파트너가 서면 IT 보안 정책의 사본을 원하고 어떻게해야할지 모르겠습니다.

우리 회사는 다른 회사와 협력하고 있으며 계약의 일부로 회사의 서면 IT 보안 정책 사본을 요청하고 있습니다. 서면 IT 보안 정책이 없으며 본인이 무엇을주고 싶은지 잘 모르겠습니다. 우리는 Microsoft 상점입니다. 서버, 방화벽, SSL 인증서를 관리하기위한 업데이트 일정, 제한된 액세스 계정이 있으며 때때로 Microsoft Baseline Security Analyzer를 실행합니다.

우리는 대부분 안전하고 안전하다고 생각하여 서비스와 사용자 계정을 구성합니다 (실행중인 소프트웨어를 완전히 제어 할 수없는 경우 힘들지만). 모든 세부 사항을 다룰 수는 없습니다. 각 서비스와 서버는 다릅니다. 나는 그들이 원하는 것에 대해 더 많은 정보를 얻고 있지만 나는 그들이 낚시 원정에있는 것처럼 느낍니다.

내 질문은이 정보를 요구하는 표준 관행입니까? (정직하게 반대하지는 않지만 이전에는 결코 발생하지 않았습니다.) 그리고 이것이 표준이라면 표준 형식과 예상되는 세부 수준이 있습니까?

내부 IT 정책 전체의 사본이 필요하지는 않지만, 이와 비슷한 결과를 겪을 수 있다고 생각합니다. 누군가가 계약서에 대한 충분한 정보를 제공하여 세부 정보를 얼마나 많이 제공하고 무엇을 제공해야하는지 결정해야합니다. 본인은 Joseph에 동의합니다. 법적 / 준수 이유로 정보가 필요한 경우 법적 의견이 필요합니다.

배경 정보

1) 귀하의 직원이 미국 이외의 지역에 있습니까?

2) 귀사는 정보 보안 정책을 공식화하고 문서화 했습니까?

3) 정보 및 데이터의 취급 및 분류가 정보 보안 정책에 포함됩니까?

4) 현재 운영하고있는 주에서 다루고있는 현저한 규제 문제가 있습니까? 그렇다면 설명하십시오.

일반 보안

1) 직원과 계약자를위한 정보 보안 인식 교육 프로그램이 있습니까?

2) 현재 시스템 및 응용 프로그램에 대한 액세스를 인증하고 권한을 부여하기 위해 다음 중 어떤 방법을 사용하고 있습니까?

• 운영 체제에서 수행
• 상용 제품으로 수행
• 싱글 사인온
• 클라이언트 측 디지털 인증서
• 다른 2 단계 인증
• 자란 가정
• 인증 메커니즘이 없습니다.

3) 직원, 계약자, 임시 직원, 공급 업체 및 비즈니스 파트너에 대한 액세스 권한을 누가 부여합니까?

4) 직원 (계약 업체, 임시 직원, 공급 업체 등)이 네트워크에 원격으로 액세스 할 수 있도록 허용합니까?

5) 정보 보안 사고 대응 계획이 있습니까? 그렇지 않은 경우 정보 보안 사고는 어떻게 처리됩니까?

6) 회사 외부로 전자 메일 메시지의 내부 또는 기밀 정보 처리를 다루는 정책이 있습니까?

7) 최소한 매년 정보 보안 정책 및 표준을 검토합니까?

8) 귀사의 보안 구역에 무단으로 액세스하는 것을 방지하기 위해 어떤 방법과 물리적 통제가 마련되어 있습니까?

• 잠긴 방에있는 네트워크 서버
• 보안 식별 (액세스 카드, 생체 인식 등)에 의해 제한되는 서버에 대한 물리적 액세스
• 비디오 모니터링
• 로그인 로그 및 절차
• 보안 구역에서 보안 배지 또는 ID 카드를 항상 볼 수 있습니다
• 경비원
• 없음
• 기타 추가 정보를 제공하십시오

9) 모든 환경에 대한 비밀번호 정책을 설명해주십시오. 즉. 길이, 강도 및 노화

10) 재해 복구 (DR) 계획이 있습니까? 그렇다면 얼마나 자주 테스트합니까?

