Comment démarrer avec un programme de sécurité de l'information?
Je suis un testeur de logiciels, InfoSec est principalement tangentiel à mon travail, et les gens ne me posent des questions sur InfoSec que parce que je n'ai pas peur d'utiliser Google ou Stack Exchange quand je ne sais pas quelque chose. (qui est la plupart du temps)
Notre directeur des opérations aux États-Unis souhaite avoir une conversation avec moi pour en savoir plus sur la sécurité de l'information. Il a reçu un e-mail d'un prospect dans le secteur financier qui comprend cette section:
(a) ACME veillera à ce que son programme de sécurité de l'information ("programme de sécurité de l'information") soit conçu et mis en œuvre, et pendant la durée du présent accord continuera d'être conçu et mis en œuvre pour: (1) atténuer raisonnablement et adéquatement tout risque identifié l'une des parties liées au logiciel et aux services, et la protection des informations confidentielles du client divulguées à ACME ou au personnel ACME, et (2) décrire et faire rapport sur ses propres évaluations des risques, gestion des risques, contrôle et formation du personnel ACME conformément avec le programme Info Security, la surveillance de la sécurité du personnel ACME et le processus de certification annuelle du programme Info Security. ACME se protégera contre la destruction, la perte, l'altération ou la divulgation non autorisée ou l'accès aux informations confidentielles du client en possession du personnel ACME, y compris en utilisant le cryptage pendant leur transmission ou leur transport, ou pendant leur stockage, leur traitement ou leur gestion sur ACME. équipement lorsqu'un tel cryptage requis par la loi, est conseillé par les normes de l'industrie pour des produits ou services similaires, ou est requis dans un document de transaction (collectivement, les "garanties de données"). ACME veillera à ce que le programme de sécurité des informations soit substantiellement équivalent aux propres normes de sécurité des informations du Client en place de temps à autre applicables aux risques présentés par les Produits ou Services (collectivement les "Normes SI"). Les parties peuvent redéfinir le terme "normes IS" pour désigner toute norme ou protocole d'essai reconnu par l'industrie (par exemple, NIST, ISO 27001/27002 ou SSAE, AT101), si expressément énoncé dans un énoncé des travaux.
Cette langue est si effrayante que j'ai d'abord fait caca dans mon pantalon, puis créé un compte security.stackexchange.com pour demander des conseils parce que je ne sais même pas par où commencer. Nous sommes une petite société de logiciels (moins de 40 personnes) qui a la chance d'avoir un certain succès commercial, et nous ne nous soucions pas de la sécurité, mais nous n'avons pas (encore) de programme officiel de sécurité de l'information.
Quelques questions:
- Quelqu'un peut-il traduire la citation ci-dessus en anglais courant?
- J'ai lu quelque chose au sujet de la certification annuelle, serait-il correct de dire que notre entreprise devrait faire appel à un auditeur de sécurité tiers et nous laisser dire ce que nous devrions faire?
- Qui au sein de notre organisation serait généralement responsable de la mise en œuvre d'un programme de sécurité de l'information?
- Je pense à recommander d'acheter ISO27001 (je veux dire le fichier PDF contenant le texte de cette norme, qui peut être acheté pour 166 francs suisses dans la boutique iso.org), mais qui devrait le lire? (lié à la question précédente)
Informations d'arrière-plan:
- Nous collectons des informations CRM typiques pour pouvoir envoyer des factures.
- Nous ne collectons pas d'informations sensibles, comme les données sur les utilisateurs/clients de nos clients.
- Notre équipe d'assistance peut demander des exemples de données à des fins de dépannage et demandera toujours des données "factices" ou désinfectées qui reproduisent le problème à portée de main.
Cette question n'est pas un double de Comment communiquer la sécurité de votre système aux clients de votre employeur . Ce message concerne la façon de communiquer avec les clients - nous le savons déjà parce que le client nous a déjà dit quel type de communication il voulait - ils ont mentionné un rapport SOC de type 1. Ce n'est pas non plus un doublon de Comment obtenir le support de la haute direction pour les projets de sécurité? parce que le support de gestion est facile dans notre cas: obtenir la sécurité certifiée ou passer à côté de gros contrats.
Je vais essayer.
En un mot, la langue est CYA au cas où vous seriez piraté ou piraté et auriez accès à leurs données, ils peuvent dire à leurs clients "Acme a dit qu'ils avaient un programme de sécurité et était protégé donc c'est de leur faute".
Dans ce cas, si vous finissez par être la cause de la perte de données, ils peuvent vous en vouloir.
Cela étant dit, son langage contractuel assez standard lorsque les entreprises s'associent ou partagent des données. Surtout, c'est un artefact de type "Due Diligence".
Concernant vos questions:
Quelqu'un peut-il traduire la citation ci-dessus en anglais courant?
