Politica di sicurezza per gli amministratori di sistema

Bene, quindi questo era originariamente inteso come un commento alla tua risposta alla risposta data da @ jl01 ma è diventato troppo lungo e dovrebbe avere un merito su di esso ...

C'è quasi un'arte nella creazione di politiche. Idealmente (anche se sono sicuro che alcune persone non sarebbero d'accordo con me) una politica sarebbe una dichiarazione molto generale riguardo l'argomento. Ad esempio, qualcosa non molto più complesso di "Questa azienda opererà con le migliori pratiche attuali per l'applicazione di patch di sistema". L'idea è che una politica dovrebbe essere stabilita e non deve essere modificata (se eseguita alla perfezione). Dovrebbe essere abbastanza generico da non dover essere aggiornato poiché cambiano diverse tecnologie, vettori di attacco, regolamenti, ecc.

È molto comune dividere le politiche in ciascun ambito separato di business / tecnologia. Questo si presta a produrre politiche più personalizzate per la tua azienda e ti consente di mantenere la chiarezza quando fai riferimento a tali norme.

Un altro modo di pensarla è che una politica è il modo in cui gli affari coprono i loro fini posteriori. È stato creato per coprire il più possibile, quindi se qualcosa va storto, l'azienda può modellare la propria risposta a ciascuna situazione separata mentre utilizza ancora la stessa politica.

Tali politiche sarebbero estese attraverso procedure, linee guida e regolamenti (a pensarci bene, questo dovrebbe essere abbastanza vicino a come lo descrive la SAN). Credo che le SAN si riferiscano a quelle che definisco "procedure" come "standard". Mi scuso per qualsiasi confusione a causa di ciò.

Una procedura sarebbe una pratica effettiva che segue una politica (molte politiche che ho visto sembrano riferirsi alle procedure applicabili all'interno della stessa politica).

Una linea guida sull'altra mano è esattamente questo, un suggerimento di pratiche accettabili. Sebbene siano solo suggerimenti, non devono essere presi alla leggera. Quando si verificano degli audit, questi sono i frutti a bassa attaccatura a cui un auditor può aggrapparsi.

Le procedure e le linee guida sono le uniche cose che dovresti aggiornare con cambiamenti del clima aziendale, problemi ambientali, minacce, ecc.

Quando ho progettato il mio primo set di criteri, garantito da una classe riguardante le politiche di sicurezza delle informazioni, ho impostato queste diverse politiche:

• Politica sulla sensibilità delle informazioni
• Politica Extranet
• Norme sulla posta
• Politica per i media rimovibili
• Norme sulla password
• Politica di monitoraggio della sicurezza
• Norme sulla sicurezza del router
• Criteri di protezione del server
• Politica di aggiornamento del sistema
• Politica ASP
• Politica di gestione del server
• Norme sulla formazione sulla sicurezza

Questa non è una lista esaustiva, ma dovrebbe darti un'idea di alcuni dei guasti che potrebbero aver luogo. Il modo in cui le politiche sono suddivise dipende dalle esigenze di tale azienda.

Ultimo, ma sicuramente non meno importante, ogni politica dovrebbe essere creata in modo tale che non ci siano dubbi su cosa e come viene applicato. Con questo, voglio dire che insieme a ciascuna politica dovrebbero essere stabiliti lo scopo, l'ambito, l'applicazione e le definizioni relative a tale politica. Mi diverto sempre a digitare la frase "sarà soggetta a ripercussioni fino al termine incluso".

Anche se non l'ho elencato prima, una politica etica dovrebbe essere presente in ogni serie di politiche. Anche durante l'utilizzo di ASP o di qualsiasi altro servizio, è buona norma richiedere la propria politica etica e, in base a ciò che si vede, richiedere per contratto che rispettino la politica etica aziendale per quel lavoro.

Quindi, potrei essermi tuffato un po 'troppo in argomento ... ma spero che sia stato di aiuto.

Dichiarazione di non responsabilità: sono più che consapevole che questo non è l'unico modo in cui le politiche possono essere costruite. Dalla mia esperienza, la maggior parte delle aziende ha una serie di politiche che sono state costruite liberamente in anni di modifiche normative e problemi di conformità.

P.S. un ASP è un fornitore di servizi applicativi, vedo che non ho menzionato la sua definizione ovunque sopra.

Il mio suggerimento sembrerà semplice, ma credo che sia la causa della maggior parte delle attività non autorizzate e non rilevate nella rete in questo momento. Non limitarti a fare politica, fai il lavoro! Studia e implementa i 20 controlli principali, link .

Abbiamo un sacco di gente che fa politica, non abbiamo abbastanza esecuzione di queste politiche, cose semplici come controlli della password, comprensione di tutti i dispositivi e il software sulla rete di rete e la creazione dei sistemi.

SANS ha una classe, Hacker Detection per gli amministratori di sistema, che ti insegnerà tutte le basi che devi conoscere in 12 ore di lezione. Il curriculum è conforme ai 20 principali controlli critici. Non è opportuno che io faccia di più per promuovere questo corso nella mia risposta qui, ma se sei interessato a saperne di più, inviami una mail a [email protected].

Scott Weil L'Istituto SANS

Dai un'occhiata al link per alcune ottime norme di esempio. Dovrebbe essere un buon punto di partenza.

L'unica differenza netta che avrei dovuto aggiungere per aver creato criteri e standard per molte organizzazioni è che solitamente mi aspettavo dei livelli; le politiche sono di alto livello, con standard che descrivono particolari tecnologie o prodotti, e quindi i documenti di build o di configurazione che descrivono dettagliatamente come creare un server che corrisponda allo standard, ad esempio. Le politiche dovrebbero supportare ed essere guidate dalle esigenze aziendali. I documenti di compilazione dovrebbero essere scritti dall'IT con feedback e input dalla sicurezza.