11) BC (Business Continuity) 계획이 있습니까? 그렇다면 얼마나 자주 테스트합니까?

12) 요청이있을 경우, 시험 결과 사본 (BC 및 DR)을 제공 하시겠습니까?

아키텍처 및 시스템 검토

1) [회사]의 데이터 및 / 또는 애플리케이션이 전용 또는 공유 서버에 저장 및 / 또는 처리됩니까?

2) 공유 서버 인 경우 [회사]의 데이터는 다른 회사의 데이터와 어떻게 분할됩니까?

3) 어떤 유형의 회사 간 연결이 제공됩니까?

• 인터넷
• 개인 / 임대 회선 (예 : T1)
• 전화 접속
• VPN (가상 사설망)
• 터미널 서비스
• 없음
• 기타 추가 정보를 제공하십시오

4)이 네트워크 연결이 암호화됩니까? 그렇다면 어떤 암호화 방법을 사용합니까?

5) 솔루션을 사용하기 위해 필요한 클라이언트 측 코드 (ActiveX 또는 Java 코드 포함)가 있습니까? 그렇다면 설명하십시오.

6) 웹 서버에 대한 외부 네트워크 액세스를 제어하는 ​​방화벽이 있습니까? 그렇지 않은 경우이 서버는 어디에 있습니까?

7) 네트워크에 애플리케이션에 대한 인터넷 액세스를위한 DMZ가 포함되어 있습니까? 그렇지 않은 경우, 이러한 응용 프로그램은 어디에 있습니까?

8) 귀하의 조직은 서비스 거부 중단을 방지하기위한 조치를 취합니까? 이 단계를 설명하십시오

9) 다음 정보 보안 검토 / 테스트 중 하나를 수행합니까?

• 내부 시스템 / 네트워크 스캔
• 내부적으로 관리되는 자체 평가 및 / 또는 실사 검토
• 내부 코드 검토 / 피어 검토
• 외부 타사 침투 테스트 / 연구
• 기타, 세부 정보를 제공하십시오.이 테스트는 얼마나 자주 수행됩니까?

10) 조직 내에서 다음 정보 보안 관행 중 적극적으로 사용되고있는 것은 무엇입니까?

• 액세스 제어 목록
• 디지털 인증서-서버 측
• 디지털 인증서-클라이언트 측
• 디지털 서명
• 네트워크 기반 침입 탐지 / 예방
• 호스트 기반 침입 탐지 / 방지
• 침입 탐지 / 예방 시그니처 파일에 대한 예약 업데이트
• 침입 모니터링 24x7
• 지속적인 바이러스 검사
• 바이러스 서명 파일에 대한 예약 업데이트
• 침투 연구 및 / 또는 테스트
• 없음

11) 운영 체제를 강화 또는 보안하기위한 표준이 있습니까?

12) 운영 체제에 업데이트 및 핫픽스를 적용 할 일정이 있습니까? 그렇지 않은 경우 패치 및 중요 업데이트를 적용 할시기와시기를 결정하는 방법을 알려주십시오.

13) 전원 또는 네트워크 장애로부터 보호하기 위해 주요 트랜잭션 시스템에 대해 완전히 이중화 된 시스템을 유지합니까?

웹 서버 (해당되는 경우)

1) 응용 프로그램 / 데이터에 액세스하는 데 사용되는 URL은 무엇입니까?

2) 웹 서버는 어떤 운영 체제입니까? (OS 이름, 버전 및 서비스 팩 또는 패치 수준을 제공하십시오.)

3) 웹 서버 소프트웨어 란 무엇입니까?

