Lors de la rédaction des politiques de sécurité prenez-vous en considération de l'utilisateur (peut-être des fournisseurs) capacité/capacité de remplir certains mandats dans les politiques ou voulez-vous strictement les faire respecter, peu importe quoi?Je pose cette question parce que je suis frappé avec ce dilemme comme certaines des déclarations élaborées sont un rigoureux bits (par exemple, régler la longueur du mot de passe minimum de 12 ou plus, etc.) et je crains que celui qui appliquent mes déclarations politiques devraient être incapable d'atteindre à ce moment (ils pourraient être petits fournisseurs/utilisateurs qui ne sont pas très bonnes installations de sécurité, etc.).Mettre à jour:Je suis désolé pour la confusion. Ma politique peut (ou non) comportent une partie sur la sous-traitance à ce moment-ci, car il est seulement un projet. La question que je posais est de savoir si nous créons une politique basée sur ce que les utilisateurs/vendeurs peuvent réaliser ou nous ne fondamentalement pas donner un coup de klaxon et en faire une politique stricte de faire respecter, car après tout, il est la sécurité que nous parlons. Et si c'est un système critique, d'autant plus que nous devons laisser aucune exception. Pratiquement un " tout doit le faire, je ne me soucie pas. " Mentalité. Qui va se blâmer quand les choses se passent? L'équipe de sûreté?

Pour citer <a href="https://security.stackexchange.com/users/33/avid">Avid</a> à ce sujet:<blockquote> La sécurité au détriment de la convivialité vient au détriment de la sécurité </blockquote>Si vous faites trop de difficulté à remplir une politique de sécurité, les gens l'ignoreront ou rechercheront des échappatoires et des solutions de contournement qui le remplissent à la lettre mais pas à l'esprit. Donc, vous atteindrez le contraire de ce que vous avez voulu et affaiblirez la sécurité.Une politique de sécurité devrait-elle:<ul> <li>Avoir le but de rendre les personnes sensibles aux problèmes au lieu d'appliquer des solutions.</li> <li>Encouragez les gens à assumer la responsabilité de maintenir une bonne sécurité au lieu d'aveuglément après des instructions.</li> <li>Soyez principalement des politiques et non des politiques, afin que les gens puissent diverger quand ils ont une bonne raison.</li> <li>Trouvez un compromis raisonnable entre la sécurité et la convivialité.</li> </ul> anecdote: Je suis ami de la mine a travaillé dans une équipe de maintenir un système avec une stratégie de mot de passe très stricte. Non seulement cela lui imposait non seulement les modifications de mot de passe régulières, une longueur minimale et l'utilisation de nombres, de minuscules, de caractères majuscules et spéciaux, il a également eu un ensemble de règles longs qui avaient l'intention de prévenir les mots de passe d'être trop similaires à la précédente mots de passe. Le résultat était que vous pouviez généralement trouver des papiers dans les bacs ou que vous avez jumelé autour du bureau où les gens ont essayé de construire des mots de passe pour s'adapter à ces politiques strictes. Grâce à la stratégie de mot de passe, il aurait été ridiculement facile d'obtenir des mots de passe à travers la plongée.

