Bir ortak, yazılı BT güvenlik politikamızın bir kopyasını istiyor ve ne yapacağımdan emin değilim [kapalı]

Şirketim başka bir şirketle çalışıyor ve sözleşmenin bir parçası olarak şirketimin yazılı BT Güvenlik Politikasının bir kopyasını istiyorlar. Yazılı bir BT güvenlik politikam yok ve onlara ne vermek istediğimden tam olarak emin değilim. Biz bir Microsoft mağazayız. Sunucuları, güvenlik duvarlarını, ssl sertifikalarını yönetmek için güncelleme programlarımız vardır, hesaplara erişim sınırlıdır ve zaman zaman Microsoft Baseline Security Analyzer'ı çalıştırıyoruz.

Hizmetleri ve kullanıcı hesaplarını çoğunlukla güvenli ve güvenli olduğunu düşündüğümüz şekilde yapılandırırız (hangi yazılımı çalıştırdığınızı tam olarak kontrol edemediğinizde zordur), ancak her ayrıntıya giremiyorum, her hizmet ve sunucu farklı. Ne istedikleri hakkında daha fazla bilgi edindim ama sanki bir balık avı gezisindeyim gibi hissediyorum.

Benim sorularım, bu bilgi istemek için standart bir uygulama mı? (Dürüstçe buna karşı değilim, ama daha önce hiç olmadı.) Ve eğer bu standartsa, sunmam gereken standart bir format ve beklenen ayrıntı seviyesi var mı?

Tüm iç BT politikanızın bir kopyasına ihtiyaçları yoktur, ancak bence buna benzer bir şeyden sonra olabilir - birinin kesin olarak ne kadar detay vermeniz gerektiğini ve ne hakkında ne yapacağınızı belirlemek için sözleşme hakkında yeterince bilgi alması gerekir. Joseph ile aynı fikirdeyim mi - yasal / uygunluk nedenleriyle bilgiye ihtiyaç duyuyorlarsa, yasal girdi olması gerekir.

Arkaplan bilgisi

1) Çalışanlarınızdan herhangi biri ABD dışında bulunuyor mu?

2) Şirketiniz yerinde bilgi güvenliği politikalarını resmi ve belgelendi mi?

3) Bilgi güvenliği politikalarınız kapsamında bilgi ve verilerin işlenmesi ve sınıflandırılması mı?

4) Halen yürüttüğünüz eyalette yürüttüğünüz düzenleme sorunları var mı? Eğer evet ise, lütfen açıklayınız.

Genel güvenlik

1) Çalışanlar ve müteahhitler için bilgi güvenliği bilinçlendirme eğitim programınız var mı?

2) Sistemlerinize ve uygulamalarınıza erişimi doğrulamak ve yetkilendirmek için aşağıdaki yöntemlerden hangisini kullanıyorsunuz?

• İşletim sistemi tarafından gerçekleştirildi
• Ticari ürün tarafından gerçekleştirilen
• Tek seferlik
• Müşteri tarafı dijital sertifikalar
• Diğer iki faktörlü kimlik doğrulama
• Evde yetiştirilen
• Kimlik doğrulama mekanizması mevcut değil

3) Çalışanlara, yüklenicilere, geçici işçilere, satıcılara ve iş ortaklarına erişim yetkisi kimdir?

4) Çalışanlarınızın (müteahhitler, müteahhitler, satıcılar vb. Dahil) ağlarınıza uzaktan erişimine izin veriyor musunuz?

5) Bilgi güvenliği olayı müdahale planınız var mı? Hayır ise, bilgi güvenliği olayları nasıl ele alınmaktadır?

6) E-posta iletilerinde iç veya gizli bilgilerin şirketinizin dışına çıkmasına yönelik bir politikanız var mı?

7) Bilgi güvenliği politika ve standartlarınızı en az yılda bir kez gözden geçiriyor musunuz?

8) Şirketinizin güvenli alanlarına yetkisiz erişimi engellemek için hangi yöntemler ve fiziksel kontroller mevcut?

