Frage Ein Partner möchte eine Kopie unserer schriftlichen IT-Sicherheitsrichtlinien und ich bin mir nicht sicher, was ich tun soll [geschlossen]


Meine Firma arbeitet mit einer anderen Firma zusammen und fordert im Rahmen des Vertrages eine Kopie der schriftlichen IT-Sicherheitsrichtlinien meines Unternehmens an. Ich habe keine schriftliche IT-Sicherheitsrichtlinie, und ich weiß nicht genau, was ich ihnen geben möchte. Wir sind ein Microsoft-Shop. Wir haben Update-Zeitpläne, Konten mit begrenztem Zugriff für die Verwaltung von Servern, Firewalls, SSL-Zertifikate und führen von Zeit zu Zeit den Microsoft Baseline Security Analyzer aus.

Wir konfigurieren Dienste und Benutzerkonten so, wie wir es für meist sicher halten (es ist schwierig, wenn Sie nicht die volle Kontrolle darüber haben, welche Software Sie ausführen), aber ich kann nicht auf jedes Detail eingehen, jeder Dienst und jeder Server ist anders. Ich bekomme mehr Informationen darüber, was sie wollen, aber ich habe das Gefühl, dass sie auf einer Angelexpedition sind.

Meine Fragen sind, Ist das eine Standardpraxis, um nach diesen Informationen zu fragen? (Ich bin nicht ehrlich dagegen, aber es ist nie zuvor passiert.) Und wenn das Standard ist, gibt es ein Standardformat und erwartete Detailgenauigkeit, die ich präsentieren sollte?


23
2018-06-09 14:54


Ursprung


Es stellt sich heraus, dass wir uns für die c-tpat-Zertifizierung bewerben. Wir müssen nur zwei Dinge beachten. 1) Passwortschutz 2) Verantwortlichkeit ( cbp.gov/xp/cgov/trade/cargo_security/ctpat/security_guideline/... ) Die erstaunliche Menge an guten Antworten hier habe mich zum Nachdenken gebracht, ich habe ein Projekt gestartet, um einen formellen Plan zu haben, der viele deiner Ratschläge benutzt, nicht für die Zertifizierung, sondern für uns selbst. - reconbot
Diese Frage ist unter aktuellen Aktualitätsregeln nicht Thema. - HopelessN00b


Antworten:


Sie benötigen keine Kopie Ihrer gesamten internen IT-Richtlinie, aber ich denke, dass sie nach etwas Ähnlichem suchen - jemand muss Ihnen unbedingt genug Informationen über den Vertrag geben, um festzustellen, wie viele Details Sie bereitstellen müssen und worüber. Tho stimme ich Joseph zu - wenn sie die Informationen aus rechtlichen / Compliance-Gründen benötigen, müssen rechtliche Eingaben erfolgen.

Hintergrundinformation

1) Befinden sich Ihre Mitarbeiter außerhalb der USA?

2) Hat Ihr Unternehmen Informationssicherheitsrichtlinien formalisiert und dokumentiert?

3) Wird die Handhabung und Klassifizierung von Informationen und Daten durch Ihre Informationssicherheitsrichtlinien abgedeckt?

4) Gibt es noch ausstehende regulatorische Probleme, die Sie in dem Staat, in dem Sie tätig sind, lösen? Wenn ja, bitte erklären.

Allgemeine Sicherheit

1) Haben Sie ein Informationssicherheitstrainingsprogramm für Mitarbeiter und Auftragnehmer?

2) Welche der folgenden Methoden zum Authentifizieren und Autorisieren des Zugriffs auf Ihre Systeme und Anwendungen verwenden Sie derzeit:

  • Vom Betriebssystem durchgeführt
  • Durchgeführt von kommerziellen Produkt
  • Einmalige Anmeldung
  • Clientseitige digitale Zertifikate
  • Andere Zwei-Faktor-Authentifizierung
  • Einheimisch
  • Kein Authentifizierungsmechanismus vorhanden

3) Wer autorisiert den Zugang für Mitarbeiter, Auftragnehmer, Zeitarbeiter, Verkäufer und Geschäftspartner?