응용 프로그램 서버 (해당되는 경우)

1) 응용 프로그램 서버 (들)는 어떤 운영 체제입니까? (OS 이름, 버전 및 서비스 팩 또는 패치 수준을 제공하십시오.)

2) 응용 프로그램 서버 소프트웨어 란 무엇입니까?

3) 역할 기반 액세스 제어를 사용하고 있습니까? 그렇다면 액세스 수준은 어떻게 역할에 할당됩니까?

4) 적절한 권한 부여 및 직무 분리가 어떻게 이루어지고 있습니까?

5) 응용 프로그램이 다단계 사용자 액세스 / 보안을 사용합니까? 그렇다면 세부 정보를 제공하십시오.

6) 응용 프로그램의 활동이 타사 시스템이나 서비스에 의해 모니터링됩니까? 그렇다면 회사 및 서비스 이름과 모니터링 할 정보를 알려주십시오.

데이터베이스 서버 (해당되는 경우)

1) 데이터베이스 서버는 어떤 운영 체제입니까? (OS 이름, 버전 및 서비스 팩 또는 패치 수준을 제공하십시오.)

2) 어떤 데이터베이스 서버 소프트웨어를 사용하고 있습니까?

3) DB가 복제 되었습니까?

4) DB 서버가 클러스터의 일부입니까?

5) [회사]의 데이터를 다른 회사와 분리하기 위해 무엇을합니까?

6) [회사]의 데이터는 디스크에 저장 될 때 암호화됩니까? 그렇다면 암호화 방법을 설명하십시오

7) 소스 데이터는 어떻게 캡처됩니까?

8) 데이터 무결성 오류는 어떻게 처리됩니까?

감사 및 로깅

1) 다음에 고객 액세스를 기록합니까?

• 웹 서버?
• 응용 프로그램 서버?
• 데이터베이스 서버?

2) 로그를 검토합니까? 그렇다면 절차를 설명하고 얼마나 자주 검토합니까?

3) 감사 로그 및 트랜잭션 로그를 유지 관리하고 모니터링하기위한 시스템과 리소스를 제공합니까? 그렇다면 어떤 로그를 보관하고 얼마나 오래 보관합니까?

4) [회사]가 회사와 관련된 시스템 로그를 검토하도록 허용 하시겠습니까?

은둔

1) 더 이상 필요하지 않을 때 [회사]의 데이터 분류 해제 / 삭제 / 삭제에 사용되는 프로세스 및 절차는 무엇입니까?

2) 고객 정보가 잘못되었거나 실수로 공개 된 적이 있습니까?
그렇다면, 어떤 시정 조치를 시행 한 이후입니까?

3) 계약자 (직원이 아닌 사람)는 민감한 정보 나 기밀 정보에 액세스 할 수 있습니까? 그렇다면 비밀 유지 계약에 서명 했습니까?

4) 네트워크, 시스템 또는 응용 프로그램에 액세스하고 유지 관리 할 수있는 공급 업체가 있습니까? 그렇다면, 이러한 공급 업체는 기밀 유지, 신원 확인 및 손실에 대한 보험 / 보상을 제공하는 서면 계약을 체결하고 있습니까?

5) 귀하의 데이터는 어떻게 분류되고 보호됩니까?

운영

1) 백업 빈도와 수준은 무엇입니까?

2) 백업의 온 사이트 보존 기간은 얼마입니까?

3) 백업은 어떤 형식으로 저장됩니까?

4) 오프 사이트에 백업을 저장합니까? 그렇다면 보존 기간은 얼마입니까?

5) 데이터 백업을 암호화합니까?

6) 유효한 프로덕션 프로그램 만 실행되도록하려면 어떻게해야합니까?

규제 된 산업 (은행) 또는 정부와 협력 할 때이 정보를 요구 한 적이 있습니다.

나는 "표준 형식"자체를 알지 못하지만, 감사해야 할 때 감사원이 고객에게 "시작점"으로 제공 한 템플릿이 항상 제공되었습니다.

