情報セキュリティプログラムから始めるには?
私はソフトウェアテスターです。InfoSecは主に私の仕事に関係しています。何かを知らないときにGoogleやStack Exchangeを使うのを恐れないので、人々はInfoSecについて質問するだけです。 (ほとんどの場合)
米国の運用マネージャーは、私と情報セキュリティについて詳しく知りたいと思っています。彼はこのセクションを含む金融セクターの見通しから電子メールを受け取りました:
(a)ACMEは、その情報セキュリティプログラム(「情報セキュリティプログラム」)が設計および実装されていることを確認し、本契約の期間中、以下を目的として引き続き設計および実装されます:(1)によって識別されたリスクを合理的かつ適切に軽減するソフトウェアおよびサービスに関連する当事者のいずれか、およびACMEまたはACME担当者に開示されたお客様の機密情報の保護、および(2)自身のリスク評価、リスク管理、制御、およびACME担当者のコンプライアンスのトレーニングについて説明および報告情報セキュリティプログラム、ACME担当者に関するセキュリティ監視、および情報セキュリティプログラムの年次認証プロセス。 ACMEは、ACME担当者が所有する顧客の機密情報の破壊、損失、変更、または不正な開示または不正アクセスから保護します。これには、送信中または転送中、またはACMEでの保存、処理、または管理中の暗号化の使用も含まれます。法律で要求されるような暗号化、同様の製品またはサービスの業界標準による助言、またはトランザクションドキュメント(総称して「データ保護手段」)で要求される場合の機器。 ACMEは、情報セキュリティプログラムが、製品またはサービスによって提示されるリスクに適用される随時適用されるお客様自身の情報セキュリティ基準(総称して「IS基準」)と実質的に同等であることを保証します。当事者は、SOWで明示的に規定されている場合、「IS規格」という用語を再定義して、業界で認められた標準またはテストプロトコル(NIST、ISO 27001/27002またはSSAE、AT101など)を意味する場合があります。
この言語は非常に怖いので、私は最初にズボンをはいて、それからsecurity.stackexchange.comアカウントを作成してアドバイスを求めました。どこから始めればよいのかさえわからないためです。私たちは小さなソフトウェア会社(40人未満)であり、商業的に成功するのに十分幸運であり、セキュリティについては不注意ではありませんが、正式な情報セキュリティプログラムは(まだ)ありません。
いくつかの質問:
- 誰かが上記の引用を一般的な英語に翻訳してくれませんか?
- 年次認証について何か読んだのですが、私たちの会社はサードパーティのセキュリティ監査人を利用し、私たちに何をすべきかを彼らに教えさせるべきだと言っても大丈夫でしょうか?
- 私たちの組織内の誰が、通常、情報セキュリティプログラムの実装を担当しますか?
- ISO27001を購入することをお勧めします(つまり、実際のPDFファイル。iso.orgストアから166スイスフラン用に購入できます)。それを読むべきですか?(前の質問に関連して)
背景情報:
- 請求書を送信できるように、一般的なCRM情報を収集します。
- お客様のユーザー/顧客に関するデータなどの機密情報は収集しません。
- 当社のサポートチームは、トラブルシューティングの目的でサンプルデータを要求する場合があり、常に問題を再現する「ダミー」またはサニタイズされたデータを要求します。
この質問は システムが雇用主のクライアントにどれだけ安全であるかを伝える方法 の複製ではありません。その投稿は、顧客とのコミュニケーション方法に関するものです。顧客はどのような種類のコミュニケーションを望んでいるのかすでに顧客に伝えたため、SOCタイプ1レポートについて言及しました。 セキュリティプロジェクトのトップマネージメントサポートを取得する方法? の複製でもありません。私たちの場合、マネージメントサポートは簡単です。つまり、セキュリティ認証を取得するか、大きな契約を見逃すからです。
私が試してみます。
簡単に言えば、違反またはハッキングされてデータにアクセスできる場合の言語はCYAです。彼らは顧客に「Acmeはセキュリティプログラムがあり、保護されているため、これは彼らのせいだ」と伝えます。
その場合、あなたが彼らがデータを失う原因となった場合、彼らはあなたを責めることができます。
そうは言っても、企業が提携したりデータを共有したりするときの標準的な契約言語はかなり標準的です。主に「デューデリジェンス」タイプのアーティファクト。
あなたの質問について:
誰かが上記の引用を一般的な英語に翻訳してくれませんか?