4) Erlauben Sie Ihren Mitarbeitern (einschließlich Auftragnehmern, Zeitarbeitern, Verkäufern usw.) zu haben Fernzugriff auf Ihre Netzwerke?

5) Haben Sie einen Informationssicherheit-Reaktionsplan? Wenn nein, wie werden Informationssicherheitsvorfälle behandelt?

6) Verfügen Sie über eine Richtlinie, die den Umgang mit internen oder vertraulichen Informationen in E-Mail-Nachrichten außerhalb Ihres Unternehmens regelt?

7) Überarbeiten Sie Ihre Richtlinien und Standards zur Informationssicherheit mindestens einmal im Jahr?

8) Welche Methoden und physischen Kontrollen sind vorhanden, um unbefugten Zugriff auf die Sicherheitsbereiche Ihres Unternehmens zu verhindern?

  • Netzwerkserver in gesperrten Räumen
  • Physischer Zugriff auf Server begrenzt durch Sicherheitsidentifikation (Zugangskarten, Biometrie, etc.)
  • Videoüberwachung
  • Anmeldeprotokolle und Prozeduren anmelden
  • Sicherheitsabzeichen oder ID-Karten sind in gesicherten Bereichen jederzeit sichtbar
  • Sicherheitskräfte
  • Keiner
  • Andere, bitte geben Sie zusätzliche Details an

9) Bitte beschreiben Sie Ihre Passwortrichtlinien für alle Umgebungen? ZB Länge, Stärke und Alterung

10) Haben Sie einen Disaster Recovery (DR) Plan? Wenn ja, wie oft testen Sie es?

11) Haben Sie einen Business Continuity (BC) Plan? Wenn ja, wie oft testen Sie es?

12) Werden Sie uns auf Wunsch eine Kopie Ihrer Testergebnisse (BC und DR) zur Verfügung stellen?

Architektur und System Review

1) Werden die Daten und / oder Anwendungen des Unternehmens auf einem dedizierten oder gemeinsam genutzten Server gespeichert und / oder verarbeitet?

2) Wie werden die Daten des Unternehmens auf einem gemeinsam genutzten Server von den Daten anderer Unternehmen getrennt?

3) Welche Arten von Unternehmens-zu-Unternehmens-Konnektivität werden bereitgestellt?

  • Internet
  • Private / Mietleitung (z.B. T1)
  • Einwahl
  • VPN (Virtuelles privates Netzwerk)
  • Terminalservice
  • Keiner
  • Andere, bitte geben Sie zusätzliche Details an

4) Wird diese Netzwerkverbindung verschlüsselt? Wenn ja, welche Verschlüsselungsmethode (n) wird verwendet?

5) Ist ein clientseitiger Code (einschließlich ActiveX oder Java-Code) erforderlich, um die Lösung zu nutzen? Wenn zutreffend, bitte beschreiben.

6) Verfügen Sie über eine Firewall, um den externen Netzwerkzugriff auf Ihren Webserver zu kontrollieren? Wenn nein, wo befindet sich dieser Server?

7) Enthält Ihr Netzwerk eine DMZ für den Internetzugriff auf Anwendungen? Wenn nein, wo befinden sich diese Anwendungen?

8) Ergreift Ihre Organisation Maßnahmen gegen Denial-of-Service-Ausfälle?                Bitte beschreiben Sie diese Schritte

9) Führen Sie eine der folgenden Informationssicherheitsprüfungen / -tests durch?

  • Interne System- / Netzwerk-Scans
  • Intern durchgeführte Selbstbewertungen und / oder Due-Diligence-Prüfungen
  • Interne Code Reviews / Peer Reviews
  • Externe Penetrationstests / -studien von Drittanbietern
  • Andere, bitte geben Sie Details an Wie häufig werden diese Tests durchgeführt?

10) Welche der folgenden Informationssicherheitspraktiken werden in Ihrer Organisation aktiv verwendet?

