Frage:
Politisches Mandatsdilemma
Pang Ser Lark
2016-01-04 20:58:43 UTC
view on stackexchange narkive permalink

Berücksichtigen Sie beim Schreiben von Sicherheitsrichtlinien die Fähigkeit des Benutzers (möglicherweise Anbieter), bestimmte Mandate in den Richtlinien zu erfüllen, oder möchten Sie unbedingt, dass diese durchgesetzt werden, egal was passiert?

Ich frage Diese Frage, weil ich von diesem Dilemma betroffen bin, da einige der erstellten Anweisungen etwas streng sind (z. B. Festlegen einer Mindestkennwortlänge von 12 oder mehr usw.) und ich befürchte, dass derjenige, der meine Richtlinienanweisungen erzwingt, dies nicht kann zu diesem Zeitpunkt zu erreichen (dies können kleine Anbieter / Benutzer sein, die keine sehr guten Sicherheitseinstellungen usw. haben).

Update:

Die Verwirrung tut mir leid . Meine Richtlinie kann zu diesem Zeitpunkt einen Teil zum Outsourcing enthalten (oder auch nicht), da es sich nur um einen Entwurf handelt. Die Frage, die ich gestellt habe, ist, ob wir eine Richtlinie erstellen, die auf dem basiert, was die Benutzer / Anbieter erreichen können, oder ob wir im Grunde genommen keinen Schrei geben und es zu einer strengen Richtlinie für die Durchsetzung machen, denn schließlich handelt es sich um Sicherheit, über die wir sprechen. Und wenn es sich um ein kritisches System handelt, sollten wir umso mehr keine Ausnahme zulassen. Praktisch eine "Alles muss es tun, es ist mir egal" -Mentalität. Wer wird beschuldigt, wenn etwas passiert? Das Sicherheitsteam richtig?

Fragen Sie nach der Fähigkeit Ihrer Benutzer, die Anforderungen zu erfüllen? oder nach der Fähigkeit von Drittanbietern (unter denen Sie auswählen), die Anforderungen zu erfüllen? oder etwas anderes? Ihr erster Satz deutet darauf hin, dass Sie an "Benutzer" denken, Ihre letzte Klammer jedoch auf "Anbieter". Es wäre hilfreich, wenn Sie die Frage so bearbeiten könnten, dass sie klarer wird, da die Antwort möglicherweise davon abhängt, worüber Sie fragen.
Ich habe bearbeitet. Die Richtlinie kann für Anbieter oder unsere eigenen Benutzer gelten.
Fragen Sie niemals etwas, das von den Anbietern nicht durchgesetzt oder von den Endbenutzern vernünftigerweise befolgt werden kann. Dies ist eine Grundursache dafür, dass Ihr gesamtes Sicherheitssystem umgangen / nicht übernommen wird, da die betroffenen Computer nichts zu tun haben. Dies ist ein bekannter Grundsatz in der Forschung zu diesem Thema, der durch die Arbeiten zur organisatorischen Sicherheit und zur nutzbaren Sicherheitsbranche umfassend abgedeckt wird.
@SteveDL: Ich denke (nicht sicher), dass der Fragesteller bei Gesprächen über kleine Anbieter Anforderungen berücksichtigt, die von einigen, aber nicht allen, die möglicherweise der Richtlinie unterliegen, erfüllt werden können. Natürlich kann man eine Anforderung ausschließen, die * niemand * erfüllen kann, und eine Anforderung enthalten, die einige, aber nicht alle potenziellen Anbieter / Benutzer erfüllen können. Aber natürlich können diejenigen, die es nicht erfüllen können, nicht Ihre Lieferanten / Benutzer sein. Wir wissen nicht, ob der Fragesteller wie Facebook ist (muss alle Benutzer haben) oder wie das Militär (gerne Anbieter für etwas so Triviales ausschließen, wie ein ausländischer Spion zu sein).
Hallo Steve DL und Steve Jessop. Wir sind nicht so schwer zu sagen, dass wir nicht mit ihnen zusammenarbeiten würden, wenn sie meine Standards nicht erfüllen könnten. Wenn sie sich nicht treffen, werde ich wahrscheinlich herausfinden, warum sie es nicht können, und versuchen, Wege zu finden, um ihnen zu helfen, unsere Standards zu erfüllen. Das sollte der erste Schritt in dem sein, was wir tun werden.
Hallo WhiteWinterWolf, tut mir leid. Ich wusste es nicht.
(Nur als Randnotiz stimme ich gegen das Schließen der Frage. Wenn wir einen bestimmten organisatorischen Kontext festlegen können, könnte ich relevante Forschungsergebnisse zitieren und Vor- und Nachteile der unterschiedlichen Einstellungen angeben, die @PangSerLark gegenüber den Anbietern einnehmen kann.)
Was ist mit dem Festlegen der Richtlinie, wo Sie es möchten, mit einer Erklärung, die jemandem in Ihrer Position die Möglichkeit gibt, Ausnahmen von der Richtlinie zu gewähren?
Kann jemand einen weniger vagen Fragentitel bearbeiten?
Fünf antworten:
Philipp
2016-01-04 21:53:02 UTC
view on stackexchange narkive permalink

