23 votos

Una pareja quiere una copia de nuestro escrito de la política de seguridad de TI y no estoy seguro de qué hacer

Mi compañía está trabajando con otra empresa y como parte del contrato al que se está solicitando una copia de mi escrito de la compañía de Política de Seguridad de TI. No tengo por escrito una política de seguridad de TI, y no estoy exactamente seguro de lo que quiero dar a ellos. Somos una de la tienda de Microsoft. Tenemos la actualización de los horarios, limitados accesos de cuentas para administrar servidores, firewalls, certificados ssl y le damos a ejecutar el Microsoft Baseline Security Analyzer de vez en cuando.

Podemos configurar los servicios de cuentas de usuario y de como nos sentimos es principalmente seguras (es difícil cuando no se tiene el control total sobre lo que el software que tiene), pero no puedo ir en cada detalle, en cada servicio y el servidor es diferente. Me estoy poniendo más información acerca de lo que quieren, pero me siento como si estuvieran en una expedición de pesca.

Mis preguntas son, Esta es una práctica estándar para pedir esta información? (Yo no estoy en contra de ella honestamente, pero esto nunca había sucedido antes.) Y si esta es la norma, hay un formato estándar y el nivel de detalle que debo presentar?

44voto

Kara Marfia Puntos 6914

Ellos no necesitan una copia de todo su interior ES de política, pero creo que puede ser después de algo similar a esto - alguien definitivamente necesita obtener suficiente información sobre el contrato para determinar cuánto detalle que usted necesita para ofrecer, y sobre qué. Aunque estoy de acuerdo con José - si necesitan la información legal/razones de cumplimiento, hay que ser legales de entrada.

Información De Fondo

1) alguno de sus empleados, que se encuentran fuera de los estados unidos?

2) ¿su empresa ha formalizado y documentado de las políticas de seguridad en el lugar?

3) Es el manejo y clasificación de la información y los datos cubiertos por su información políticas de seguridad?

4) ¿hay alguna pendiente de reglamentación de las cuestiones que se están tratando actualmente en el estado(s) que operar? Si sí, explique por favor.

General De La Seguridad

1) ¿tiene usted la seguridad de la información de sensibilización del programa de capacitación para los empleados y contratistas?

2) Cual de los siguientes métodos para autenticar y autorizar el acceso a sus sistemas y aplicaciones que utilizas actualmente:

  • Realizar por el sistema operativo
  • Realizado por producto comercial
  • El inicio de sesión único
  • Los certificados digitales de cliente
  • Otros dos factores de autenticación
  • Hecho en casa
  • Ningún mecanismo de autenticación en lugar

3) Que autoriza el acceso de los empleados, contratistas, temps, proveedores y socios de negocios?

4) ¿usted permite que sus empleados (incluyendo a los contratistas, temps, proveedores, etc.) tener acceso remoto a sus redes?

5) ¿tiene usted la seguridad de la información plan de respuesta a incidentes? Si no, ¿cómo la información de los incidentes de seguridad que se manejan?

6) ¿tiene una política que aborde el manejo de información interna o confidencial en los mensajes de correo electrónico fuera de su empresa?

7) ¿usted revise su información de políticas y estándares de seguridad al menos una vez al año?

8) ¿Qué métodos y controles físicos están en el lugar para evitar el acceso no autorizado a su empresa a las zonas seguras?

  • Los servidores de la red en cuartos cerrados
  • El acceso físico a los servidores limitada por la seguridad de identificación (tarjetas de acceso, biometría, etc.)
  • De vigilancia de vídeo
  • Inicio de sesión en los registros y los procedimientos de
  • La seguridad de placas o tarjetas de IDENTIFICACIÓN visible en todo momento en las áreas seguras
  • Los guardias de seguridad
  • Ninguno
  • Otros, por Favor proporcione detalles adicionales

9) por Favor, describa su política de contraseñas para todos los ambientes? I. e.. la Longitud, la fuerza y el envejecimiento

10) ¿tiene usted una recuperación de desastres (DR) plan? Si sí, ¿con qué frecuencia usted la prueba?