  • Zugriffskontrolllisten
  • Digitale Zertifikate - Server Side
  • Digitale Zertifikate - Client-Seite
  • Digitale Signaturen
  • Netzwerkbasierte Intrusion Detection / Prevention
  • Host Based Intrusion Detection / Prevention
  • Geplante Updates für Intrusion Detection / Prevention Signaturdateien
  • Eindringlingsüberwachung 24x7
  • Kontinuierliche Virensuche
  • Geplante Updates für Virensignaturdateien
  • Penetrationsstudien und / oder Tests
  • Keiner

11) Haben Sie Standards zum Aushärten oder Sichern Ihrer Betriebssysteme?

12) Haben Sie einen Zeitplan für das Anwenden von Updates und Hotfixes auf Ihre Betriebssysteme? Wenn nein, teilen Sie uns bitte mit, wie Sie bestimmen, wann und wo Sie Patches und wichtige Updates anwenden müssen

13) Halten Sie für den Schutz vor einem Strom- oder Netzwerkausfall vollständig redundante Systeme für Ihre wichtigsten Transaktionssysteme bereit?

Webserver (falls zutreffend)

1) Welche URL wird für den Zugriff auf die Anwendung / Daten verwendet?

2) Welches Betriebssystem hat der / die Webserver? (Bitte geben Sie den Betriebssystemnamen, Version und Service Pack oder Patch-Level an.)

3) Was ist die Webserver-Software?

Anwendungsserver (falls zutreffend)

1) Welches (n) Betriebssystem (e) sind die Anwendungsserver? (Bitte geben Sie den Betriebssystemnamen, Version und Service Pack oder Patch-Level an.)

2) Was ist die Anwendungsserver-Software?

3) Verwenden Sie rollenbasierte Zugriffskontrolle?                Wenn ja, wie werden die Zugriffsebenen den Rollen zugewiesen?

4) Wie gewährleisten Sie eine angemessene Autorisierung und Trennung?  von Aufgaben sind vorhanden?

5) Verwendet Ihre Anwendung mehrstufigen Benutzerzugriff / Sicherheit? Wenn ja, stellen Sie bitte Details bereit.

6) Werden Aktivitäten in Ihrer Anwendung von einem System oder Service eines Drittanbieters überwacht? Wenn ja, teilen Sie uns bitte den Namen des Unternehmens und der Dienstleistung mit und welche Informationen überwacht werden

Datenbankserver (falls zutreffend)

1) Welches Betriebssystem ist der Datenbankserver? (Bitte geben Sie den Betriebssystemnamen, Version und Service Pack oder Patch-Level an.)

2) Welche Datenbankserver-Software wird verwendet?

3) Ist die DB repliziert?

4) Ist der DB-Server Teil eines Clusters?

5) Was wird (wenn überhaupt) unternommen, um die Daten des Unternehmens von anderen Unternehmen zu isolieren?

6) Werden die Daten des Unternehmens, wenn sie auf der Festplatte gespeichert sind, verschlüsselt?                 Wenn ja, beschreiben Sie bitte die Verschlüsselungsmethode

7) Wie werden Quelldaten erfasst?

8) Wie werden Datenintegritätsfehler behandelt?

Auditing und Protokollierung

1) Protokollieren Sie den Kundenzugriff auf:

  • Der Webserver?
  • Der Anwendungsserver?
  • Der Datenbankserver?

2) Werden die Protokolle überprüft? Wenn ja, bitte erläutern Sie den Prozess und wie oft werden sie überprüft?

3) Stellen Sie Systeme und Ressourcen bereit, um Audit-Protokolle und Transaktionsprotokolle zu verwalten und zu überwachen? Wenn ja, welche Protokolle behalten Sie und wie lange speichern Sie sie?

4) Erlauben Sie [Das Unternehmen], Ihre Systemprotokolle für unser Unternehmen zu überprüfen?

Privatsphäre

1) Welche Prozesse und Prozeduren werden verwendet, um die Daten des Unternehmens zu deklassifizieren / löschen / zu löschen, wenn sie nicht mehr benötigt werden?

2) Haben Sie zu irgendeinem Zeitpunkt versehentlich oder versehentlich Kundeninformationen veröffentlicht?
Wenn ja, welche Korrekturmaßnahmen haben Sie seither umgesetzt?

3) Haben Auftragnehmer (Nicht-Angestellte) Zugang zu sensiblen oder vertraulichen Informationen? Wenn ja, haben sie eine Geheimhaltungsvereinbarung unterzeichnet?

