Frage:
Was sind die Zwecke dieser Sicherheitsrichtlinien?
hushhush
2013-06-24 06:38:11 UTC
view on stackexchange narkive permalink

Ich arbeite in einem IBM Labor und es gibt einige Sicherheitsrichtlinien, deren Zweck ich nicht verstehe. Wenn ich frage, warum wir das tun, sagt mein Chef einfach, dass es Richtlinien sind, und vermeidet es, die Frage zu beantworten.

  1. Wir müssen leere Schubladen verschlossen halten
  2. Wenn wir die Arbeit verlassen, müssen wir abschließen Beschreibbare Medien
  3. Wir müssen alle Notizen sperren und Whiteboards löschen. Ich verstehe das nicht, weil jemand tagsüber genauso gut vorbeigehen und etwas sehen könnte, was er nicht sollte.
  4. Bei Besprechungen, wenn wir Notizen machen möchten, müssen die Notizbücher schwarz und mit Hardcover versehen sein.
  5. Gesundheitsinformationen sind äußerst vertraulich, beispielsweise selbst wenn der Chef einer Person dies ist krank, sie können ihnen bei seiner Rückkehr keine ETA geben und können nicht einmal antworten: "Wird er / sie besser?"
  6. ol>

    Ich würde mich aus irgendeinem Grund wirklich besser fühlen, selbst wenn ich stimme ihnen nicht unbedingt zu. Jede mögliche Erklärung wird geschätzt.

Die Anforderungen 1 bis 4 fallen unter die am häufigsten als "Clean Desk Policy" bezeichnete Richtlinie. Wir haben hier bereits einige [verwandte Fragen] (http://security.stackexchange.com/search?q=clean+desk+policy) beantwortet, sodass dies Ihre erste Informationsquelle sein könnte ([Was ist der größte Sicherheitsvorteil von?) Eine Clean Desk-Richtlinie?] (http://security.stackexchange.com/q/32089/20074) enthält einige gute Antworten sowie [diese Antwort] (http://security.stackexchange.com/a/31422/20074) ) zu einer geschlossenen Frage). # 5 entspricht wahrscheinlich den Anforderungen der HIPAA-Datenschutzregel zur Offenlegung von geschützten Gesundheitsinformationen (PHI).
In Bezug auf # 5 ist es nicht vernünftig für mich, mich zu erkundigen, wann mein Chef zurück sein wird? Ich habe jeden Tag mit ihm gearbeitet und es betrifft mich sehr.
Ich verstehe Ihre Besorgnis, aber es steht Ihnen frei, sich über die Gesundheit Ihrer Person zu erkundigen, indem Sie ihre privaten Kontaktinformationen haben und diese Person die klare Wahl hat, an wen sie welche persönlichen Informationen weitergibt. Ihr Arbeitgeber ist nicht frei, solche Fragen zu beantworten, und dies wird in vielen Gesetzen geregelt, die er unter Androhung von Rechtsstreitigkeiten einhalten muss. Sie könnten beispielsweise Ihren Arbeitgeber um Informationen zum Status Ihres Projekts bitten oder ob eine Zeitarbeit für das beurlaubte Personal geplant ist, diese jedoch nicht auf die Anfrage nach persönlichen und / oder anderweitig vertraulichen Informationen reagieren sollten.
Bitte fügen Sie Ihrer Frage nicht mehr Punkte hinzu, sodass alle bereits gesammelten Antworten für die gestellten Fragen weniger relevant sind. Es enthält bereits nicht unmittelbar verwandte Punkte, die besser in separate Fragen aufgeteilt werden sollten. Sie können jedoch jederzeit neue Fragen stellen, sofern diese themenbezogen sind, nicht ein Duplikat bereits behandelter Fragen und natürlich gemäß unseren Richtlinien [FAQ] und [Fragen]. Vielen Dank!
Ich nehme nur an, dass Google Glass dort nicht erlaubt ist.
Diese Frage könnte von einem aussagekräftigeren Titel profitieren.Vielleicht "Was ist der Zweck, leere Schubladen und Notizen zu verschließen?"
Sechs antworten:
#1
+41
user22208
2013-06-24 06:56:44 UTC
view on stackexchange narkive permalink

Hier sind meine Gedanken dazu:

  1. Jemand könnte etwas - beispielsweise ein Flash-Laufwerk mit bösartigem Inhalt - in einer unverschlossenen Schublade verstecken. Ein Mitarbeiter könnte dieses Flash-Laufwerk finden und an seinen Computer anschließen, wodurch der Computer gefährdet wird. Außerdem ist es einfacher, die Schlösser von nicht gesperrten Schubladen zu ändern, als die Schlösser von gesperrten Schubladen zu ändern. Durch Ändern einer Sperre kann sich eine böswillige Person in Zukunft den Zugriff auf die Schublade erleichtern.

