere la politica di sicurezza, ma non ne avrei mai avuto una copia.

MathewC
fonte
Non ti avrei votato, ma mentre non lo avrei pubblicato, condividerlo con i partner commerciali non è fuori discussione. Anche se non è stato lo stesso in tutte le aziende in cui ho lavorato, il mio dipartimento IT esiste per le esigenze aziendali al di sopra delle altre. Immagino che condividere il nostro piano di sicurezza IT sia simile alla condivisione di un processo aziendale o di un piano aziendale.
Riconnettere il
Ho superato la conformità SAS70 e molti "partner" avrebbero consentito solo la revisione. È una responsabilità avere qualcosa in stampa che dice che fai qualcosa, e poi non lo fai, o hai fatto qualcosa che ha causato un problema. Mi dispiace che tu non sia d'accordo, ma stavo dando la mia opinione per esperienza. Non credo che meriti un voto negativo.
MathewC
Solo essendo chiaro non ti ho votato. Non ce n'era bisogno. La tua esperienza è esattamente il tipo di cosa che mi è piaciuto sentire. Grazie!
Riconnettere il
Se avessi il rappresentante, ti voterei. Non è necessario firmare un accordo di non divulgazione solo per visualizzare la politica di sicurezza IT / politica di InfoSec. (Esiste una distinzione tra una politica e uno standard / procedura) Vi sono molte ragioni valide per la necessità di vedere una politica InfoSec delle organizzazioni (conformità Sox, PCI DSS, ecc.) La maggior parte delle organizzazioni la rende completamente pubblica: obfs.uillinois.edu /manual/central_p/sec19-5.html
Josh Brower,
È una precauzione Se non vuoi prenderlo per proteggerti, allora tocca a te. Ho dato un motivo valido per cui non dovresti farlo. E mi dispiace che tu non abbia il rappresentante per votarmi. Mi piace riservare i miei voti negativi per risposte negative / pericolose, non per le politiche con cui non sono d'accordo.
MathewC,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.