4) Verfügen Sie über Anbieter, die berechtigt sind, auf Ihre Netzwerke, Systeme oder Anwendungen zuzugreifen und diese zu warten? Wenn ja, stehen diese Anbieter unter schriftlichen Verträgen, die Vertraulichkeit, Hintergrund-Checks und Versicherung gegen Verlust vorsehen?

5) Wie werden Ihre Daten klassifiziert und gesichert?

Operationen

1) Was ist die Häufigkeit und das Niveau Ihrer Backups?

2) Wie lang ist die Aufbewahrungsfrist für Backups?

3) In welchem ​​Format sind Ihre Backups gespeichert?

4) Speichern Sie Backups an einem externen Standort? Wenn ja, wie hoch ist die Aufbewahrungsfrist?

5) Verschlüsseln Sie Ihre Datensicherungen?

6) Wie stellen Sie sicher, dass nur gültige Produktionsprogramme ausgeführt werden?


44
2018-06-09 15:39



Kara das ist eine der durchdachtesten und detailliertesten Antworten, die ich bekommen habe. Ich schätze, du hast das ein paar Mal gemacht. - reconbot
Ich bin es gewohnt, sie auszufüllen, ja. Ich vermute, dass sie von riesigen Komitees in dunklen, rauchgefüllten Räumen zusammengesetzt sind ... Ich bin froh, dass es hilft, tho. Die Quandry, die Sie bekommen haben, ist ein großer Grund für das Bestehen von SF. - Kara Marfia
"Befinden sich Ihre Mitarbeiter außerhalb der USA?" -- lustig. Aus meiner Sicht ist es eher ein Risiko, einen Mitarbeiter zu haben in den USA. Der Punkt ist, dass wir gesetzlich verpflichtet sind, niemanden auf die Daten oder Server zugreifen zu lassen (ohne Genehmigung durch einen Richter) und unsere Anwälte sagten, dass genau diese Anforderung nicht erfüllt werden kann, wenn ein Mitarbeiter aus den USA Zugang zu diesen Daten hat: ) - serverhorror


Ich wurde immer nur nach diesen Informationen gefragt, wenn ich mit regulierten Branchen (Banken) oder Regierungen zusammenarbeite.

Ich bin mir eines "Standardformats" an sich nicht bewusst, aber dann habe ich immer ein Template erhalten, dass mein Kunde von einem Auditor als "Startplatz" bekommen hat, wenn ich diese machen musste.

Ich würde wahrscheinlich mit einigen Google-Suchen beginnen und sehen, was ich in der Art von Beispielrichtliniendokumenten finden könnte. SANS (http://www.sans.org) ist auch ein weiterer guter Ort, um zu suchen.

Was die Detailgenauigkeit betrifft, würde ich sagen, dass sie wahrscheinlich auf das Publikum und den Zweck zugeschnitten sein muss. Ich würde das Detail hoch halten, es sei denn, ich wurde ausdrücklich gebeten, Details auf niedriger Ebene anzugeben.


4
2018-06-09 15:00



Früher habe ich immer eine NIST-Vorlage verwendet, um schnell eine Sicherheitsrichtlinie zu erstellen, aber ich habe keine Kopie mehr und ein schneller Google kann die Originale nicht mehr finden (ich denke NIST wird jetzt berechnet). Die Regierung von Kalifornien hat einige gute Ressourcen, darunter Vorlagen, bei oispp.ca.gov/government/Library/samples.asp Der obige Vorschlag des SANS-Instituts ist ebenfalls eine großartige Ressource. - hromanko


Es gibt verschiedene Gründe, warum ein Unternehmen Ihre Sicherheitsrichtlinie sehen möchte. Ein Beispiel ist, dass die Kreditkartenindustrie (Visa, MasterCard, AmEx, etc ...) verlangt, dass die Unternehmen, die Kreditkarten bearbeiten, dem Zahlungskarten-Standard (PCI-DSS) entsprechen müssen. Ein Abschnitt des PCI-DSS erfordert, dass die Partner des Unternehmens auch PCI-DSS einhalten müssen (was natürlich schriftliche Richtlinien erfordert).

