Un partenaire veut une copie de notre politique de sécurité informatique écrite et je ne sais pas quoi faire [fermé]

23

Mon entreprise travaille avec une autre entreprise et, dans le cadre du contrat, elle demande une copie de la politique de sécurité informatique écrite de mon entreprise. Je n'ai pas de politique de sécurité informatique écrite et je ne sais pas exactement ce que je veux leur donner. Nous sommes une boutique Microsoft. Nous avons des calendriers de mise à jour, des comptes à accès limité pour gérer les serveurs, les pare-feu, les certificats SSL et nous exécutons de temps en temps Microsoft Baseline Security Analyzer.

Nous configurons les services et les comptes d'utilisateurs car nous pensons qu'ils sont généralement sûrs et sécurisés (c'est difficile lorsque vous n'avez pas le contrôle total sur les logiciels que vous exécutez), mais je ne peux pas entrer dans tous les détails, chaque service et serveur est différent. J'obtiens plus d'informations sur ce qu'ils veulent mais je me sens comme s'ils sont sur une expédition de pêche.

Mes questions sont les suivantes: est-ce une pratique standard de demander ces informations? (Je ne suis pas contre, honnêtement, mais cela ne s'est jamais produit auparavant.) Et si c'est standard, existe-t-il un format standard et un niveau de détail attendu que je devrais présenter?

best-practices reconbot
la source
1
Il s'avère que nous demandons la certification c-tpat. Nous ne devons respecter que deux choses. 1) Protection par mot de passe 2) Responsabilité ( cbp.gov/xp/cgov/trade/cargo_security/ctpat/security_guideline/… ) La quantité incroyable de bonnes réponses ici m'a fait réfléchir cependant, j'ai commencé un projet pour avoir un plan formel en utilisant beaucoup de vos conseils, pas pour la certification mais pour nous-mêmes.
reconbot
Cette question est hors sujet selon les règles d'actualité actuelles.
HopelessN00b

Réponses:

44

Ils n'ont pas besoin d'une copie de l'intégralité de votre politique informatique interne, mais je pense qu'ils peuvent vouloir quelque chose de similaire à cela - quelqu'un a certainement besoin de vous obtenir suffisamment d'informations sur le contrat pour déterminer la quantité de détails que vous devez fournir et sur quoi. Je suis d'accord avec Joseph - s'ils ont besoin d'informations pour des raisons juridiques / de conformité, il doit y avoir une contribution juridique.

Informations d'arrière-plan

1) Certains de vos employés sont-ils situés en dehors des États-Unis?

2) Votre entreprise a-t-elle mis en place des politiques de sécurité des informations formalisées et documentées?

3) Le traitement et la classification des informations et des données sont-ils couverts par vos politiques de sécurité des informations?

4) Y a-t-il des problèmes réglementaires en suspens que vous traitez actuellement dans le ou les États dans lesquels vous opérez? Si oui, explique pourquoi.

Sécurité générale

1) Avez-vous un programme de formation de sensibilisation à la sécurité de l'information pour les employés et les sous-traitants?

2) Parmi les méthodes suivantes d'authentification et d'autorisation d'accès à vos systèmes et applications, lesquelles utilisez-vous actuellement:

  • Réalisé par le système d'exploitation
  • Réalisé par un produit commercial
  • Authentification unique
  • Certificats numériques côté client
  • Autre authentification à deux facteurs
  • Maison
  • Aucun mécanisme d'authentification en place

3) Qui autorise l'accès pour les employés, les entrepreneurs, les intérimaires, les fournisseurs et les partenaires commerciaux?

4) Autorisez-vous vos employés (y compris les sous-traitants, les intérimaires, les vendeurs, etc.) à accéder à distance à vos réseaux?

5) Avez-vous un plan de réponse aux incidents de sécurité des informations? Si non, comment les incidents de sécurité des informations sont-ils traités?

6) Avez-vous une politique qui traite du traitement des informations internes ou confidentielles dans les messages électroniques à l'extérieur de votre entreprise?

