Cosa si intende per "Uso di programmi di utilità privilegiati" nello standard ISO27001: 2013?

Un programma privilegiato per windows (vista +) sarebbe tutto ciò che attiva l'UAC se abilitato

un programma privilegiato per linux (incluso Android) sarebbe tutto ciò che deve essere eseguito come root, o via su / sudo

la maggior parte delle organizzazioni limita il diritto dei propri dipendenti a non disporre di "diritti di amministratore" e spinge invece gli aggiornamenti / installazioni / programmi tramite criteri di gruppo, utilizzando un account amministratore separato, anziché quello che gli utenti utilizzano per l'accesso Ai fini

I programmi di utilità privilegiati sono applicazioni che richiedono un certo livello di privilegio di sistema o amministrativo per svolgere il proprio lavoro.

Un buon esempio è un'applicazione anti-virus poiché richiede un accesso a basso livello al sistema per rilevare determinati tipi di virus.

Come dici tu, non tutte le funzioni di queste applicazioni possono richiedere un accesso privilegiato ma lo richiedono per alcuni aspetti delle loro operazioni.

In generale, è importante che gli utenti non abbiano accesso alle funzioni privilegiate dai loro normali account utente. Non appena lo fanno, diventa molto più facile per il malware ottenere un punto d'appoggio in un sistema. È per questo motivo che non devi consentire agli account degli amministratori di avere accesso a software di ufficio generici come la posta elettronica, perché diventa banale per accedere (come un recente audit sono a conoscenza di spettacoli fin troppo chiari!).

UPDATE: Giusto per chiarire le tue 2 domande specifiche:

• Politica per le autorizzazioni di accesso per le utilità: è difficile da gestire e viene applicata solo per determinati strumenti aziendali, non per gli strumenti generali a livello di sistema operativo.

• Altre norme:

  La separazione delle preoccupazioni è la principale politica. Gli amministratori dovrebbero avere account standard per email / ufficio / etc e utilizzare solo account con privilegi quando sono realmente necessari.

  Anche i controlli sui log di controllo sono fondamentali per i sistemi sensibili. Senza gli occhi sull'auditing, non puoi mai essere sicuro di quello che è successo.

  I controlli sanitari annuali includono attacchi di phishing contro gli amministratori. Per garantire che aderiscano alle norme e alle pratiche di sicurezza standard.

  Potrebbe essere necessario controllare il personale o la sicurezza per le aree sensibili.

  L'accesso ai sistemi più sensibili (ad esempio le CA del PKI master) è strongmente limitato con ulteriori log di accesso e giustificazioni.

In termini di definizione e implementazione di una politica, portare tali programmi di utilità nell'ambito della politica di password esistente, procedura per ottenere sistema e amp; account di servizio sotto autorizzazione, evitare le impostazioni predefinite, disporre di un inventario di tutte queste utility, strumenti, applicazioni che utilizzano account con privilegi; Controlla i registri una volta ogni tanto, controlla il profilo di accesso e Monitor.

Detto questo, applicare la politica delle password su tali account di per sé è un compito più impegnativo. Se sei un'organizzazione SMB / PMI, è ancora più difficile. Da qualche parte devi iniziare. È possibile iniziare da un inventario di tali account e rivederli mensilmente. Ciò porterà un maggiore senso di consapevolezza e intuizioni.

Spero che questo sia utile.

In pratica? Nella maggior parte degli ambienti, interpretalo per includere:

• Programmi Windows eseguiti come amministratore
• Software UNIX con setuid o privilegi simili (che include su e sudo stessi che sono setuid).

Si intende che questo sia un criterio per impostare le autorizzazioni di accesso per le utilità? Questo è un modo per raggiungere gli obiettivi.

Quali politiche hanno altre organizzazioni in quest'area?

Ho iniziato solo lasciando che gli amministratori di sistema accedessero ai sistemi operativi dei server e quindi permettessero loro solo di utilizzare utilità di sistema di qualsiasi tipo (questo dovrebbe implementare ISO27002: 2013, 9.4.4i, b e c). Questo sta diventando sempre più facile man mano che sempre più applicazioni vengono consegnate via HTTP.

Quindi l'indurimento del sistema, inclusa la rimozione di utility non necessarie, sarebbe una buona seconda attività prioritaria.

Cosa avrebbe dovuto effettivamente significare? Ho fatto questa domanda ad almeno dieci revisori esterni e non ho ricevuto una risposta coerente.

Uno o due hanno suggerito che aveva più senso ai tempi di alcuni sistemi operativi mainframe, ma non ho visto molte prove primarie per questo. L'unico riferimento era: link

Questo è per un link sistema e la pagina del manuale è datata 1991.

E si potrebbe facilmente sostenere che tutti i programmi su sistemi ben progettati (diversi dagli exploit) non possono "ignorare i controlli di sicurezza del sistema". Possono fare uso di privilegi avanzati consentiti dal sistema operativo, ma certamente non sovrascrivere i controlli.