» »

ISO 27001, oddaljeni dostop in RDS

Rotty ::

Pozdravljeni!

Ker imamo pri nas v firmi novo vodstvo, ki je precej osveščeno glede informacijske varnosti, me zanima sledeče...

...naši zaposleni imajo možnost dela na daljavo oz. dela na domu preko RDS (Remote desktop services) in VPN. Glede slednjega in ISO standarda ni velikih problemov, se pa to poraja pri RDS še posebej v točki:

- 11.7 Prenosna računalniška oprema in delo na daljavo:

* zagotavljanje ustrezne opreme in pohištva za shranjevanje za delo na daljavo, kjer ni dovoljena
uporaba zasebne opreme, ki ni pod nadzorom organizacije

Spremni dopis k tej točki:

Prostor, kjer se delo opravlja, mora biti ustrezno zaščiten pred krajo opreme in informacij, nepooblaščenim
razkritjem informacij, pred nepooblaščenim oddaljenim dostopom do notranjih sistemov organizacije ali pred
zlorabo zmogljivosti.

Seveda to leti na dejstvo, da nihče ne bo kontroliral kaj/kje imajo uporabniki doma nameščeno, niti jih ne bo sledil na raznih službenih potovanjih, kjer včasih posegajo po računalnikih, ki imajo naloženo bogsigavedi kakšno navlako. A imate kakšne izkušnje glede ISO 27001 in RDS?

P.S. Ne bomo pa zahtevali certifikacije, samo radi bi sledili standardu, kolikor se pač le da.

BlueRunner ::

ISO 27001 govori o /upravljanju/ z varnostjo, ne o varnosti sami. Varnost tako postane posledica ustreznega upravljanja.

Kako boste konkretno uredili konkretno vprasanje je iz vidika 27001 stvar procesa v katerem opredelite varnostno tveganje, dolocite izravnalne ukrepe in jih dokumentirate. Ce ste vsaj priblizno blizu sledenju tega standarda, potem imate verjetno kje pri roki kaksno tabelo ali pa postopek za ocenjevanje tveganja s katerim se ugotovi kako "globoke" so potem varnostne zahteve pri uporabi te tehnologije.

amigo_no1 ::

Ker imamo pri nas v firmi novo vodstvo, ki je precej osveščeno glede informacijske varnosti, me zanima sledeče...

Če bi bilo temu res tako bi RDP uporabljali samo preko VPN-ja ali ssh-ja.
Sam MS RDP ni ravno nekaj nekaj pretirano varnega (RC4).

BlueRunner ::

amigo_no1 je izjavil:


Če bi bilo temu res tako bi RDP uporabljali samo preko VPN-ja ali ssh-ja.

Aja? Zakaj pa to?

Kot drugo pa... saj RDP ze tako uporabljajo preko VPN.

Zgodovina sprememb…

amigo_no1 ::

dela na domu preko RDS (Remote desktop services) in VPN.

To jaz razumem drugače, se bo moral op izjasniti.

BlueRunner ::

amigo_no1 je izjavil:

dela na domu preko RDS (Remote desktop services) in VPN.

To jaz razumem drugače, se bo moral op izjasniti.

Sicer pa je OP vprasal kako to delati v smeri ISO 27001. Kar potem vse skupaj postavi pod drugacen vprasaj. Po ISO 27001 moras imeti sistem za upravljanje z informacijsko varnostjo, kar pa vkljucuje izbiro konkretnih tehnicnih ali organizacijskih ukrepov sele po tem, ko je ugotovljena stopnja tveganja.

Ce po upostevanju obsega skode in verjetnosti skode (v tem primeru kako verjetno je, da bodo podatki razkriti in kaksno skodo lahko podjetje zaradi tega utrpi), ugotovis, da je ta produkt pod mejo pomembnega, potem lako to samo dokumentiras in navedes, da izravnalni ukrepi niso potrebni.

Ta proces je tisto o cemer govori ISO 27001 v delu, ki je najblizji operativnem delu. Vecina podjetij dela "bass ackwards" in operativa najprej sprejema tehnicne/organizacijske ukrepe, potem pa gleda kako blizo so standardu, ki se s tem ne ukvarja.

Dobra kombinacija je npr. imeti prvine ISO 27001, da se zagotovi vpletenost poslovodstva v zagotavljanje varnosti in konsistenca dela, v kombinaciji z dokumenti dobrih praks, ki so potem osnova za dolocanje izravnalnih ukrepov. Da ni potem tako, da za vsakic znova ugibas za koliko se tveganje razkritja zmanjsa, ce uvedes se dodaten varovalni ukrep.

