Quali standard di sicurezza definiscono il tempo di inattività prima di bloccare lo schermo

4

La sicurezza e l'usabilità sono spesso in collisione. Quando si tratta di bloccare gli schermi su workstation dopo una certa quantità di inattività, questo è sicuramente il caso e ci si deve aspettare lamentele da parte degli utenti finali.

Per quanto riguarda la mia esperienza, bloccare lo schermo su una workstation dopo 10-15 minuti è considerato una buona pratica. Per applicare tale politica sarebbe utile fare riferimento a uno standard di sicurezza stabilito che dice lo stesso. Sfortunatamente ho trovato solo standard finora che menzionano il blocco dello schermo come un must, ma non suggerisco valori appropriati per "tempo di inattività prima del blocco".

C'è qualche standard stabilito a cui posso fare riferimento? Sarebbe particolarmente bello se ci fossero 2 valori, uno per l'uso della workstation all'interno dell'azienda e uno per gli utenti di laptop che lavorano in viaggio o in ufficio.

    
posta Demento 14.11.2013 - 10:14
fonte

3 risposte

12

Gli standard di grandi dimensioni (ISO, NIST) tendono a una taglia unica, il vero intento è di promuovere un'attenta considerazione e un processo decisionale deliberato e informato. Valori specifici come questi sono una proprietà di una buona implementazione della politica, gli standard leggermente astratti tendono a raccomandare solo massimi o minimi, se pari.

Un tale "controllo" viene tipicamente assegnato ad un identificatore univoco persistente da uno standard particolare, i più comuni sono adatti qui sono AC-11 e SC-10 (da NIST SP800-53 (PDF)) e FTA_SSL (da ISO / IEC 15408, alias Criteri comuni per la valutazione della sicurezza delle tecnologie dell'informazione , "FTA" è la classe del controllo di accesso, "SSL" si riferisce al blocco di sessione) .

Approssimativamente da più specifico a meno specifico:

  • OMB M-06-16 (PDF) Memorandum presidenziale degli Stati Uniti Protezione delle informazioni sensibili dell'agenzia

     3. Use a "time-out" function for remote access and mobile devices requiring user re- authentication after 30 minutes inactivity; and

  • Australian Manuale di sicurezza delle informazioni DSD 2013 Control Blocco sessione e schermata, controllo 0427

    · configure the lock to activate either:

    • after a maximum of 15 minutes of system user inactivity
    • if manually activated by the system user

    (vedi anche controllo 0428 che indica 10 minuti per i livelli "riservato" e "segreto"). Invariato nell'edizione 2014.

  • U.S.. CNSS CNSSI-1253 Classificazione di sicurezza e selezione dei controlli per i sistemi di sicurezza nazionale

    Controllo AC-11 Blocco sessione

    ...not to exceed 30 minutes

  • NIST SP800-53 Controlli di sicurezza raccomandati per i sistemi informatici e le organizzazioni federali

    NIST SP800-46 Guida al telelavoro aziendale e alla sicurezza di accesso remoto

    Controllo AC-11 Blocco sessione : Il timeout è "organizzazione definita" (Vedi anche canadese ITSG-41 ) Controllo SC-10 Disconnetti rete

    SP800-46 suggerisce 15 minuti come appropriato per l'accesso remoto (pagina 4-3)

  • PCI-DSS v2

    8.5.15 If a session has been idle for more than 15 minutes, require the user to re-authenticate to re-activate the terminal or session.

    (in v3 il requisito è stato rinumerato in 8.1.8, ma per il resto invariato) e

    12.3.8 Automatic disconnect of sessions for remote-access technologies after a specific period of inactivity

  • U.S.. FBI / DoJ CJISD-ITS-DOC-08140-5.2 Politica di sicurezza dei servizi di informazione sulla giustizia penale

    5.5.5 Session Lock

    The information system shall prevent further access to the system by initiating a session lock after a maximum of 30 minutes of inactivity, and the session lock remains in effect until [...]

  • ECMA ECMA-271 Classe di funzionalità estese commercialmente orientata per la valutazione della sicurezza

    7.4.1.8 Session lock or terminate The TOE shall support a session lock. The TOE shall provide an idle process monitor for each front-end which inhibits after a customer defined amount of time user interactions except user authentication.

    Piuttosto vecchio (dicembre 1999) lo stesso lasso di tempo di ISO / IEC 17799: 2000 , purtroppo mai aggiornato da ECMA. TOE è Target of Evaluation, alcuni Common Criteria terminologia.

  • ISO 27001: 2005 (E) / ISO 27002: 2005 (E) (vedere questo documento per una panoramica utile ) Controllo A.11.3.3 Politica chiara sulla scrivania e sullo schermo trasparente §11.3.3.3

    The clear desk and clear screen policy should take into account the information classifications (see 7.2), legal and contractual requirements (see 15.1), and the corresponding risks and cultural aspects of the organization.

    Vedi anche §11.5.5 Timeout della sessione

  • Council On CyberSecurity Controlli di sicurezza critici v5.1

    CSC 16-6 Configure screen locks on systems to limit access to unattended workstations.

  • CERT Gestione delle informazioni e delle informazioni (KIM) KIM: SG4.SP2 Controlla l'accesso alle informazioni

    [...] The organization must decide upon the right mix of controls to address the various forms of the information asset and any special considerations of the asset.

Non c'è assolutamente nulla di sbagliato nell'usare i tuoi valori una volta che hai definito correttamente i tuoi rischi e requisiti e documentato le decisioni . Potresti persino decidere di esonerare i blocchi di sessione (ad es. Nel caso del controllo del traffico aereo o di luoghi con una maggiore sicurezza fisica) o affidare i dispositivi di prossimità.

    
risposta data 14.11.2013 - 14:44
fonte
2

Gli standard, per loro natura, devono essere più generalizzati di così, in modo che siano utili per una vasta gamma di organizzazioni. Anche all'interno della tua stessa organizzazione sospetti ci siano due valori sensibili: le macchine che si trovano sempre in uno spazio controllato dagli accessi potrebbero potenzialmente avere una sicurezza più ampia di quelle che potrebbero essere lasciate incustodite negli spazi pubblici.

Forse aiuterà a ricordare gentilmente ai tuoi utenti che è colpa loro se devi assolutamente fare questo:

"Devi sempre bloccare il computer quando lo lasci incustodito. spiega come . In caso di dimenticanza, la tua workstation viene automaticamente bloccata dopo x minuti di attività. "

    
risposta data 14.11.2013 - 11:03
fonte
1

Il Centro per la sicurezza di Internet dice 15 minuti, nel benchmark di Windows 7. link Non menziona un distinto per gli utenti di dispositivi mobili contro ufficio.

    
risposta data 14.11.2013 - 10:58
fonte

Leggi altre domande sui tag