Моя компания работает с другой компанией, и в рамках контракта они запрашивают копию письменной Политики ИТ-безопасности моей компании. У меня нет письменной политики безопасности ИТ, и я не совсем уверен, что хочу им дать. Мы магазин Microsoft. У нас есть расписания обновлений, учетные записи с ограниченным доступом для управления серверами, брандмауэры, сертификаты ssl, и мы время от времени запускаем Microsoft Baseline Security Analyzer.
Мы настраиваем службы и учетные записи пользователей, поскольку считаем, что это в основном безопасно и надежно (это сложно, когда у вас нет полного контроля над тем, какое программное обеспечение вы запускаете), но я не могу вдаваться в подробности, каждая служба и сервер разные. Я получаю больше информации о том, что они хотят, но мне кажется, что они в рыбалке.
Мои вопросы: это стандартная практика - запрашивать эту информацию? (Честно говоря, я не против этого, но этого никогда не было раньше.) И если это стандарт, то есть ли стандартный формат и ожидаемый уровень детализации, который я должен представить?
Им не нужна копия всей вашей внутренней ИТ-политики, но я думаю, что им может быть нужно нечто подобное - кому-то определенно нужно предоставить вам достаточно информации о контракте, чтобы определить, сколько деталей вам нужно предоставить и о чем. Тем не менее, я согласен с Джозефом - если им нужна информация по причинам, связанным с законом / соблюдением требований, требуется юридический вклад.
1) Кто-нибудь из ваших сотрудников находится за пределами США?
2) Имеется ли в вашей компании формализованная и задокументированная политика информационной безопасности?
3) Охватывается ли ваша политика информационной безопасности в отношении обработки и классификации информации и данных?
4) Есть ли какие-либо нерешенные нормативные вопросы, которые вы в настоящее время решаете в штате (ах), в котором вы работаете? Если да, объясните, пожалуйста.
1) Есть ли у вас программа обучения осведомленности в области информационной безопасности для сотрудников и подрядчиков?
2) Какие из следующих методов аутентификации и авторизации доступа к вашим системам и приложениям вы используете в настоящее время:
3) Кто разрешает доступ для сотрудников, подрядчиков, временных работников, поставщиков и деловых партнеров?
4) Предоставляете ли вы своим сотрудникам (включая подрядчиков, временных работников, поставщиков и т. Д.) Удаленный доступ к вашим сетям?
5) Есть ли у вас план реагирования на инциденты информационной безопасности? Если нет, как обрабатываются инциденты информационной безопасности?
6) Есть ли у вас политика, регулирующая обращение с внутренней или конфиденциальной информацией в сообщениях электронной почты за пределами вашей компании?
7) Проверяете ли вы свои политики и стандарты информационной безопасности не реже одного раза в год?
8) Какие методы и физические средства контроля используются для предотвращения несанкционированного доступа к защищенным зонам вашей компании?
9) Опишите, пожалуйста, вашу политику паролей для всех сред? Т.е. длина, прочность и старение
10) Есть ли у вас план аварийного восстановления (DR)? Если да, как часто вы это тестируете?
11) Есть ли у вас план обеспечения непрерывности бизнеса (BC)? Если да, как часто вы это тестируете?
12) Вы предоставите нам копию результатов ваших тестов (BC и DR), если потребуется?
1) Будут ли данные и / или приложения [Компании] храниться и / или обрабатываться на выделенном или общем сервере?
2) Если на общем сервере, как данные [Компании] будут сегментированы от данных других компаний?
3) Какие типы связи между компаниями будут предоставляться?
4) Будет ли это сетевое соединение зашифровано? Если да, то какой метод (-ы) шифрования будет использоваться?
5) Требуется ли какой-либо код на стороне клиента (включая код ActiveX или Java) для использования решения? Если да, опишите.
6) Есть ли у вас брандмауэр (-ы) для управления внешним сетевым доступом к вашему (-ым) веб-серверу (-ам). Если нет, то где находится этот сервер (ы)?
7) Есть ли в вашей сети DMZ для доступа приложений в Интернет? Если нет, где находятся эти приложения?
8) Принимает ли ваша организация меры по предотвращению отказов в обслуживании? Опишите эти шаги
9) Выполняете ли вы какие-либо из следующих проверок / тестов информационной безопасности
10) Какие из следующих практик информационной безопасности активно используются в вашей организации?
11) Есть ли у вас стандарты усиления или защиты ваших операционных систем?
12) Есть ли у вас график применения обновлений и исправлений к вашим операционным системам? Если нет, расскажите, пожалуйста, как вы определяете, какие и когда применять исправления и критические обновления.
13) Поддерживаете ли вы полностью избыточные системы для своих ключевых транзакционных систем, чтобы обеспечить защиту от сбоев питания или сети?
1) Какой URL-адрес будет использоваться для доступа к приложению / данным?
2) Какая операционная система является веб-сервером (-ами)? (Пожалуйста, укажите название ОС, версию и пакет обновления или уровень исправления.)
