Um parceiro deseja uma cópia da nossa política de segurança de TI por escrito e não tenho certeza do que fazer [fechado]

23

Minha empresa está trabalhando com outra empresa e, como parte do contrato, está solicitando uma cópia da Política de Segurança de TI escrita da minha empresa. Não tenho uma política de segurança de TI escrita e não sei exatamente o que quero dar a eles. Somos uma loja da Microsoft. Temos agendas de atualização, contas de acesso limitado para gerenciar servidores, firewalls, certificados SSL e executamos o Microsoft Baseline Security Analyzer de tempos em tempos.

Configuramos serviços e contas de usuário, pois sentimos que a maior parte é segura e protegida (é difícil quando você não tem controle total sobre o software que executa), mas não posso entrar em todos os detalhes, cada serviço e servidor é diferente. Estou recebendo mais informações sobre o que eles querem, mas sinto como se estivessem em uma expedição de pesca.

Minhas perguntas são: Essa é uma prática padrão para solicitar essas informações? (Não sou contra isso honestamente, mas nunca aconteceu antes.) E se isso é padrão, existe um formato padrão e um nível de detalhe esperado que devo apresentar?

best-practices reconectar
fonte
1
Acontece que estamos solicitando a certificação c-tpat. Só somos obrigados a aderir a duas coisas. 1) Proteção por senha 2) Responsabilidade ( cbp.gov/xp/cgov/trade/cargo_security/ctpat/security_guideline/… ) A incrível quantidade de boas respostas aqui me fez pensar: iniciei um projeto para ter um plano formal usando muitos conselhos, não para certificação, mas para nós mesmos.
9135 re
Esta questão está fora de tópico sob as regras atuais de atualidade.
HopelessN00b

Respostas:

44

Eles não precisam de uma cópia de toda a sua política interna de TI, mas acho que podem estar procurando algo semelhante a isso - alguém definitivamente precisa obter informações suficientes sobre o contrato para determinar quantos detalhes você precisa fornecer e sobre o que. Tho: Eu concordo com Joseph - se eles precisam das informações por razões legais / de conformidade, é necessário que haja informações legais.

Informações básicas

1) Algum de seus funcionários está localizado fora dos EUA?

2) Sua empresa possui políticas de segurança da informação formalizadas e documentadas?

3) O manuseio e a classificação das informações e dados são cobertos pelas suas políticas de segurança da informação?

4) Existem questões regulatórias pendentes em que você está lidando atualmente nos estados em que opera? Se sim, por favor explique.

Segurança geral

1) Você tem um programa de treinamento de conscientização sobre segurança da informação para funcionários e contratados?

2) Quais dos seguintes métodos para autenticar e autorizar o acesso aos seus sistemas e aplicativos você usa atualmente:

  • Executado pelo sistema operacional
  • Realizado por produto comercial
  • Logon único
  • Certificados digitais do cliente
  • Outra autenticação de dois fatores
  • Cultivado em casa
  • Nenhum mecanismo de autenticação em vigor

3) Quem autoriza o acesso de funcionários, contratados, temporários, fornecedores e parceiros de negócios?

4) Você permite que seus funcionários (incluindo contratados, agentes temporários, fornecedores etc.) tenham acesso remoto às suas redes?

5) Você tem um plano de resposta a incidentes de segurança da informação? Se não, como são tratados os incidentes de segurança da informação?

6) Você tem uma política que aborda o tratamento de informações internas ou confidenciais em mensagens de email para fora da sua empresa?

7) Você analisa suas políticas e padrões de segurança da informação pelo menos anualmente?

8) Quais métodos e controles físicos existem para impedir o acesso não autorizado às áreas seguras da sua empresa?

  • Servidores de rede em salas trancadas
  • Acesso físico a servidores limitado pela identificação de segurança (cartões de acesso, biometria, etc.)
  • Monitoramento de vídeo
  • Logs e procedimentos de entrada
  • Crachás de segurança ou cartões de identificação visíveis o tempo todo em áreas seguras
  • Seguranças
  • Nenhum
  • Outro, forneça detalhes adicionais

9) Descreva sua política de senha para todos os ambientes? Ou seja. Comprimento, força e envelhecimento

10) Você tem um plano de recuperação de desastres (DR)? Se sim, com que frequência você o testa?