Fondamentalement, vous devez disposer de politiques/procédures de sécurité documentées. Dans ces documents, vous devez indiquer ce que vous faites pour maintenir les systèmes et vous assurer qu'une sécurité adéquate est fournie. Vous devez également essayer de traiter des procédures réelles qui touchent à des sujets liés à la sécurité (contrôle d'accès, audit, surveillance, réponse aux incidents, etc.). Vous pouvez déjà en couvrir certains dans vos procédures normales d'exploitation (SOP) et vous pouvez faire référence à ces documents. Lorsque vous créez un nouvel utilisateur ou modifiez des groupes/rôles, existe-t-il des procédures écrites pour savoir comment le faire? Y a-t-il quelqu'un qui approuve ce changement? Voilà le genre de choses qui devraient être abordées. Lorsqu'elles ne sont pas écrites, les gens n'ont pas de références sur la façon de les faire et ils prennent des libertés qui peuvent introduire des failles de sécurité.
J'ai lu quelque chose au sujet de la certification annuelle, serait-il correct de dire que notre entreprise devrait faire appel à un auditeur de sécurité tiers et nous laisser dire ce que nous devrions faire?
C'est la voie qu'empruntent de nombreuses organisations, mais la sécurité n'est certainement pas quelque chose qui devrait être réexaminée "annuellement". Il s'agit d'un processus continu et permanent qui doit être intégré à vos opérations quotidiennes. Cela étant dit, un groupe tiers peut effectuer un "audit" qui sert de certification annuelle. Le résultat sera un rapport que vous pouvez utiliser pour corriger les lacunes et améliorer votre sécurité. Je le recommande vivement, quelle que soit la maturité de votre programme de sécurité. Les premières fois que vous le parcourez, utilisez différents fournisseurs afin de pouvoir comparer les résultats. La qualité de ces types d'évaluations varie considérablement.
Qui au sein de notre organisation serait généralement responsable de la mise en œuvre d'un programme de sécurité de l'information?
Ils portent de nombreux noms, mais la responsabilité ultime de la sécurité incombera au propriétaire du système. Il peut s'agir de votre PDG, du gestionnaire de programme ou, dans les grandes organisations, d'un ISSO ou d'un responsable de la sécurité des systèmes d'information. Dans les petites organisations, cela revient généralement à un responsable produit ou informatique. L'embauche d'un consultant pour aider à démarrer ce processus peut être une bonne idée à ce stade. Vous ne verrez ces exigences plus souvent que lorsque vous commencerez à travailler/à travailler en partenariat avec de grandes entreprises.
Je pense à recommander d'acheter ISO27001, mais qui devrait le lire? (lié à la question précédente)
Que pensez-vous exactement achat? ISO27001 est un cadre de conformité de sécurité qui fournit une direction pour sécuriser vos actifs/entreprise et, pour autant que je sache, vous ne devriez pas avoir à payer quoi que ce soit à l'avance, sauf s'il s'agit d'un service ou d'un produit. Le choix d'un cadre de conformité sur lequel baser votre programme est une excellente première étape pour établir un programme de sécurité. Je recommanderais personnellement ISO ou NIST car ce sont de grandes normes internationales/nationales et ont beaucoup de chevauchement avec d'autres cadres de conformité (PCI, HIPAA, etc.). Cela étant dit, je n'ai aucune idée de vos objectifs, vous devrez donc faire des recherches et choisir ce qui convient le mieux à votre organisation.
J'ai écrit beaucoup de documentation et fait beaucoup de tests de contrôle de sécurité, donc je peux être d'opinion à ce stade, mais si vous avez des questions supplémentaires, n'hésitez pas à PM moi. Bonne chance!
Le langage juridique et contractuel est toujours complexe et parfois intimidant à lire, c'est pourquoi nous passons parfois en revue les conditions générales des produits
Pour votre question par où commencer
Voici quelques liens à partir de ressources standard telles que NIST, SANS et ISACA. Chacun de ces instituts a une histoire riche dans le traitement de nombreuses facettes de la sécurité de l'information.
Lien SANS: -
Lien ISACA: -
Maintenant, concernant la section du courrier dont vous avez parlé
Je suppose que le nom de votre organisation est ACME
Vous vous assurerez de ce qui suit.
Vous avez votre propre programme de sécurité de l'information conçu et mis en œuvre et pendant la période de l'accord, vous l'utiliserez pour prévenir et réduire les risques identifiés par votre équipe ou l'équipe du client pour tout logiciel ou service.
Vous protégerez également les données confidentielles des clients qui sont transmises à votre entreprise ou à vos employés.
Par exemple: - Dans le cas des États-Unis, il est interdit par la loi de divulguer les dossiers de santé d'un individu ou son numéro de sécurité sociale sans son autorisation.