• Kilitli odalarda ağ sunucuları
• Güvenlik kimliği ile sınırlandırılmış sunuculara fiziksel erişim (erişim kartları, biyometri vb.)
• Video izleme
• Oturum açma günlükleri ve prosedürleri
• Güvenli alanlarda her zaman görünen güvenlik rozetleri veya kimlik kartları
• Güvenlik görevlileri
• Yok
• Diğer, Lütfen daha fazla bilgi verin

9) Lütfen tüm ortamlar için parola politikanızı tanımlayın? Yani. Uzunluk, güç ve yaşlanma

10) Bir felaket kurtarma (DR) planınız var mı? Eğer evet ise, ne sıklıkla test ediyorsunuz?

11) İş Sürekliliği (BC) planınız var mı? Eğer evet ise, ne sıklıkla test ediyorsunuz?

12) İstenirse bize test sonuçlarınızın bir kopyasını (BC ve DR) verir misiniz?

Mimari ve sistem incelemesi

1) [Şirket] 'in verileri ve / veya uygulamaları tahsis edilmiş veya paylaşılan bir sunucuda saklanır ve / veya işlenir mi?

2) Paylaşılan bir sunucuda ise, [Şirket] 'in verileri diğer şirketlerin verilerinden nasıl paylaştırılacak?

3) Ne türden şirketlere şirkete bağlantı sağlanacak?

• Internet
• Özel / Kiralık hat (örneğin, T1)
• Çevirmek
• VPN (Sanal Özel Ağ)
• Terminal Hizmeti
• Yok
• Diğer, Lütfen daha fazla bilgi verin

4) Bu ağ bağlantısı şifrelenecek mi? Eğer evet ise, hangi şifreleme yöntemleri kullanılacaktır?

5) Çözümden yararlanmak için gerekli herhangi bir müşteri tarafı kodu (ActiveX veya Java kodu dahil) var mı? Evet ise, lütfen açıklayınız.

6) Web sunucularınıza harici ağ erişimini kontrol etmek için bir güvenlik duvarınız var mı? Hayır ise, bu sunucular nerede?

7) Ağınızda uygulamalara İnternet erişimi için bir DMZ var mı? Hayır ise, bu uygulamalar nerede bulunur?

8) Kuruluşunuz Hizmet Reddi kesintilerine karşı önlem almak için adımlar atıyor mu? Lütfen bu adımları açıklayın

9) Aşağıdaki güvenlik incelemeleri / testlerinden herhangi birini yapıyor musunuz?

• Dahili sistem / ağ taramaları
• Dahili olarak yönetilen öz değerlendirmeler ve / veya durum tespiti incelemeleri
• Dahili kod incelemeleri / arkadaş incelemeleri
• Dış 3. parti penetrasyon testleri / çalışmaları
• Diğer, Lütfen ayrıntıları belirtin Bu testler ne sıklıkla yapılır?

10) Aşağıdaki bilgi güvenliği uygulamalarından hangisi kuruluşunuzda aktif olarak kullanılıyor?

• Erişim kontrol listeleri
• Dijital sertifikalar - Sunucu Tarafı
• Dijital sertifikalar - Müşteri Tarafı
• Dijital imzalar
• Ağ tabanlı izinsiz giriş tespiti / önleme
• Konak Tabanlı saldırı tespit / önleme
• İzinsiz giriş tespit / önleme imza dosyalarına zamanlanmış güncellemeler
• Saldırı izleme 24x7
• Sürekli virüs taraması
• Virüs imza dosyalarına zamanlanmış güncellemeler
• Penetrasyon çalışmaları ve / veya testleri
• Yok

11) İşletim sisteminizi sertleştirmek veya emniyete almak için standartlarınız var mı?

12) İşletim sisteminize güncellemeler ve düzeltmeler uygulamak için bir programınız var mı? Hayır ise lütfen bize ne zaman ve ne zaman yama ekleyeceğinizi ve kritik güncellemeleri nasıl belirleyeceğinizi söyleyin

13) Bir güç veya ağ arızasına karşı koruma sağlamak için, anahtar işlem sistemleriniz için tamamen yedekli sistemler kullanıyor musunuz?

Web Sunucusu (varsa)

1) Uygulamaya / verilere erişmek için kullanılacak URL nedir?

2) Hangi işletim sistemleri web sunucuları? (Lütfen işletim sistemi adı, sürüm ve servis paketi veya yama seviyesi girin.)

3) Web sunucusu yazılımı nedir?