Um AviD dazu zu zitieren:

Sicherheit auf Kosten der Benutzerfreundlichkeit geht zu Lasten der Sicherheit

If Wenn Sie es zu schwierig machen, eine Sicherheitsrichtlinie zu erfüllen, werden die Leute sie entweder ignorieren oder nach Lücken und Problemumgehungen suchen, die sie dem Buchstaben, aber nicht dem Geist entsprechen. Sie erreichen also das Gegenteil von dem, was Sie beabsichtigt haben, und schwächen die Sicherheit.

Eine Sicherheitsrichtlinie hierfür sollte:

  • das Ziel haben, Menschen für Probleme sensibilisieren, anstatt Lösungen durchzusetzen .
  • Ermutigen Sie die Menschen, Verantwortung für die Aufrechterhaltung einer guten Sicherheit zu übernehmen, anstatt blindlings den Anweisungen zu folgen.
  • Seien Sie meistens Richtlinien und nicht MUSS Richtlinien, damit die Menschen auseinander gehen können, wenn sie gute Gründe haben / li>
  • Finden Sie einen vernünftigen Kompromiss zwischen Sicherheit und Benutzerfreundlichkeit.

Anekdote: Ich, ein Freund von mir, arbeitete in einem Team, das ein sehr strenges System unterhielt Kennwortrichtlinie. Es erforderte nicht nur regelmäßige Kennwortänderungen, eine Mindestlänge und die Verwendung von Zahlen, Klein-, Groß- und Sonderzeichen, sondern auch eine Reihe von Regeln, die verhindern sollten, dass Kennwörter den vorherigen zu ähnlich sind Passwörter. Das Ergebnis war, dass man normalerweise Papiere in den Behältern oder im Büro finden konnte, wo Leute versuchten, Passwörter zu erstellen, die diesen strengen Richtlinien entsprachen. Dank der Passwortrichtlinie wäre es lächerlich einfach gewesen, Passwörter durch Müllcontainertauchen zu erhalten.

Erstellen Sie einfach eine Richtlinie, die das Tauchen in Müllcontainern verbietet. :) :)
Das OP scheint von einer technischen Fähigkeit von Drittanbietern zu sprechen, die Richtlinien einzuhalten - nicht von der Bereitschaft einer Person, diese einzuhalten.
Ich bin nicht sicher, ob die Anekdote für die Frage so relevant ist, aber IBM hat auf einigen Systemen die Möglichkeit, zu verlangen, dass Ihr neues Kennwort nicht dieselben Buchstaben an derselben Position wie in einem Ihrer vorherigen Kennwörter enthält . Abgesehen davon, dass es sich um eine wirklich dumme Idee handelt (irgendwann gehen Ihnen möglicherweise die möglichen Passwörter aus), könnte dies bedeuten, dass das Klartext-Passwort irgendwo gespeichert wird (hoffen wir, dass es verschlüsselt ist).
Die Verwirrung tut mir leid. Meine Richtlinie kann zu diesem Zeitpunkt einen Teil zum Outsourcing enthalten (oder auch nicht), da es sich nur um einen Entwurf handelt. Die Frage, die ich gestellt habe, ist, ob wir eine Richtlinie erstellen, die auf dem basiert, was die Benutzer / Anbieter erreichen können, oder ob wir im Grunde genommen keinen Schrei geben und es zu einer strengen Richtlinie für die Durchsetzung machen, denn schließlich handelt es sich um Sicherheit, über die wir sprechen. Und wenn es sich um ein kritisches System handelt, dann umso mehr keine Ausnahme.
@CodesInChaos: die Richtlinie, die das Tauchen in Müllcontainern (auch als sichere Dokumentenentsorgung bezeichnet) verhindert, löst das Problem jedoch fast nicht ganz, da diese abscheulichen Passwörter auch auf die Monitore geklebt werden ...
Shane Andrie
2016-01-05 04:11:47 UTC
view on stackexchange narkive permalink

Einige Ratschläge von jemandem, der viele Richtlinien geschrieben hat:

Regel Nr. 1.