  2. Wenn das Medium leer ist, kann jemand böswillige Inhalte hinzufügen es. Wenn das Dateisystem des Mediums "leer" ist, das Medium jedoch in der Vergangenheit verwendet wurde, kann möglicherweise jemand Fragmente alter Daten daraus wiederherstellen.

  3. Dies wäre nicht der Fall Für einen Hausmeister (oder jemanden, der sich als Hausmeister ausgibt) in einer Nachtschicht ist es schwierig, Fotos von einer weißen Tafel zu machen und möglicherweise Geheimnisse zu stehlen. Tagsüber ist die weiße Tafel eher von vertrauenswürdigen Personen umgeben, was es schwieriger macht, sie verdeckt zu fotografieren oder sie sich sogar anständig anzusehen.

  4. Schwarze Notebooks fallen weniger auf als weiße Notebooks. Hardcover-Notebooks verlieren seltener ihre Cover als Softcover-Notebooks. Abdeckungen sind wichtig für die Sicherheit von Notebooks. Sie machen es nur ein bisschen schwieriger, schnell und verdeckt Informationen aus einem Notizbuch zu erhalten. Sie verhindern auch, dass sich Notebooks öffnen, wenn sie fallen gelassen werden. Hardcover verhindern besser das Dreschen als Softcover. Außerdem können Notebooks mit Softcover mit größerer Wahrscheinlichkeit verlegt werden als Notebooks mit Hardcover.

  5. Einige Arten von Gesundheitsinformationen sind für Sozialingenieure äußerst wertvoll. Es ist üblich, dass böswillige Sozialingenieure Angriffsmethoden für beurlaubte Mitarbeiter planen. Wenn beispielsweise ein bestimmter Mitarbeiter krankgeschrieben ist, kann sich ein Sozialingenieur als Freund des Mitarbeiters ausgeben und Zugang zum Büro des Mitarbeiters erhalten, indem er jemandem sagt, dass er seinem Freund einen Gegenstand aus dem Büro bringen muss.

  6. ol>
Als Ergänzung zu Nummer 1: Wenn nur Schreibtischschubladen mit wichtigen Inhalten gesperrt sind, können Sie auf einfache Weise feststellen, ob ein Schreibtisch wichtige Informationen enthält: Überprüfen Sie, ob er gesperrt ist. Wenn alle Schubladen gesperrt sind (und nicht nur die 1: 3-Schubladen mit vertraulichen Informationen), muss der Dieb oder Pen-Tester jetzt dreimal so viele Schubladen aufbrechen, um wichtige Informationen zu erhalten. Es ist eine Variation der Purloined Letter-Strategie.
@medivh Gute Antwort, aber ich bin etwas anderer Meinung und hier ist der Grund. Ich habe nicht erwähnt, dass wir eine Clean Desk-Richtlinie haben, sodass auch Dinge, die im Grunde genommen wertlos sind (z. B. eine Testseite vom Drucker), gesperrt werden müssen. Selbst wenn leere Schubladen unverschlossen bleiben, kann ein Eindringling nicht garantiert etwas Wertvolles in einer verschlossenen Schublade finden.
Richtig, aber er wird es definitiv NICHT in einer UNLOCKED-Schublade finden. Das Verwandeln aller entsperrten Schubladen in GESPERRTE Schubladen vergrößert den Suchraum, auch wenn einige (zuvor auch) gesperrte Schubladen unwichtige Dinge enthalten. Dies gilt auch für die Kommunikationsverschlüsselung: Wenn Sie nur vertrauliche E-Mails verschlüsseln, muss ein Angreifer keine Zeit mit der Entschlüsselung Ihrer Einkaufsliste verschwenden und kann sich auf Ihre vertraulichen Daten konzentrieren.
Auch wenn ein Industriespion versucht, Sie anzugreifen und einige Unternehmensgeheimnisse mit Gewalt zu übernehmen, ist das Hardcover-Notizbuch eine besser improvisierte Waffe
Etwas unabhängig, aber warum sperren Sie Dinge ein, die im Grunde genommen wertlos sind (z. B. eine Testseite vom Drucker). Warum nicht einfach in den Mülleimer werfen - der sicher entsorgt werden kann. Sobald ein wertloser Gegenstand in einem Schrank eingeschlossen ist, bleibt er im Allgemeinen für immer in einem Schrank eingeschlossen.
Ergänzung zu # 4. Die Wahl der Farbe ist willkürlich. Sie möchten lediglich die Farbe der Notizbücher vereinheitlichen, um zu erkennen, welches Notizbuch in welchem ​​Meeting verwendet wurde, indem Sie es nur ansehen. Wir hatten eine ähnliche Politik.
#2
+12
Lie Ryan
2013-06-24 13:28:03 UTC
view on stackexchange narkive permalink