11) ¿tiene usted una Continuidad de Negocio (BC) plan? Si sí, ¿con qué frecuencia usted la prueba?

12) que usted nos proporcione una copia de los resultados de las pruebas (BC y DR) si se solicita?

La arquitectura y la revisión del sistema de

1) [de La Empresa]'s de datos y/o aplicaciones que ser almacenados y/o procesados en un servidor dedicado o compartido?

2) Si en un servidor compartido, ¿cómo [La Empresa]'s de datos segmentada de otros datos de las empresas?

3) ¿Qué tipo(s) de la empresa-a-empresa de conectividad será proporcionado?

  • Internet
  • Privado/línea Arrendada (por ejemplo, T1)
  • Dial-up
  • VPN (Red Privada Virtual)
  • Servicio De Terminal
  • Ninguno
  • Otros, por Favor proporcione detalles adicionales

4) esta red de conectividad ser cifrados? Si sí, ¿qué método(s) de cifrado se utilizan?

5) ¿hay algún código de cliente (incluyendo ActiveX o Java de código) se requiere con el fin de utilizar la solución? Si sí, por favor describa.

6) ¿tienes un firewall(s) para el control de la red externa de acceso a su servidor web(s). Si no, ¿dónde está este servidor(s)?

7) ¿su red incluyen una DMZ para el acceso a Internet a las aplicaciones? Si no, ¿dónde estas aplicaciones se encuentran?

8) ¿su organización tomar medidas para asegurarse contra los ataques de Denegación de Servicio de interrupciones? Por favor describa estos pasos

9) ¿realiza alguna de la siguiente información de seguridad de exámenes/pruebas

  • Interna del sistema/red exploraciones
  • Gestionado internamente las auto-evaluaciones y/o due diligence
  • Código interno comentarios/revisiones de los pares
  • Externo de la 3ª parte de las pruebas de penetración/estudios
  • Otros, por Favor proporcione detalles ¿Con qué frecuencia son estas pruebas?

10) ¿cuál de las siguientes prácticas de seguridad de la información se utilizan activamente dentro de su organización

  • Listas de control de acceso
  • Los certificados digitales de Servidor - Lado
  • Certificados digitales - Lado del Cliente
  • Las firmas digitales
  • Detección de intrusiones de red/prevención
  • Con sede en prevención y detección de intrusos
  • Actualizaciones programadas para la prevención y detección de intrusos archivos de firma
  • La intrusión de monitoreo 24x7
  • Continua detección de virus
  • Actualizaciones programadas para archivos de firma de virus
  • Estudios de penetración y/o pruebas
  • Ninguno

11) ¿tiene normas para el endurecimiento o asegurar que los sistemas operativos?

12) ¿tiene usted un calendario para la aplicación de actualizaciones y revisiones a los sistemas operativos? Si no, por favor, díganos cómo determinar qué y cuándo aplicar los parches y las actualizaciones críticas

13) Para proporcionar la protección de un poder o fallo en la red, ¿se mantienen plenamente sistemas redundantes para su clave de los sistemas transaccionales?

Servidor Web (si aplica)

1) ¿Cuál es la dirección URL que se utilizará para acceder a la aplicación/datos?

2) ¿Qué sistema operativo(s) es el servidor web (s)? (Por favor proporcione el nombre del sistema operativo, la versión y service pack o revisión de nivel).

3) ¿Qué es el software de servidor web?

Servidor de aplicaciones (si es aplicable)

1) ¿Qué sistema operativo(s) es el servidor de aplicaciones (s)? (Por favor proporcione el nombre del sistema operativo, la versión y service pack o revisión de nivel).

2) ¿Qué es el software de servidor de aplicación?

3) ¿el uso de acceso basado en funciones de control? Si sí, ¿cómo son los niveles de acceso asignados a los roles?

4) ¿Cómo asegurarse de que la autorización correspondiente y la segregación de los deberes están en su lugar?

5) ¿su aplicación emplean multi-nivel de acceso de usuario / seguridad? Si sí, por favor proporcione detalles.