Dies ist die wichtigste Regel. In der Tat ist es eine Anforderung, jeden anderen Prozess zu starten. Wenn Ihr Managementteam die Richtlinien nicht unterstützt, ist es Ihre Zeit nicht wert, die Zeit des Unternehmens, geschweige denn die Zeit der Benutzer, etwas zu unternehmen. Ich spreche von Ihrem C-Level. Wenn sie nicht an Bord sind, hören Sie jetzt auf. Speichern Sie Ihre seelische Qual.

Richtlinie, Standard, Verfahren, Richtlinie

Es gibt einen drastischen Unterschied zwischen ihnen, und Sie sollten sich darüber informieren, aber kurz gesagt:

  • Richtlinie - Warum brauchen wir das?
  • Standard - Was wird dafür benötigt?
  • Vorgehensweise - Wie führen wir das aus?
  • Richtlinien - Best Practices, wichtige Fußnoten usw.

Richtlinien sind Ziele

Richtlinien sind das, wonach Sie in Ihrem Unternehmen streben . Es treten jedoch Situationen auf, in denen Sie das Ziel Ihrer Richtlinien nicht immer erreichen können. Wir nennen diese Ausnahmen, und es gibt normalerweise Teams, die das Risiko analysieren, die Anforderungen nicht zu erfüllen. Einige Unternehmen können Ausnahmen von einer sinnlosen Sicherheitsrichtlinie (sehr schlecht) machen. Andere Unternehmen sind so stark reguliert (Think Banking), dass die Nichteinhaltung der Richtlinie große Auswirkungen auf die Geschäftstätigkeit des Unternehmens haben kann.

Benutzer sind wichtig ............ ish

Je größer die Organisation, desto mehr Benutzer, desto mehr Meinungen, desto schwieriger ist es, Änderungen vorzunehmen. Ab einer bestimmten Ebene werden Änderungen vom Management mit Hilfe der Mitarbeiter vorgenommen. Kleinere Organisationen können von Mitarbeitern mit Genehmigung des Managements erlassen werden. Das klingt ähnlich, kann aber für Interaktionen sehr unterschiedlich sein.

Informationssicherheit hat es mit der Politik ziemlich schwer, weil wir normalerweise andere Gruppen dazu zwingen, unsere Mandate einzuhalten. In großen Unternehmen ist IS nicht für die Implementierung verantwortlich, wenn Richtlinien wie Kennwortanforderungen erzwungen werden. Es ist normalerweise ein OPS-Team oder ein Anwendungsinhaber.

Nicht jeder benötigt eine Richtlinie, aber sie wirkt sich auf ihn aus.

Jenny im Rechnungswesen ist es egal, dass Frank in der IT von Paul in der Informationssicherheit benötigt wird, um sicherzustellen, dass der Server vorhanden ist Ausführen von TLS oder Implementieren eines Mindestkennworts für die Buchhaltungsanwendung. Jenny wird es interessieren, wenn Sie keine Richtlinie haben und eines Tages muss Jennys Passwort von 1234 auf magische Weise 8 alphanumerische Zeichen enthalten. Dies ist keine Richtlinie, dies ist eine Auswirkung, und Sie können Teil des Umgangs damit sein oder auch nicht. Einfacher Hinweis, HR ist dein Freund.

JimmyJames
2016-01-04 21:28:37 UTC
view on stackexchange narkive permalink

Grundsätzlich haben Sie hier zwei Möglichkeiten: 1) Sie berücksichtigen die Fähigkeit und haben einen Prozess für Ausnahmen oder 2) Sie weigern sich, mit jemandem zusammenzuarbeiten, der Ihre Richtlinien nicht implementieren kann.

