Партнер хочет получить копию нашей письменной политики безопасности ИТ, и я не уверен, что делать [закрыто]

23

Моя компания работает с другой компанией, и в рамках контракта они запрашивают копию письменной Политики безопасности ИТ моей компании. У меня нет письменной политики безопасности ИТ, и я не совсем уверен, что я хочу им дать. Мы магазин Microsoft. У нас есть расписание обновлений, учетные записи с ограниченным доступом для управления серверами, межсетевыми экранами, ssl-сертификатами, и мы время от времени запускаем Microsoft Baseline Security Analyzer.

Мы настраиваем сервисы и учетные записи пользователей, так как считаем, что они в основном безопасны и надежны (это сложно, когда у вас нет полного контроля над тем, какое программное обеспечение вы используете), но я не могу вдаваться в детали, каждый сервис и сервер различны. Я получаю больше информации о том, чего они хотят, но я чувствую, что они в рыбацкой экспедиции.

Мои вопросы: это стандартная практика, чтобы запрашивать эту информацию? (Я не против, если честно, но этого никогда не было раньше.) И если это стандарт, есть ли стандартный формат и ожидаемый уровень детализации, который я должен представить?

best-practices reconbot
источник
1
Оказывается, мы подаем заявку на сертификацию c-tpat. От нас требуется только придерживаться двух вещей. 1) Защита паролем 2) Подотчетность ( cbp.gov/xp/cgov/trade/cargo_security/ctpat/security_guideline/… ) Удивительное количество хороших ответов заставило меня задуматься, хотя я начал проект с формальным планом используя ваши советы не для сертификации, а для себя.
перепроверять
Этот вопрос не относится к текущим правилам актуальности.
HopelessN00b

Ответы:

44

Им не нужна копия всей вашей внутренней ИТ-политики, но я думаю, что им может понадобиться что-то похожее на это - кто-то обязательно должен получить вам достаточно информации о контракте, чтобы определить, сколько деталей вы должны предоставить и о чем. То есть я согласен с Джозефом - если им нужна информация по юридическим соображениям / причинам соблюдения, необходимо внести юридический вклад.

Исходная информация

1) Кто-нибудь из ваших сотрудников находится за пределами США?

2) Имеются ли в вашей компании формализованные и задокументированные политики информационной безопасности?

3) Охвачены ли ваши политики информационной безопасности обработкой и классификацией информации и данных?

4) Существуют ли какие-либо нерешенные вопросы регулирования, которые вы в настоящее время решаете в штате (штатах), в котором вы работаете? Если да, пожалуйста, объясните.

Общая безопасность

1) Есть ли у вас учебная программа по информационной безопасности для сотрудников и подрядчиков?

2) Какой из следующих способов аутентификации и авторизации доступа к вашим системам и приложениям вы используете в настоящее время:

  • Выполняется операционной системой
  • В исполнении коммерческого продукта
  • Единая точка входа
  • Клиентские цифровые сертификаты
  • Другая двухфакторная аутентификация
  • Доморощенный
  • Нет механизма аутентификации на месте

3) Кто разрешает доступ сотрудникам, подрядчикам, временным сотрудникам, поставщикам и деловым партнерам?

4) Предоставляете ли вы своим сотрудникам (включая подрядчиков, временных сотрудников, поставщиков и т. Д.) Удаленный доступ к вашим сетям?

5) Есть ли у вас план реагирования на инциденты информационной безопасности? Если нет, то как обрабатываются инциденты информационной безопасности?

6) Есть ли у вас политика, касающаяся обработки внутренней или конфиденциальной информации в сообщениях электронной почты за пределами вашей компании?

7) Проверяете ли вы свои политики и стандарты информационной безопасности хотя бы раз в год?

8) Какие методы и физические средства контроля используются для предотвращения несанкционированного доступа в безопасные зоны вашей компании?

  • Сетевые серверы в закрытых комнатах
  • Физический доступ к серверам ограничен идентификацией безопасности (карты доступа, биометрия и т. Д.)
  • Видеонаблюдение
  • Журналы входа и процедуры
  • Значки безопасности или идентификационные карты всегда видны в безопасных зонах
  • Охранники
  • Никто
  • Другое, пожалуйста, предоставьте дополнительную информацию

9) Пожалуйста, опишите вашу политику паролей для всех сред? То есть. Длина, прочность и старение

10) Есть ли у вас план аварийного восстановления (DR)? Если да, как часто вы это тестируете?