La réponse dépend de la raison pour laquelle vous pensez même à définir une limite de 12 caractères.Si c'est parce que le système est connu pour être trivial pour attaquer avec des mots de passe à 11 caractères et qu'il est avéré être informellement infaisable d'attaquer avec des mots de passe de 12 caractères et des ressources de calcul prévisibles de la planète, vous en faites une exigence absolue. Toute personne qui ne peut ou ne mettra pas en œuvre cette limite ne répond tout simplement pas à votre politique de sécurité, et c'est ça. Les conséquences pour eux pourraient être vraiment mauvaises (elles ne peuvent pas vendre leur produit), elles pourraient être gérables ou absolument insignifiantes (elles utilisent un système différent qui repose sur sa sécurité sur autre chose que des limites de 12 caractères et a donc une politique différente. ), mais ces conséquences sont justifiées.Si vous définissez une limite de 12 caractères, car vous n'avez aucune idée de la limite que vous devriez définir, et 6 est une sorte d'ok, mais pas assez pour toujours, vous l'avez doublé, alors vous devez en effet tenir compte de ce qui est pratique à mettre en œuvre. Vraisemblablement, vous voulez que les gens utilisent votre politique (préférence à: S'ils sont un employé à obtenir un emploi qui ne les conduis pas insensé avec des exigences impossibles; s'ils sont le PDG à l'ignorant et achète quelque chose qui ne rencontre aucune partie de votre police; s'ils sont un fournisseur qui trouve un autre client ou doubler leurs prix pour couvrir les efforts supplémentaires). Donc, si la police contient des exigences arbitraires et onéreuses, vous risquez inutilement ces choses.En pratique, vous êtes quelque part entre ces deux extrêmes. Mais une fois que vous savez pourquoi vous faites l'exigence, vous pouvez décider:<ul> <li>c'est une exigence difficile. Tout ce qui ne répond pas ne correspond pas à la politique.</li> <li>c'est une recommandation que vous croyez être réalisable et vous expliquez les conséquences de ne pas la satisfaire.</li> <li>c'est à moitié cuit. Vous devez faire plus de travail pour établir l'exigence avant de définir la politique.</li> </ul>Considérer également l'objectif de la politique. Si l'objet de l'exercice est de s'assurer que vous n'utilisez pas de fournisseurs avec des configurations de sécurité médiocres ou moyennes, alors à l'exclusion des fournisseurs qui n'ont pas de bonnes configurations de sécurité, que ce soit en raison de leur petite taille ou non, est un avantage d'une exigence qui ne peut être satisfaite que par celles ayant une bonne sécurité. La politique est là pour guider les gens, il est également là pour exclure les personnes qui ne peuvent pas y rencontrer.<blockquote> Qui va se faire blâmer quand les choses se passent? L'équipe de sécurité est-elle juste? </blockquote>Oui, et il y a deux façons que votre police puisse échouer et vous fera blâmer. Cela peut inclure quelqu'un qui, avec le recul, vous vous rendez compte qu'il aurait dû être exclu et vous êtes blâmé pour une violation de sécurité. Il peut exclure quelqu'un qui, avec le recul, vous réalisez que cela aurait dû être inclus, et vous vous êtes blâmé d'obstruer les affaires de la société. Un système critique coupe les deux manières - vous ne voulez pas que ce soit peu sûr, et vous aussi Vous ne voulez jamais qu'il ne soit jamais construit car il est trop difficile de répondre à la politique. Votre travail consiste à trouver quelque chose qui est à la fois adéquat et réalisable (ou si vous ne pouvez pas faire cela, du moins d'expliquer pourquoi de manière à ce que quelqu'un d'autre puisse s'impliquer dans la modification des contraintes que vous travaillez).Une violation de la sécurité massive est mauvaise, mais si elle était intrinsèquement pire que les sociétés d'insolvabilité "jouer en sécurité" par (par exemple) n'attachent jamais quoi que ce soit sur Internet en premier lieu et tout gâte. Pour des raisons évidentes, ce n'est pas ce qu'ils choisissent de faire. Les dispositions de la politique doivent donc être justifiées et les justifications doivent être disponibles pour examen plus tard, de manière à ce que même si quelque chose ne va pas, ils sembleront toujours des décisions raisonnablement bonnes données à ce que l'on sait au moment où vous les avez fait.

Dilemme de mandat de la politique

Lors de la rédaction des politiques de sécurité prenez-vous en considération de l'utilisateur (peut-être des fournisseurs) capacité/capacité de remplir certains mandats dans les politiques ou voulez-vous strictement les faire respecter, peu importe quoi?

Je pose cette question parce que je suis frappé avec ce dilemme comme certaines des déclarations élaborées sont un rigoureux bits (par exemple, régler la longueur du mot de passe minimum de 12 ou plus, etc.) et je crains que celui qui appliquent mes déclarations politiques devraient être incapable d'atteindre à ce moment (ils pourraient être petits fournisseurs/utilisateurs qui ne sont pas très bonnes installations de sécurité, etc.).

Mettre à jour:

Je suis désolé pour la confusion. Ma politique peut (ou non) comportent une partie sur la sous-traitance à ce moment-ci, car il est seulement un projet. La question que je posais est de savoir si nous créons une politique basée sur ce que les utilisateurs/vendeurs peuvent réaliser ou nous ne fondamentalement pas donner un coup de klaxon et en faire une politique stricte de faire respecter, car après tout, il est la sécurité que nous parlons. Et si c'est un système critique, d'autant plus que nous devons laisser aucune exception. Pratiquement un " tout doit le faire, je ne me soucie pas. " Mentalité. Qui va se blâmer quand les choses se passent? L'équipe de sûreté?

corporate-policystandards

4 janv. 2016Pang Ser Lark

Pour citer Avid à ce sujet:

La sécurité au détriment de la convivialité vient au détriment de la sécurité

Si vous faites trop de difficulté à remplir une politique de sécurité, les gens l'ignoreront ou rechercheront des échappatoires et des solutions de contournement qui le remplissent à la lettre mais pas à l'esprit. Donc, vous atteindrez le contraire de ce que vous avez voulu et affaiblirez la sécurité.