7) Examinez-vous vos politiques et normes de sécurité des informations au moins une fois par an?

8) Quelles méthodes et contrôles physiques sont en place pour empêcher tout accès non autorisé aux zones sécurisées de votre entreprise?

  • Serveurs réseau dans des pièces fermées
  • Accès physique aux serveurs limité par l'identification de sécurité (cartes d'accès, biométrie, etc.)
  • Surveillance vidéo
  • Journaux et procédures de connexion
  • Badges de sécurité ou cartes d'identité visibles à tout moment dans des zones sécurisées
  • Gardes de sécurité
  • Aucun
  • Autre, veuillez fournir des détails supplémentaires

9) Veuillez décrire votre politique de mot de passe pour tous les environnements? C'est à dire. Longueur, résistance et vieillissement

10) Avez-vous un plan de reprise après sinistre (DR)? Si oui, à quelle fréquence le testez-vous?

11) Avez-vous un plan de continuité des opérations (BC)? Si oui, à quelle fréquence le testez-vous?

12) Pouvez-vous nous fournir une copie des résultats de vos tests (BC et DR) si demandé?

Revue d'architecture et de système

1) Les données et / ou les applications de [la société] seront-elles stockées et / ou traitées sur un serveur dédié ou partagé?

2) Si sur un serveur partagé, comment les données de [La Société] seront-elles segmentées à partir des données d'autres sociétés?

3) Quel (s) type (s) de connectivité d'entreprise à entreprise sera fourni?

  • l'Internet
  • Ligne privée / louée (par exemple, T1)
  • Dial-up
  • VPN (réseau privé virtuel)
  • Service Terminal
  • Aucun
  • Autre, veuillez fournir des détails supplémentaires

4) Cette connectivité réseau sera-t-elle cryptée? Si oui, quelle (s) méthode (s) de chiffrement sera utilisée?

5) Existe-t-il un code côté client (y compris ActiveX ou Java) requis pour utiliser la solution? Si oui, veuillez décrire.

6) Avez-vous un ou des pare-feu pour contrôler l'accès réseau externe à vos serveurs Web. Si non, où se trouvent ces serveurs?

7) Votre réseau comprend-il une DMZ pour l'accès Internet aux applications? Si non, où sont situées ces applications?

8) Votre organisation prend-elle des mesures pour se prémunir contre les pannes par refus de service? Veuillez décrire ces étapes

9) Effectuez-vous l'un des examens / tests de sécurité de l'information suivants

  • Analyses internes du système / réseau
  • Auto-évaluations et / ou revues de due diligence gérées en interne
  • Examens du code interne / examens par les pairs
  • Tests / études de pénétration externes de tiers
  • Autre, veuillez fournir des détails À quelle fréquence ces tests sont-ils effectués?

10) Lesquelles des pratiques de sécurité de l'information suivantes sont activement utilisées dans votre organisation

  • Listes de contrôle d'accès
  • Certificats numériques - Côté serveur
  • Certificats numériques - Côté client
  • Signatures numériques
  • Détection / prévention d'intrusion basée sur le réseau
  • Détection / prévention des intrusions basée sur l'hôte
  • Mises à jour planifiées des fichiers de signature de détection / prévention des intrusions
  • Surveillance d'intrusion 24x7
  • Analyse antivirus continue
  • Mises à jour planifiées des fichiers de signatures de virus
  • Études et / ou tests de pénétration
  • Aucun

11) Avez-vous des normes pour durcir ou sécuriser vos systèmes d'exploitation?

12) Avez-vous un calendrier pour appliquer des mises à jour et des correctifs à vos systèmes d'exploitation? Si non, dites-nous comment vous déterminez quoi et quand appliquer les correctifs et les mises à jour critiques

13) Pour assurer une protection contre une panne de courant ou de réseau, maintenez-vous des systèmes entièrement redondants pour vos principaux systèmes transactionnels?

Serveur Web (le cas échéant)

1) Quelle est l'URL qui sera utilisée pour accéder à l'application / aux données?