Dies ist ein weit hergeholter, aber nicht offensichtlicher Informationsleck:

1. Wir müssen leere Schubladen verschlossen halten.

Wenn jemand weiß, dass es jeden Dienstag und Freitag ein regelmäßiges Treffen gibt, in dem das geheime Projekt X besprochen wird. und festgestellt, dass die Schubladen am Dienstag und Freitag immer leer und entsperrt sind, aber ansonsten gesperrt sind, ist es ein ziemlich klarer Hinweis darauf, dass der Inhalt dieser Schublade ein Geheimnis im Zusammenhang mit Projekt X ist.

2. Wenn wir die Arbeit verlassen, müssen wir beschreibbare Medien sperren.

Abgesehen von Bedenken, dass jemand schädliche Daten austauscht oder in die Medien einfügt, stellt das Sperren aller beschreibbaren Medien sicher, dass niemand ein beschreibbares Medium unterscheiden kann enthält geheime und solche, die reguläre Daten enthalten.

4. Wenn wir bei Besprechungen Notizen machen möchten, müssen die Notizbücher schwarz und mit Hardcover versehen sein.

Dies gilt auch für beschreibbare Medien, wenn jemand bemerkt hat, dass Sie ein Hello Kitty-Notizbuch verwenden Machen Sie sich Notizen in Besprechungen für das geheime Projekt X und das Superman-Notizbuch für andere Projekte. Leute könnten das Hello Kitty-Notizbuch sofort erkennen, wenn Sie es vergessen und herumliegen lassen. Auch wenn Sie Ihr Hello Kitty-Notizbuch bei sich tragen, wenn Sie Orte besuchen, kann dies Aufschluss darüber geben, um welches Projekt X es sich handelt. Ein einheitliches Notizbuch ist weniger auffällig.

Wenn Ihre Sicherheitsrichtlinie viele unsinnige Regeln enthält, können diese auch dazu beitragen, das wirklich seltsame " kein" kugelförmiges Objekt "auf dem Schreibtisch zu verdecken 'Richtlinie, die möglicherweise die Information durchgesickert hat, dass der grüne Massageball, den der Teamleiter im Büro herumträgt, tatsächlich ein Kern für einen Kernreaktor war.

Es besteht auch die Möglichkeit, dass es sich um einen handelt Situation mit fünf Affen, einer Leiter, einer Banane und einem Wasserspray.

Was wäre, wenn ich ein Pokemon-Notizbuch verwenden würde? :)
Upvoted für die Schiedsrichter zu Los Alamos und dem Affenmodell der Sicherheit.
#3
+3
Lucas Kauffman
2013-06-25 00:22:12 UTC
view on stackexchange narkive permalink

Die Punkte 1 bis 4 in Ihrer Frage sind Teile einer so genannten "Clean Desk-Richtlinie". Daher werde ich versuchen, eine Antwort zu geben, warum im Allgemeinen eine Clean Desk-Richtlinie verwendet wird. Es gibt tatsächlich viele Gründe:

  • Wenn Kunden den Arbeitsbereich besuchen (von dem ich weiß, dass er bei IBM auftritt), möchten Sie ein positives Image erstellen. Kunden möchten nicht, dass Dokumente mit detaillierten Angaben zu ihren spezifischen Anforderungen oder Lösungen für jedermann verfügbar sind.
  • Das Risiko eines Sicherheitsvorfalls, bei dem vertrauliche Dokumente gestohlen werden, wird erheblich verringert. Wenn Sie Ihre Dokumente offen lassen, können sie entweder von einer Putzfrau oder von jemandem mit böswilliger Absicht verschwinden. Vertrauen Sie mir jetzt, dass Sie nicht die Person sein möchten, die Ihrem Kunden erklärt, was mit seinem geheimen <-Insert-Projekt passiert ist> Dies bedeutet, dass Sie viel effizienter arbeiten können.
  • Dies fördert auch die Reduzierung des Papierverbrauchs in Ihrem Unternehmen. Dies verringert wiederum das Risiko, dass Dokumente betrogen werden, einfach weil sie nicht vorhanden sind.
  • Flex Desks sind die Zukunft, wenn ich in Ihr Büro komme und einen Schreibtisch brauche, der mit Papieren übersät ist, die ich gewonnen habe Ich kann dort nicht arbeiten. Daher erzwingt eine Clean Desk-Richtlinie, dass Sie alle Ihre Sachen von Ihrem Schreibtisch wegnehmen, damit jeder Mitarbeiter dort sitzen kann.

In Bezug auf die Offenlegung von Gesundheitsinformationen (z. B. Gründe für oder Dauer von , Krankheitsurlaub): Es ist eine Notwendigkeit für die Einhaltung bestimmter Datenschutzgesetze in bestimmten Ländern. Persönliche Informationen werden streng vertraulich behandelt, insbesondere wenn es sich um Gesundheitsleistungen handelt. Wenn Sie die in diesem Land festgelegten Regeln nicht einhalten und mit den Daten falsch umgehen, können Sie rechtlich haftbar gemacht werden.

In Ihrem Fall kann ich Ihnen folgende Gründe nennen:

  1. Verschlossene Schubladen können nicht von nicht autorisiertem Personal betreten werden, was bedeutet, dass vertrauliche Dokumente physisch sicher sind. Wenn es Ihre Schublade ist, müssen Sie sie noch abschließen, jemand könnte Ihr Schließfach nehmen ODER jemand könnte daraus schließen: "Hey, sein Schließfach ist nie verschlossen, außer jetzt, da muss etwas Vertrauliches drin sein!"
  2. Das Gleiche Bei beschreibbaren / lesbaren Medien möchten Sie nicht, dass Dokumente geändert, infiziert oder durchgesickert werden.
  3. Weiße Tafeln sind zwar sichtbar, können jedoch nicht einfach fotografiert werden, ohne dass dies jemand bemerkt. Beachten Sie auch, dass es immer einen Kompromiss zwischen Sicherheit und Benutzerfreundlichkeit gibt.
  4. Leicht zu identifizieren und Sie können es nicht durchdrücken. Sie möchten nicht mit dem Schreiben Ihres Textes beginnen und dann feststellen, dass er auf einen Tisch oder ein Papier gedrückt wurde, das bereits auf dem Tisch lag.
  5. Dies wird in einigen Ländern als sehr privat angesehen, daher sollte er behandelt werden so wie. Wenn der Chef mitteilen möchte, wann er wieder verfügbar sein wird, kann er dies mitteilen, wenn er möchte. Wenn er dies nicht möchte, ist dies auch nicht Ihr Problem.
  6. ol>

    Nun ein weiteres Problem ist, dass IBM ein globales Unternehmen ist, was bedeutet, dass viele Länder unterschiedliche Vorschriften haben. Um weltweit überschaubare Compliance-Richtlinien zu haben, haben sie wahrscheinlich entschieden, dass "eine Größe für alle" gilt. Dies würde bedeuten, dass eine Richtlinie den strengsten Regeln auf der ganzen Welt entspricht und von jedem Büro auf der Welt befolgt werden muss.

