web-dev-qa-db-ja.com

ISO27001およびLinux / Ubuntu

私の会社は ISO 27001 認証を取得しています。彼らは私にWindows 8 OSを搭載した新しいラップトップを提供してくれました。 Linux/Ubuntu OSをインストールできるかどうか尋ねたところ、 ISO 27001 標準のため、不可能であるとのことでした。

それは本当ですか、それとも会社の技術者はLinux/Ubuntuのインストール方法を知らないのですか?

18
Vivek Aditya

ISO 27001要件の1つは、会社のITリソースへのアクセス制御の管理です。

Ubuntuをラップトップにインストールするだけの場合、すべてのアクセス制御は、会社ではなく直接管理されます。したがって、たとえば、マネージャーがあなたを解雇したい場合、IT部門は都合の良いときにローカルラップトップアカウントをブロックすることができません。

もちろん、Linuxは中央認証システム(AD、IPA、CASなど)に接続できますが、最初にIT部門が必要な能力を構築する必要があります(すべてのISO規格には、繰り返し可能な反復が必要であるため、その方法を知っている1人の従業員では不十分です。および検証可能なプロセス)。

一方、WindowsをADに接続し、中央認証を展開する方法に関する知識は、多かれ少なかれITで一般的であるため、おそらく会社はすでにISOプロセスを持っています。したがって、Windowsのみを使用できます。

23
Tomasz Klim

ISO 27001は、何をするか、どのように行うか、および物事が本来あるべき姿であることを監査するために実施している管理を文書化することについて*です。つまり、典型的なラップトップのインストールは、既知のテンプレート(その方法)で非常に標準化されています。 PCは、監査目的でGPOが実施され、監視が実施されている(AV、ファイアウォールなど)でActive Directoryにインストールされる可能性があります。

上記のすべては、たとえ彼らがそれを行う方法を知っていても、あなたのラップトップにあなたのお気に入りのディストリビューションやソフトウェアさえもインストールしないことを意味します。

*これはソフトウェアのインストールに関連するものであり、ほんのわずかな言葉で、この主題に特化した本全体があります。

8
KidCartouche

これは、会社のポリシーと標準に完全に依存します。 ISO 27001はセキュリティを管理するためのシステムですが、ポリシーと標準が実際に言うことについては、いくつかの厳しい要件があります。

私は、技術スタッフが代替OSの自己インストールを行えるようにするISO 27001企業で働いています。特定の技術要件(会社のハードウェア、ディスクの暗号化など)がありますが、いったん満たされると、自己インストールは会社のインストールと同じように扱われます。この配置はかなりまれなケースだと思います。一部の企業では、BYOD(独自のデバイスの持ち込み)を許可していますが、通常、BYOデバイスはアクセスが制限されています。

3
paj28