11) Есть ли у вас план обеспечения непрерывности бизнеса (BC)? Если да, как часто вы это тестируете?

12) Предоставите ли вы нам копию результатов ваших тестов (BC и DR) по запросу?

Обзор архитектуры и системы

1) Будут ли данные и / или приложения [Компании] храниться и / или обрабатываться на выделенном или совместно используемом сервере?

2) Если на совместно используемом сервере данные [Компании] будут сегментированы из данных других компаний?

3) Какой тип (ы) связи между компаниями будет обеспечен?

  • интернет
  • Частная / арендованная линия (например, T1)
  • Набрать номер
  • VPN (виртуальная частная сеть)
  • Терминал Сервис
  • Никто
  • Другое, пожалуйста, предоставьте дополнительную информацию

4) Будет ли это сетевое соединение зашифровано? Если да, какой метод (ы) шифрования будет использоваться?

5) Требуется ли какой-либо код на стороне клиента (включая код ActiveX или Java) для использования решения? Если да, пожалуйста, опишите.

6) Есть ли у вас брандмауэр (ы) для контроля доступа внешней сети к вашим веб-серверам? Если нет, где находится этот сервер (ы)?

7) Есть ли в вашей сети DMZ для доступа в Интернет к приложениям? Если нет, где находятся эти приложения?

8) Принимает ли ваша организация меры против перебоев в отказе в обслуживании? Пожалуйста, опишите эти шаги

9) Проводите ли вы какие-либо из следующих проверок / тестов информационной безопасности?

  • Сканирование внутренней системы / сети
  • Внутренняя самооценка и / или экспертиза
  • Внутренний кодекс отзывов / рецензий
  • Внешние сторонние тесты на проникновение / исследования
  • Другое, Пожалуйста, подробно опишите, как часто проводятся эти тесты?

10) Какие из следующих методов информационной безопасности активно используются в вашей организации

  • Списки контроля доступа
  • Цифровые сертификаты - сторона сервера
  • Цифровые сертификаты - Клиентская сторона
  • Цифровые подписи
  • Сетевое обнаружение / предотвращение вторжений
  • Основанное на хосте обнаружение / предотвращение вторжений
  • Запланированные обновления для файлов сигнатур обнаружения / предотвращения вторжений
  • Мониторинг вторжений 24х7
  • Непрерывное сканирование на вирусы
  • Запланированные обновления файлов сигнатур вирусов
  • Исследования на проникновение и / или тесты
  • Никто

11) Есть ли у вас стандарты для повышения безопасности ваших операционных систем?

12) Есть ли у вас график применения обновлений и оперативных исправлений к вашим операционным системам? Если нет, расскажите, пожалуйста, как вы определяете, когда и как применять исправления и критические обновления

13) Для обеспечения защиты от сбоя питания или сети вы поддерживаете системы с полным резервированием для ваших ключевых транзакционных систем?

Веб-сервер (если применимо)

1) Какой URL будет использоваться для доступа к приложению / данным?

2) Какая операционная система (и) является веб-сервером (ами)? (Пожалуйста, укажите название ОС, версию и пакет обновления или уровень исправления.)

3) Что такое программное обеспечение веб-сервера?

Сервер приложений (если применимо)

1) Какие операционные системы (ы) являются серверами приложений? (Пожалуйста, укажите название ОС, версию и пакет обновления или уровень исправления.)

2) Что такое программное обеспечение сервера приложений?

3) Используете ли вы контроль доступа на основе ролей? Если да, как уровни доступа назначаются ролям?

4) Как вы обеспечиваете надлежащее разрешение и разделение обязанностей?

5) Использует ли ваше приложение многоуровневый пользовательский доступ / безопасность? Если да, пожалуйста, предоставьте детали.

6) Контролируются ли действия в вашем приложении сторонней системой или службой? Если да, пожалуйста, сообщите нам название компании и услуги, а также информацию, которая отслеживается

Сервер базы данных (если применимо)

1) Какая операционная система (ы) является сервером (ами) базы данных? (Пожалуйста, укажите название ОС, версию и пакет обновления или уровень исправления.)

2) Какое программное обеспечение сервера баз данных используется?

3) БД реплицируется?

4) Является ли сервер БД частью кластера?

5) Что делается (если что-нибудь) для изоляции данных [Компании] от других компаний?

6) Будут ли данные [Компании], хранящиеся на диске, зашифрованы? Если да, пожалуйста, опишите метод шифрования

7) Как собираются исходные данные?

