web-dev-qa-db-ja.com

階層型情報セキュリティポリシーアーキテクチャを使用することには、特定の理由または利点がありますか?

別の質問を考えていましたが、最初にこれを尋ねるべきだと思いました。

バックグラウンド:

私が過去に行ったことのある場所では、階層型ポリシーアーキテクチャを使用してきました。私が言いたいのは、InfoSecの該当する各トピックに関する会社の姿勢に関する一般的な声明を含む1つのグローバルな情報セキュリティポリシーがあるということです。 Subsection on Access Controls: Logical access controls must be instituted and enforced on

その下には、トピックに関するより具体的なステートメントを含む、多くのTier2トピック固有のポリシーがあります。 Statement in the Password Policy: Strong passwords must be used to secure all company IT systems.

最後に、Tier 2ポリシーの下には、特定の実装ガイダンスを備えた標準、プロセス、および手順がありました。 Statement in Password Standards document: Windows passwords must be at least 16 characters long.

この構造は私には理にかなっています。理解しやすく、保守しやすく、実施しやすいです。

私は最近、情報セキュリティエンジニアとして新しい会社に就職しました。私が入ったのは、繊細に言えば、この基準に達していないということです。私は、いわばピースを拾うという任務を負っており、間違った道をさらに進んでいくことから始めるための文書を与えられました。私は現在のポリシーを検討し、基本的に情報セキュリティポリシーを階層構造に再構築し、ISポリシーのドラフトと、いくつかの階層2ポリシーを例として書き直しました。ドラフトをレビューのために提出しましたが、私が受け取ったフィードバックは、1つの巨大なGeneral Controlsポリシーのパスを押し下げ、標準ステートメントとプロセスをポリシードキュメントに戻そうとしています。言うまでもなく、少しイライラしました。

質問

私の質問は階層型情報セキュリティポリシーアーキテクチャを使用することと、すべてを網羅するポリシーを使用することの長所と短所は何ですか?

私は両方の方法について意見を持っており、明らかに一方の方法を他方よりも好んでいます。しかし、自分の意見は過去の経験に基づいて形成されていることも理解しているので、逆の光を見ていません。

更新

私は、ポリシーをプロセス、標準、および手順から分割する必要がある理由にあまり焦点を当てていません。それは、私が理解し、明確に表現できるものです。私は、多くのコンパクトで焦点を絞ったポリシーと、1つの大きな、すべてを網羅するポリシーの長所と短所を探しています。それに応じて質問を更新しました。

2
Craine

基本的な考え方は、ポリシーはめったに変更されないため、ポリシーはプロシージャから分離されるということです。それらは会社の意図のハイレベルな見方です。手順は、その意図がどのように実行されるかです。これらの実装の詳細は部門ごとに異なり、時間の経過とともに変更される可能性があります。

ユーザーが1種類のパスワードの複雑さの要件を持つことができるが、管理者は別の要件を必要としていると想像してください。 1つのポリシーと2つの手順(ユーザーと管理者)を使用すると、このようなシナリオを簡単に作成し、追跡と実施をより簡単に行うことができ、長期にわたって維持することができます。

これらの2つの概念を分割することにより、会社のニーズと実装のニーズを同時に満たすことができます。

[〜#〜]編集[〜#〜]

明確にした後、それは保守性の問題であると言えます。オムニバスポリシーは、各利害関係者が一度に確認して承認する必要があり、変更はすべて同じプロセスを経る必要があります。分割することで、会社全体を巻き込むことなく、小さな変更でも必要な変更を加えることができます。

1
schroeder

多くは、組織(セキュリティ組織とも呼ばれます)のセキュリティを担当する人数によって異なります。また、組織の複雑さにも依存します。

ケース1 :-チームが非常に小さく、意思決定者が1人の場合、最終的に署名が必要な人がいるため、包括的なポリシードキュメントを1つ作成するのが理にかなっています。オフオンザポリシーは同じ人です。

一方、ビジネスユニットごとに複数の意思決定者がいる場合は、個々のポリシーを分離しておくのが理にかなっています。たとえば、ビジネスユニットが地理的に分散している企業を見たことがあります。そのため、ユニットごとに個別のCISOがあり、それらすべてを管理するグループCISOがあります。ポリシーの決定はBUレベルで行われますが、グループレベルの決定はグループCISOに送られます

ケース2 :-上記の例をとると、組織が地理的に分散していて、ビジネスの種類が異なる場合、情報セキュリティのニーズも異なります。たとえば、金融業界の情報セキュリティのニーズは、繊維業界のニーズとは異なります。そのような場合、業界固有の情報セキュリティのニーズ/制御に応じて、管理指令に対応するためにポリシーを異なるドキュメントに含める必要があります。

もちろん、保守性も要因ですが、あまり重視していません。最終的に、エンドユーザーの要件によって、ポリシーを1つのドキュメントにするか、複数のドキュメントに分割するかが決まります。

0
M S Sripati