3) Что такое программное обеспечение веб-сервера?
1) Какая операционная система является сервером (-ами) приложений? (Пожалуйста, укажите название ОС, версию и пакет обновления или уровень исправления.)
2) Что представляет собой программное обеспечение сервера приложений?
3) Используете ли вы контроль доступа на основе ролей? Если да, как уровни доступа назначаются ролям?
4) Как вы обеспечиваете наличие соответствующих разрешений и разделения обязанностей?
5) Использует ли ваше приложение многоуровневый доступ / безопасность пользователей? Если да, укажите подробности.
6) Контролируются ли действия в вашем приложении сторонней системой или службой? Если да, пожалуйста, сообщите нам название компании и услуги, а также информацию, которая отслеживается.
1) Какая операционная система является сервером (-ами) базы данных? (Пожалуйста, укажите название ОС, версию и пакет обновления или уровень исправления.)
2) Какое программное обеспечение сервера баз данных используется?
3) Реплицируется ли БД?
4) Является ли сервер БД частью кластера?
5) Что сделано (если вообще что-то сделано) для изоляции данных [Компании] от других компаний?
6) Будут ли зашифрованы данные [Компании] при хранении на диске? Если да, опишите метод шифрования
7) Как собираются исходные данные?
8) Как обрабатываются ошибки целостности данных?
1) Вы регистрируете доступ клиентов на:
2) Проверяются ли журналы? Если да, объясните, пожалуйста, процесс и как часто они пересматриваются?
3) Предоставляете ли вы системы и ресурсы для ведения и мониторинга журналов аудита и журналов транзакций? Если да, то какие журналы вы храните и как долго вы их храните?
4) Разрешите ли вы [Компании] просматривать ваши системные журналы, поскольку они относятся к нашей компании?
1) Какие процессы и процедуры используются для рассекречивания / удаления / удаления данных [Компании], когда они больше не нужны?
2) Раскрывали ли вы когда-либо ошибочно или случайно информацию о клиенте?
Если да, то какие корректирующие меры вы приняли с тех пор?
3) Имеют ли подрядчики (не являющиеся сотрудниками) доступ к секретной или конфиденциальной информации? Если да, подписали ли они соглашение о неразглашении?
4) Есть ли у вас поставщики, которым разрешен доступ и обслуживание ваших сетей, систем или приложений? Если да, то предусматривают ли эти поставщики по письменным контрактам конфиденциальность, проверку биографических данных и страхование / возмещение убытков?
5) Как ваши данные классифицируются и защищены?
1) Какова частота и уровень ваших резервных копий?
2) Каков срок хранения резервных копий на месте?
3) В каком формате хранятся ваши резервные копии?
4) Храните ли вы резервные копии вне офиса? Если да, то каков срок хранения?
5) Вы шифруете свои резервные копии данных?
6) Как вы гарантируете, что выполняются только действующие производственные программы?
Меня когда-либо спрашивали об этой информации только при работе с регулируемыми отраслями (банковское дело) или правительством.
Я не знаю «стандартный формат» как таковой, но мне всегда давали какой-то шаблон, который мой Заказчик давал аудитором в качестве «отправной точки», когда мне приходилось их создавать.
Я бы, наверное, начал с поисков в Google и посмотрел, что смогу найти в виде образцов документов политики. SANS (http://www.sans.org) - еще одно хорошее место для начала поиска.
Что касается уровня детализации, я бы сказал, что он, вероятно, должен быть адаптирован к аудитории и цели. Я бы сохранил детализацию на высоком уровне, если меня специально не попросили предоставить детали низкого уровня.
Есть несколько разных причин, по которым компания может захотеть увидеть вашу политику безопасности. Одним из примеров является то, что индустрия платежных карт (Visa, MasterCard, AmEx и т. Д.) Требует, чтобы компании, обрабатывающие кредитные карты, придерживались стандарта индустрии платежных карт - стандарта безопасности данных (PCI-DSS). Раздел PCI-DSS требует, чтобы партнеры компании также придерживались PCI-DSS (что, конечно, требует письменных политик).
Откровенно говоря, если я предоставляю вам доступ к вашей сети через VPN или прямое соединение, я хочу знать, что у вас есть определенный уровень безопасности, иначе я открываюсь для всевозможных потенциальных проблем.
Вот почему сертификация PCI или ISO 27001 может быть благом в этом отношении, потому что вы можете сообщить внешней организации, что у вас есть дела до определенного уровня. Если ваши политики очень общие, то может не быть проблемой предоставить копию вашему партнеру. Однако, если они хотят увидеть конкретные процедуры или информацию о безопасности, я бы не позволил им покинуть мой сайт.
У Кары есть отличные рекомендации относительно того, что вы хотите включить в свою политику. Вот пример политики.
Введение В этом разделе рассказывается о том, насколько важны резервные копии, как вы планируете тестировать и хранить копии вне офиса.