Ehrlich gesagt, wenn ich Ihnen Zugang zu Ihrem Netzwerk über ein VPN oder eine direkte Verbindung gewähren möchte, möchte ich wissen, dass Sie ein gewisses Maß an Sicherheit haben, sonst öffne ich mich für alle möglichen Probleme.

Deshalb kann es eine Wohltat sein, in dieser Hinsicht PCI oder ISO 27001 zu sein, weil Sie die externe Organisation wissen lassen können, dass Sie Dinge bis zu einem gewissen Grad handhaben. Wenn Ihre Richtlinien sehr allgemein sind, sollte es nicht ein Problem sein, eine Kopie an Ihren Partner zu senden. Wenn sie jedoch bestimmte Prozeduren oder Sicherheitsinformationen sehen möchten, würde ich nicht zulassen, dass meine Website verlassen wird.

Kara hat eine hervorragende Anleitung, was Sie in Ihren Richtlinien abdecken möchten. Hier ist ein Beispiel für eine Richtlinie.

IT-001 System Backup / Wiederherstellungsrichtlinie

I. Einleitung  In diesem Abschnitt wird erläutert, wie Backups wichtig sind und wie Sie Kopien außerhalb des Standorts testen und aufbewahren möchten.

II. Zweck        A. Diese Richtlinie gilt für Häufigkeit, Speicherung und Wiederherstellung        B. Diese Richtlinie gilt für Daten, Betriebssysteme und App-Software        C. Alle Sicherungs- / Wiederherstellungsverfahren müssen dokumentiert und an einem sicheren Ort aufbewahrt werden

III. Umfang  In diesem Abschnitt wird darauf hingewiesen, dass die Richtlinie alle Server und Datenressourcen in Ihrem Unternehmen (und allen anderen spezifischen Bereichen wie z. B. Satellitenbüros) abdeckt.

IV. Rollen und Verantwortlichkeiten        A. Manager - entscheidet, was gesichert wird, bestimmt Häufigkeit, Medium und Prozeduren und überprüft auch, ob Backups stattfinden        B. Systemadministrator - Führt die Backups durch, überprüft die Backups, testet die Backups, transportiert Backups, testet die Wiederherstellung und behält die Backup-Rotation von Großvater / Vater / Sohn bei        C. Benutzer - Hat er eingegeben, was gesichert wird, muss er Daten an einem Ort speichern, der für die Sicherung bestimmt ist

V. Beschreibung der Richtlinie  Backup - all das, was Sie über Backups im Allgemeinen sagen wollen  Recovery - all die Dinge, die du über Genesung im Allgemeinen sagen willst

Spezifische Schritt-für-Schritt-Anweisungen sollten in einem separaten Verfahren / Arbeitsanweisungsdokument enthalten sein. Wenn Sie jedoch eine sehr kleine Organisation haben, können Sie Richtlinien nicht von Prozeduren trennen.

Ich hoffe, das hilft und gibt Ihnen nützliche Informationen.


4
2018-06-09 16:32



+1, weil ich bereit wäre, darauf zu wetten, dass es sich um einen Vertrag handelt, an dem PCI beteiligt sein könnte. (die Kreditkarte PCI, nicht der alte Busanschluss). Wenn dies der Fall ist, wollen sie nicht eine vollständige Spezifikation, nur die Dinge, die ihre PCI-Compliance beeinflussen. - Matt


Ich musste kürzlich eine davon schreiben und es endete nicht zu schwierig. Zugegebenermaßen ist sogar der Aspekt des Tailoring wichtig, da einige Details mehr Arbeit erfordern als andere. NIST Außerdem gibt es eine große Bibliothek kostenloser Online-Publikationen, die Sicherheitsmaßnahmen für verschiedene Zwecke beschreiben. Sie können diese für Ideen verwenden, bei denen Sie nicht sicher sind, um welche Art / Umfang an Sicherheit es sich handelt.