基本的に、文書化されたセキュリティポリシー/手順が必要です。これらのドキュメントの中で、システムを保守するために何をすべきかを述べ、適切なセキュリティが提供されるようにする必要があります。また、セキュリティ関連の問題(アクセス制御、監査、監視、インシデント対応など)に触れる実際の手順を試して対処する必要があります。通常の標準操作手順(SOP)でこれの一部をすでにカバーしている可能性があり、それらのドキュメントを参照できます。新しいユーザーを作成したり、グループ/ロールを変更したりするときに、それを行うための手順が書かれていますか?その変更を承認する人はいますか?これらは対処すべき種類の事柄です。それらが書き留められていない場合、人々はそれらを行う方法についての言及がなく、セキュリティの脆弱性をもたらす可能性のある自由を奪います。
年次認証について何か読んだのですが、私たちの会社はサードパーティのセキュリティ監査人を利用し、私たちに何をすべきかを彼らに教えさせるべきだと言っても大丈夫でしょうか?
これは多くの組織がとる道ですが、セキュリティは「毎年」見直すべきものではありません。それはあなたの日常業務に統合されるべき継続的で永遠のプロセスです。とはいえ、サードパーティのグループは、年間認証として機能する「監査」を実行できます。その結果は、欠陥を修正してセキュリティ体制を強化するために使用できるレポートになります。セキュリティプログラムがどれほど成熟していても、これを強くお勧めします。最初の数回は、結果を比較できるように、さまざまなベンダーを使用します。これらのタイプの評価の質は大きく異なります。
私たちの組織内の誰が、通常、情報セキュリティプログラムの実装を担当しますか?
彼らは多くの名前で呼ばれますが、セキュリティの最終的な責任はシステム所有者にあります。それはあなたのCEO、プログラムマネージャー、またはより大きな組織ではISSOまたは情報システムセキュリティ担当者である可能性があります。小規模な組織では、通常、製品またはITマネージャーに分類されます。このプロセスを開始するためにコンサルタントを雇うことは、この段階では良い考えかもしれません。これらの要件は、大企業との提携/提携を開始するときに、より頻繁に見られるようになります。
ISO27001の購入をお勧めしますが、誰が読むべきですか? (前の質問に関連)
正確に何を考えていますか購入? ISO27001は、資産/企業を保護するための方向性を提供するセキュリティコンプライアンスフレームワークであり、私が知る限り、サービスまたは製品でない限り、事前に何かを支払う必要はありません。プログラムのベースとなるコンプライアンスフレームワークを選択することは、セキュリティプログラムを確立するための優れた最初のステップです。 ISOまたはNISTは、国際または国内の大きな標準であり、他のコンプライアンスフレームワーク(PCI、HIPAAなど)と多くの重複があるため、私は個人的にお勧めします。そうは言っても、私はあなたの目標が何であるかわからないので、あなたはいくつかの研究を行い、あなたの組織に最適なものを選択する必要があります。
私はたくさんのドキュメントを書き、多くのセキュリティ管理テストを行ったので、この時点で意見が分かれるかもしれませんが、他に質問がある場合は、遠慮なくPM私。幸運を祈ります!