Une politique de sécurité devrait-elle:

Avoir le but de rendre les personnes sensibles aux problèmes au lieu d'appliquer des solutions.
Encouragez les gens à assumer la responsabilité de maintenir une bonne sécurité au lieu d'aveuglément après des instructions.
Soyez principalement des politiques et non des politiques, afin que les gens puissent diverger quand ils ont une bonne raison.
Trouvez un compromis raisonnable entre la sécurité et la convivialité.

anecdote: Je suis ami de la mine a travaillé dans une équipe de maintenir un système avec une stratégie de mot de passe très stricte. Non seulement cela lui imposait non seulement les modifications de mot de passe régulières, une longueur minimale et l'utilisation de nombres, de minuscules, de caractères majuscules et spéciaux, il a également eu un ensemble de règles longs qui avaient l'intention de prévenir les mots de passe d'être trop similaires à la précédente mots de passe. Le résultat était que vous pouviez généralement trouver des papiers dans les bacs ou que vous avez jumelé autour du bureau où les gens ont essayé de construire des mots de passe pour s'adapter à ces politiques strictes. Grâce à la stratégie de mot de passe, il aurait été ridiculement facile d'obtenir des mots de passe à travers la plongée.

4 janv. 2016Philipp

La réponse dépend de la raison pour laquelle vous pensez même à définir une limite de 12 caractères.

Si c'est parce que le système est connu pour être trivial pour attaquer avec des mots de passe à 11 caractères et qu'il est avéré être informellement infaisable d'attaquer avec des mots de passe de 12 caractères et des ressources de calcul prévisibles de la planète, vous en faites une exigence absolue. Toute personne qui ne peut ou ne mettra pas en œuvre cette limite ne répond tout simplement pas à votre politique de sécurité, et c'est ça. Les conséquences pour eux pourraient être vraiment mauvaises (elles ne peuvent pas vendre leur produit), elles pourraient être gérables ou absolument insignifiantes (elles utilisent un système différent qui repose sur sa sécurité sur autre chose que des limites de 12 caractères et a donc une politique différente. ), mais ces conséquences sont justifiées.

Si vous définissez une limite de 12 caractères, car vous n'avez aucune idée de la limite que vous devriez définir, et 6 est une sorte d'ok, mais pas assez pour toujours, vous l'avez doublé, alors vous devez en effet tenir compte de ce qui est pratique à mettre en œuvre. Vraisemblablement, vous voulez que les gens utilisent votre politique (préférence à: S'ils sont un employé à obtenir un emploi qui ne les conduis pas insensé avec des exigences impossibles; s'ils sont le PDG à l'ignorant et achète quelque chose qui ne rencontre aucune partie de votre police; s'ils sont un fournisseur qui trouve un autre client ou doubler leurs prix pour couvrir les efforts supplémentaires). Donc, si la police contient des exigences arbitraires et onéreuses, vous risquez inutilement ces choses.

En pratique, vous êtes quelque part entre ces deux extrêmes. Mais une fois que vous savez pourquoi vous faites l'exigence, vous pouvez décider:

c'est une exigence difficile. Tout ce qui ne répond pas ne correspond pas à la politique.
c'est une recommandation que vous croyez être réalisable et vous expliquez les conséquences de ne pas la satisfaire.
c'est à moitié cuit. Vous devez faire plus de travail pour établir l'exigence avant de définir la politique.

Considérer également l'objectif de la politique. Si l'objet de l'exercice est de s'assurer que vous n'utilisez pas de fournisseurs avec des configurations de sécurité médiocres ou moyennes, alors à l'exclusion des fournisseurs qui n'ont pas de bonnes configurations de sécurité, que ce soit en raison de leur petite taille ou non, est un avantage d'une exigence qui ne peut être satisfaite que par celles ayant une bonne sécurité. La politique est là pour guider les gens, il est également là pour exclure les personnes qui ne peuvent pas y rencontrer.

Qui va se faire blâmer quand les choses se passent? L'équipe de sécurité est-elle juste?

Oui, et il y a deux façons que votre police puisse échouer et vous fera blâmer. Cela peut inclure quelqu'un qui, avec le recul, vous vous rendez compte qu'il aurait dû être exclu et vous êtes blâmé pour une violation de sécurité. Il peut exclure quelqu'un qui, avec le recul, vous réalisez que cela aurait dû être inclus, et vous vous êtes blâmé d'obstruer les affaires de la société. Un système critique coupe les deux manières - vous ne voulez pas que ce soit peu sûr, et vous aussi Vous ne voulez jamais qu'il ne soit jamais construit car il est trop difficile de répondre à la politique. Votre travail consiste à trouver quelque chose qui est à la fois adéquat et réalisable (ou si vous ne pouvez pas faire cela, du moins d'expliquer pourquoi de manière à ce que quelqu'un d'autre puisse s'impliquer dans la modification des contraintes que vous travaillez).

Une violation de la sécurité massive est mauvaise, mais si elle était intrinsèquement pire que les sociétés d'insolvabilité "jouer en sécurité" par (par exemple) n'attachent jamais quoi que ce soit sur Internet en premier lieu et tout gâte. Pour des raisons évidentes, ce n'est pas ce qu'ils choisissent de faire. Les dispositions de la politique doivent donc être justifiées et les justifications doivent être disponibles pour examen plus tard, de manière à ce que même si quelque chose ne va pas, ils sembleront toujours des décisions raisonnablement bonnes données à ce que l'on sait au moment où vous les avez fait.

4 janv. 2016Steve Jessop