- Vous ferez un rapport détaillé comme suit
• Évaluation des risques: - Identifier les risques potentiels pour les services et l'exploitation • Gestion des risques: - Proposer et mettre en œuvre des méthodes pour éviter ou réduire l'impact des risques identifiés • Établir un flux de contrôle: - Il s'agit d'établir et de maintenir la chaîne de commandement en cas de risque événement afin de poursuivre les services critiques sans interruption • Formation: - Pour former tous les employés concernés sur les pratiques sûres et sécurisées pour gérer les données et également mettre en évidence les meilleures pratiques
Établir également un mécanisme de rétroaction approprié pour s'assurer que les employés participent également à l'établissement de ces pratiques. Cela paie beaucoup à long terme.
Vous protégerez les données contre la perte, la destruction et l'altération et empêcherez la divulgation accidentelle de données sensibles.
Vous utiliserez des services de cryptage pour y parvenir lorsque les données sont stockées dans un u.s.b ou pendant que les données sont en cours d'utilisation comme cela est mandaté par le gouvernement.
Vous vous assurerez également que vos normes de sécurité sont au même niveau que celles de votre client pour les risques répertoriés par les normes internationales telles que NIST ou ISO (ce sont des organisations qui définissent quelles sont les pratiques standard) si elles sont écrites dans votre SOW .
Pour en venir maintenant à votre question sur la certification, je suggère deux niveaux d'audit, l'un serait votre équipe interne, ce qui donne à votre organisation la possibilité de résoudre les problèmes de sécurité propres à votre entreprise et un auditeur tiers est toujours conseillé car il stimule la satisfaction des clients.
Et en ce qui concerne qui est généralement responsable, ce serait le RSSI, c'est-à-dire le chef de la sécurité de l'information. Et au niveau du projet, ce serait le chef de projet et l'équipe de sécurité dédiée.
Encore une fois, je répéterais que ce sont les utilisateurs de ces données qui devraient avant tout faire attention à la façon dont ils les traitent.
Sur la même note, je voudrais souligner que tout type de données peut être classé comme sensible, c'est-à-dire qu'il existe une grande variété d'entre elles, comme dans le cas où vous avez mentionné que le client potentiel est du secteur financier, alors le terme données sensibles pourrait comprendre une transaction commerciale. des détails ou une valeur de transaction qui peut ne pas sembler valable d'un point de vue de pirate standard mais qui serait très critique pour les concurrents de vos clients.
Malheureusement, je n'ai que peu ou pas de connaissances sur votre requête finale, mais je suggérerais une étude de marché approfondie avant d'en acheter une, car les normes peuvent varier légèrement, voire considérablement.
J'ai répondu à beaucoup de ces questions. Une chose saute aux yeux:
L'ACME veillera à ce que le programme de sécurité Info soit matériellement équivalent à Normes de sécurité des informations du client en place de temps à autre applicables aux risques présentés par les Produits ou Services (collectivement les "Normes SI").
Obtenez les normes de sécurité des informations du client. Parcourez-le ligne par ligne et notez ce qui ne peut pas s'appliquer à votre organisation.
Deuxième chose ... Vous avez probablement avez un programme de sécurité de l'information, c'est probablement juste informel. Vos développeurs ont des mots de passe, vous avez un SDLC, vous utilisez la gestion des changements, la révision du code, votre VPN au bureau, vous faites des vérifications des antécédents des employés, vous vous assurez que les sous-traitants n'utilisent pas de code volé ou de logiciel piraté, pas de mots de passe partagés, vous avez AV sur les postes de travail, etc., etc.
Formaliser ce que vous avez et voir s'il correspond à ce que le client demande pourrait suffire. Bien sûr, vous avez besoin de l'adhésion de votre dirigeant et il se peut qu'il doive vous financer si les clients ont des demandes spécifiques (prévention des intrusions, analyse de vulnérabilité, etc.).
Rappelez-vous également que leur seule alternative ici est d'aller à votre compétition. Si vos concurrents ont des infosec incroyables et un prix réduit, alors vous pourriez avoir un problème, mais les chances sont, ils sont au même endroit, alors ne vous inquiétez pas d'être parfait, faites tout ce que vous pouvez et essayez de vous améliorer la situation.
Cela se reproduira encore et encore, client après client. J'espère que vous aurez une personne infosec d'ici là.
ISO 27001 est un document très léger et demande beaucoup d'expérience pour comprendre et interpréter. Je ne pense pas que cela aidera beaucoup. NIST et PCI pourraient être plus utiles à ce stade, mais c'est mon avis.
Si vous allez commencer un programme de sécurité, vous devrez définir la portée du programme. Il est probablement préférable de commencer avec une portée limitée afin de travailler avec quelque chose de gérable. La portée peut être le cycle de développement et de déploiement, le renforcement du système et la gestion de la configuration, la gestion des utilisateurs, le programme de test de vulnérabilité et de sécurité, etc. Commencer avec une petite portée vous permet d'apprendre et de rendre l'objectif final réalisable.