法的および契約上の言語は常に複雑であり、時々読むのが難しいので、製品の利用規約のページが見落とされることがあります。
どこから始めればよいかという質問に
ここに、NIST、SANS、ISACAなどの標準リソースからのリンクをいくつか示します。これらの各機関には、情報セキュリティの多くの側面を扱う豊富な歴史があります。
SANSリンク:-
ISACAリンク:-
さて、あなたが言及したメールのセクションに関して
あなたの組織の名前はACMEだと思いました
次のことを確認してください。
独自の情報セキュリティプログラムを設計して実装し、契約期間中、それを使用して、ソフトウェアまたはサービスに関してチームまたは顧客のチームによって特定されたリスクを防止および軽減します。
また、会社または従業員に提供される顧客の機密データを保護します。
例:-米国の場合、個人の許可なしに個人の健康記録または社会保障番号を公開することは法律で禁止されています。
- 次の詳細なレポートを作成します
•リスク評価:-サービスと運用に対する潜在的なリスクを特定します•リスク管理:-特定されたリスクの影響を回避または軽減する方法を提案および実装します•制御フローを確立します:-これは、リスクが発生した場合のコマンドチェーンの確立と維持を扱います重要なサービスを中断することなく継続するためのイベント•トレーニング:-データを処理するための安全で安全なプラクティスについてすべての関連する従業員をトレーニングし、ベストプラクティスを強調する
また、適切なフィードバックメカニズムを確立して、従業員がこれらの慣行の確立に参加するようにします。長い目で見れば、かなりの額が支払われます。
データの損失、破壊、変更から保護し、機密データの偶発的な開示を防止します。
データがu.s.bに格納されているとき、または政府によって義務付けられているデータの使用中に、暗号化サービスを使用してこれを実現します。
また、SOWに記載されている場合は、NISTやISOなどの国際標準(これらは標準的な慣行を定義している組織です)に記載されているリスクについて、クライアントのセキュリティ標準と同じレベルであることを確認します。 。
認定についての質問ですが、私は2つのレベルの監査を提案します。1つは内部チームで、これは組織に会社固有のセキュリティ問題に対処する機会を与え、サードパーティの監査人は顧客満足度を高めるため常に賢明です。
また、通常、誰が責任を負うかについては、CISO、つまり最高情報セキュリティ責任者が担当します。また、プロジェクトレベルでは、プロジェクトマネージャーと専任のセキュリティチームになります。
また、繰り返しますが、主にデータの処理方法に注意する必要があるのは、そのデータのユーザーであることを繰り返します。
同じメモで、どのタイプのデータも機密として分類できることを指摘したいと思います。つまり、見込み顧客が金融セクターからのものであると述べた場合、機密データという用語にはビジネストランザクションが含まれる可能性があります。詳細または取引額は、標準的なハッカーの観点からは価値があるとは思えないかもしれませんが、クライアントの競争相手にとって非常に重要です。
残念ながら、私はあなたの最終的なクエリについてほとんどまたはまったく知識がありませんが、標準が実質的ではないにしてもわずかに異なる場合があるため、購入する前に広範な市場調査をお勧めします。
私はこれらの多くに対応しました。飛び出すことが1つあります。
ACMEは、情報セキュリティプログラムが実質的に お客様独自の情報セキュリティ基準 製品またはサービスによって提示されるリスク(総称して「IS基準」)に適用される場合があります。
お客様の情報セキュリティ基準を取得します。 1行ずつ確認して、組織に適用できないものを確認します。
第二に...あなたはおそらくdo情報セキュリティプログラムを持っているでしょう、それはおそらく単なる非公式なものです。開発者にはパスワードがあり、SDLCがあり、変更管理、コードレビューを使用し、オフィスにVPN接続し、従業員のバックグラウンドチェックを行い、請負業者が盗んだコードや海賊版ソフトウェアを使用していないこと、共有パスワードがないことを確認します。ワークステーションなどのAV.
あなたが持っているものを形式化し、それが顧客が求めているものと一致するかどうかを見ることは、彼らが必要とするすべてかもしれない。もちろん、幹部からの賛同が必要です。顧客から特定の質問(侵入防止、脆弱性スキャンなど)があった場合、彼らはあなたに資金を提供する必要があるかもしれません。
また、ここでの唯一の選択肢はあなたの競争に行くことです。あなたの競争が素晴らしいinfosecと割引価格を持っているなら、あなたは問題を抱えているかもしれませんが、チャンスは同じような場所にあるので、完璧であることを心配しないで、できるだけ多くのことをして、改善してください状況。
これは、何度も何度も繰り返されます。うまくいけば、あなたはそれまでにinfosecの人を得るでしょう。
ISO 27001は非常に軽量なドキュメントであり、理解と解釈には多くの経験が必要です。あまり役に立たないと思います。この段階ではNISTとPCIの方が便利かもしれませんが、それは私の意見です。
セキュリティプログラムを開始する場合は、プログラムの範囲を定義する必要があります。限られたスコープから始めて、扱いやすいもので作業するのがおそらく最善です。スコープは、開発と展開のサイクル、システムの強化と構成の管理、ユーザー管理、脆弱性とセキュリティのテストプログラムなどです。小さなスコープから始めることで、最終目標を学び、達成可能にすることができます。
上記の各ドメインには業界標準のプロセスとコントロールがあり、これらは適切な場所にあり、NISTサイバーセキュリティフレームワーク、SANSクリティカルセキュリティコントロール、PCI DSS、ISOなどのそれぞれにあります。業界標準では、いずれかを選択する必要があります。私が言及するものはそれぞれ国際的に認められています。 NISTサイバーセキュリティフレームワークは、適切に提示され、消化されやすいため、お勧めします。高レベルのカテゴリに従って実装に優先順位を付けることもでき、監査は簡単です。
もう一度質問を読んで、PCI DSSの要件6、具体的には6.3、6.5、6.6を確認することをお勧めします。これらは、開発会社として、少なくとも適切な業界標準です。つまり、安全な開発、開発者トレーニング、コードレビュー、OWASPの脆弱性に関する知識、防御的なコーディングを通じて軽減する能力、適切なライブラリの使用、システム構成など.
