Gli standard di grandi dimensioni (ISO, NIST) tendono a una taglia unica, il vero intento è di promuovere un'attenta considerazione e un processo decisionale deliberato e informato. Valori specifici come questi sono una proprietà di una buona implementazione della politica, gli standard leggermente astratti tendono a raccomandare solo massimi o minimi, se pari.
Un tale "controllo" viene tipicamente assegnato ad un identificatore univoco persistente da uno standard particolare, i più comuni sono adatti qui sono AC-11 e SC-10 (da NIST SP800-53 (PDF)) e FTA_SSL (da ISO / IEC 15408, alias Criteri comuni per la valutazione della sicurezza delle tecnologie dell'informazione , "FTA" è la classe del controllo di accesso, "SSL" si riferisce al blocco di sessione) .
Approssimativamente da più specifico a meno specifico:
-
OMB M-06-16 (PDF) Memorandum presidenziale degli Stati Uniti Protezione delle informazioni sensibili dell'agenzia
3. Use a "time-out" function for remote access and mobile devices requiring user re-
authentication after 30 minutes inactivity; and
-
Australian Manuale di sicurezza delle informazioni DSD 2013 Control
Blocco sessione e schermata, controllo 0427
· configure the lock to activate either:
- after a maximum of 15 minutes of system user inactivity
- if manually activated by the system user
(vedi anche controllo 0428 che indica 10 minuti per i livelli "riservato" e "segreto").
Invariato nell'edizione 2014.
-
U.S.. CNSS CNSSI-1253 Classificazione di sicurezza e selezione dei controlli per i sistemi di sicurezza nazionale
Controllo AC-11 Blocco sessione
...not to exceed 30 minutes
-
NIST SP800-53 Controlli di sicurezza raccomandati per i sistemi informatici e le organizzazioni federali
NIST SP800-46
Guida al telelavoro aziendale e alla sicurezza di accesso remoto
Controllo AC-11 Blocco sessione : Il timeout è "organizzazione definita"
(Vedi anche canadese ITSG-41 )
Controllo SC-10 Disconnetti rete
SP800-46 suggerisce 15 minuti come appropriato per l'accesso remoto (pagina 4-3)
-
PCI-DSS v2
8.5.15 If a session has been idle for
more than 15 minutes, require the user
to re-authenticate to re-activate the
terminal or session.
(in v3 il requisito è stato rinumerato in 8.1.8, ma per il resto invariato)
e
12.3.8 Automatic disconnect of sessions
for remote-access technologies after a
specific period of inactivity
-
U.S.. FBI / DoJ CJISD-ITS-DOC-08140-5.2 Politica di sicurezza dei servizi di informazione sulla giustizia penale
5.5.5 Session Lock
The information system shall prevent further access to the system by initiating a session lock after a maximum of 30 minutes of inactivity, and the session lock remains in effect until [...]
-
ECMA ECMA-271 Classe di funzionalità estese commercialmente orientata per la valutazione della sicurezza
7.4.1.8 Session lock or terminate
The TOE shall support a session lock. The TOE shall provide an idle process monitor for each front-end
which inhibits after a customer defined amount of time user interactions except user authentication.
Piuttosto vecchio (dicembre 1999) lo stesso lasso di tempo di ISO / IEC 17799: 2000 , purtroppo mai aggiornato da ECMA. TOE è Target of Evaluation, alcuni Common Criteria terminologia.
-
ISO 27001: 2005 (E) / ISO 27002: 2005 (E) (vedere questo documento per una panoramica utile )
Controllo A.11.3.3 Politica chiara sulla scrivania e sullo schermo trasparente
§11.3.3.3
The clear desk and clear screen policy should take into account the information classifications (see 7.2), legal and contractual requirements (see 15.1), and the corresponding risks and cultural aspects of the organization.
Vedi anche §11.5.5 Timeout della sessione
-
Council On CyberSecurity Controlli di sicurezza critici v5.1
CSC 16-6 Configure screen locks on systems to limit access to
unattended workstations.
-
CERT Gestione delle informazioni e delle informazioni (KIM)
KIM: SG4.SP2 Controlla l'accesso alle informazioni
[...] The organization must decide upon the right mix of controls to
address the various forms of the information asset and any special
considerations of the asset.
Non c'è assolutamente nulla di sbagliato nell'usare i tuoi valori una volta che hai definito correttamente i tuoi rischi e requisiti e documentato le decisioni . Potresti persino decidere di esonerare i blocchi di sessione (ad es. Nel caso del controllo del traffico aereo o di luoghi con una maggiore sicurezza fisica) o affidare i dispositivi di prossimità.