2) Quel (s) système (s) d'exploitation sont les serveurs Web? (Veuillez fournir le nom du système d'exploitation, la version et le niveau de service pack ou de correctif.)

3) Qu'est-ce que le logiciel du serveur Web?

Serveur d'applications (le cas échéant)

1) Quel (s) système (s) d'exploitation sont les serveurs d'applications? (Veuillez fournir le nom du système d'exploitation, la version et le niveau de service pack ou de correctif.)

2) Qu'est-ce que le logiciel du serveur d'applications?

3) Utilisez-vous le contrôle d'accès basé sur les rôles? Si oui, comment les niveaux d'accès sont-ils attribués aux rôles?

4) Comment vous assurez-vous que l'autorisation appropriée et la séparation des tâches sont en place?

5) Votre application utilise-t-elle un accès / sécurité utilisateur à plusieurs niveaux? Si oui, fournissez des détails.

6) Les activités de votre application sont-elles surveillées par un système ou service tiers? Si oui, veuillez nous fournir le nom de l'entreprise et du service et les informations surveillées

Serveur de base de données (le cas échéant)

1) Quel (s) système (s) d'exploitation sont les serveurs de base de données? (Veuillez fournir le nom du système d'exploitation, la version et le niveau de service pack ou de correctif.)

2) Quel logiciel de serveur de bases de données est utilisé?

3) La base de données est-elle répliquée?

4) Le serveur DB fait-il partie d'un cluster?

5) Que fait-on (le cas échéant) pour isoler les données de [La Société] des autres sociétés?

6) Les données de [la société], une fois stockées sur disque, seront-elles cryptées? Si oui, veuillez décrire la méthode de cryptage

7) Comment les données sources sont-elles capturées?

8) Comment sont traitées les erreurs d'intégrité des données?

Audit et journalisation

1) Connectez-vous l'accès client sur:

  • Le serveur web?
  • Le serveur d'applications?
  • Le serveur de base de données?

2) Les journaux sont-ils examinés? Si oui, veuillez expliquer le processus et à quelle fréquence sont-ils examinés?

3) Fournissez-vous des systèmes et des ressources pour maintenir et surveiller les journaux d'audit et les journaux de transactions? Si oui, quels journaux conservez-vous et combien de temps les conservez-vous?

4) Autoriserez-vous [la société] à consulter les journaux de votre système en ce qui concerne notre société?

Intimité

1) Quels sont les processus et procédures utilisés pour déclassifier / supprimer / supprimer les données de [la société] lorsqu'elles ne sont plus nécessaires?

2) Avez-vous à tout moment divulgué par erreur ou accidentellement des informations client?
Si oui, quelles mesures correctives avez-vous mises en œuvre depuis?

3) Les entrepreneurs (non-employés) ont-ils accès à des informations sensibles ou confidentielles? Si oui, ont-ils signé un accord de confidentialité?

4) Avez-vous des fournisseurs autorisés à accéder à vos réseaux, systèmes ou applications et à en assurer la maintenance? Si oui, ces fournisseurs sont-ils sous contrat écrit prévoyant la confidentialité, la vérification des antécédents et une assurance / indemnisation contre la perte?

5) Comment vos données sont-elles classées et sécurisées?

Les opérations

1) Quelle est la fréquence et le niveau de vos sauvegardes?

2) Quelle est la période de conservation sur site des sauvegardes?

3) Dans quel format vos sauvegardes sont-elles stockées?

4) Stockez-vous des sauvegardes hors site? Si oui, quelle est la durée de conservation?

5) Chiffrez-vous vos sauvegardes de données?

6) Comment vous assurez-vous que seuls des programmes de production valides sont exécutés?

