Партнер хоче копію нашої письмової політики безпеки ІТ, і я не впевнений, що робити [закрито]


23

Моя компанія співпрацює з іншою компанією, і в рамках контракту вони вимагають копії письмової політики моєї безпеки ІТ. У мене немає письмової політики безпеки ІТ, і я не точно впевнений, що хочу їм надати. Ми - магазин Microsoft. У нас є графіки оновлень, обмежені рахунки доступу для управління серверами, брандмауерами, сертифікатами ssl і час від часу ми запускаємо аналізатор безпеки Microsoft Baseline.

Ми налаштовуємо сервіси та облікові записи користувачів, оскільки, на нашу думку, здебільшого безпечні та захищені (важко, коли ти не маєш повного контролю над тим, яке програмне забезпечення ти працюєш), але я не можу вникати в кожну деталь, кожна служба та сервер відрізняються. Я отримую більше інформації про те, що вони хочуть, але я відчуваю, ніби вони їдуть на рибальську експедицію.

Мої запитання: чи це стандартна практика запитувати цю інформацію? (Я чесно не проти, але цього раніше не бувало.) А якщо це стандарт, чи є стандартний формат і очікуваний рівень деталізації, який я повинен представити?


1
Виявляється, ми подаємо заявку на сертифікацію c-tpat. Від нас вимагається дотримуватися лише двох речей. 1) Захист пароля 2) Відповідальність ( cbp.gov/xp/cgov/trade/cargo_security/ctpat/security_guideline / ... ) Дивовижне кількість хороших відповідей тут мене думати , хоча, я почав проект , щоб мати формальний план використовуючи багато ваших порад, не для сертифікації, а для себе.
рекобат

Це питання є поза темою в рамках діючих правил актуальності.
HopelessN00b

Відповіді:


44

Їм не потрібна копія всієї вашої внутрішньої політики в галузі ІТ, але я думаю, що вони можуть бути після чогось подібного до цього - хтось, безумовно, повинен отримати вам достатньо інформації про контракт, щоб визначити, скільки деталей потрібно надати та про що. Я погоджуюся з Джозефом - якщо їм потрібна інформація з юридичних причин / відповідності, вони повинні бути юридичними.

Довідкова інформація

1) Чи хтось із ваших співробітників знаходиться за межами США?

2) Чи існує ваша формалізована та задокументована політика захисту інформації?

3) Чи охороняється обробка та класифікація інформації та даних, що стосуються вашої політики захисту інформації?

4) Чи є якісь невирішені регуляторні проблеми, з якими ви зараз вирішуєте, у штаті, в якому ви працюєте? Якщо так, будь ласка, поясніть.

Загальна безпека

1) Чи є у вас програма навчання з інформаційної безпеки працівників та підрядників?

2) Який із перелічених нижче способів аутентифікації та авторизації доступу до ваших систем та додатків ви зараз використовуєте:

  • Виконується операційною системою
  • Виконується комерційним продуктом
  • Одноразова реєстрація
  • Цифрові сертифікати на стороні клієнта
  • Інші двофакторні аутентифікації
  • Домашнє вирощене
  • Не існує механізму аутентифікації

3) Хто надає доступ працівникам, підрядникам, тимпонам, продавцям та діловим партнерам?

4) Чи дозволяєте ви своїм працівникам (включаючи підрядників, тимчасових працівників, постачальників тощо) віддалений доступ до ваших мереж?

5) Чи є у вас план реагування на інформаційну безпеку? Якщо ні, як розглядаються випадки інформаційної безпеки?

6) Чи існує у вас політика, яка стосується обробки внутрішньої чи конфіденційної інформації в електронних повідомленнях за межами вашої компанії?

7) Ви переглядаєте свої політики та стандарти інформаційної безпеки принаймні щорічно?

8) Які методи та фізичний контроль застосовуються для запобігання несанкціонованого доступу до безпечних зон вашої компанії?

  • Мережеві сервери в замкнених приміщеннях
  • Фізичний доступ до серверів, обмежений ідентифікацією безпеки (картки доступу, біометричні дані тощо)
  • Відеомоніторинг
  • Журнали та процедури входу
  • Значки безпеки або посвідчення особи, які завжди видно у захищених місцях
  • Охоронці
  • Немає
  • Інше, будь ласка, надайте додаткові дані

9) Будь ласка, опишіть свою політику паролів для всіх середовищ? Тобто Довжина, міцність і старіння

10) Чи є у вас план відновлення після аварій? Якщо так, то як часто ви її тестуєте?

