セキュリティとユーザビリティはしばしば衝突します。一定の非アクティブの後、ワークステーションの画面をロックすることになると、これは間違いなく事実であり、エンドユーザーからの苦情が予想されます。
私の経験では、ワークステーションの画面を10〜15分後にロックすることをお勧めします。このようなポリシーを適用するには、同じことを示す確立されたセキュリティ標準を参照すると役立ちます。残念ながら、これまでのところ、画面ロックを必須とする標準を見つけただけですが、「ロック前の非アクティブ時間」に適切な値を提案していません。
参照できる確立された基準はありますか?社内でのワークステーション用と、外出先やホームオフィスで作業するラップトップユーザー用の2つの値がある場合は、特にすばらしいでしょう。
大規模な規格(ISO、NIST)はすべてが1つのサイズに収まる傾向にあり、本当の目的は、慎重な検討と、慎重で情報に基づいた意思決定を促進することです。これらのような特定の値は、適切なポリシー実装の特性であり、わずかに抽象的な標準は、たとえそれがあったとしても、最大値または最小値のみを推奨する傾向があります。
このような「コントロール」には通常、特定の標準によって永続的な一意の識別子が割り当てられます。ここで一般的なものはAC-11およびSC-1( NIST SP800-53 (PDF)から)およびFTA_SSL(ISO/IEC 15408から、別名情報技術セキュリティ評価の一般的な基準、「FTA」はアクセス制御のクラスです) SSL」はセッションロックを指します)。
おおざっぱなものからそれほど具体的でないものまで:
OMB M-06-16 (PDF)米国大統領メモ機密情報の保護
3.「タイムアウト」機能を使用して、リモートアクセスと、30分間操作がないとユーザーの再認証が必要なモバイルデバイスにアクセスします。そして
オーストラリア DSD情報セキュリティマニュアル2013コントロール セッションおよび画面ロック、コントロール0427
・次のいずれかをアクティブにするようにロックを構成します。
- 最大15分のシステムユーザーの非アクティブ後
- システムユーザーが手動でアクティブ化した場合
(「機密」レベルと「秘密」レベルの10分間を示すコントロール0428も参照してください)。 2014年版で変更なし。
米国CNSS CNSSI-1253National Security Systemsのセキュリティ分類と制御選択
コントロールAC-11 セッションロック
... 30分を超えない
NIST SP800-53連邦情報システムおよび組織に推奨されるセキュリティ管理策
NIST SP800-46エンタープライズテレワークおよびリモートアクセスセキュリティのガイド
コントロールAC-11 セッションロック:タイムアウトは「組織定義」です(カナダ ITSG-41 も参照)コントロールSC-10 ネットワーク切断
SP800-46は、リモートアクセスに適切な15分を提案します(4-3ページ)
8.5.15セッションが15分以上アイドル状態であった場合は、端末またはセッションを再度アクティブにするために、ユーザーに再認証を要求します。
(v3では、要件の番号が8.1.8に変更されましたが、それ以外は変更されていません)。
12.3.8特定の非アクティブ期間が経過した後のリモートアクセステクノロジーのセッションの自動切断
米国FBI/DoJ CJISD-ITS-DOC-08140-5.2刑事司法情報サービスのセキュリティポリシー
5.5.5セッションロック
情報システムは、最大30分の非アクティブの後にセッションロックを開始することにより、システムへのそれ以上のアクセスを防止し、セッションロックは[...]まで有効のままです。
ECMA ECMA-271 セキュリティ評価のための商用指向の拡張機能クラス
7.4.1.8セッションロックまたは終了TOEは、セッションロックをサポートするものとする。 TOEは、フロントエンドごとにアイドルプロセスモニターを提供します。このプロセスモニターは、ユーザー定義の時間後に、ユーザー認証を除くユーザーインタラクションを禁止します。
かなり古い(1999年12月) ISO/IEC 17799:2000 と同じタイムフレーム、残念ながらECMAによって更新されない。 [〜#〜] toe [〜#〜]は評価の対象であり、一部の Common Criteria 用語です。
ISO 27001:2005(E)/ ISO 27002:2005(E)(便利な概要については、 このドキュメントを参照 )コントロールA.11.3.3 デスクをクリアして画面をクリアポリシー§11.3.3.3
明確なデスクと明確な画面のポリシーでは、情報の分類(7.2を参照)、法的および契約上の要件(15.1を参照)、および組織の対応するリスクと文化的側面を考慮に入れる必要があります。
§11.5.5も参照セッションタイムアウト
サイバーセキュリティ評議会 重要なセキュリティ管理 v5.1
CSC 16-6システムの画面ロックを設定して、無人ワークステーションへのアクセスを制限します。
CERT 知識と情報管理(KIM)KIM:SG4.SP2 Control Access to Information Assets
[...]組織は、情報資産のさまざまな形式と、資産の特別な考慮事項に対処するための適切なコントロールの組み合わせを決定する必要があります。
独自の値を使用してもまったく問題はありませんリスクと要件を適切に定義し、決定を文書化したら。セッションロックの免除(航空管制の場合、または物理的セキュリティが強化された場所など)を決定したり、近接デバイスを義務付けたりすることもできます。
標準は、その性質上、それよりも一般化されている必要があるため、幅広い組織に役立ちます。自分の組織内でも、2つの賢明な価値があると疑っています。常にアクセス制御されたスペースにあるマシンは、パブリックスペースに無人のままになっているマシンよりもセキュリティが低下する可能性があります。
おそらく、これを行う必要があるのはユーザーの責任であることをユーザーに穏やかに思い出させるのに役立ちます。
「コンピューターを放置するときは、常にコンピューターをロックする必要があります。方法を説明。忘れた場合、ワークステーションはx分のアクティビティ後に自動的にロックされます。 "
Center for Internet Securityは、Windows 7ベンチマークで15分と述べています。 https://benchmarks.cisecurity.org/ モバイルユーザーとオフィスユーザーの違いについては触れられていません。