Kara Marfia
la source
Kara, c'est l'une des réponses les plus réfléchies et les plus détaillées que j'aie jamais reçues. Je suppose que vous l'avez fait plusieurs fois.
reconbot
1
J'ai l'habitude de les remplir, oui. ;) Je soupçonne qu'ils sont rassemblés par de vastes comités dans des pièces sombres et enfumées ... Je suis content que ça aide, tho. Le dilemme qui vous a été donné est une énorme raison pour que SF existe.
Kara Marfia
1
"Certains de vos employés sont-ils situés en dehors des États-Unis?" -- marrant. De mon point de vue, c'est plus un risque d'avoir un employé aux États-Unis . Le fait étant que nous sommes tenus par la loi de ne permettre à personne d'accéder aux données ou aux serveurs (sans l'approbation d'un juge) et nos avocats ont déclaré que cette exigence ne peut être satisfaite si un employé américain a accès à ces données: )
serverhorror
4

On ne m'a jamais demandé ces informations que lorsque je travaille avec des industries réglementées (bancaires) ou gouvernementales.

Je ne connais pas de "format standard" en soi, mais ensuite, j'ai toujours reçu un modèle que mon client avait donné par un auditeur comme "point de départ" lorsque je devais le faire.

Je commencerais probablement par quelques recherches Google et verrais ce que je pourrais trouver dans la manière d'exemples de documents de politique. SANS ( http://www.sans.org ) est également un autre bon endroit pour commencer à chercher.

En ce qui concerne le niveau de détail, je dirais qu'il doit probablement être adapté au public et à l'objectif. Je garderais les détails de haut niveau à moins qu'on ne me demande spécifiquement de fournir des détails de bas niveau.

Evan Anderson
la source
J'utilisais toujours un modèle NIST pour créer rapidement une politique de sécurité, mais je n'en ai plus de copie et un google rapide ne peut plus trouver les originaux (je pense que le NIST facture maintenant). Le gouvernement de la Californie dispose de bonnes ressources, y compris des modèles, à oispp.ca.gov/government/Library/samples.asp. La suggestion ci-dessus du SANS Institute est également une excellente ressource.
hromanko
4

Il existe plusieurs raisons pour lesquelles une entreprise souhaite voir votre politique de sécurité. Un exemple est que l'industrie des cartes de paiement (Visa, MasterCard, AmEx, etc ...) exige que les entreprises qui traitent les cartes de crédit doivent adhérer à l'industrie des cartes de paiement - Norme de sécurité des données (PCI-DSS). Une section du PCI-DSS exige que les partenaires de l'entreprise adhèrent également au PCI-DSS (ce qui nécessite bien sûr des politiques écrites).

Franchement, si je vous accorde l'accès à votre réseau via un VPN ou une connexion directe, alors je veux savoir que vous avez un certain niveau de sécurité, sinon je m'ouvre à toutes sortes de problèmes potentiels.

C'est pourquoi être certifié PCI ou ISO 27001 peut être une aubaine à cet égard, car vous pouvez faire savoir à l'organisation externe que vous faites gérer les choses jusqu'à un certain niveau. Si vos politiques sont très générales, quelles politiques devraient être, alors il pourrait ne pas être difficile d'en fournir une copie à votre partenaire. Cependant, s'ils veulent voir des procédures spécifiques ou des informations de sécurité, je ne laisserais pas cela quitter mon site.

Kara a d'excellents conseils sur ce que vous voulez couvrir dans vos polices. Voici un exemple de politique.

IT-001 Politique de sauvegarde / restauration du système

I. Introduction Cette section explique à quel point les sauvegardes sont importantes, comment vous prévoyez de tester et de conserver les copies hors site.

II. Objectif A. Cette politique couvrira la fréquence, le stockage et la récupération B. Cette politique couvre les données, les systèmes d'exploitation et les logiciels d'application C. Toutes les procédures de sauvegarde / récupération doivent être documentées et conservées en lieu sûr

III. Portée Cette section indique que la politique couvre tous les serveurs et actifs de données de votre entreprise (et tout autre domaine spécifique comme les bureaux satellites).