Hier sind einige allgemeine Kategorien, die jedoch auf hoher Ebene abgedeckt werden sollten:

  • Richtlinie zur Datenaufbewahrung
  • Backup-Prozeduren / Zugriff auf Backups
  • Interne Zugriffsbeschränkungen (physisch und virtuell)
    • Netzwerk (drahtlos, verkabelt)
    • Hardware (Server, Workstations, Büroräume, Offsite / Telearbeit)
    • Hosting / Datencenter (wichtig, wenn Sie die Partnerdaten speichern)
    • Betriebssystem
  • Personalscreening

Diese Liste kann erweitert oder reduziert werden, da jetzt viele Informationen benötigt werden. Auch brauchen Sie sich nicht zu ärgern, wenn Sie noch nicht alles haben. Mein Rat ist, bei der Beschreibung Ihrer "beabsichtigten" Richtlinien zu bleiben, aber seien Sie bereit, sie sofort für alles, was fehlt, zu erweitern. Bereiten Sie sich auch darauf vor, angerufen zu werden, was Sie behaupten, egal wie unwahrscheinlich das ist (die Anwälte werden sich später nicht darum kümmern).


1
2018-06-09 15:11





Ich würde zuerst mit dem Rechtsbeistand Ihres Unternehmens darauf eingehen, zumal es Teil eines Vertrages ist.


1
2018-06-09 15:33





Um der Notwendigkeit zu entsprechen, eine Kopie Ihres Sicherheitsrichtliniendokuments zu senden, wäre ein wenig gegen Sicherheit. Ich habe unsere Sicherheitsrichtlinie geschrieben und den Großteil der Docs aus den Templates des SAN übernommen. Die anderen können Sie mit bestimmten Richtliniensuchen bei Google ausfüllen. Die Art und Weise, wie wir mit einer externen Partei umgehen, die die Richtlinie sehen möchte, ist, sie sich in das Büro unseres Direktors der Operation setzen zu lassen und ihnen zu erlauben, es zu lesen. Unsere Politik ist, dass die Politik niemals das Gebäude und insbesondere unsere Sicht verlässt. Wir haben Vereinbarungen, denen jeder Dritte zustimmen muss, wenn er in bestimmten Funktionen arbeitet, die Zugriff auf unsere Informationen erfordern. Und sie sind von Fall zu Fall. Diese Richtlinie passt möglicherweise nicht zu Ihrer Umgebung, noch werden alle Richtlinien auf der SAN-Website für Sie oder Ihr Unternehmen gelten, aber ich würde empfehlen, mit der Erstellung Ihrer Sicherheitsrichtlinie zu beginnen und sie nach der Genehmigung durch Upper Management durchzusetzen.


1
2018-06-09 15:38



Ich bin froh, dass ich nicht der Einzige mit dieser Erfahrung bin. - MathewC
Es war interessant, aber eine großartige Erfahrung. Meine Benutzer mögen mich vielleicht nicht mehr sehr, aber wenn Sie es aus einer statistischen Perspektive betrachten. Ich lese in eweek oder informationweek, dass irgendwo in der Nachbarschaft von 70% aller Unternehmen, die eine Sicherheitsverletzung erleben, sich nicht erholen und innerhalb von 2 Jahren nach dem Finden der Verletzung ihre Türen schließen. - TechGuyTJ


Ist es Standardpraxis: meine Erfahrung ist Ja für bestimmte Industrien, die reguliert werden, wie Bankwesen, Nahrung, Energie, usw.

Gibt es ein Standardformat: Es gibt eine Reihe von Standards. Wenn Ihr Vertrag jedoch keinen Standard (z. B. ISO) vorgibt, sollten Sie vertraglich das von Ihnen gewählte Format angeben.

Es sollte nicht schwierig sein. Sie haben bereits einen Patch- und Passwort-Standard, daher sollte das Dokument angeben, was dieser Standard ist und wie sichergestellt wird, dass er eingehalten wird. Fallen Sie nicht in die Falle, zu viel Zeit damit zu verbringen, es hübsch zu machen. Es genügt ein einfaches Dokument.

Wenn in Ihrem Vertrag angegeben ist, dass ein bestimmter Standard verwendet wird, sollten Sie professionelle Hilfe in Anspruch nehmen, um sicherzustellen, dass Sie vertragskonform sind.


1
2018-06-09 16:19