11) Você tem um plano de continuidade de negócios (BC)? Se sim, com que frequência você o testa?

12) Você nos fornecerá uma cópia dos resultados de seus testes (BC e DR), se solicitado?

Revisão de arquitetura e sistema

1) Os dados e / ou aplicativos da [Empresa] serão armazenados e / ou processados ​​em um servidor dedicado ou compartilhado?

2) Se em um servidor compartilhado, como os dados da [Empresa] serão segmentados dos dados de outras empresas?

3) Que tipo de conectividade empresa a empresa será fornecido?

  • Internet
  • Linha privada / alugada (por exemplo, T1)
  • Discar
  • VPN (rede virtual privada)
  • Serviço de Terminal
  • Nenhum
  • Outro, forneça detalhes adicionais

4) Essa conectividade de rede será criptografada? Em caso afirmativo, quais métodos de criptografia serão usados?

5) Existe algum código do lado do cliente (incluindo código ActiveX ou Java) necessário para utilizar a solução? Se sim, descreva.

6) Você possui um firewall para controlar o acesso à rede externa ao (s) servidor (es) da web. Se não, onde estão localizados esses servidores?

7) Sua rede inclui uma DMZ para acesso da Internet a aplicativos? Se não, onde estão esses aplicativos?

8) Sua organização toma medidas para se prevenir contra interrupções de negação de serviço? Descreva estas etapas

9) Você realiza alguma das seguintes análises / testes de segurança da informação

  • Verificações internas do sistema / rede
  • Autoavaliações gerenciadas internamente e / ou análises de due diligence
  • Revisões de código interno / revisões por pares
  • Testes / estudos externos sobre penetração de terceiros
  • Outro, forneça detalhes Com que frequência esses testes são realizados?

10) Quais das seguintes práticas de segurança da informação estão sendo ativamente usadas em sua organização

  • Listas de controle de acesso
  • Certificados digitais - lado do servidor
  • Certificados digitais - lado do cliente
  • Assinaturas digitais
  • Detecção / prevenção de intrusão baseada em rede
  • Detecção / prevenção de intrusão baseada em host
  • Atualizações agendadas para arquivos de assinatura de detecção / prevenção de intrusões
  • Monitoramento de intrusão 24x7
  • Verificação contínua de vírus
  • Atualizações agendadas para arquivos de assinatura de vírus
  • Estudos e / ou testes de penetração
  • Nenhum

11) Você tem padrões para proteger ou proteger seus sistemas operacionais?

12) Você tem um cronograma para aplicar atualizações e hot fixes em seus sistemas operacionais? Se não, informe-nos como você determina o que e quando aplicar as correções e atualizações críticas

13) Para fornecer proteção contra uma falha de energia ou de rede, você mantém sistemas totalmente redundantes para seus principais sistemas transacionais?

Servidor Web (se aplicável)

1) Qual é o URL que será usado para acessar o aplicativo / dados?

2) Quais sistemas operacionais são os servidores da web? (Forneça o nome do SO, versão e service pack ou nível do patch.)

3) O que é o software de servidor da web?

Servidor de aplicativos (se aplicável)

1) Quais sistemas operacionais são os servidores de aplicativos? (Forneça o nome do SO, versão e service pack ou nível do patch.)

2) Qual é o software do servidor de aplicativos?

3) Você está usando controle de acesso baseado em função? Se sim, como os níveis de acesso são atribuídos às funções?

4) Como você garante a devida autorização e segregação de funções?

5) Seu aplicativo emprega acesso / segurança de usuário em vários níveis? Se sim, por favor providencie detalhes.

6) As atividades em seu aplicativo são monitoradas por um sistema ou serviço de terceiros? Se sim, forneça o nome da empresa e do serviço e quais informações estão sendo monitoradas

Servidor de banco de dados (se aplicável)

1) Quais sistemas operacionais são os servidores de banco de dados? (Forneça o nome do SO, versão e service pack ou nível do patch.)

2) Qual software de servidor de banco de dados está sendo utilizado?

3) O banco de dados é replicado?

4) O servidor DB faz parte de um cluster?

5) O que é feito (se houver) para isolar os dados da [Companhia] de outras empresas?

6) Os dados da [Empresa], quando armazenados em disco, serão criptografados? Se sim, descreva o método de criptografia

7) Como os dados de origem são capturados?