IV. Rôles et responsabilités A. Gestionnaire - décide de ce qui est sauvegardé, détermine la fréquence, le support et les procédures, vérifie également que les sauvegardes ont lieu B. Administrateur système - Exécute les sauvegardes, vérifie les sauvegardes, teste les sauvegardes, transporte les sauvegardes, teste la restauration, maintient le grand-père / père / fils de rotation de sauvegarde C. Utilisateurs - A une entrée sur ce qui est sauvegardé, doit placer les données à l'emplacement désigné pour être sauvegardé

V. Description de la politique Sauvegarde - tout ce que vous voulez dire sur les sauvegardes dans un sens général Récupération - tout ce que vous voulez dire sur la récupération dans un sens général

Les instructions spécifiques étape par étape doivent figurer dans un document séparé sur les procédures / instructions de travail. Cependant, si vous avez une très petite organisation, vous ne pouvez pas séparer les stratégies des procédures.

J'espère que cela vous aide et vous donne des informations utiles.

David Yu
la source
+1 parce que je serais prêt à parier sur le fait que c'est un contrat auquel PCI pourrait être impliqué. (la carte de crédit PCI, pas l'ancien connecteur de bus). si tel est le cas, ils ne veulent pas de spécifications complètes, juste les éléments qui affectent leur conformité PCI.
Matt
1

J'ai dû en écrire un récemment et ça n'a pas été trop difficile. Certes, le point d'Even sur la couture est important, car certains détails nécessiteront plus de travail à décrire que d'autres. Le NIST possède également une grande bibliothèque de publications en ligne gratuites décrivant les mesures de sécurité à diverses fins, vous pouvez les utiliser pour des idées où vous n'êtes pas sûr du type / de l'étendue de la sécurité requise.

Voici quelques catégories générales à couvrir en termes de haut niveau:

  • Politique de conservation des données
  • Procédures de sauvegarde / accès aux sauvegardes
  • Restrictions d'accès internes (physiques et virtuelles)
    • Réseau (sans fil, filaire)
    • Matériel (serveurs, postes de travail, locaux à bureaux, hors site / télétravail)
    • Hébergement / Data Center (important si vous stockez les données des partenaires)
    • Système opérateur
  • Contrôle du personnel

Cette liste peut être étendue ou réduite en fonction de la quantité d'informations nécessaires. De plus, pas besoin de s'inquiéter si vous n'avez pas encore tout cela en place. Mon conseil est de vous en tenir à la description de vos politiques «prévues», mais soyez prêt à les étendre immédiatement pour tout ce qui manque. Soyez également prêt à être appelé sur ce que vous réclamez, peu importe la probabilité (les avocats ne s'en soucieront pas plus tard).

Dana la saine
la source
1

Je demanderais au conseiller juridique de votre entreprise de commencer, d'autant plus que cela fait partie d'un contrat.

Joseph
la source
1

Pour répondre au besoin, vous devez envoyer une copie de votre document de politique de sécurité serait un peu contre la sécurité. J'ai rédigé notre politique de sécurité et retiré la majorité des documents des modèles du SAN. Les autres que vous pouvez remplir avec des recherches de politique spécifiques sur Google. La façon dont nous traitons une partie extérieure qui souhaite voir la politique consiste à la laisser s'asseoir dans le bureau de notre directeur des opérations et à lui permettre de la lire. Notre politique est que la politique ne quitte jamais le bâtiment et plus précisément notre vue. Nous avons des accords que toute tierce partie doit accepter lorsqu'elle travaille dans des capacités spécifiques qui nécessiteraient l'accès à nos informations. Et ils le sont au cas par cas. Cette politique peut ne pas convenir à votre environnement et toutes les politiques qui se trouvent sur le SAN ne le seront pas.

TechGuyTJ
la source
Heureux que je ne sois pas le seul à vivre cette expérience.
MathewC
Cela a été intéressant, mais une grande expérience. Mes utilisateurs pourraient ne plus m'apprécier beaucoup, mais si vous le regardez d'un point de vue statistique. J'ai lu dans eweek ou informationweek que quelque part dans le voisinage de 70% de toutes les entreprises qui subissent une faille de sécurité ne parviennent pas à se rétablir et dans les 2 ans suivant la découverte de la faille fermer leurs portes.
TechGuyTJ
1

Est-ce une pratique courante: mon expérience est oui pour certaines industries réglementées, comme la banque, l'alimentation, l'énergie, etc.