8) Как обрабатываются ошибки целостности данных?

Аудит и логирование

1) Вы регистрируете доступ клиентов на:

  • Веб-сервер?
  • Сервер приложений?
  • Сервер базы данных?

2) Проверены ли журналы? Если да, пожалуйста, объясните процесс и как часто они проверяются?

3) Предоставляете ли вы системы и ресурсы для ведения и мониторинга журналов аудита и журналов транзакций? Если да, какие журналы вы храните и как долго вы храните их?

4) Вы позволите [Компании] просматривать ваши системные журналы, поскольку они относятся к нашей компании?

Конфиденциальность

1) Какие процессы и процедуры используются для рассекречивания / удаления / удаления данных [Компании], когда они больше не нужны?

2) Вы когда-либо ошибочно или случайно раскрыли информацию о клиенте?
Если да, то какие корректирующие меры вы предприняли с тех пор?

3) Имеют ли подрядчики (не работники) доступ к конфиденциальной или конфиденциальной информации? Если да, подписали ли они соглашение о неразглашении?

4) Есть ли у вас поставщики, которым разрешен доступ и поддержка ваших сетей, систем или приложений? Если да, предусматривают ли эти поставщики по письменным контрактам конфиденциальность, проверку данных и страхование / возмещение убытков?

5) Как ваши данные классифицированы и защищены?

операции

1) Какова частота и уровень ваших резервных копий?

2) Каков срок хранения резервных копий на месте?

3) В каком формате хранятся ваши резервные копии?

4) Храните ли вы резервные копии в другом месте? Если да, то каков срок хранения?

5) Вы шифруете свои резервные копии данных?

6) Как вы обеспечиваете выполнение только действующих производственных программ?

Кара Марфия
источник
Кара, это один из самых хорошо продуманных и подробных ответов, которые я когда-либо получал. Я предполагаю, что вы сделали это несколько раз.
восстановить
1
Я привык их заполнять, да. ;) Я подозреваю, что они собираются огромными комитетами в темных, заполненных дымом комнатах ... Я рад, что это помогает, правда. Задержка, которую вы получили, является огромной причиной существования SF.
Кара Марфия
1
"Кто-нибудь из ваших сотрудников находится за пределами США?" -- веселая. С моей точки зрения, риск того, что сотрудник находится в США, больше . Дело в том, что мы обязаны по закону не разрешать кому-либо доступ к данным или серверам (без одобрения судьи), и наши юристы заявили, что именно это требование не может быть выполнено, если какой-либо сотрудник из США имеет доступ к этим данным: )
serverhorror
4

Меня когда-либо спрашивали об этой информации только при работе с регулируемыми отраслями (банковское дело) или правительством.

Я не знаю о «стандартном формате», как таковом, но тогда мне всегда давали какой-то шаблон, который мой Заказчик дал аудитору в качестве «отправной точки», когда мне приходилось делать это.

Вероятно, я бы начал с некоторых поисков в Google и посмотрел бы, что я могу найти в виде образцов политических документов. SANS ( http://www.sans.org ) также является еще одним хорошим местом для начала поиска.

Что касается уровня детализации, я бы сказал, что он, вероятно, должен быть адаптирован к аудитории и цели. Я бы держал детализацию на высоком уровне, если бы меня специально не попросили предоставить детали на низком уровне.

Эван Андерсон
источник
Раньше я всегда использовал шаблон NIST для быстрого создания политики безопасности, но у меня больше нет копии, и быстрый гугл больше не может найти оригиналы (я думаю, что теперь NIST заряжает). У правительства Калифорнии есть несколько хороших ресурсов, включая шаблоны, по адресу oispp.ca.gov/government/Library/samples.asp. Вышеприведенное предложение Института SANS также является отличным ресурсом.
Хроманко
4

Существует несколько причин, по которым компания может захотеть увидеть вашу политику безопасности. Одним из примеров является то, что индустрия платежных карт (Visa, MasterCard, AmEx и т. Д.) Требует, чтобы компании, обрабатывающие кредитные карты, должны придерживаться стандарта индустрии платежных карт - безопасности данных (PCI-DSS). Раздел PCI-DSS требует, чтобы партнеры компании также придерживались PCI-DSS (что, конечно, требует письменных политик).

Честно говоря, если я предоставляю вам доступ к вашей сети через VPN или прямое соединение, то я хочу знать, что у вас есть определенный уровень безопасности, в противном случае я открываю себя для всевозможных потенциальных проблем.

Вот почему сертификация PCI или ISO 27001 может быть благом в этом отношении, потому что вы можете сообщить внешней организации, что у вас есть вещи, обработанные до определенного уровня. Если ваши политики носят общий характер, какими они должны быть, то не может быть проблемой предоставить копию вашему партнеру. Однако, если они хотят видеть конкретные процедуры или информацию о безопасности, я бы не позволил этому покинуть мой сайт.

У Кара есть отличное руководство по тому, что вы хотите охватить в своей политике. Вот пример политики.

IT-001 Политика резервного копирования / восстановления системы

I. Введение В этом разделе рассказывается о важности резервного копирования, о том, как вы планируете тестировать и хранить копии вне сайта.

II. Цель A. Эта политика охватывает частоту, хранение и восстановление B. Эта политика охватывает данные, операционные системы и программное обеспечение приложений C. Все процедуры резервного копирования и восстановления должны быть задокументированы и храниться в надежном месте.

III. Область применения В этом разделе отмечается, что политика распространяется на все серверы и активы данных в вашей компании (а также на любые другие конкретные области, такие как спутниковые офисы).

Внутривенно Роли и обязанности A. Диспетчер - решает, что необходимо создать резервную копию, определяет частоту, среду и процедуры, а также проверяет, выполняются ли резервные копии. B. Системный администратор - запускает резервные копии, проверяет резервные копии, проверяет резервные копии, переносит резервные копии, проверяет восстановление, поддерживает ротация резервных копий дед / отец / сын C. Пользователи - имеют данные о том, что копируется, должны поместить данные в место, предназначенное для резервного копирования

V. Политика Описание Резервное копирование - все, что вы хотите сказать о резервном копировании в общем смысле Восстановление - все, что вы хотите сказать о восстановлении в общем смысле

Конкретные пошаговые инструкции должны быть в отдельном документе о процедурах / рабочих инструкциях. Однако если у вас очень маленькая организация, вы не можете отделять политики от процедур.

Я надеюсь, что это поможет и даст вам некоторую полезную информацию.

Дэвид Ю
источник
+1, потому что я был бы готов сделать ставку на тот факт, что это контракт, в который может быть вовлечена PCI. (кредитная карта PCI, а не старый шинный разъем). в этом случае им не нужна полная спецификация, а только то, что влияет на их соответствие PCI.
Мэтт
1

Я должен был написать один из них недавно, и это не оказалось слишком сложным. Конечно, пункт Even по поводу пошива одежды важен, поскольку некоторые детали потребуют больше работы для описания, чем другие. NIST также имеет большую библиотеку бесплатных онлайн-публикаций, описывающих меры безопасности для различных целей, вы можете использовать их для идей, когда вы не уверены, какой тип / степень безопасности требуется.

Вот некоторые общие категории, чтобы охватить их на высоком уровне:

  • Политика хранения данных
  • Процедуры резервного копирования / Доступ к резервным копиям
  • Внутренние ограничения доступа (физический и виртуальный)
    • Сеть (беспроводная, проводная)
    • Аппаратное обеспечение (серверы, рабочие станции, офисные помещения, удаленная работа / удаленная работа)
    • Хостинг / Центр данных (важно, если вы храните данные партнеров)
    • Операционная система
  • Отбор персонала

Этот список может быть расширен или уменьшен на основании того, что теперь требуется много информации. Кроме того, не нужно беспокоиться, если у вас еще нет всего этого на месте. Мой совет - придерживайтесь описания ваших «намеченных» политик, но будьте готовы немедленно расширить их для всего, чего не хватает. Также будьте готовы к тому, что вас вызовут, независимо от того, насколько маловероятно это (адвокаты не будут заботиться позже).

Дана вменяемая
источник
1

Я бы начал с юридического консультанта вашей компании по этому вопросу, тем более что это часть контракта.

Джозеф
источник
1

Чтобы удовлетворить необходимость, вы должны отправить копию документа о политике безопасности, что будет немного против безопасности. Я написал нашу политику безопасности и вытащил большинство документов из шаблонов SAN. Остальные вы можете заполнить поиском определенных правил в Google. То, как мы обращаемся со сторонней стороной, желающей увидеть политику, позволяет им сесть в офисе нашего директора по эксплуатации и позволить им прочитать ее. Наша политика заключается в том, что эта политика никогда не покидает здания, а точнее, нашего взгляда. У нас есть соглашения, с которыми любая третья сторона должна согласиться при работе на определенных должностях, которые требуют доступа к нашей информации. И они на индивидуальной основе. Эта политика может не соответствовать вашей среде, а также не всем политикам, относящимся к SAN.