Chacun des domaines ci-dessus a des processus et des contrôles standard de l'industrie qui devraient être en place et vous les trouverez dans chacun des NIST CyberSecurity Framework, SANS Critical Security Controls, PCI DSS, ISO etc. Si vous allez vous aligner sur un standard de l'industrie, vous devrez en choisir un. Chacun de ceux auxquels je fais référence est reconnu internationalement. Je suggère le NIST Cyber Security Framework car il est bien présenté et digeste. Vous pouvez également hiérarchiser la mise en œuvre en fonction de catégories de haut niveau et il est simple d'effectuer un audit.
En relisant votre question, je suggère de revoir l'exigence 6 de la norme PCI DSS, en particulier 6.3, 6.5 et 6.6. En tant que maison de développement, ce sont les normes de l'industrie exactes que vous attendez au moins d'avoir en place - à savoir développement sécurisé, formation des développeurs, révision du code, connaissance des vulnérabilités OWASP et capacité à atténuer grâce à un codage défensif, utilisation des bibliothèques appropriées, configuration des systèmes, etc.
Du point de vue de l'audit, vous devez documenter ce que vous faites (ou devriez faire) et vous assurer que les contrôles et les processus sont alignés sur votre documentation - s'ils ne se synchronisent pas, il y a un problème.
Mettre en place un programme Info Sec entier est une entreprise énorme, et peut être une tentative d'essayer de mordre plus que vous ne pouvez mâcher. Je suggère de demander l'aide d'un CISSP pour vous guider dans la mise en place d'un programme efficace de sécurité des informations.
Il existe de nombreuses facettes pour réussir un programme, et au moins vous savez déjà que vous ne les connaissez pas toutes. C'est pourquoi je pense que vous avez besoin de quelqu'un qui comprend l'importance d'établir une politique de sécurité complète et comment l'utiliser pour définir des normes dans toute votre organisation.
En interne, pour le faire fonctionner, vous aurez besoin d'une personne responsable de l'organisation des efforts et d'une personne ayant suffisamment d'autorité pour garantir que les développeurs respectent réellement la politique. En fonction d'autres exigences contractuelles (PCI DSS, par exemple), vous pouvez également être invité à effectuer des audits des processus de développement logiciel, à fournir des preuves de dispositifs de sécurité à jour, des cartes de vos réseaux et pare-feu, des pratiques de gestion des clés de chiffrement sécurisées, etc.
Un professionnel peut au moins vous aider à naviguer dans ces eaux complexes et peut-être fournir une meilleure estimation de ce qu'il en coûtera réellement à votre entreprise pour la faire avancer au point où vous êtes au moins conforme aux termes des contrats que vous recherchez.
Une fois, j'ai été chargé de donner une estimation de la faisabilité de faire ISO 27001 pour notre entreprise (1-10 employés). Aucune idée sur les autres certificats, mais je suppose qu'ils ne sont pas tellement différents.
Même pour une petite entreprise, c'est beaucoup de travail. En fait, cela s'améliore plus vous êtes grand (et plus votre informatique est homogène). Permettez-moi de résumer le processus général:
Pour commencer, ce que vous devez faire est de compiler une liste de votre inventaire complet, de vos employés, de vos processus ... et cetera.
Il existe de nombreux outils gratuits/commerciaux pour vous aider ici. Un outil exemplaire est Verinice , Il existait autrefois quelque chose appelé GSTOOL par l'allemand BSI, maintenant abandonné, mais ils ont une belle liste d'alternatives disponibles ici: https: //www.bsi. bund.de/DE/Themen/ITGrundschutz/GSTOOL/AndereTools/anderetools_node.html .
Lorsque cette liste (en réalité plus comme un graphique) est terminée, vous devez parcourir la liste des éléments, et selon ce qu'est exactement cet élément, la norme vous fournira une liste de contrôle des problèmes. Encore une fois, vous devrez passer par chacun de ces points de contrôle et donner une estimation:
- Des garanties sont-elles en place?
- Pouvons-nous ignorer cela pour une raison quelconque?
- Quelle serait l'étendue des dommages?
- ...
En fin de compte, cela vous laissera probablement un certain nombre de points faibles critiques qui sont trop mauvais pour être ignorés, vous pouvez alors commencer à corriger. Même si vous n'obtenez pas la certification complète, l'ensemble du processus est définitivement une révélation. Enfin, pour recevoir une certification, un auditeur externe verra à travers vos estimations et s'assurera qu'elles sont valides.
Verinice était gratuit et le simple fait de télécharger et de jouer vous donne une très bonne idée de la façon dont cela "fonctionne" en réalité, il y a beaucoup plus que ce qui pourrait s'inscrire dans cette réponse.