II. Цель A. Эта политика будет охватывать частоту, хранение и восстановление B. Эта политика распространяется на данные, операционные системы и программное обеспечение приложений C. Все процедуры резервного копирования / восстановления должны быть задокументированы и храниться в надежном месте.
III. Объем В этом разделе отмечается, что политика распространяется на все серверы и активы данных в вашей компании (и любые другие конкретные области, такие как вспомогательные офисы).
IV. Роли и обязанности A. Менеджер - решает, что копируется, определяет частоту, среду и процедуры, а также проверяет, что происходит резервное копирование B. Системный администратор - запускает резервное копирование, проверяет резервные копии, тестирует резервные копии, переносит резервные копии, тестирует восстановление, поддерживает ротацию резервных копий дед / отец / сын C. Пользователи - вводят данные для резервного копирования, должны размещать данные в месте, указанном для резервного копирования
V. Описание политики Резервное копирование - все, что вы хотите сказать о резервных копиях в общем смысле Восстановление - все, что вы хотите сказать о восстановлении в общем смысле
Конкретные пошаговые инструкции должны быть в отдельном документе о процедурах / рабочих инструкциях. Однако, если у вас очень маленькая организация, вы можете не отделять политики от процедур.
Надеюсь, это поможет и даст вам некоторую полезную информацию.
Недавно мне пришлось написать один из них, и это не оказалось слишком сложным. Конечно, замечание Эвена о пошиве одежды важно, так как некоторые детали потребуют больше работы, чтобы описать, чем другие. NIST также есть большая библиотека бесплатных онлайн-публикаций, описывающих меры безопасности для различных целей, вы можете использовать их для идей, когда вы не уверены, какой тип / степень безопасности требуется.
Вот несколько общих категорий, которые следует охватить на высоком уровне:
Этот список может быть расширен или сокращен в зависимости от того, что сейчас требуется много информации. Кроме того, не нужно беспокоиться, если у вас еще нет всего этого на месте. Мой совет - придерживаться описания вашей «предполагаемой» политики, но будьте готовы немедленно расширить ее, если чего-либо не хватает. Также будьте готовы к тому, что вас вызовут по поводу того, о чем вы заявляете, каким бы маловероятным это ни было (адвокатам в дальнейшем все равно).
Я хотел бы поговорить об этом с юрисконсультом вашей компании для начала, тем более что это часть контракта.
Чтобы решить эту проблему, вы должны отправить копию документа о политике безопасности, что немного противоречит безопасности. Я написал нашу политику безопасности и удалил большинство документов из шаблонов SAN. Остальные вы можете заполнить с помощью конкретных запросов политики в Google. То, как мы обращаемся с внешней стороной, желающей ознакомиться с политикой, - это позволить им сесть в офисе нашего операционного директора и позволить им прочитать ее. Наша политика заключается в том, что политика никогда не покидает здание и, в частности, наш взгляд. У нас есть соглашения, с которыми должна согласиться любая третья сторона при работе на определенных должностях, требующих доступа к нашей информации. И они действуют в индивидуальном порядке. Эта политика может не соответствовать вашей среде, и все политики, представленные на веб-сайте SAN, не будут относиться к вам или вашему бизнесу, но я бы рекомендовал начать процесс создания вашей политики безопасности и после утверждения высшим руководством приступить к ее обеспечению.
Является ли это стандартной практикой: мой опыт положительный для определенных регулируемых отраслей, таких как банковское дело, пищевая промышленность, энергетика и т. Д.
Существует ли стандартный формат: существует ряд стандартов, но если в вашем контракте не указан стандарт (например, ISO), вы должны по контракту предоставить любой выбранный вами формат.
Это не должно быть сложно. У вас уже есть стандарт исправлений и паролей, поэтому в документе следует указать, что это за стандарт и как вы обеспечиваете его соблюдение. Не попадайтесь в ловушку, тратя слишком много времени на то, чтобы сделать это красиво. Достаточно простого документа.
Если ваш контракт предусматривает использование определенного стандарта, вам следует обратиться за профессиональной помощью, чтобы убедиться, что вы соблюдаете условия контракта.
Нам часто задают этот вопрос, потому что мы являемся хостинг-центром. Суть в том, что мы не выдаем его, если не знаем именно то, что они ищут заранее. Если они ищут в нашей политике безопасности что-то, чего у нас нет, обычно это потому, что природа нашего бизнеса не требует этого, и мы им об этом говорим. Это может быть субъективным, но это не имеет значения - мы еще не потеряем из-за этого ни одного бизнеса. Чаще всего они спрашивают, потому что должны сказать кому-то, что они сделали. Ответ «НЕТ» не обязательно является плохим моментом или нарушением сделки.
Мы только что прошли сертификацию SAS70 II, поэтому теперь мы просто даем письмо с мнением аудитора и позволяем ему говорить о наших письменных правилах.
Прежде чем показывать им что-либо, вам понадобится NDA. Затем я позволял им прийти и ознакомиться с политикой безопасности, но никогда не имел ее копии.