아마도 일부 Google 검색으로 시작하여 샘플 정책 문서에서 찾을 수있는 것을 볼 수 있습니다. SANS ( http://www.sans.org )도 찾아보기 좋은 곳입니다.

세부적인 수준까지는 관객과 목적에 맞게 조정해야 할 수도 있습니다. 하위 수준의 세부 정보를 제공하라는 요청을받지 않은 경우 세부 사항을 높은 수준으로 유지합니다.

회사가 보안 정책을보고 싶어하는 몇 가지 이유가 있습니다. 한 가지 예는 지불 카드 산업 (Visa, MasterCard, AmEx 등)이 신용 카드를 처리하는 회사가 지불 카드 산업-데이터 보안 표준 (PCI-DSS)을 준수해야한다는 것입니다. PCI-DSS의 한 섹션에서는 회사의 파트너도 PCI-DSS를 준수해야합니다 (물론 서면 정책이 필요함).

솔직히 VPN 또는 직접 연결을 통해 네트워크에 대한 액세스 권한을 부여하는 경우 특정 수준의 보안이 필요하다는 것을 알고 싶습니다. 그렇지 않으면 모든 종류의 잠재적 문제에 직면하고 있습니다.

그렇기 때문에 외부 조직에 특정 수준까지 처리 된 작업이 있다는 것을 외부 조직에 알릴 수 있기 때문에 PCI 또는 ISO 27001 인증을받는 것이 도움이 될 수 있습니다. 정책이 매우 일반적인 정책 인 경우 파트너에게 사본을 제공하는 것은 문제가되지 않을 수 있습니다. 그러나 그들이 특정 절차 또는 보안 정보를보고 싶다면 내 사이트를 떠나지 못하게합니다.

Kara는 정책에서 다루고 싶은 것에 대한 훌륭한 지침을 제공합니다. 다음은 정책의 예입니다.

IT-001 시스템 백업 / 복구 정책

I. 소개이 섹션에서는 백업의 중요성, 복사본 테스트 및 오프 사이트 유지 방법에 대해 설명합니다.

II. 목적 A.이 정책은 빈도, 저장 및 복구에 적용됩니다. B.이 정책은 데이터, 운영 체제 및 앱 소프트웨어에 적용됩니다. C. 모든 백업 / 복구 절차는 문서화되고 안전한 장소에 보관해야합니다.

III. 범위이 섹션에서는 회사의 모든 서버 및 데이터 자산 (및 위성 사무실과 같은 다른 특정 영역)에 정책이 적용됩니다.

IV. 역할 및 책임 A. 관리자-백업 대상 결정, 빈도, 매체 및 절차 결정, 백업 발생 여부 확인 B. 시스템 관리자-백업 실행, 백업 확인, 백업 테스트, 백업 전송, 복원 테스트, 유지 관리 백업 회전 할아버지 / 아버지 / 아들 C. 사용자-백업 대상에 대한 입력이 있으며 백업하도록 지정된 위치에 데이터를 배치해야합니다.

V. 정책 설명 백업-일반적인 의미에서 백업에 대해 말하고 싶은 모든 것 복구-일반적인 의미에서 복구에 대해 말하고 싶은 모든 것

구체적인 단계별 지침은 별도의 절차 / 작업 지침 문서에 있어야합니다. 그러나 조직이 매우 작은 경우 정책을 절차와 분리하지 않을 수 있습니다.

이 정보가 도움이되고 유용한 정보가되기를 바랍니다.

최근에이 중 하나를 작성해야했지만 너무 어려워지지는 않았습니다. 물론 일부 세부 사항은 다른 세부 사항보다 설명하는 데 더 많은 작업이 필요하기 때문에 조정에 대한 Even의 요점도 중요합니다. 또한 NIST 는 다양한 목적으로 보안 조치를 설명하는 무료 온라인 간행물 라이브러리를 보유하고 있으며, 보안 유형 / 범위가 확실하지 않은 아이디어에 사용할 수 있습니다.