Uygulama Sunucusu (varsa)

1) Uygulama sunucuları hangi işletim sistemlerinde? (Lütfen işletim sistemi adı, sürüm ve servis paketi veya yama seviyesi girin.)

2) Uygulama sunucusu yazılımı nedir?

3) Rol tabanlı erişim kontrolü kullanıyor musunuz? Evet ise, erişim seviyeleri rollere nasıl atanır?

4) Görevlerin uygun şekilde onaylanmasının ve ayrılmasının nasıl yapılmasını sağlarsınız?

5) Uygulamanız çok seviyeli kullanıcı erişimi / güvenliği kullanıyor mu? Eğer evetse, lütfen açıklayın.

6) Başvurunuzdaki faaliyetler bir üçüncü taraf sistemi veya servisi tarafından izleniyor mu? Evet ise, lütfen bize şirket ve hizmet adını verin ve hangi bilgilerin izlendiğini izleyin

Veritabanı Sunucusu (varsa)

1) Veri tabanı sunucuları hangi işletim sistemleri? (Lütfen işletim sistemi adı, sürüm ve servis paketi veya yama seviyesi girin.)

2) Hangi veritabanları sunucu yazılımı kullanılıyor?

3) DB kopyalandı mı?

4) DB sunucusu bir kümenin parçası mı?

5) [Şirket] 'in verilerini diğer şirketlerden izole etmek için (bir şey varsa) ne yapılır?

6) [Şirket] 'in verileri, diskte depolandığında şifrelenecek mi? Evet ise, lütfen şifreleme yöntemini tanımlayın

7) Kaynak veriler nasıl toplanır?

8) Veri bütünlüğü hataları nasıl işlenir?

Denetim ve Kayıt

1) Müşteriye giriş yapıyor musunuz:

• Web sunucusu?
• Uygulama sunucusu?
• Veri tabanı sunucusu?

2) Günlükler gözden geçiriliyor mu? Evet ise, lütfen süreci açıklayın ve ne sıklıkta gözden geçirildiklerini?

3) Denetim kayıtlarını ve işlem kayıtlarını korumak ve izlemek için sistemler ve kaynaklar sağlıyor musunuz? Evet ise, hangi günlükleri saklarsınız ve ne kadar süreyle saklarsınız?

4) [Şirket] 'in şirket kayıtlarına ait sistem kayıtlarınızı gözden geçirmesine izin verir misiniz?

Gizlilik

1) Artık ihtiyaç duyulmadığında, [Şirket] verilerini silmek / silmek / silmek için kullanılan süreçler ve prosedürler nelerdir?

2) Herhangi bir zamanda, yanlış veya yanlışlıkla ifşa edilen müşteri bilgilerini bildirdiniz mi?
Evetse, o zamandan beri hangi düzeltici önlemleri uyguladınız?

3) Müteahhitlerin (çalışan olmayanların) hassas veya gizli bilgilere erişimi var mı? Eğer evet ise, bir gizlilik sözleşmesi imzaladılar mı?

4) Ağlarınıza, sistemlerinize veya uygulamalarınıza erişmeye ve bakım yapmaya yetkili satıcılarınız var mı? Eğer evet ise, bu satıcılar gizlilik, arka plan kontrolleri ve kayba karşı sigorta / tazminat sağlayan yazılı sözleşmeler kapsamında mı?

5) Verileriniz nasıl sınıflandırılır ve güvence altına alınır?

Operasyonlar

1) Yedeklerinizin sıklığı ve seviyesi nedir?

2) Yerinde yedeklerin tutulma süresi nedir?

3) Yedekleriniz hangi formatta saklanır?

4) Yedekleri tesis dışında bir yerde mi saklıyorsunuz? Evet ise, saklama süresi nedir?

5) Veri yedeklemenizi şifreliyor musunuz?

6) Sadece geçerli üretim programlarının yürütülmesini nasıl sağlıyorsunuz?

Bu bilgiyi yalnızca düzenlenmiş endüstrilerle (bankacılık) veya devletle çalışırken sordum.

Başta "standart bir format" olduğunun farkında değilim, ancak daha sonra bunları yapmak zorunda kaldığımda Müşterime bir denetçi tarafından "başlangıç ​​yeri" olarak verilmiş bir şablon verildi.

Muhtemelen bazı Google aramalarıyla başlar ve örnek politika belgelerinin yolunda ne bulabileceğime bakardım. SANS ( http://www.sans.org ), bakmaya başlamak için başka bir güzel yerdir.

Ayrıntı seviyesine gelince, muhtemelen izleyiciye ve amaca göre uyarlanması gerektiğini söyleyebilirim. Özel olarak düşük seviyeli detaylar istenmediği sürece, detayı yüksek tutardım.

Bir şirketin güvenlik politikanızı görmek istemesinin birkaç farklı nedeni olabilir. Bunun bir örneği, Ödeme Kartı Endüstrisi'nin (Visa, MasterCard, AmEx, vb ...), kredi kartlarını işleyen şirketlerin Ödeme Kartı Endüstrisi - Veri Güvenliği Standardı'na (PCI-DSS) uyması gerektiğini gerektirir. PCI-DSS’nin bir bölümü, şirket ortaklarının da PCI-DSS’ye (elbette yazılı politikalar gerektiren) bağlı kalmasını gerektirir.

Açıkçası size bir VPN veya doğrudan bağlantı yoluyla ağınıza erişim izni veriyorsam, belirli bir güvenlik seviyesine sahip olduğunuzu bilmek istiyorum, aksi halde kendimi her türlü olası soruna açıyorum.

Bu nedenle, PCI veya ISO 27001 sertifikasına sahip olmak bu konuda bir nimet olabilir, çünkü harici kuruluşlara işlerin belirli bir seviyeye taşındığını bildirebilirsiniz. Politikalarınız hangi politikaların olması gerektiği konusunda çok genelse, eşinize bir kopya temin etmeniz sorun olmayabilir. Ancak, belirli prosedürleri veya güvenlik bilgilerini görmek isterlerse, bunun sitemi terk etmesine izin vermem.

Kara, politikalarınızda neleri kapsayacağı konusunda bazı mükemmel rehberliklere sahiptir. İşte bir politika örneği.

IT-001 Sistem Yedekleme / Kurtarma Politikası

I. Giriş Bu bölüm yedeklemelerin ne kadar önemli olduğu, kopyaları test etme ve yerinde tutmayı nasıl planladığınızdan bahseder.

II. Amaç A. Bu politika, sıklığı, depolamayı ve geri kazanımı kapsayacaktır. B. Bu politika verileri, işletim sistemlerini ve uygulama yazılımlarını kapsar.

III. Kapsam Bu bölüm, politikanın şirketinizdeki tüm sunucuları ve veri varlıklarını (ve uydu ofisleri gibi diğer belirli alanları) kapsadığını belirtir.

IV. Görevler ve Sorumluluklar A. Yönetici - neyin yedekleneceğine karar verir, sıklığı, ortamı ve prosedürleri belirler, ayrıca yedeklemelerin yapıldığını kontrol eder B. Sistem Yöneticisi - Yedekleri çalıştırır, yedekleri kontrol eder, yedekleri test eder, yedekleri siler, restorasyonu test eder, bakımını yapar yedek rotasyon dedesi / baba / oğul C. Kullanıcılar - Neyin yedeklendiğine dair girdi var, yedeklenecek yerlere veri yerleştirmeli

V. Politika Açıklama Yedekleme - genel anlamda yedekleme hakkında söylemek istediğiniz tüm şeyler Kurtarma - genel anlamda kurtarma hakkında söylemek istediğiniz tüm şeyler

Özel adım adım talimatların ayrı bir prosedür / iş talimatı belgesinde olması gerekir. Ancak çok küçük bir kuruluşunuz varsa, politikaları prosedürlerden ayırmayabilirsiniz.

Umarım bu yardımcı olur ve size bazı yararlı bilgiler verir.

Son zamanlarda bunlardan birini yazmak zorunda kaldım ve bu çok zor olmadı. Verilen, bazı detayların diğerlerinden daha fazla çalışması gerektiğinden, terzilik konusunda bile mesele önemlidir. NIST ayrıca, çeşitli amaçlar için güvenlik önlemlerini tanımlayan geniş bir ücretsiz, çevrimiçi yayın kütüphanesine sahiptir. Bunları, ne tür bir güvenlik önlemi aldığınızdan emin olmadığınız durumlarda kullanabilirsiniz.

İşte yine de yüksek düzeyde ele almak için bazı genel kategoriler:

• Veri Saklama Politikası
• Yedekleme İşlemleri / Yedeklere erişim
• Şirket içi erişim kısıtlamaları (fiziksel ve sanal)
  • Ağ (kablosuz, kablolu)
  • Donanım (sunucular, iş istasyonları, ofis binaları, saha dışı / telefonla çalışma)
  • Barındırma / Veri Merkezi (iş ortaklarının verilerini saklıyorsanız önemlidir)
  • İşletim sistemi
• Personel Taraması

Bu liste şu anda fazla bilgiye dayanarak genişletilebilir veya küçültülebilir. Ayrıca, bunların hepsine henüz sahip değilseniz, endişelenmenize gerek yok. Tavsiyem 'amaçlanan' politikalarınızı tanımlamaya bağlı kalmak, ancak eksik olan herhangi bir şey için bunları derhal genişletmeye hazırlıklı olmaktır. Ayrıca, ne kadar olası olursa olsun (avukatlar daha sonra umursamayacaklarsa), ne talep ettiğiniz konusunda çağrılmaya hazır olun.

Özellikle bir sözleşmenin parçası olduğu için başlamak için şirketinizin bu konuyla ilgili yasal danışmanıyla görüşebilirim.

İhtiyaçlarınızı gidermek için güvenlik politikanızın bir kopyasını göndermeniz gerekir, doküman güvenliğine karşı biraz olacaktır. Güvenlik politikamızı yazdım ve Dokümanların çoğunluğunu SAN Şablonlarından çıkardım. Diğer Google’da belirli politika aramalarıyla doldurabilirsiniz. Politikayı görmek isteyen bir dış partiyi idare etmemizin yolu, Operasyon Müdürümüzün ofisine oturmaları ve okumalarını sağlamaktır. Politikamız, politikanın asla binadan ve daha özel olarak bizim görüşümüzden ayrılmamasıdır. Herhangi bir 3. tarafın, bilgilerimize erişmesi gereken belirli kapasitelerde çalışırken kabul etmesi gereken anlaşmalar var. Ve durum bazında bir durum vardır. Bu politika ortamınıza uymayabilir veya SAN’daki tüm politikalara uymayabilir.

Standart bir uygulama mı: Deneyim, bankacılık, gıda, enerji vb. Gibi belirli sektörler için evet.

Standart bir format var mı: Çok sayıda standart var, ancak sözleşmeniz bir standart belirtmiyorsa (örneğin, ISO), o zaman hangi formatı seçerseniz seçin sözleşmeli olarak Tamam'ı seçmelisiniz.

Zor olmamalı. Zaten bir yama ve şifre standardınız var, bu nedenle belgede o standardın ne olduğu ve nasıl takip edildiğinden emin olmalısınız. Çok güzel zaman geçirmek için çok fazla zaman harcama tuzağına düşmeyin. Sadece basit bir belge yeterli olacaktır.

Sözleşmeniz belirli bir standardın kullanılmasını öngörüyorsa, sözleşmeyle uyumlu olmanızı sağlamak için profesyonel yardım almalısınız.

Bu soruyu çok alıyoruz çünkü bir barındırma tesisiyiz. Alt satırda, önceden ne aradıklarını tam olarak bilmediğimiz sürece pes etmeyeceğiz . Güvenlik politikamızda sahip olmadığımız bir şey arıyorlarsa, bunun nedeni tipik olarak işimizin doğası gereği olmadığı ve bunu onlara söylediğimizdir. Bu öznel olabilir, ama önemli değil - bu yüzden henüz bir işimizi kaybetmedik. Sık sık değil, soruyorlar çünkü başka birine yaptıklarını söylemek zorundalar. 'HAYIR' cevabı mutlaka kötü bir şey veya bir anlaşma kırıcı değildir.

SAS70 II sertifikasını henüz geçtik, şimdi denetçinin görüş mektubunu verdik ve bunun yazılı politikalarımız için konuşmasına izin verdik.

Onlara bir şey göstermeden önce bir NDA'ya ihtiyacınız olacak. O zaman gelip güvenlik politikasını gözden geçirmelerine izin verirdim, ancak hiçbir zaman bir kopyasını almadım.