8) Como são tratados os erros de integridade de dados?

Auditoria e Log

1) Você registra o acesso do cliente em:

  • O servidor web?
  • O servidor de aplicativos?
  • O servidor de banco de dados?

2) Os logs são revisados? Em caso afirmativo, explique o processo e com que frequência eles são revisados?

3) Você fornece sistemas e recursos para manter e monitorar logs de auditoria e transações? Se sim, quais logs você mantém e por quanto tempo os armazena?

4) Você permitirá que [a empresa] analise os logs do sistema no que se refere à nossa empresa?

Privacidade

1) Quais são os processos e procedimentos usados ​​para desclassificar / excluir / descartar os dados da [Empresa] quando não são mais necessários?

2) Você já divulgou informações de clientes de maneira errada ou acidental?
Se sim, que medidas corretivas você implementou desde então?

3) Os contratados (não funcionários) têm acesso a informações sensíveis ou confidenciais? Em caso afirmativo, eles assinaram um acordo de não divulgação?

4) Você possui fornecedores autorizados a acessar e manter suas redes, sistemas ou aplicativos? Em caso afirmativo, esses fornecedores, mediante contratos escritos, fornecem confidencialidade, verificação de antecedentes e seguro / indenização contra perdas?

5) Como seus dados são classificados e protegidos?

Operações

1) Qual é a frequência e o nível de seus backups?

2) Qual é o período de retenção no local de backups?

3) Em que formato seus backups são armazenados?

4) Você armazena backups em um local externo? Se sim, qual é o período de retenção?

5) Você criptografa seus backups de dados?

6) Como você garante que apenas programas de produção válidos sejam executados?

Kara Marfia
fonte
Kara, essa é uma das respostas mais bem pensadas e detalhadas que eu já recebi. Acho que você já fez isso algumas vezes.
reconbot
1
Estou acostumado a preenchê-los, sim. ;) Suspeito que eles sejam reunidos por vastos comitês em salas escuras e cheias de fumaça ... Fico feliz que isso ajude. O dilema que você recebeu é uma grande razão para a existência do SF.
Kara Marfia
1
"Algum de seus funcionários está localizado fora dos EUA?" engraçado. Do meu ponto de vista, é mais um risco ter um funcionário localizado nos EUA . O ponto é que somos obrigados por lei a não permitir que ninguém acesse os dados ou servidores (sem a aprovação de um juiz) e nossos advogados disseram que exatamente esse requisito não pode ser atendido se algum funcionário dos EUA tiver acesso a esses dados: )
serverhorror
4

Só me pediram essas informações ao trabalhar com indústrias regulamentadas (bancos) ou governo.

Não estou ciente de um "formato padrão", por si só, mas sempre recebi algum modelo que meu Cliente recebeu de um auditor como um "ponto de partida" quando tive que fazer isso.

Provavelmente começaria com algumas pesquisas no Google e veria o que encontrei na forma de exemplos de documentos de políticas. O SANS ( http://www.sans.org ) também é outro bom lugar para começar a procurar.

Quanto ao nível de detalhe, eu diria que provavelmente precisa ser adaptado ao público e ao objetivo. Eu manteria os detalhes em alto nível, a menos que me pedissem especificamente para fornecer detalhes de baixo nível.

Evan Anderson
fonte
Eu costumava usar sempre um modelo NIST para criar rapidamente uma política de segurança, mas não tenho mais uma cópia e um google rápido não consegue mais encontrar os originais (acho que o NIST agora cobra). O governo da Califórnia tem alguns bons recursos, incluindo modelos, em oispp.ca.gov/government/Library/samples.asp. A sugestão acima do Instituto SANS também é um ótimo recurso.
Hrmanko
4

Há vários motivos diferentes pelos quais uma empresa pode querer ver sua política de segurança. Um exemplo é que o setor de cartões de pagamento (Visa, MasterCard, AmEx, etc ...) exige que as empresas que processam cartões de crédito obedeçam ao padrão de segurança de dados - padrão de segurança de dados (PCI-DSS). Uma seção do PCI-DSS exige que os parceiros da empresa também sigam o PCI-DSS (o que, é claro, requer políticas escritas).