Existe-t-il un format standard: il existe un certain nombre de normes, mais si votre contrat ne spécifie pas de norme (ISO, par exemple), vous devez alors convenir contractuellement de fournir le format que vous choisissez.

Ça ne devrait pas être difficile. Vous avez déjà une norme de correction et de mot de passe, donc le document doit spécifier quelle est cette norme et comment vous assurer qu'elle est respectée. Ne tombez pas dans le piège de passer trop de temps à la rendre jolie. Un simple document suffira.

Si votre contrat spécifie l'utilisation d'une norme spécifique, vous devriez demander l'aide d'un professionnel pour vous assurer que vous êtes contractuellement conforme.

Shawn Anderson
la source
1

Nous recevons beaucoup cette question parce que nous sommes un établissement d'hébergement. L'essentiel est que nous ne le distribuons pas à moins de savoir exactement ce qu'ils recherchent à l'avance. S'ils recherchent quelque chose dans notre politique de sécurité que nous n'avons pas, c'est généralement parce que la nature de notre entreprise ne l'exige pas, et nous le leur disons. Cela peut être subjectif, mais cela n'a pas d'importance - nous n'avons encore rien perdu à cause de cela. Plus souvent qu'autrement, ils demandent parce qu'ils doivent dire à quelqu'un d'autre qu'ils l'ont fait. Une réponse «NON» n'est pas nécessairement une mauvaise chose ou une rupture de contrat.

Nous venons de passer par la certification SAS70 II, alors maintenant nous donnons simplement la lettre d'opinion de l'auditeur et laissons cela parler pour nos politiques écrites.

Scott Kantner
la source
0

Vous aurez besoin d'un NDA avant de leur montrer quoi que ce soit. Ensuite, je les laisserais venir examiner la politique de sécurité, mais je n'en aurais jamais de copie.

MathewC
la source
Je ne vous aurais pas rejeté, mais bien que je ne le publie pas, le partager avec des partenaires commerciaux n'est pas hors de question. Bien qu'il n'ait pas été le même dans toutes les entreprises dans lesquelles j'ai travaillé, mon service informatique existe pour les besoins de l'entreprise avant tout autre. J'imagine que partager notre plan de sécurité informatique s'apparente à partager un processus ou un plan d'affaires.
reconbot
Je suis passé par la conformité SAS70 et de nombreux "partenaires" n'autorisaient que les révisions. C'est une responsabilité d'avoir quelque chose sous forme imprimée qui dit que vous faites quelque chose, et ensuite vous ne le faites pas, ou vous avez fait quelque chose qui a causé un problème. Je suis désolé que vous ne soyez pas d'accord, mais je donnais mon avis par expérience. Je ne pense pas que cela mérite un downvote.
MathewC
Pour être clair, je ne vous ai pas rejeté. Ce n'était pas nécessaire. Votre expérience est exactement le genre de chose dont j'aimais entendre parler. Merci!
reconbot
Si j'avais le représentant, je voterais contre. Ils n'ont pas besoin de signer un NDA pour voir votre politique de sécurité informatique / politique InfoSec. (Il existe une distinction entre une politique et une norme / procédure) Il existe de nombreuses raisons valables pour avoir besoin de voir une politique InfoSec sur les organisations (conformité Sox, PCI DSS, etc.) La plupart des organisations la rendent entièrement publique: obfs.uillinois.edu /manual/central_p/sec19-5.html
Josh Brower
C'est une précaution. Si vous ne voulez pas le prendre pour vous protéger, alors c'est à vous. J'ai donné une raison valable pour laquelle vous ne devriez pas le faire. Et je suis désolé que vous n'ayez pas le représentant pour me rejeter. J'aime réserver mes votes négatifs pour des réponses mauvaises / dangereuses, pas une politique avec laquelle je ne suis pas d'accord.
MathewC