다음은 일반적인 용어로 다루는 몇 가지 일반적인 범주입니다.

• 데이터 보존 정책
• 백업 절차 / 백업 액세스
• 사내 액세스 제한 (실제 및 가상)
  • 네트워크 (무선, 유선)
  • 하드웨어 (서버, 워크 스테이션, 사무실 건물, 오프 사이트 / 텔레 워크)
  • 호스팅 / 데이터 센터 (파트너 데이터를 저장하는 경우 중요)
  • 운영 체제
• 인사 심사

많은 정보가 필요한 경우이 목록을 확장하거나 축소 할 수 있습니다. 또한 아직이 모든 것을 갖추지 않았다면 걱정할 필요가 없습니다. 저의 조언은 당신의 '의도 된'정책을 설명하는 것이지만, 부족한 부분을 위해 즉시 확장 할 수 있도록 준비하십시오. 또한 그럴 가능성이 없더라도 (변호사들은 나중에 신경 쓰지 않을 것입니다), 당신이 주장하는 것에 대해 전화를받을 준비를하십시오.

특히 계약의 일부이기 때문에 귀하의 회사의 법률 고문과 함께 시작하겠습니다.

보안 정책 문서의 사본을 보내야 할 필요성을 해결하려면 보안에 약간의 영향을 미칩니다. 보안 정책을 작성했으며 SAN의 템플릿에서 대부분의 문서를 가져 왔습니다. 나머지는 Google에서 특정 정책 검색으로 채울 수 있습니다. 정책을보고자하는 외부 당사자를 처리하는 방법은 운영 책임자 사무실에 앉아서 정책을 읽을 수 있도록하는 것입니다. 우리의 정책은 정책이 건물, 특히 우리의 시야를 떠나지 않는 것입니다. 우리는 우리의 정보에 접근해야하는 특정한 능력으로 일할 때 제 3자가 동의해야한다는 합의를 가지고 있습니다. 그리고 그것들은 상황에 따라 다릅니다. 이 정책은 사용자 환경에 맞지 않을 수도 있고 SAN에있는 모든 정책에 적용되지 않을 수도 있습니다.

표준 관행입니까 : 은행, 식품, 에너지 등과 같이 규제를받는 특정 산업의 경험은 예입니다.

표준 형식이 있습니까? 여러 표준이 있지만 계약서에 표준 (예 : ISO)을 지정하지 않은 경우 계약에 따라 원하는 형식을 제공해야합니다.

어렵지 않아야합니다. 패치 및 비밀번호 표준이 이미 있으므로 문서에 해당 표준의 표준과 준수 방법을 지정해야합니다. 예쁘게 만드는 데 너무 많은 시간을 소비하는 함정에 빠지지 마십시오. 간단한 문서만으로도 충분합니다.

계약서에 특정 표준 사용을 명시한 경우 계약 준수 여부를 확인하기 위해 전문적인 도움을 받아야합니다.

우리는 호스팅 시설이기 때문에이 질문을 많이 얻습니다. 결론은 그들이 무엇을 찾고 있는지 정확히 알지 못한다면 우리가 그것을주지 않는다는 것 입니다. 보안 정책에서 우리가 가지고 있지 않은 것을 찾고 있다면 일반적으로 비즈니스의 특성상 필요하지 않기 때문입니다. 그것은 주관적 일 수 있지만 중요하지 않습니다. 우리는 아직 사업을 잃지 않았습니다. 종종 다른 사람들에게 자신이 한 일을 말해야하기 때문에 묻습니다. '아니오'답변은 반드시 나쁜 일이나 거래 차단기 인 것은 아닙니다.

우리는 방금 SAS70 II 인증을 받았고, 이제 감사인의 의견 서한을 작성하여 서면 정책에 대해 말하게합니다.

당신이 그들에게 아무것도 보여주기 전에 NDA가 필요합니다. 그런 다음 보안 정책을 검토하고 검토 할 수는 있지만 사본을 갖지 마십시오.