6) Son actividades en su aplicación monitoreado por un sistema de terceros o servicio? Si sí, por favor nos proporcione la empresa y el nombre de servicio y qué tipo de información está siendo monitoreado

Servidor de base de datos (si es aplicable)

1) ¿Qué sistema operativo(s) es el servidor de base de datos (s)? (Por favor proporcione el nombre del sistema operativo, la versión y service pack o revisión de nivel).

2) Que las bases de datos de software de servidor está siendo utilizado?

3) Es la base de datos replicada?

4) Es el servidor de DB parte de un clúster?

5) ¿Qué se hace (si algo) para aislar [La Empresa]'s de datos de otras empresas?

6) [La Empresa]'s de datos, cuando se almacenan en el disco, se cifrados? Si sí, por favor describa el método de cifrado

7) ¿Cómo es la fuente de los datos capturados?

8) ¿Cómo son los errores de integridad de datos se manejan?

La auditoría y el Registro

1) ¿de registro de acceso a los clientes en:

  • El servidor web?
  • El servidor de aplicaciones?
  • El servidor de base de datos?

2) Son los registros revisados? Si sí, por favor explique el proceso y ¿con qué frecuencia se revisan?

3) proporcionar a los sistemas y recursos para mantener y supervisar los registros de auditoría y registros de transacciones? Si sí, lo que se registra qué conservar y ¿cuánto tiempo tienda?

4) vas a permitir que [La Empresa] para revisar sus registros del sistema, ya que pertenecen a nuestra empresa?

Privacidad

1) ¿cuáles son los procesos y procedimientos que se utilizan para desclasificar/eliminar/descartar [La Empresa]'s de datos cuando dejen de ser necesarios?

2) Tiene usted en cualquier momento erróneamente o accidentalmente divulgada la información del cliente?
Si sí, ¿qué medidas correctivas se han ejecutado ya?

3) Hacer contratistas (no empleados) tienen acceso a información sensible o confidencial? Si sí, han firmado un acuerdo de no divulgación?

4) ¿tienen los vendedores que están autorizados para el acceso y mantenimiento de sus redes, sistemas o aplicaciones? Si sí, son estos vendedores en virtud de contratos por escrito, asegurando la confidencialidad, la verificación de antecedentes, y, de seguro, la indemnización en contra de la pérdida?

5) ¿Cómo es tu datos clasificados y asegurados?

Las operaciones de

1) ¿Cuál es la frecuencia y el nivel de su back-ups?

2) ¿Cuál es el sitio del período de retención de back-ups?

3) ¿en Qué formato están las copias de seguridad almacenadas en?

4) ¿usted almacenar copias de seguridad en un sitio fuera de lugar? Si sí, ¿cuál es el período de retención?

5) ¿cifrar los datos de las copias de seguridad?

6) ¿Cómo se asegura de que sólo válido producción de programas son ejecutados?

4voto

Evan Anderson Puntos 118832

Sólo he sido solicitado esta información cuando se trabaja con industrias reguladas (bancos) o de gobierno.

Yo no soy consciente de que un "formato estándar", de por sí, pero luego siempre me ha dado un poco de plantilla que mi Cliente fue dado por un auditor como un "punto de partida" cuando he tenido que hacer estos.

Probablemente me inicio con algunas búsquedas en Google y ver qué podía encontrar en el camino de la muestra de documentos de política. SANS (http://www.sans.org) también es otro buen lugar para empezar a buscar.

En cuanto al nivel de detalle que se va, yo diría que es probablemente debe ser adaptada a la audiencia y el propósito. Me gustaría mantener el detalle de alto nivel, a menos que yo se preguntó específicamente para proporcionar detalles de bajo nivel.

4voto

Joe W. Puntos 849

Hay varias razones por las que una empresa puede querer ver a su política de seguridad. Un ejemplo es que la Industria de Tarjetas de Pago (Visa, MasterCard, AmEx, etc...), requiere que las compañías que procesan tarjetas de crédito deben cumplir payment Card Industry - Data Security Standard (PCI-DSS). Una sección de la norma PCI-DSS requiere que los socios de la empresa también deben cumplir con el estándar PCI-DSS (que por supuesto requiere de políticas por escrito).

