セキュリティポリシーをどのように考案しますか?
私は最近、英国で最大30人で構成される小規模な新興企業のセキュリティポリシーをまとめることを任されています。今までのところ、具体的には具体的なことは何もありませんでしたが、金融および銀行サービス部門のクライアントを引き受けるため、これを変更する必要があります。
セキュリティの経験がほとんどない(私は毎日ソフトウェアエンジニアです)。そして、非常に厳しい締め切りに取り組んでいるので、このポリシーの草案作成を支援するために使用できる既成のテンプレート/ガイドがあることを願っています。さらに、強固なセキュリティポリシー、つまり金融サービス会社が満足する可能性のあるものには何が期待されますか?
エリックが彼の回答で述べたように、SANSサイトには セキュリティポリシーテンプレート のすばらしいセットがあります。英国政府省庁であるBERRも 優れた文書 を作成しました[PDF] これは、セキュリティポリシーを作成するための優れた構造的アドバイスを提供します。
次のアドバイスも提供できます。
ポリシーを作成するときに、従業員に意見を求めます。特定のルールによって妨げられる可能性のある作業領域を確認できますか?彼らはあなたが忘れていたものを考えることができますか?
保護しようとしているものを特定します。答えが「ネットワーク」の場合、十分に考えているわけではありません。どのassetsがあなたにとって重要ですか?ソースコードは明白なものですが、SSL証明書の秘密キー、設計ドキュメント、財務情報、注文書などはすべて、成功にとって重要です。
セキュリティポリシーは、使用ポリシーと組み合わせる必要があります。これを嫌う人もいますが、適切なコンテキストを取得することが重要です。セキュリティポリシーは基本的に、ユーザーが実行できることと実行できないこと、および実行すべきことと実行すべきでないことを要約したものです。使い方はこれの重要な拡張です。
セキュリティポリシーは、許可されていないもので、しばしば行き詰まっています。例外を含めることを忘れないでください。許容できると思うもののリスト(たとえば、「セミNSFW Webコミック/面白い猫の写真サイトの閲覧は、評判がよく信頼できないことを知っている限り、ランチタイムでも問題ありません。ドライブバイブラウザーエクスプロイトを実行します」)。
「理由内」句を代わりに使用できる場合は、完全なリストを考え出さないでください。これにより、ケースバイケースで物事を扱うことができます。従業員が適切なバランスを見つけ、責任を持つことを期待してください。
ポリシーが設定されている理由を説明するテキストのセクションを含めます。これらのセクションを別の方法でフォーマットします。背景に薄い陰影を付け、ドキュメントの冒頭で、これらのセクションはポリシーの拘束力のある部分とは見なされないことを説明します。
ポリシーは人間に関するものなので、人間が読めるようにします。すべての意図と目的のために、弁護士は人間ではありません。文書が単純で非公式な言語で書かれているからといって、法的に拘束力がない、または深刻ではないという意味ではありません。ブロックキャピタルに恐ろしいリーガルの巨大なブロックは絶対に必要ではありません。「セキュリティポリシーの違反は従業員が月曜日に大砲から発射され、一緒に暮らします WILLZYX AND TOM CRUISE = "。
おそらく最も重要なこととして、自分に同意したくないものは何も書かないでください。さらに、自分でセキュリティポリシーを守る。スタッフメンバーが、あなたが署名させたまさにセキュリティポリシーに違反しているのを見た場合、あなたの権限はゼロの価値があり、ポリシーはゼロの価値があります。
セキュリティポリシーテンプレートの [〜#〜] sans [〜#〜] サイトを調べることを強くお勧めします。それらはかなり単純なポリシーですが、皆さんにとって非常に良い出発点になります。私が大学で働いていたとき、私はこれらを出発点として使用しました、そして、基本を片付けたら、他の大学のポリシーを検討し始めました。仲間と比較し始めると、他の人があなたに何を期待するかがわかります。
Polynomial の excellent answer に加えて、より一般的なポリシー/カバレッジのための「1つの完全なドキュメントまたはテンプレートに事前にパッケージ化された」ソリューションを探してきたため、見つかった:
- https://www.instantsecuritypolicy.com/products.html
- http://www.information-security-policies.com/
- http://www.myinformationsecuritypolicy.com/collections/all
- http://www.altiusit.com/policies.htm
ヘルスケアおよび/またはコンプライアンスに焦点を当てた:
- https://clearwatercompliance.com/
- http://www.complianceforge.com/affordable-it-security-documentation/iso-27002-written-information-security-program
これらの「1つのドキュメントに事前にパッケージ化された」ソリューションは、テンプレートまたはドキュメントのコレクションから何かをコンパイルするよりも、( 厳しい締め切り 目的を果たすために)実装への短い、より簡単なパスを提供する可能性があります。
追加の同様の情報源についてのコメントを歓迎します。可能であれば、上記のリストに追加します。
テンプレートと関連資料のコレクション:
- [〜#〜] sans [〜#〜] ( 前述のとおり )
- http://www.csoonline.com/article/2123889/identity-access/security-tools-templates-policies.html
以下は、(主に)よく知られている組織で使用されているポリシーのリストです。 実際に使用されているセキュリティポリシーはどこにありますか?
(モデレーター:必要に応じて、この投稿を「コミュニティーWiki」としてマークしてください。)