私は数年前から中小企業のシステム管理を担当しており、現在は新しいコラボレーターを引き継ぐようにトレーニングしています。これまでのところ、セキュリティポリシーはありませんが、次のように明記された優れたセキュリティポリシーは残しておきたいと思います。
私は開始方法に少し迷っていて、リストがwayが不完全であることを確信しているので、これを調査して開始する方法についていくつかのポインタをお願いしたいと思います。
ありがとうございました。
承知しました。これは、元々は@ jl01からの回答に対するあなたの応答へのコメントとして意図されていましたが、長すぎて、それ自体にメリットがあるはずです...
ポリシーを作成することには、ほぼ芸術があります。理想的には(一部の人々は私に同意しないと確信していますが)ポリシーはトピックに関する非常に一般的なステートメントになるでしょう。たとえば、「この会社はシステムパッチの現在のベストプラクティスで運用する」ほど複雑ではありません。考え方は、ポリシーが確立されるべきであり、(完全に行われた場合)変更する必要はないということです。さまざまなテクノロジー、攻撃ベクトル、規制などが変更されても更新する必要がないように、十分に一般化する必要があります。
ポリシーをビジネス/テクノロジーの個別の領域に分割することは非常に一般的です。これは、会社に合わせたカスタムポリシーを作成するのに役立ち、それらのポリシーを参照するときに明確に保つことができます。
それを考えるもう1つの方法は、ポリシーは、ビジネスの後ろの端をカバーする方法であるということです。これは可能な限りカバーするように作成されているため、問題が発生した場合でも、同じポリシーを使用しながら、個別の状況への対応を整えることができます。
これらのポリシーは、手順、ガイドライン、および規制を介して拡張されます(考えてみると、これはSANがそれを記述する方法にかなり近いはずです)。 SANは私が「手順」と呼ぶものを「標準」と呼んでいると思います。そのため、混乱を招きましたことをお詫び申し上げます。
手順は、ポリシーに従う実際の慣行です(私が見た多くのポリシーは、ポリシー自体内の該当する手順を参照しているようです)。
一方、ガイドラインはまさにそれであり、許容可能なプラクティスの提案です。これらは単なる提案にすぎませんが、軽視すべきではありません。監査が行われるとき、これらは監査人がラッチすることができる控えめな果物です。
手順とガイドラインは、変化するビジネス環境、環境問題、脅威などに合わせて更新する必要がある唯一のものです。
最初の一連のポリシーを設計したとき、これが情報セキュリティポリシーに関するクラスからのものであることを前提として、次のさまざまなポリシーを設定しました。
これは完全なリストではありませんが、発生する可能性のある故障のいくつかのアイデアを提供するはずです。ポリシーの分割方法は、その会社のニーズによって異なります。
最後に、しかし絶対に重要なことですが、各ポリシーは、何がどのように適用されるかについて疑いがないように作成する必要があります。これにより、各ポリシーとともに、そのポリシーに関する目的、範囲、施行、および定義を確立する必要があります。私はいつも「終了まで影響が及ぶ」というフレーズを入力するのは楽しいです。
私はそれを前にリストしませんでしたが、倫理方針はすべての方針セットに含まれるべきです。 ASP、またはそのためのサービスを使用している場合でも、彼らの倫理ポリシーを要求し、あなたが見るものに応じて、契約によって彼らがその仕事のためにあなたの会社の倫理ポリシーを遵守することを要求することは良い習慣です。
だから、私は主題に少し遠くまで潜ったかもしれません...しかし、それが役に立てば幸いです。
免責事項:私は、これがポリシーを構築する唯一の方法ではないことを知っています。私の経験から、ほとんどの企業には、長年にわたる規制の変更とコンプライアンスの問題にわたって大まかに構築された一連のポリシーがあります。
pS ASPはアプリケーションサービスプロバイダーです。上記の定義については言及していません。
私の提案は簡単に聞こえますが、それが現在あなたのネットワークで行われているほとんどの不正で検出されない活動の原因だと思います。ポリシーを実行するだけでなく、仕事をしてください!上位20の重要なコントロールの調査と実装 http://www.sans.org/critical-security-controls/ 。
ポリシーを作成する人はたくさんいます。これらのポリシーの実行、パスワード制御などの単純なこと、ネットワークネットワーク上のすべてのデバイスとソフトウェアを理解すること、システムのベースラインを確立することは十分ではありません。
SANSには、システム管理者向けハッカー検出クラスがあり、12時間のクラス時間で知っておく必要のあるすべての基本を教えてくれます。カリキュラムは、上位20の重要なコントロールに準拠しています。私がここで私の答えでこのコースを宣伝するためにもっと多くのことをするのは適切ではありませんが、もっと詳しく知りたい場合は、sweil @ sans.orgにメールを送ってください。
スコットウェイルSANS研究所
優れたサンプルポリシーについては、 http://www.sans.org/security-resources/policies/ をご覧ください。良い出発点になるはずです。
多くの組織のポリシーと標準を作成する際に追加しなければならない唯一の明確な違いは、通常は階層を期待することです。ポリシーは高レベルであり、特定のテクノロジーまたは製品を説明する標準があり、次に、標準に一致するサーバーの作成方法を詳細に説明するビルドまたは構成ドキュメントなどがあります。ポリシーはビジネスニーズをサポートし、それによって推進されるべきです。ビルドドキュメントは、ITがセキュリティへのフィードバックとセキュリティからの入力を使用して作成する必要があります。