Come ideare una politica di sicurezza?

Naviga le tue risposte
8

Recentemente mi è stato assegnato il compito di mettere insieme una politica di sicurezza per una piccola impresa di avvio composta da ~ 30 persone nel Regno Unito. In gran parte fino ad ora non c'è stato nulla di concreto, tuttavia, poiché stiamo cercando di assumere clienti nel settore finanziario e dei servizi bancari, questo deve cambiare.

Avere poca esperienza di sicurezza (sono un ingegnere del software di giorno); e lavorando a una scadenza molto ravvicinata, spero che ci siano modelli / guide che possono essere usati per aiutare a redigere questa politica. Inoltre, cosa ci si aspetterebbe di vedere in una solida politica di sicurezza, ad esempio una delle società di servizi finanziari potrebbe essere soddisfatta?

    
posta dbotha 24.07.2012 - 15:59
fonte

3 risposte

8

Come Eric ha detto nella sua risposta, il sito SANS ha una grande serie di modelli di criteri di sicurezza . BERR, un dipartimento governativo del Regno Unito, ha anche scritto un documento eccellente [PDF] che fornisce alcuni ottimi consigli strutturali per la creazione di politiche di sicurezza.

Posso anche offrirti il seguente consiglio:

  • Chiedi informazioni ai dipendenti per la creazione delle norme. Possono vedere aree del loro lavoro che potrebbero essere ostacolate da una particolare regola? Possono pensare a cose che hai dimenticato?

  • Identifica ciò che stai cercando di proteggere. Se la tua risposta è "la rete", non stai pensando abbastanza. Quali beni sono importanti per te? Il codice sorgente è ovvio, ma le chiavi private del certificato SSL, i documenti di progettazione, le informazioni finanziarie, gli ordini di acquisto, ecc. Sono tutti importanti per il tuo successo.

  • La politica di sicurezza dovrebbe essere combinata con una politica di utilizzo. Alcune persone non amano questo, ma è importante ottenere il contesto giusto. La politica di sicurezza si riduce essenzialmente a ciò che un utente può e non può fare, e cosa dovrebbe o non dovrebbe fare. L'utilizzo è un'estensione importante di questo.

  • Le politiche di sicurezza spesso si impantanano in ciò che non è consentito. Non dimenticare di includere le eccezioni e un elenco di cose che ritieni accettabili (ad esempio "la navigazione di fumetti web semi-NSFW / siti di foto divertenti di gatti va bene durante l'ora di pranzo, purché tu sappia che sono affidabili e non eseguire exploit del browser drive-by ").

  • Non tentare di creare elenchi esaustivi quando è possibile utilizzare una clausola "entro la ragione". Ciò consente di trattare le cose caso per caso. Aspettati che i tuoi dipendenti trovino un buon equilibrio e sii responsabile.

  • Includi sezioni di testo che spiegano perché esiste una politica. Formattare queste sezioni in modo diverso, ad es. con uno sfondo leggermente ombreggiato e spiega all'inizio del documento che queste sezioni non sono considerate parte vincolante della politica.

  • Le norme riguardano gli esseri umani, quindi rendili leggibili. A tutti gli effetti, gli avvocati non sono umani. Solo perché il tuo documento è scritto in un linguaggio semplice e informale, non significa che non sia legalmente vincolante o serio. Non c'è assolutamente bisogno di enormi blocchi di legalis spaventosi in stampatello, esclamando che "LE VIOLAZIONI DELLA POLITICA DI SICUREZZA RISULTANO NEL DIPENDENTE CHE ESISTE FUORI DA UN CANNONE SULLA LUNA PER ANDARE IN DIRETTA CON WILLZYX E TOM CRUISE ".

  • Forse la cosa più importante, non scrivere nulla che non vorresti essere d'accordo con te stesso. Inoltre, attenersi alla politica di sicurezza da soli. Se un membro dello staff ti vede violare la stessa politica di sicurezza che hai fatto firmare, la tua autorità vale zero e la politica vale zero.

risposta data 24.07.2012 - 17:44
fonte
1

Consiglio vivamente di consultare il sito SANS per i modelli di criteri di sicurezza. Sono politiche abbastanza semplici, ma sarebbero un ottimo punto di partenza per tutti voi. Quando lavoravo in un'università, li usavo come punto di partenza e, una volta eliminati gli elementi di base, ho iniziato a esaminare le politiche di altre università in modo da poter confrontare e confrontare ciò che avevano con ciò che avevo. Una volta iniziato il confronto con i tuoi coetanei, ciò ti consentirà di sapere che cosa si aspettano da tutti gli altri.

    
risposta data 24.07.2012 - 16:18
fonte
0

Oltre a Polinomiale 's ottima risposta , sono stato cercare soluzioni "pre-confezionate in un documento o modello completo" per politiche / copertura più generali e finora ha trovato:

Assistenza sanitaria e / o Compliance incentrata:

Queste soluzioni "pre-confezionate in un unico documento" offrono potenzialmente un percorso più breve e più facile per l'implementazione (per servire la scadenza stretta scopo) di compilare qualcosa da una raccolta di modelli o documenti.

Accolgo con favore commenti su eventuali fonti aggiuntive simili. Se possibile Li aggiungerò all'elenco precedente.

Raccolta di modelli e materiali correlati:

Quanto segue fornisce un elenco di politiche in uso per (per lo più) organizzazioni ben note: Dove sono alcuni criteri di sicurezza che sono effettivamente in uso?

(Moderatore: contrassegnare questo post come "community wiki" se appropriato).

    
risposta data 15.06.2015 - 18:47
fonte

Leggi altre domande sui tag

Codifica di un campo di database vuoto anziché lasciarlo vuoto Scoperta automatica dell'URL