web-dev-qa-db-ja.com

これらのセキュリティポリシーの目的は何ですか?

私はIBMの研究所で働いていますが、理解できないセキュリティポリシーがいくつかあります。なぜ私たちがそれらを行うのかと尋ねると、上司は単にそれがポリシーであることを述べ、質問への回答を避けます。

  1. 空の引き出しをロックしておく必要があります
  2. 仕事を辞めるときは、書き込み可能なメディアをロックする必要があります
  3. メモをロッ​​クしてホワイトボードを消去する必要があります。私はこれを取得しません。なぜなら、日中の誰かが同じように簡単に通り過ぎて、彼らがすべきでないものを見ることができるからです。
  4. 会議でメモを取る場合、ノートブックは黒く、ハードカバーが必要です。
  5. 健康情報は極秘です。たとえば、上司が病気の場合でも、上司はETAを返せず、「回復しているのか」と答えることもできません。

必ずしも同意しない場合でも、何らかの理由で本当に気分が良くなります。可能な説明はありがたいです。

corporate-policyconfidentialityhealthcareclean-desk
36
hushhush

これについての私の考えは次のとおりです。

  1. 誰かが何かを隠してしまう可能性があります-たとえば、悪意のあるコンテンツを含むフラッシュドライブ-をロック解除された引き出しに入れます。従業員はそのフラッシュドライブを見つけて自分のコンピューターに接続すると、コンピューターが危険にさらされる危険性があります。また、ロックされた引き出しのロックを変更するよりも、ロックされていない引き出しのロックを変更する方が簡単です。悪意のある個人は、ロックを変更することにより、将来自分自身が引き出しにアクセスしやすくなる可能性があります。

  2. メディアが空の場合、誰かが悪意のあるコンテンツをそのメディアに置く可能性があります。メディアのファイルシステムが「空」であるが、メディアが過去に使用された場合、誰かが古いデータのフラグメントをそこから回復できる可能性があります。

  3. 夜勤の管理人(または管理人を装った人)がホワイトボードの写真を撮って、秘密を盗むことは難しくありません。日中、ホワイトボードは信頼できる個人に囲まれる可能性が高く、ひそかにそれを写真に撮ったり、それをきちんと見ることさえ難しくなります。

  4. 黒のノートブックは、白のノートブックよりも目立ちません。ハードカバーのノートブックは、ソフトカバーのノートブックよりもカバーを失う可能性が低くなります。カバーはノートブックのセキュリティにとって重要です。ノートブックから情報をすばやく密かに入手するのが少し難しくなります。また、ノートブックを落としたときにノートブックがはじけるのを防ぎます。ハードカバーは、ソフトカバーよりもはがれを防ぐ効果があります。また、ソフトカバー付きのノートブックは、ハードカバー付きのノートブックよりも置き違えられる可能性が高くなります。

  5. ある種の健康情報はソーシャルエンジニアにとって非常に貴重です。悪意のあるソーシャルエンジニアが休暇中の従業員の攻撃ベクトルを計画することは一般的です。たとえば、特定の従業員が病気休暇を取っている場合、ソーシャルエンジニアはその従業員の友人を装って、誰かにオフィスからアイテムを持ってくる必要があることを伝えることで、従業員のオフィスにアクセスできます。

41
user22208

これは完全にフェッチされていますが、明らかではない情報漏洩です:

1.空の引き出しをロックしておく必要があります

毎週火曜日と金曜日に秘密のプロジェクトXについて話し合う定例会議があることを誰かが知っているなら、引き出しは常に空で、火曜日と金曜日はロックが解除されていますが、それ以外の場合はロックされています。その引き出しの内容がプロジェクトXに関連する秘密であることは明らかです。

2.仕事を辞めるときは、書き込み可能なメディアをロックする必要があります

誰かが悪意のあるデータをメディアに入れ替えたり入れたりすることに関する懸念以外に、すべての書き込み可能なメディアをロックすると、秘密を含む書き込み可能なメディアと通常のデータを含むメディアを区別できなくなります。

4.会議でメモを取る場合、ノートブックは黒く、ハードカバーが必要です。

また、書き込み可能なメディアの場合と同じ理由で、Hello Kittyノートブックを使用して、秘密のプロジェクトXの会議でノートを取り、他のプロジェクトではSupermanノートブックを使用していることに気付いた場合。ハローキティのノートを忘れて、横に置いておくと、人々はすぐに気づくでしょう。また、場所に行くときにハローキティのノートブックを携帯しているかどうかによって、プロジェクトXの内容がわかります。均一なノートは目立ちません。

また、セキュリティポリシーに無意味なルールがたくさんある場合、それらは真に奇妙な「 「球状のオブジェクト」を机の上に残さない 」ポリシーをカバーするのに役立ちます。チームリードがオフィスを担っているのを見るマッサージボールは、実際には原子炉の中核でした。

5匹のサル、はしご、バナナ、水しぶき の状況である可能性もあります。

12
Lie Ryan

質問の項目1〜4は、一般に「クリーンデスクポリシー」と呼ばれるものの一部です。そこで、クリーンデスクポリシーが一般的に使用される理由を説明します。実際には多くの理由があります:

  • クライアントがワークスペースにアクセスする場合(私がIBMで発生していることがわかっています)、ポジティブなイメージを作成する必要があります。クライアントは、特定のニーズの詳細や、誰かがつかむために横になっている解決策の詳細を知りたくありません。
  • 機密文書が盗まれるセキュリティインシデントのリスクが大幅に減少します。文書を公開したままにしておくと、掃除婦や悪意のある人から文書が消えることがあります。さて、あなたがクライアントに<シークレットプロジェクトを挿入>に何が起こったかを説明する人になりたくないと信じてください。
  • きちんと整理整頓することを強制します。これは、より整理されていることを意味し、整理されていることは、より効率的に作業できることを意味します
  • また、社内で使用する紙の量を減らすこともできます。これにより、ドキュメントが存在しないという理由だけで、ドキュメントが詐欺されるリスクが軽減されます。
  • フレックスデスクは未来です。私があなたのオフィスに来て、書類が散らばっているデスクが必要な場合、そこで働くことはできません。したがって、クリーンデスクポリシーでは、すべての持ち物をデスクから持ち去って、従業員がそこに座れるようにします。

健康情報の開示(例:病気休暇の理由または期間):特定の国の特定のプライバシー法を遵守する必要があります。個人情報は、特にその情報がヘルスケアに関するものである場合、機密性が高いと見なされます。この国で設定された規則を遵守せず、データを誤って処理した場合、法的責任を問われる可能性があります。

あなたの場合、私はあなたに次の理由を与えることができます:

  1. ロックされている引き出しは、権限のない担当者がアクセスすることはできません。つまり、機密文書は物理的に安全です。それがあなたの引き出しの場合は、それをロックする必要があります。誰かがあなたのロッカーを取るかもしれませんOR誰かが結論するかもしれません。
  2. 同じことが書き込み可能/読み取り可能なメディアにも当てはまります。ドキュメントが変更されたり、感染したり、漏洩したりすることは望ましくありません。
  3. ホワイトボードは見えますが、誰かに気づかれずに簡単に写真を撮ることはできません。また、セキュリティと使いやすさの間には常にトレードオフがあることに注意してください。
  4. 簡単に識別でき、しかもそれを押し通すことはできません。あなたはあなたのテキストを書き始めたくありません、それからそれがすでにテーブルの上に横たわっていたテーブルや紙の上に押し込まれたことに注意してください。
  5. これは一部の国では非常にプライベートと見なされているため、そのように扱う必要があります。上司が戻ってきたときに共有したい場合は、必要に応じてこれを伝えることができます。やりたくない場合は、それも問題ではありません。

もう1つの問題は、IBMがグローバル企業であることです。つまり、多くの国では異なる規制があります。世界中で管理可能なコンプライアンスポリシーを実現するために、おそらく「1つのサイズですべてに適合する」と決定しました。つまり、世界中の最も厳しい規則に準拠し、世界中のすべてのオフィスが従う必要のあるポリシーが1つあることになります。

3
Lucas Kauffman

ロックされていないドロワーは完全に取り外すことができ、ロックされているドロワーの下(およびおそらく上)にアクセスできます。もちろん、デスクロックは完全に名目上はありますが、少なくともロックされた引き出しは「不正開封防止」です。

3
ddyer

これらを暗号化のアイデアに関連付ける:

  1. 機密情報のみを暗号化すると、通常、攻撃者は攻撃に集中しやすくなります。すべてを暗号化することは、より多くの復号化作業を意味し、悪用可能な情報を特定するのがさらに困難になる可能性があります。
  2. 暗号文を取得することは、データを取得するための優れた最初のステップであり、通常、単純な読み取りを後で検出することはできません。
  3. 所有者がストレージを使用しているときにプレーンテキストを読み取る攻撃者が発見される可能性が高くなります。また、平文は、絶対に必要な場合にのみ存在し、攻撃面(空間と時間の両方)を最小限に抑える必要があります。
  4. すべてのプレーンテキストの「コンテナ」を識別可能にすると、それらがセキュリティ上重要であると識別され、そのように扱われることを確実にするのが容易になります。
  5. 異常な状況やコーナーケースは、それらを処理するためのプロトコルが十分に定義されていないか、あまり知られていない/記憶されていない可能性があるため、攻撃しやすいことがよくあります。
1
l0b0

#1に関しては、ルールを次のように考えてください。

  • 引き出しがいっぱいか空かに関係なく、すべての引き出しをロックしたままにします。

そうすれば、人々は「この引き出しをロックするべきかどうか」を常に考える必要はありません。また、新しく空になったドロワーを誤ってロックしないという間違いもありません。

また、セキュリティルールを適用するのが簡単になります。引き出しがロックされていない場合、違反があり、そこに物があるかどうかを調べる必要はありません。

#2-#4についても同じロジックを適用できます。いくつかの冗長な作業を行うことで、特定のケースでルールが適用されるかどうかを継続的に判断/覚える必要がなくなります。

#5の場合、それは人事の問題です。会社は従業員の健康状態情報を提供することを許可されていません。

1
Mark Harrison