TechGuyTJ
источник
Рад, что я не единственный с таким опытом.
MathewC
Это было интересно, но отличный опыт. Моим пользователям я не очень больше нравлюсь, но если вы посмотрите на это с точки зрения статистики. Я читал в eweek или informationweek, что где-то по соседству 70% всех компаний, которые сталкиваются с нарушениями безопасности, не могут восстановиться и в течение 2 лет после обнаружения нарушения закрывают свои двери.
TechGuyTJ
1

Является ли это стандартной практикой: мой опыт положительный для определенных регулируемых отраслей, таких как банковское дело, пищевая промышленность, энергетика и т. Д.

Существует ли стандартный формат: существует ряд стандартов, но если в вашем контракте не указан стандарт (например, ISO), вам следует договориться о том, чтобы предоставить любой формат, который вы выберете.

Это не должно быть сложно. У вас уже есть стандарт исправлений и паролей, поэтому в документе должно быть указано, что это за стандарт и как вы его соблюдаете. Не попадитесь в ловушку, потратив слишком много времени на то, чтобы сделать ее красивой. Достаточно простого документа.

Если в вашем контракте указано использование определенного стандарта, вам следует обратиться за профессиональной помощью, чтобы убедиться, что вы соблюдаете условия контракта.

Шон Андерсон
источник
1

Мы часто получаем этот вопрос, потому что мы хостинг. Суть в том, что мы не выдадим это, если не будем точно знать , что они ищут заранее. Если они ищут в нашей политике безопасности то, чего у нас нет, обычно это происходит потому, что природа нашего бизнеса этого не требует, и мы говорим им об этом. Это может быть субъективно, но это не имеет значения - из-за этого нам еще предстоит потерять бизнес. Чаще всего они спрашивают, потому что они должны сказать кому-то еще, что они сделали. Ответ «НЕТ» не обязательно является плохой вещью или нарушает условия сделки.

Мы только что прошли сертификацию SAS70 II, так что теперь мы просто даем аудиторское письмо с мнением и позволяем этому говорить о нашей письменной политике.

Скотт Кантнер
источник
0

Вам понадобится NDA, прежде чем вы покажете им что-нибудь. Тогда я позволил бы им прийти и пересмотреть политику безопасности, но никогда не иметь ее копию.

MathewC
источник
Я бы не проголосовал за вас, но, хотя я бы не опубликовал это, поделиться этим с деловыми партнерами не может быть и речи. Хотя это не было одинаковым в каждой компании, в которой я работал, мой ИТ-отдел существует для бизнес-потребностей выше любых других. Я думаю, что разделение нашего плана по информационной безопасности сродни разделению бизнес-процесса или бизнес-плана.
восстановить
Я соблюдаю требования SAS70, и многие «партнеры» разрешают только проверку. Это обязательство иметь что-то в печати, в котором говорится, что вы что-то делаете, а потом нет, или вы сделали что-то, что вызвало проблему. Мне жаль, что вы не согласны, но я высказал свое мнение из опыта. Я не думаю, что это заслуживает отрицательного ответа.
MathewC
Просто будучи ясным, я не голосовал против тебя. В этом не было необходимости. Твой опыт - именно то, о чем мне нравилось слышать. Благодарность!
перепроверять
Если бы у меня был представитель, я бы тебя голосовал. Им не нужно подписывать NDA только для того, чтобы ознакомиться с вашей политикой информационной безопасности / политикой InfoSec. (Существует различие между политикой и стандартом / процедурой) Существует множество веских причин для необходимости просмотра политики InfoSec организации (соответствие Sox, PCI DSS и т. Д.). Большинство организаций делают ее полностью открытой: obfs.uillinois.edu /manual/central_p/sec19-5.html
Джош Брауэр
Это предосторожность. Если вы не хотите принимать это, чтобы защитить себя, то это на вас. Я дал вескую причину, почему вы не должны этого делать. И мне жаль, что у вас нет представителя, чтобы проголосовать за меня. Мне нравится резервировать свои отрицательные голоса за плохие / опасные ответы, а не за политику, с которой я не согласен.
MathewC