監査の観点から、何をすべきか(またはすべきか)を文書化し、制御とプロセスが文書と整合していることを確認する必要があります。これらが同期しない場合、問題があります。
Info Secプログラム全体をセットアップするのは大変な作業であり、かみ砕ける以上の量を食い止めようとする場合かもしれません。 CISSPの支援を求めて、効果的な情報セキュリティプログラムの設定をガイドすることをお勧めします。
成功したプログラムを立ち上げるには多くの側面があり、少なくともあなたはそれらすべてを知っているわけではないことをすでに知っています。だからこそ、完全なセキュリティポリシーを確立することの重要性を理解し、それを使用して組織全体の標準を推進する方法を理解している人が必要だと思います。
内部的には、それを実行するために、努力を組織化する責任者と、開発者が実際にポリシーに従っていることを保証する十分な権限を持つ誰かが必要になります。他の契約上の要件(PCI DSSなど)によっては、ソフトウェア開発プロセスの監査の実行、最新のセキュリティデバイスの証拠、ネットワークとファイアウォールのマップの提供、安全な暗号化キー管理の実施、等.
専門家は、少なくともこれらの複雑な海域を航行するのを助け、おそらく、求めている契約の条件に少なくとも準拠している状態に到達するために会社に実際にかかるコストをより正確に見積もることができます。
私はかつて私たちの会社(1-10人の従業員)のためにISO 27001を実行する可能性についての見積もりを出すように命じられました。他の証明書についてはわからないが、私はそれらがそれほど違わないと思います。
小さめの会社でさえ、たくさんの仕事です。実際、それはあなたが大きくなるほど(そしてあなたのITがより均質になるほど)良くなります。一般的なプロセスを要約しましょう。
まず、必要なことは、完全な在庫、従業員、プロセスなどのリストをまとめることです。
ここで役立つ無料/商用ツールは数多くあります。典型的なツールの1つは Verinice ですが、ドイツのBSIによってGSTOOLと呼ばれるものが存在していましたが、現在は廃止されていますが、利用可能な代替のニースリストがここにあります https://www.bsi。 bund.de/DE/Themen/ITGrundschutz/GSTOOL/AndereTools/anderetools_node.html 。
このリスト(実際にはグラフのようなもの)が完成したら、項目のリストを確認する必要があります。その項目が何であるかに応じて、標準は問題のチェックリストを提供します。繰り返しますが、これらのチェックポイントのそれぞれについて作業し、見積もりを行う必要があります。
- 保護手段は整っていますか?
- 何らかの理由でこれを無視できますか?
- 被害の範囲はどのくらいでしょうか?
- ...
最後に、これはおそらく無視できないほど多くの重大な弱点を残します。その後、修正を開始できます。完全な認定を取得していなくても、プロセス全体は間違いなく目を見張るものです。最後に、認定を受けるために、外部監査人が見積もりを確認し、それらが有効であることを確認します。
以前は無料だったVeriniceは、ダウンロードして試してみるだけで、実際にどのように「機能」するかを非常によく理解できます。この答えに当てはまる可能性があるものよりもはるかに多くのものがあります。