Francamente, se estou concedendo a você acesso à sua rede por meio de uma VPN ou conexão direta, quero saber que você tem um certo nível de segurança; caso contrário, estou me abrindo para todos os tipos de possíveis problemas.

É por isso que ter a certificação PCI ou ISO 27001 pode ser um benefício a esse respeito, porque você pode deixar a organização externa saber que você tem as coisas tratadas até um certo nível. Se suas políticas são muito gerais, quais devem ser as políticas, talvez não seja um problema fornecer uma cópia ao seu parceiro. No entanto, se eles quiserem ver procedimentos específicos ou informações de segurança, eu não deixaria isso sair do meu site.

Kara tem algumas excelentes orientações sobre o que você deseja cobrir em suas apólices. Aqui está um exemplo de uma política.

Política de Backup / Recuperação do Sistema IT-001

I. Introdução Esta seção fala sobre como os backups são importantes, como você planeja testar e manter cópias fora do local.

II Objetivo A. Esta política cobre frequência, armazenamento e recuperação B. Esta política cobre dados, sistemas operacionais e software de aplicativo C. Todos os procedimentos de backup / recuperação devem ser documentados e mantidos em um local seguro

III Escopo Esta seção observa que a política abrange todos os servidores e ativos de dados da sua empresa (e quaisquer outras áreas específicas, como escritórios via satélite).

IV Funções e responsabilidades A. Gerente - decide o que é feito o backup, determina a frequência, a mídia e os procedimentos, também verifica se os backups acontecem B. Admin do sistema - Executa os backups, verifica os backups, testa os backups, transporta backups, testa restauração, mantém o avô da rotação de backup / pai / filho C. Usuários - Possui informações sobre o backup, deve colocar os dados no local designado para backup

V. Descrição da política Backup - tudo o que você quer dizer sobre backups em geral Recuperação - tudo o que você quer dizer sobre recuperação em geral

Instruções específicas passo a passo devem estar em um documento separado de procedimentos / instruções de trabalho. No entanto, se você tiver uma organização muito pequena, poderá não separar políticas dos procedimentos.

Espero que isso ajude e lhe dê algumas informações úteis.

David Yu
fonte
+1 porque eu estaria disposto a apostar no fato de que é um contrato que o PCI pode estar envolvido. (o cartão de crédito PCI, não o antigo conector de barramento). se for esse o caso, eles não querem uma especificação completa, apenas as coisas que afetam sua conformidade com o PCI.
Matt
1

Eu tive que escrever um desses recentemente e não acabou sendo muito difícil. É verdade que o argumento de Even sobre alfaiataria é importante, pois alguns detalhes exigirão mais trabalho do que outros. O NIST também possui uma grande biblioteca de publicações on-line gratuitas que descrevem medidas de segurança para vários propósitos; você pode usá-las para idéias em que não tem certeza de que tipo / extensão de segurança é necessária.

Aqui estão algumas categorias gerais a serem abordadas em termos de alto nível:

  • Política de Retenção de Dados
  • Procedimentos de backup / Acesso a backups
  • Restrições de acesso interno (físico e virtual)
    • Rede (sem fio, com fio)
    • Hardware (servidores, estações de trabalho, escritórios, instalações externas / teletrabalho)
    • Host / Data Center (importante se você estiver armazenando os dados dos parceiros)
    • Sistema operacional
  • Seleção de pessoal

Esta lista pode ser expandida ou reduzida com base em agora muita informação é necessária. Além disso, não precisa se preocupar se você ainda não tem tudo isso no lugar. Meu conselho é seguir a descrição de suas políticas "pretendidas", mas esteja preparado para expandi-las imediatamente para qualquer coisa que esteja faltando. Também esteja preparado para ser chamado pelo que você está reivindicando, por mais improvável que seja (os advogados não se importarão mais tarde).

Dana the Sane
fonte
1

Eu começaria com o advogado da sua empresa sobre isso, especialmente porque faz parte de um contrato.