Wenn Sie dies nicht tun 1 ) und kann nicht 2) bedeutet, dass Ihre Richtlinien nur auf Papier existieren. Wenn Sie nicht die Macht haben, 2) zu verwirklichen, müssen Sie die Fähigkeiten in Betracht ziehen. Ich würde jedoch sagen, dass Sie die Fähigkeit haben müssen, streng zu sein. Wenn ein Anbieter nicht mindestens 12 Zeichen ausführen kann, können Sie dies möglicherweise akzeptieren, wenn Sie andere Minderungsstrategien anwenden, aber Sie möchten nicht wirklich ungeheure Probleme berücksichtigen, z. ein fest codiertes Administratorkennwort.

Genau. Legen Sie die Richtlinie fest, die die Risiken für Ihr Unternehmen verwaltet, und implementieren Sie einen Ausnahmevorgang, damit Sie Situationen verwalten können, in denen die Richtlinie nicht befolgt werden kann. Mit einer Ausnahmerichtlinie können Sie die einmaligen Risiken verwalten, wenn sie auftreten.
Vielen Dank. Ist die Ausnahmerichtlinie normalerweise ein separates Dokument? oder in der Police als Anhang / Anhang enthalten?
Ausnahmen würden von Fall zu Fall gewährt, so dass dies nicht in der Police enthalten wäre. Sie sollten dokumentieren, dass Ausnahmen gewährt werden können und wie diese gewährt werden sollen.
Nzall
2016-01-05 03:10:16 UTC
view on stackexchange narkive permalink

Je nachdem, für welche Richtlinien Sie sich entscheiden, können Sie möglicherweise festlegen, dass sich Ihre Richtlinien ergänzen, wobei die Implementierung einer Richtlinie einfacher und / oder sicherer wird, wenn Sie auch eine andere Richtlinie implementieren.

Beispiel: Sie geben die Beispielrichtlinie für Kennwortanforderungen an. Wenn Sie neben dieser Richtlinie auch die Richtlinie haben, dass Ihre Benutzer einen Kennwortmanager verwenden müssen, mit dem ein ordnungsgemäßes Kennwort auf sichere Weise erstellt und gespeichert werden kann, sind Ihre Benutzer weniger geneigt, das System zu spielen, da sie das System nicht spielen ist einfacher.

Ein weiteres Beispiel: Wenn Ihre Benutzer TLS auf ihren Frontend-Servern verwenden müssen, führen einige von ihnen möglicherweise eine fehlerhafte Implementierung mit abgelaufenen oder unsicheren Zertifikaten durch. Eine ergänzende Richtlinie wäre die Verwendung von Let's Encrypt, um die Handhabung von Zertifikaten zu vereinfachen.

Sie können die Benutzer gleichzeitig dazu ermutigen, Richtlinien durch finanzielle Anreize ordnungsgemäß umzusetzen. Ich spreche nicht davon, Gebühren oder Geldstrafen an diejenigen zu verteilen, die schlechte Arbeit leisten, sondern eher davon, einen kleinen Rabatt (wie 1% oder so etwas) auf Dinge wie Lizenz- oder Supportgebühren zu gewähren, die auf bestimmten quantifizierbaren und fairen Zielen basieren. Beispiel: Wenn die Website, auf der Ihr TLS-erforderliches Produkt ausgeführt wird, ein A für Qualys erhält (was trivial zu überprüfen ist), erhalten sie 1% Rabatt auf ihre nächste Lizenzverlängerung (es sei denn, Sie sind derjenige, der die Website verwaltet). natürlich).

Sie schreiben Ihre Richtlinie also so, dass sich Segmente gegenseitig verstärken und diejenigen belohnen, die über die Pflicht hinausgehen.

Steve Jessop
2016-01-05 07:16:45 UTC
view on stackexchange narkive permalink

Die Antwort hängt davon ab, warum Sie überhaupt daran denken, ein Limit von 12 Zeichen festzulegen.

Wenn das System bekanntermaßen trivial ist, mit Passwörtern mit 11 Zeichen anzugreifen, und dies nachweislich der Fall ist Mit 12-stelligen Passwörtern und den vorhersehbaren Rechenressourcen des Planeten rechnerisch nicht angreifbar, dann machen Sie es zu einer absoluten Voraussetzung. Jeder, der dieses Limit nicht implementieren kann oder will, erfüllt einfach nicht Ihre Sicherheitsrichtlinien, und das ist es auch. Die Konsequenzen für sie können sehr schlimm sein (sie können ihr Produkt nicht verkaufen), sie können überschaubar oder absolut unbedeutend sein (sie verwenden ein anderes System, das für seine Sicherheit auf etwas anderem als 12-Zeichen-Beschränkungen beruht und daher eine andere Richtlinie hat ), aber diese Konsequenzen sind gerechtfertigt.