Francamente, si yo soy de conceder el acceso a su red a través de una VPN o conexión directa, entonces quiero saber que usted tiene un cierto nivel de seguridad, de lo contrario estoy a abrirme a todo tipo de problemas potenciales.

Por eso ser PCI o certificado ISO 27001 puede ser de gran ayuda en este respecto ya que puede permitir a la organización externa saber que usted tiene cosas manejó hasta un cierto nivel. Si sus políticas son muy generales, y que las políticas deben ser, entonces podría no ser un problema para proporcionar una copia de su pareja. Sin embargo, si quieren ver a los procedimientos específicos de seguridad o de información, a continuación, no te dejaría que dejar mi sitio.

Kara tiene excelente orientación sobre lo que se desea cubrir en sus políticas. He aquí un ejemplo de una política.

IT-001 Sistema de Copia de seguridad/Recuperación de la Política

I. Introducción Esta sección habla acerca de cómo las copias de seguridad son importantes, cómo va a probar y mantener copias fuera del sitio.

II. Propósito A. Esta póliza cubrirá frecuencia, el almacenamiento y la recuperación de B. Esta póliza cubre los datos, sistemas operativos y software de aplicación C. Todos de copia de seguridad/recuperación de los procedimientos deben ser documentados y mantenidos en un lugar seguro

III. Alcance Esta sección señala que la póliza cubre todos los servidores de datos y activos en su empresa (y de cualquier otra de áreas específicas como oficinas satélite).

IV. Funciones y Responsabilidades A. - el Administrador decide qué es lo que se copia de seguridad, determina la frecuencia, media y procedimientos, también verifica que las copias de seguridad de suceder B. Sistema de Administración Ejecuta las copias de seguridad, controles de las copias de seguridad, pruebas de las copias de seguridad, transporte de las copias de seguridad, pruebas de restauración, mantiene la copia de seguridad de rotación de abuelo/padre/hijo C. los Usuarios - Tiene entrada en lo que se copia de seguridad, debe colocar los datos en la ubicación designada para la copia de seguridad

V. Descripción De La Política Copia de seguridad - todas las cosas que quiero decir acerca de las copias de seguridad en un sentido general La recuperación de todas las cosas que quiero decir acerca de la recuperación en un sentido general

Paso por paso las instrucciones que debe ser en un lugar separado de los procedimientos/instrucciones de trabajo documento. Sin embargo, si usted tiene una organización muy pequeña, no podría separar las políticas de procedimientos.

Espero que esto ayude y le ofrece información útil.

1voto

Dana the Sane Puntos 706

Tuve que escribir uno de estos recientemente y no terminar siendo demasiado difícil. Concedido, Incluso se habla de adaptación es importante, aunque, como algunos de los detalles se van a tomar más trabajo para describir que otros. NIST también cuenta con una amplia biblioteca de libre, publicaciones en línea que describe las medidas de seguridad para diversos fines, puede utilizar estas ideas para cuando usted no está seguro de qué tipo/grado de seguridad.

He aquí algunas categorías generales para cubrir en el más alto nivel de los términos:

  • Política De Retención De Datos
  • Procedimientos de copia de seguridad/Acceso a las copias de seguridad
  • En la casa de las restricciones de acceso(físico y virtual)
    • De red (inalámbrico, cable)
    • Hardware (servidores, estaciones de trabajo, locales de oficina, fuera del sitio/teletrabajo)
    • Hosting/Centro de Datos (importante si usted está almacenando los socios de datos)
    • Sistema Operativo
  • Selección De Personal

Esta lista puede ser ampliada o reducida basada en la ahora gran parte de la información necesaria. Además, no hay necesidad de preocuparse si usted todavía no tiene absolutamente todos los de este en su lugar. Mi consejo es ceñirse a la descripción de su 'intención' de las políticas, pero debe estar preparado para expandir inmediatamente por nada falta. También esté preparado para ser llamado en lo que estás reclamando, no importa lo improbable que esto es (a los abogados no les importará más adelante).

1voto

Mike Heinz Puntos 1081

Me gustaría conseguir con el asesor legal de la empresa en este para empezar, especialmente, ya que es parte de un contrato.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: