web-dev-qa-db-ja.com

プライベート環境に実装するセキュリティ制御

大規模なプロジェクトでは、私の会社は、イントラネット内で使用されるアプリケーションがインストールされている内部サーバーの管理を担当しています。私たちのサイトの1つは外部からアクセスできますが、そのようなリダイレクトは管理していません。別の会社がネットワークの管理を任されています。すべての座席には、制限なしでW7を実行するラップトップがあります。つまり、デフォルトでは管理者ユーザーです。外部の人は建物にアクセスできません。IDスキャナーと指紋スキャナーがあります。

セキュリティ固有の役割を「作成」しようとしています。私はこの会社に初めて参加しましたが、ここでセキュリティに関心があるのは私だけです。

これまでのところ、パスワード(すべての基本的なパスワードの原則に違反しています笑!)、サーバーでのアカウント管理(誰かが離れるときにLDAPアカウントを無効にする、一時アカウントの有効期限を設定する)、プライバシーの問題(Webカメラ、離れるときにログに記録されたセッション)、クリーンデスクを分析しましたポリシー(外部の人はアクセスできないため、これが効果があるかどうかはわかりません)と最小特権(ラップトップの一部のリソース、管理者およびユーザーアカウントへのアクセスを制限し、USBスティックの使用を禁止します)。

上記のすべてによると、他にどのようなセキュリティ制御を実装できますか?

1
eez0

ISO/IEC 27002には、誰もが少なくとも検討すべきだと感じている114のセキュリティ管理策がリストされていますが、そこから始めることはお勧めしません。最初にリスク評価を行う必要があるので、何を管理する必要があるかがわかります。

コントロールのリストから始めないでください。そうしないと、指紋リーダーが外部の人があなたの建物にアクセスできないことを意味すると想定するなど、恐ろしい間違いを犯します。

(誰が台所を掃除しますか?トイレが壊れたときに誰が修理しますか?誰が小包を配達しますか?誰があなたの煙探知器をチェックしますか?私が彼らに5000ドルを与えた場合、あなたの最低賃金の従業員は誰を入れますか?彼の妻に言いますか?)

3
Graham Hill

私はこの会社では初めてですが、ここでセキュリティに興味があるのは唯一の人です

太字のフレーズが文字通り真実である場合、あなたはすでに問題を抱えており、あなたのアイデアを効果的に実行することができないかもしれません。 ITセキュリティは、1人の個人の責任ではなく、またそうすべきではありません。職場のセキュリティ文化が緩い場合は、経営陣がセキュリティを優先することを決定しない限り、セキュリティはビジネスに付加価値をもたらすと見なされる大きな投資にはなりません。

IT監査人としての私の経験では、上級管理職によって採用およびモデル化された企業のITセキュリティポリシーが不可欠です。 コントロールを無計画に実装するのではなく、まず経営陣と協力してITセキュリティポリシーを採用することを検討することをお勧めします。

優れたITセキュリティポリシーは、次のような分野で経営陣の期待を広く設定する必要があります。

  • 会社の資産とデータの保護に取り組む従業員の期待。
  • ポリシーがどのように実施されるか
  • ポリシー違反からどのような結果が予想されるか
  • 企業資産をビジネスにとっての「価値」ごとに分類する方法

どの資産が最も価値があり、経営陣がそれらの資産を保護するという使命をどのように見ているかを知って初めて、セキュリティ管理が効果的になります。ポリシー文書に記載されているITセキュリティに対する経営陣の姿勢を学んだ後、次のステップはリスク評価です。基本的に、この段階で以下の質問に答えます。

  • 特定された貴重な資産を脅かす可能性のある脅威/攻撃元は何ですか?
  • そのような攻撃が発生する可能性はどのくらいありますか?
  • 攻撃が成功した場合、結果として生じる損害はどの程度深刻になる可能性がありますか? (影響)
  • 影響を軽減するために、すでにどのような問題を緩和する要素がありますか? (補正コントロール)

リスク評価を完了した後でのみ、セキュリティ管理策を管理者に有意義に推奨して実装することができます。あなたの会社の「ITセキュリティ文化」が欠けていると上記で述べましたが、あなたが提供した限られた情報に基づいて価値のあるいくつかのコントロールがあります。

私たちのサイトの1つは外部からアクセスできますが、そのようなリダイレクトは管理していません。別の会社がネットワークの管理を任されています

ネットワーク管理がサードパーティにアウトソーシングされている場合、次のような制御が行われていることを確認する必要があります。

  • 契約条件-SLA監視と監査の権利が不可欠です
  • ネットワークへのベンダーアクセス-アクセスプロビジョニングとデプロビジョニングはどのように管理されていますか?
  • ユーザー認証-ベンダーは、信頼できないインターネットから公開されているWebに面した会社のアプリケーションにアクセスするユーザーのIDをどのように認証していますか?
0
Anthony