Wenn Sie ein Limit von 12 Zeichen festlegen, weil Sie keine Ahnung haben, welches Limit Sie festlegen sollten, und 6 ist in Ordnung, aber nicht genug Für immer, also haben Sie es verdoppelt, dann sollten Sie in der Tat berücksichtigen, was praktisch zu implementieren ist. Vermutlich möchten Sie, dass die Leute Ihre Richtlinien anwenden (vorzugsweise: wenn sie ein Mitarbeiter sind, der einen Job bekommt, der sie nicht mit unmöglichen Anforderungen verrückt macht; wenn sie der CEO sind, der sie ignoriert und etwas kauft, das keinen Teil erfüllt Ihrer Police, wenn es sich um einen Anbieter handelt, der einen anderen Kunden findet oder dessen Preise verdoppelt, um den zusätzlichen Aufwand zu decken). Wenn die Richtlinie willkürliche und belastende Anforderungen enthält, riskieren Sie unnötig, dass diese Dinge passieren.

In der Praxis befinden Sie sich irgendwo zwischen diesen beiden Extremen. Sobald Sie jedoch wissen, warum Sie die Anforderung stellen, können Sie entscheiden:

  • Es ist eine schwierige Anforderung. Alles, was es nicht erfüllt, stimmt nicht mit der Richtlinie überein.
  • Es ist eine Empfehlung, die Sie für erreichbar halten, und Sie erklären die Konsequenzen, wenn Sie sie nicht erfüllen.
  • es ist halbgebacken. Sie müssen mehr Arbeit leisten, um die Anforderungen festzulegen, bevor Sie Richtlinien festlegen.

Berücksichtigen Sie auch das Ziel der Richtlinie. Wenn das Ziel der Übung darin besteht, sicherzustellen, dass Sie keine Anbieter mit schlechten oder durchschnittlichen Sicherheitseinstellungen verwenden, ist es von Vorteil, Anbieter auszuschließen, die aufgrund ihrer geringen Größe oder auf andere Weise keine guten Sicherheitseinstellungen haben einer Anforderung, die nur von Personen mit guter Sicherheit erfüllt werden kann. Die Richtlinie dient dazu, Menschen anzuleiten, und sie dient auch dazu, Menschen auszuschließen, die sie nicht erfüllen können.

Wer wird beschuldigt, wenn etwas passiert? Das Sicherheitsteam richtig?

Ja, und es gibt zwei Möglichkeiten, wie Ihre Richtlinie fehlschlagen kann, und Sie werden beschuldigt. Es kann sich um jemanden handeln, der im Nachhinein klar ist, dass dies ausgeschlossen werden sollte, und Sie werden für eine Sicherheitsverletzung verantwortlich gemacht. Es kann jemanden ausschließen, der im Nachhinein erkennt, dass es hätte einbezogen werden sollen, und Sie werden beschuldigt, das Geschäft des Unternehmens behindert zu haben. Ein kritisches System schneidet in beide Richtungen - Sie möchten nicht, dass es unsicher ist, und Sie möchten auch nicht, dass es niemals erstellt wird, weil es zu schwierig ist, die Richtlinie einzuhalten. Ihre Aufgabe ist es, etwas zu finden, das sowohl angemessen als auch erreichbar ist (oder, wenn Sie das nicht können, zumindest zu erklären, warum nicht, damit sich jemand anderes an der Änderung der Einschränkungen beteiligen kann, mit denen Sie arbeiten).

Eine massive Sicherheitsverletzung ist schlimm, aber wenn sie von Natur aus schlimmer wäre als Insolvenzunternehmen, würden sie "auf Nummer sicher gehen", indem sie (zum Beispiel) überhaupt nichts im Internet anhängen und alle pleite gehen. Aus offensichtlichen Gründen entscheiden sie sich nicht dafür. Daher müssen die Bestimmungen der Richtlinie begründet werden, und die Begründungen müssen später zur Überprüfung verfügbar sein, sodass sie selbst dann, wenn etwas schief geht, angesichts der zum Zeitpunkt Ihrer Entscheidung bekannten Entscheidungen als einigermaßen gute Entscheidungen erscheinen.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...