11) Чи є у вас план безперервності бізнесу (BC)? Якщо так, то як часто ви її тестуєте?

12) Чи надасте нам копію результатів ваших тестів (BC та DR), якщо вимагається?

Огляд архітектури та системи

1) Чи будуть дані та / або додатки [Компанії] зберігатися та / або оброблятися на спеціалізованому або спільному сервері?

2) Якщо на спільному сервері, як сегментуватимуться дані [Компанії] від даних інших компаній?

3) Які види (типи) підключення компанії до компанії будуть надані?

  • Інтернет
  • Приватна / орендована лінія (наприклад, T1)
  • Набір номера
  • VPN (віртуальна приватна мережа)
  • Служба терміналів
  • Немає
  • Інше, будь ласка, надайте додаткові дані

4) Чи буде зашифровано це підключення до мережі? Якщо так, то який метод (и) шифрування буде використовуватися?

5) Чи потрібен який-небудь код на стороні клієнта (включаючи ActiveX або Java-код), необхідний для використання рішення? Якщо так, будь ласка, опишіть.

6) Чи є у вас брандмауер (и) для контролю доступу до зовнішньої мережі до вашого веб-серверів. Якщо ні, то де цей сервер (и) знаходиться?

7) Чи включає ваша мережа DMZ для доступу в Інтернет до додатків? Якщо ні, то де розташовані ці програми?

8) Чи приймає ваша організація заходи щодо запобігання відмов від відмови у наданні послуг? Опишіть, будь ласка, ці кроки

9) Чи виконуєте ви будь-який із наведених нижче оглядів / тестів інформаційної безпеки

  • Сканування внутрішньої системи / мережі
  • Внутрішньо керовані самооцінки та / або огляди належної ретельності
  • Внутрішні огляди коду / рецензії
  • Зовнішні тести / дослідження на проникнення сторонніх виробників
  • Інше, будь ласка, надайте детальну інформацію Як часто проводяться ці тести?

10) Які з перелічених нижче практик захисту інформації активно використовуються у вашій організації

  • Списки контролю доступу
  • Цифрові сертифікати - серверна сторона
  • Цифрові сертифікати - сторона клієнта
  • Цифрові підписи
  • Мережеве виявлення / запобігання вторгнень
  • Виявлення / запобігання вторгнень на основі хоста
  • Заплановані оновлення файлів підписів на виявлення / запобігання вторгнень
  • Моніторинг вторгнення 24x7
  • Безперервне сканування вірусів
  • Заплановані оновлення файлів підписів вірусів
  • Проникнення та / або випробування
  • Немає

11) Чи є у вас стандарти щодо загартовування чи закріплення операційних систем?

12) Чи є у вас графік застосування оновлень та гарячих виправлень до ваших операційних систем? Якщо ні, розкажіть, будь ласка, як ви визначаєте, що і коли застосовувати виправлення та критичні оновлення

13) Щоб забезпечити захист від відключення живлення або мережі, чи підтримуєте ви повністю надлишкові системи для ваших ключових транзакційних систем?

Веб-сервер (за наявності)

1) Яка URL-адреса, яка використовуватиметься для доступу до програми / даних?

2) Якою операційною системою є веб-сервер (и)? (Будь ласка, вкажіть ім’я ОС, версію та пакет оновлення або рівень виправлення.)

3) Що таке програмне забезпечення для веб-сервера?

Сервер додатків (якщо застосовується)

1) Яка операційна система (я) - це сервер (и) додатків? (Будь ласка, вкажіть ім’я ОС, версію та пакет оновлення або рівень виправлення.)

2) Що таке програмне забезпечення для сервера додатків?

3) Чи використовуєте ви керування доступом на основі ролей? Якщо так, то яким чином рівні доступу призначені для ролей?

4) Як Ви гарантуєте, що є відповідні повноваження та розділення обов'язків?

5) Чи використовує ваша програма багатоступеневий доступ / захист користувачів? Якщо так, будь ласка, надайте детальну інформацію.

6) Чи контролюється діяльність у вашій програмі стороною системою чи службою? Якщо так, будь ласка, вкажіть нам назву компанії та послуги та інформацію про те, що відстежуються

Сервер баз даних (якщо застосовується)

1) Яка операційна система (я) - це сервер (и) баз даних? (Будь ласка, вкажіть ім’я ОС, версію та пакет оновлення або рівень виправлення.)

2) Які серверні програми для баз даних використовуються?

3) Чи реплікується БД?