Ich möchte darauf hinweisen, wenn Sie sagen, dass Kunden, die das Büro besuchen, ein positives Image sehen sollten. Ich habe noch nie gesehen, dass Kunden das Büro besuchen (wahrscheinlich befinden sie sich in einem anderen Land), und wenn sie dies tun, würden sie das unprofessionellste Verhalten sehen Von Schimpfwörtern, die leicht verwendet werden können, bis hin zu geschmacklosesten Kleidungsstücken.
Ich habe einige meiner Freunde, die bei IBM arbeiten, und sie werden ziemlich oft besucht. Wie gesagt, eine globale Politik muss für alle passen :)
#4
+3
ddyer
2013-06-27 22:57:20 UTC
view on stackexchange narkive permalink

Entriegelte Schubladen können vollständig entfernt werden und ermöglichen den Zugriff auf verriegelte Schubladen unten (und wahrscheinlich auch oben). Natürlich sind Schreibtischschlösser ohnehin völlig nominell, aber zumindest eine verschlossene Schublade ist "manipulationssicher".

#5
+1
l0b0
2013-06-24 13:39:37 UTC
view on stackexchange narkive permalink

Beziehen Sie diese auf Ideen aus der Verschlüsselung:

  1. Das Verschlüsseln nur vertraulicher Informationen erleichtert es Angreifern im Allgemeinen, ihre Bemühungen zu konzentrieren. Das Verschlüsseln von allem bedeutet mehr Entschlüsselungsarbeit und möglicherweise viel mehr Probleme beim Identifizieren ausnutzbarer Informationen.
  2. Das Abrufen des Chiffretextes ist ein guter erster Schritt beim Abrufen von Daten, und normalerweise kann ein einfacher Lesevorgang danach nicht erkannt werden.
  3. Es ist wahrscheinlicher, dass ein Angreifer, der den Klartext liest, während der Eigentümer den Speicher verwendet, entdeckt wird. Außerdem sollte Klartext nur dann vorhanden sein, wenn dies unbedingt erforderlich ist, um die Angriffsfläche (sowohl räumlich als auch zeitlich) zu minimieren.
  4. Wenn alle Klartext- "Container" identifizierbar sind, sollte es einfacher sein, sicherzustellen, dass sie als sicherheitskritisch identifiziert und behandelt werden als solche.
  5. Ungewöhnliche Situationen und Eckfälle sind oft leichter anzugreifen, da das Protokoll für ihre Behandlung weniger genau definiert oder weniger bekannt / in Erinnerung bleiben kann.
#6
+1
Mark Harrison
2013-06-24 23:23:10 UTC
view on stackexchange narkive permalink

Stellen Sie sich in Bezug auf Nummer 1 die Regel wie folgt vor:

  • Halten Sie alle Schubladen verschlossen, unabhängig davon, ob sie voll oder leer sind.

Dann Personen Sie müssen nicht ständig darüber nachdenken, ob ich diese Schublade abschließen soll oder nicht. und wird nicht den Fehler machen, versehentlich eine Schublade nicht zu sperren, die neu nicht leer war.

Es macht es auch einfacher, Sicherheitsregeln durchzusetzen: Wenn eine Schublade entsperrt ist, ist dies ein Verstoß, ohne nachforschen zu müssen Wenn sich dort Dinge befinden.

Für # 2- # 4 kann dieselbe Logik gelten: Führen Sie redundante Arbeiten aus, damit Sie nicht ständig feststellen / merken müssen, ob die Regeln gelten in einem bestimmten Fall.

Für # 5 ist dies ein HR-Problem. Das Unternehmen darf keine Informationen zum Gesundheitszustand der Mitarbeiter weitergeben.

Ich soll diesen Beitrag überprüfen und weiß ehrlich gesagt nicht, was ich davon halten soll. Würden Sie bitte auch alle anderen Teile der Frage ansprechen und mir dabei helfen? Ansonsten ist es 4/5 in der Kategorie _ "keine Antwort" _. Prost!
@TildalWave So ist es bei Fragen wie diesen. Um dem SE-Format am besten zu entsprechen, sollte es in 5 separate Fragen unterteilt worden sein.
AilileweolCMT fertig!
@Iszi Ich konnte nicht sehen, dass # 5 für sich genommen für diese Site geeignet ist, aber zusammen mit den anderen scheint es besser zu sein.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...