Esistono motivi o vantaggi specifici per l'utilizzo di un'architettura di policy di sicurezza delle informazioni su più livelli?

2

Avevo un'altra domanda in mente, ma pensavo che avrei dovuto chiederlo prima.

Sfondo:

Ovunque sono stato in passato ho usato un'architettura di policy a livelli. Quello che voglio dire è che esiste una politica di sicurezza delle informazioni globale, con dichiarazioni generali sulla posizione della società su ciascuno degli argomenti applicabili di InfoSec. Subsection on Access Controls: Logical access controls must be instituted and enforced on

Sotto quello avresti molti Tier 2, politiche specifiche per argomento, con affermazioni più specifiche sull'argomento. Statement in the Password Policy: Strong passwords must be used to secure all company IT systems.

Infine, nell'ambito delle politiche di Livello 2 c'erano standard, processi e procedure con indicazioni specifiche sull'implementazione. Statement in Password Standards document: Windows passwords must be at least 16 characters long.

Questa struttura ha senso per me. È più facile da capire, più facile da mantenere e più facile da applicare.

Recentemente ho iniziato a lavorare in una nuova società come Information Security Engineer. Quello in cui sono entrato è, per dirla con delicatezza, non all'altezza di questo standard. Sono stato incaricato di raccogliere i pezzi per così dire, e mi è stato dato un documento per iniziare con quelle teste più in basso lungo la pista sbagliata. Ho passato un po 'di tempo a esaminare le politiche attuali, e in sostanza ho ri-architettato la politica di sicurezza delle informazioni in una struttura a più livelli, ho riscritto una bozza della politica IS e alcune politiche di secondo livello come esempi. Ho inviato le bozze per la revisione, e il feedback che ho ricevuto sta cercando di ridiscendere il percorso di una politica da parte di un behemoth General Controls, cercando di riportare le dichiarazioni e i processi degli standard in un documento politico. Inutile dire che è stato un po 'frustrante.

Domanda

La mia domanda è quali sono i pro e i contro nell'usare un'architettura di policy di sicurezza delle informazioni su più livelli rispetto a una politica che comprende tutti i criteri?

Ho le mie opinioni su entrambi i metodi e, ovviamente, preferisco una via sull'altra. Ma mi rendo anche conto che la mia opinione si basa sulle esperienze passate, quindi forse non vedrò la luce dell'altro modo.

Aggiornamento

Non sono così concentrato sul perché dovresti dividere le politiche da processi, standard e procedure, che comprendo e riesco ad articolare bene. Sono più alla ricerca di pro e contro di molte politiche compatte e mirate rispetto a una politica ampia e onnicomprensiva. Ho aggiornato la domanda di conseguenza.

    
posta Craine 18.09.2014 - 16:49
fonte

2 risposte

1

L'idea di base è che le politiche sono separate dalle procedure perché le politiche cambieranno raramente. Sono una visione di alto livello delle intenzioni dell'azienda. Le procedure sono come viene eseguita tale intenzione. Tali dettagli di implementazione possono variare da un reparto all'altro e possono essere modificati nel tempo.

Immagina che gli utenti possano avere un solo tipo di requisito di complessità della password, ma gli amministratori ne hanno bisogno di un altro. Con una politica e due procedure (utente e amministratore), puoi facilmente creare tale scenario, tracciarlo e applicarlo più facilmente e mantenerlo nel tempo.

Dividendo questi due concetti, puoi soddisfare le esigenze dell'azienda e soddisfare allo stesso tempo le esigenze di implementazione.

Modifica

Dopo aver chiarito, posso dire che si tratta di un problema di manutenibilità. Una politica omnibus dovrebbe essere rivista e firmata da ciascuna delle parti interessate tutte in una volta, e ogni cambiamento dovrebbe passare attraverso lo stesso processo. Suddividendoli, puoi apportare le modifiche necessarie, anche piccole, senza la necessità di coinvolgere l'intera azienda.

    
risposta data 18.09.2014 - 17:29
fonte
0

Molto dipende da quante persone sono incaricate della sicurezza all'interno dell'organizzazione (definite anche organizzazioni di sicurezza). Dipende anche da quanto è complessa l'organizzazione.

Caso 1: - Se hai una squadra molto piccola e un unico decisore, allora ha senso avere un documento politico onnicomprensivo perché in definitiva la persona che ha bisogno di firmare la politica è lo stesso .

D'altro canto, se si hanno più responsabili delle decisioni per diverse unità di business, è opportuno tenere separate le singole politiche. Ad esempio, ho visto società che hanno geograficamente distribuito unità di business. Quindi hanno CISO separati per ogni unità, e un gruppo CISO per gestirli tutti. le decisioni politiche sono prese a livello di BU, mentre le decisioni a livello di gruppo vanno al Gruppo CISO

Caso 2: - Prendendo l'esempio sopra, se un'organizzazione è distribuita geograficamente, con diversi tipi di imprese, anche le loro esigenze di sicurezza delle informazioni saranno diverse. ad esempio, le esigenze di sicurezza delle informazioni dell'industria finanziaria saranno diverse da quelle per il tessile. In questi casi, le politiche devono essere contenute in diversi documenti per soddisfare le direttive di gestione a seconda delle esigenze / controlli specifici della sicurezza delle informazioni del settore.

Naturalmente, anche la manutenibilità è un fattore, ma non mi prendo molta importanza. In definitiva, i requisiti degli utenti finali decidono se la politica sarà un documento o divisa in molti.

    
risposta data 05.04.2018 - 12:23
fonte

Leggi altre domande sui tag