Joseph
fonte
1

Para atender à necessidade de enviar uma cópia do seu documento de política de segurança, isso seria um pouco contrário à segurança. Escrevi nossa política de segurança e retirei a maioria dos documentos dos modelos da SAN. Os outros que você pode preencher com pesquisas de políticas específicas no Google. A maneira como lidamos com uma parte externa que deseja ver a política é deixá-los sentar no escritório do nosso Diretor de Operações e permitir que eles os leiam. Nossa política é que nunca saia do prédio e, mais especificamente, nossa visão. Temos acordos com os quais qualquer terceiro deve concordar ao trabalhar em capacidades específicas que exigiriam acesso às nossas informações. E eles são caso a caso. Esta política pode não se adequar ao seu ambiente nem todas as políticas existentes na SAN

TechGuyTJ
fonte
Ainda bem que não sou o único com essa experiência.
MathewC
Foi interessante, mas uma ótima experiência. Meus usuários podem não gostar muito de mim, mas se você olhar de uma perspectiva estatística. Li na eweek ou na informationweek que em algum lugar na vizinhança de 70% de todas as empresas que experimentam uma violação de segurança não conseguem se recuperar e, dentro de dois anos após encontrar a violação, fecham suas portas.
TechGuyTJ
1

É prática padrão: minha experiência é positiva para certos setores regulamentados, como bancos, alimentos, energia etc.

Existe um formato padrão: existem vários padrões, mas se o seu contrato não especificar um padrão (ISO, por exemplo), você deverá concordar contratualmente em fornecer o formato que escolher.

Não deve ser difícil. Você já possui um padrão de patch e senha, portanto, o documento deve especificar qual é esse padrão e como garantir que ele seja seguido. Não caia na armadilha de gastar muito tempo tornando-o bonito. Apenas um documento simples será suficiente.

Se o seu contrato especificar o uso de um padrão específico, você deverá procurar ajuda profissional para garantir a conformidade contratual.

Shawn Anderson
fonte
1

Recebemos muito essa pergunta porque somos uma instalação de hospedagem. O ponto principal é que não divulgamos a menos que saibamos exatamente o que eles estão procurando com antecedência. Se eles estão procurando algo em nossa política de segurança que não temos, normalmente é porque a natureza de nossos negócios não exige isso, e é o que dizemos. Isso pode ser subjetivo, mas não importa - ainda precisamos perder negócios por causa disso. Na maioria das vezes, eles estão perguntando porque precisam contar a alguém o que disseram. Uma resposta "NÃO" não é necessariamente uma coisa ruim ou uma quebra de negócio.

Acabamos de passar pela certificação SAS70 II; agora, apenas damos a carta de opinião do auditor e deixamos isso falar por nossas políticas escritas.

Scott Kantner
fonte
0

Você precisará de um NDA antes de mostrar qualquer coisa. Então, eu os deixaria vir e revisar a política de segurança, mas nunca ter uma cópia dela.

MathewC
fonte
Eu não teria votado contra você, mas, embora não o publique, compartilhá-lo com parceiros de negócios não está fora de questão. Embora não tenha sido o mesmo em todas as empresas em que trabalhei, meu departamento de TI existe para as necessidades de negócios acima de qualquer outra. Imagino que compartilhar nosso plano de segurança de TI seja semelhante ao compartilhamento de um processo ou plano de negócios.
reconbot
Passei pela conformidade com o SAS70 e muitos "parceiros" só permitiriam a revisão. É uma obrigação ter algo impresso que diga que você faz alguma coisa e depois não, ou você fez algo que causou um problema. Lamento que você não concorde, mas eu estava dando minha opinião por experiência própria. Eu não acho que isso mereça um voto negativo.
MathewC
Apenas sendo claro, eu não votei em você. Não havia necessidade disso. Sua experiência é exatamente o tipo de coisa que eu gostava de ouvir. Obrigado!
9135 re
Se eu tivesse o representante, votaria em você. Eles não precisam assinar um NDA apenas para ver sua Política de Segurança de TI / Política InfoSec. (Há uma distinção entre uma política e um padrão / procedimento) Existem várias razões válidas para a necessidade de ver uma organização Política InfoSec (conformidade com Sox, PCI DSS, etc.) A maioria das organizações o torna completamente público: obfs.uillinois.edu /manual/central_p/sec19-5.html
Josh Brower
É uma precaução. Se você não quiser tomá-lo para se proteger, é por sua conta. Eu dei uma razão válida para você não fazer isso. E lamento que você não tenha o representante para me votar. Eu gosto de reservar meus votos negativos para respostas ruins / perigosas, não para políticas com as quais não concordo.
MathewC