4) Чи є сервер БД частиною кластеру?

5) Що робиться (якщо щось робиться) для виділення даних [Компанії] від інших компаній?

6) Чи будуть зашифровані дані [Компанії], коли вони зберігаються на диску? Якщо так, то опишіть метод шифрування

7) Як фіксуються вихідні дані?

8) Як обробляються помилки цілісності даних?

Аудит та ведення журналів

1) Чи реєструєте ви доступ клієнта:

  • Веб-сервер?
  • Сервер додатків?
  • Сервер бази даних?

2) Чи перевіряються журнали? Якщо так, то, будь ласка, поясніть процес та як часто вони переглядаються?

3) Чи надаєте системи та ресурси для ведення та моніторингу журналів аудиту та журналів транзакцій? Якщо так, то які журнали ви зберігаєте і як довго ви їх зберігаєте?

4) Чи дозволите ви [Компанії] переглянути ваші системні журнали, коли вони стосуються нашої компанії?

Конфіденційність

1) Які процеси та процедури використовуються для розсекречення / видалення / відкидання даних [Компанії], коли вони більше не потрібні?

2) Ви в будь-який момент помилково чи випадково розкрили інформацію про клієнта?
Якщо так, то які коригувальні заходи ви впровадили після цього?

3) Чи мають підрядники (не співробітники) доступ до конфіденційної або конфіденційної інформації? Якщо так, чи підписали вони договір про нерозголошення?

4) Чи є у вас постачальники, які мають право доступу та обслуговування ваших мереж, систем чи програм? Якщо так, то ці постачальники за письмовими договорами передбачають конфіденційність, довідкові перевірки та страхування / відшкодування збитків від збитків?

5) Як класифікуються та захищаються ваші дані?

Операції

1) Яка частота та рівень резервних копій?

2) Який термін зберігання резервних копій на місці?

3) У якому форматі зберігаються ваші резервні копії?

4) Чи зберігаєте ви резервні копії в місці, яке не знаходиться? Якщо так, то який термін зберігання?

5) Чи шифруєте ви резервні копії даних?

6) Як Ви гарантуєте, що виконуються лише діючі виробничі програми?


Кара, це одна з найбільш продуманих і детальних відповідей, які я навіть отримав. Я здогадуюсь, ви це зробили кілька разів.
рекобат

1
Я звик їх заповнювати, так. ;) Я підозрюю, що їх зібрали величезні комітети в темних, заповнених димом приміщеннях ... Я радий, що це допомагає, тхо. Квадрат, який вам передали, - величезна причина існування СФ.
Кара Марфія

1
"Хтось із ваших співробітників знаходиться за межами США?" - смішно. З моєї точки зору, більший ризик мати працівника в США . Справа в тому, що ми зобов’язані законодавством забороняти нікому доступ до даних або серверів (без схвалення суддею), і наші адвокати сказали, що саме цю вимогу неможливо виконати, якщо якийсь співробітник із США має доступ до цих даних: )
serverhorror

4

Мене коли-небудь просили цю інформацію, коли працюю з регульованими галузями (банківська справа) або урядом.

Я не знаю про "стандартний формат", але сам по собі мені завжди надавали якийсь шаблон, який мій Замовник дав аудитору як "вихідне місце", коли мені довелося це зробити.

Я, мабуть, почав би з пошуків Google і побачив, що можу знайти у зразках політичних документів. ДАНС ( http://www.sans.org ) - ще одне хороше місце, щоб почати шукати.

Що стосується рівня деталізації, я б сказав, що його, мабуть, потрібно адаптувати до аудиторії та мети. Я б зберігав деталі на високому рівні, якщо мене спеціально не попросили надати деталі низького рівня.


Я завжди використовував шаблон NIST для швидкого створення політики безпеки, але у мене вже немає копії, і швидкий google вже не може знайти оригінали (я думаю, що тепер NIST стягує плату). Уряд Каліфорнії має хороші ресурси, включаючи шаблони, на oispp.ca.gov/government/Library/samples.asp, наведена вище пропозиція Інституту ДАНС також є чудовим ресурсом.
hromanko

4

Є кілька різних причин, через які компанія може захотіти переглянути вашу політику безпеки. Одним із прикладів є те, що промисловість платіжних карток (Visa, MasterCard, AmEx тощо) вимагає від компаній, які обробляють кредитні картки, дотримуватися Індустрії платіжних карток - Стандарту безпеки даних (PCI-DSS). Розділ PCI-DSS вимагає, щоб партнери компанії також дотримувалися PCI-DSS (що, звичайно, вимагає письмової політики).

Відверто кажучи, якщо я надаю вам доступ до вашої мережі через VPN або пряме з'єднання, я хочу знати, що у вас є певний рівень безпеки, інакше я відкриваюся перед усіма можливими проблемами.

Ось чому сертифікат PCI або ISO 27001 може бути сприятливим у цьому плані, оскільки ви можете повідомити зовнішній організації про те, що ви маєте справу з певним рівнем. Якщо ваша політика дуже загальна, якою має бути політика, можливо, не надіслати копію партнеру. Однак якщо вони хочуть бачити конкретні процедури або інформацію про безпеку, я б не дозволяв цьому залишати свій сайт.

Кара має чудові вказівки щодо того, що ви хочете висвітлити у своїй політиці. Ось приклад політики.

Політика резервного копіювання / відновлення системи IT-001

I. Вступ У цьому розділі йдеться про те, наскільки важливі резервні копії, як ви плануєте тестувати та зберігати копії в офсетному місці.

II. Призначення А. Ця політика охоплюватиме частоту, зберігання та відновлення B. Ця політика охоплює дані, операційні системи та програмне забезпечення C. Усі процедури резервного копіювання / відновлення повинні бути задокументовані та зберігатись у безпечному місці

ІІІ. Сфера застосування Цей розділ зазначає, що політика охоплює всі сервери та активи даних у вашій компанії (та будь-які інші конкретні сфери, наприклад, супутникові офіси).

IV. Ролі та обов'язки А. Менеджер - визначає, що створює резервне копіювання, визначає частоту, середовище та процедури, а також перевіряє, чи відбувається резервне копіювання B. System Admin - Запускає резервні копії, перевіряє резервні копії, тестує резервні копії, транспортує резервні копії, відновлення тестів, підтримує Дід / батько / син резервної ротації резервного копіювання. Користувачі - має дані про те, що створюється резервна копія, повинен розміщувати дані в місці, призначеному для резервного копіювання.

V. Опис політики резервного копіювання - всі речі, які ви хочете сказати про резервні копії в загальному розумінні Відновлення - всі речі, які ви хочете сказати про відновлення в загальному сенсі

Конкретні покрокові інструкції повинні міститись в окремому документі про процедуру / робочу інструкцію. Однак якщо у вас дуже мала організація, ви можете не відокремлювати політику від процедур.

Я сподіваюся, що це допомагає та дає вам корисну інформацію.


+1, тому що я хотів би зробити ставку на те, що контракт може бути залучений до PCI. (PCI кредитної картки, а не старий роз'єм шини). якщо це так, вони не хочуть отримати повну специфікацію, а лише те, що впливає на їх відповідність PCI.
Метт

1

Нещодавно мені довелося написати одне із них, і це не закінчилося занадто складно. Зрозуміло, думка Евеня про пошиття одягу є важливою, оскільки деякі деталі потребують опису більше роботи, ніж інші. NIST також має велику бібліотеку безкоштовних онлайн-публікацій, що описують заходи безпеки для різних цілей, ви можете використовувати їх для ідей, де ви не впевнені, який тип / ступінь безпеки вимагається.

Ось деякі загальні категорії, які слід висвітлити на високому рівні:

  • Політика збереження даних
  • Процедури резервного копіювання / Доступ до резервних копій
  • Внутрішні обмеження доступу (фізичні та віртуальні)
    • Мережа (бездротова, дротова)
    • Апаратне забезпечення (сервери, робочі станції, офісні приміщення, виїзд / телекомунікація)
    • Хостинг / Центр даних (важливо, якщо ви зберігаєте дані партнерів)
    • Операційна система
  • Обстеження персоналу

Цей список можна розширити або зменшити, виходячи з того, що зараз потрібно багато інформації. Крім того, не потрібно хвилюватися, якщо у вас ще немає всього цього на місці. Моя порада - дотримуватися опису вашої "наміченої" політики, але будьте готові негайно розширити їх за все, чого не вистачає. Крім того, будьте готові викликати те, про що ви заявляєте, як би це малоймовірно (адвокати не пізніше будуть піклуватися).


1

Я б з юристом Вашої компанії з цього питання звернувся, тим більше, що це частина договору.


1

Щоб вирішити необхідність надсилання копії документа про політику безпеки, було б трохи проти безпеки. Я написав нашу політику безпеки і витягнув більшість Документів із шаблонів SAN. Інші, які ви можете заповнити за допомогою конкретних пошуків політики в Google Те, як ми поводимось із стороною, яка хоче бачити політику, дає їм можливість сісти в офіс нашого директора операції та дозволяти їм читати її. Наша політика полягає в тому, що політика ніколи не залишає будівлі, а конкретніше наш погляд. У нас є угоди, на які повинна погодитися будь-яка третя сторона, працюючи в конкретних можливостях, які потребують доступу до нашої інформації. І вони складаються у кожному конкретному випадку. Ця політика може не відповідати вашому середовищу, а також не всі політики, що стосуються SAN '


Радий, що я не єдиний із цим досвідом.
MathewC

Це було цікаво, але чудовий досвід. Мої користувачі мені вже не дуже подобаються, але якщо дивитися на це зі статистичної точки зору. Я читав в електронний тиждень або на інформаційному тижні, що десь у районі 70% усіх компаній, які зазнали порушення безпеки, не вдається відновитись і протягом 2 років після виявлення порушення закривають свої двері.
TechGuyTJ

1

Це стандартна практика: мій досвід - так для певних галузей, які регулюються, такі як банківська справа, харчова промисловість, енергетика тощо.

Чи є стандартний формат: є ряд стандартів, але якщо у вашому договорі не визначений стандарт (наприклад, ISO), вам слід за контрактом надати OK, щоб надати будь-який формат, який ви обрали.

Це не повинно бути важко. У вас уже є стандарт виправлення та пароля, тому в документі слід вказати, що це за стандарт, і як забезпечити його дотримання. Не потрапляйте в пастку витрачати занадто багато часу, роблячи це гарним. Буде достатньо простого документа.

Якщо ваш контракт передбачає використання певного стандарту, то вам слід звернутися за професійною допомогою, щоб переконатися, що ви відповідаєте за договорами.


1

Це питання ми отримуємо багато, тому що ми є хостинг-центром. Підсумок полягає в тому, що ми цього не видаємо, якщо заздалегідь не знаємо , що саме шукають. Якщо вони шукають у нашій політиці безпеки те, чого ми не маємо, це зазвичай тому, що природа нашого бізнесу цього не вимагає, і ми їм так говоримо. Це може бути суб'єктивним, але це не має значення - ми ще повинні втратити будь-який бізнес через це. Найчастіше вони просять, тому що вони повинні сказати комусь іншому, що вони зробили. Відповідь "НІ" не обов'язково є поганою справою або порушує угоду.

Ми щойно пройшли сертифікацію SAS70 II, тож тепер ми просто надаємо лист думки аудитора і нехай це говорить про нашу письмову політику.


0

Вам знадобиться NDA, перш ніж ви їм щось покажете. Тоді я б дозволив їм прийти і переглянути політику безпеки, але ніколи не мати її копії.


Я б не проголосував за вас, але, хоча б я не публікував це, обмін ним з діловими партнерами не викликає сумніву. Хоча це було не однаково в кожній компанії, в якій я працював, мій відділ ІТ існує для потреб бізнесу, ніж будь-який інший. Я думаю, що обмін нашим планом ІТ-безпеки схожий на обмін бізнес-процесом або бізнес-планом.
рекобата

Я пережив відповідність стандарту SAS70, і багато "партнерів" дозволили б лише переглянути. Це обов'язок мати щось у друку, що говорить, що ви щось робите, а потім цього не робите, або ви робили щось, що спричинило проблеми. Вибачте, ви не згодні, але я висловлював свою думку з досвіду. Я не вважаю, що це заслуговує голоси.
MathewC

Ясно, що я не відмовився від вас. У цьому не було потреби. Ви досвід - це саме те, про що я любив чути. Спасибі!
рекобата

Якби у мене був представник, я би проголосував за тебе. Їм не потрібно підписувати NDA лише для того, щоб побачити Вашу політику безпеки ІТ / Політику InfoSec. (Існує відмінність між політикою та стандартної процедури /) Є багато вагомих причин для необхідності побачити Orgs InfoSec політики (Sox дотримання, PCI DSS і т.д.) Більшість Orgs зробити його повністю відкритим: obfs.uillinois.edu /manual/central_p/sec19-5.html
Джош Броуер

Це застереження. Якщо ви не хочете брати його, щоб захистити себе, то це на вас. Я дав поважну причину, чому ти не повинен цього робити. І мені шкода, що у вас немає представника, щоб проголосувати мене. Мені подобається залишати свої голоси за погані / небезпечні відповіді, а не політику, з якою я не згоден.
MathewC
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.