Rotty ::

Sorry za pozni odgovor...cel dan tekam sem ter tja :)

Ja amigo_no1 ima prav, govora je o RDS in ne protokolu RDP/aplikaciji Remote desktop, kar pomeni da se dostopa na dva načina. RDS imamo zato, ker pri našem delu sodelujejo ljudje z različnih organizacij in imamo tako opravka s kopico IT služb in kopico IT ljudi. To pa prinese različne varnostne politike in tako posledično -n usklajevanj, moledovanj, težav,...
Pri naših zaposlenih, ki imajo službeni prenosnik je VPN način oddaljenega dela, ko pa je govora o občasnem oddaljenem delu zaradi bolniških/porodniških/službenih potovanj/nujnih primerih na dopustu/...je pa RDS način.

Tako je, nas zanima kako to delati v smeri ISO 27001, ker za certifikacijo (dokler to ne bo "must have2 s strani EU) nimamo ne časa, ne ljudi, ne denarja.

Zgodovina sprememb…

  • spremenil: Rotty ()

BlueRunner ::

Rotty je izjavil:


Tako je, nas zanima kako to delati v smeri ISO 27001, ker za certifikacijo (dokler to ne bo "must have2 s strani EU) nimamo ne časa, ne ljudi, ne denarja.

Tvoja vprasanja niso v smeri ISO 27001. Ta standard se ne ukvarja z operativnimi ukrepi, temvec s procesom dolocanja teh ukrepov. Ti pa sprasujes za konkretne operativne ukrepe.

Rotty ::

So pa napisana v smeri aneksa A ISO 27001?

BlueRunner ::

Samo vprasanje oziroma konkreten odgovor na tvoje vprasanje zal ne. To, da vprasanje sploh postavljas, pa potencialno da, zelo verjetno pa ne.

To je bila tudi moja prva tezava, ko sem se srecal z ISO 27001. Neprestano sem ga gledal kot varnostno politiko in ne kot mehanizem ustvarjanja varnostne politike.

Cilj A.11.7 je res to, kar si zapisal, vendar pa ce pogledas kontrolni tocki (A.11.7.1 in A.11.7.2 ali pa tudi katere koli druge), bos videl, da se skladnost meri po tem, da obstaja formalna politika, ne pa po vsebini politike.

Prva in pomembna stvar je, da locis cilje (objective) od kontrolnih tock (control points). Prvo pove k cemu se tezi, drugo pa so dejanski merljivi rezultati, ki se jih preverja.

Kar moras za standard demonstrirati je to, da imas vpeljan proces v katerem se te politike (gledano idealizirano) snujejo, izvajajo, merijo in na koncu, po potrebi, tudi popravljajo. Jedro tega, kako se premikas k skladnosti z ISO 27001, je v 4. poglavju. Tvoje vprasanje je vprasanje, ki se ga tipicno postavlja v tocki g) pri 4.2.1. Samo zato, ker ga postavljas, to se ne pomeni, da se blizas ISO 27001. Sele, ce si to vprasanje postavljas v kontekstu "upravljanja informacijske varnosti", potem se blizas standardu.

Ne vem sicer, ce razumes kaj zelim povedati, vendar pa sem tudi sam potreboval nekaj casa, preden mi je "kliknilo" o cemu se v tem standardu sploh gre. Morda je se najboljsa ilustracija obsega standarda to, da se pri notranji ali zunanji presoji tipicno sploh ne gleda na to katere varnostne ukrepe je podjetje implementiralo. Glede se predvsem oziroma izkljucno na to, ce podjetje ima definirane procese v katerih se politike redno pripravljajo, pregledujejo in izvrsujejo, ter, ce se te procese tudi dejansko izvaja.

Rotty ::

Super! Hvala za razlago...bom jutri še malo pogledal kaj in kako pa se slišimo. Res moram preskočit z razmišljanjem :)

Rupa ::

Za upravljanje tako ali tako potrebuješ čas, ljudi in denar, česar pa, po navedbah OP, nimajo.
Torej bo najprej potreben preskok, ki bo potem tudi zagotovil vse ostale potrebne resurse.

BlueRunner ::

Vprasanje ciljev. Recimo nekaj, kar je IMO dober zacetek za manjsa podjetja, ki se zelijo priblizati ISO 27001, je to, da npr. sprejmejo sklep z dvema tockama:
1) obseg varnostnega nadzora - nek minimum, ki se ga bo na ta nacin obravnavalo. To je zazeljeno, da je nekaj, kar je kljucen vir za delo podjetja, hkrati pa po obsegu cim manjse, da se ne zapletejo takoj v birokracijo. Npr. streznik za poslovno elektronsko posto, ali pa spletni streznik za prodajo, so lahko kandidati za zacetek.
2) sestanek dvakrat letno, kjer "operativci" porocajo "direktorjem" (torej tehnik oz. OP pripravi in predstavi porocilo za direktorja in npr. sefa prodaje) o tem katera so bila ugotovljena tveganja, ter v nadaljevanju dolocijo kako se bo ukrepalo.

To je dejansko dobra vaja iz tega, kaj ISO 27001 dejansko je, in kako ni potrebno zapraviti bogastvo, ce se mu zelis priblizati, ne nacrtujes pa certifikata.

Bistvo je to, da je business gonilo za security. Tehniki ugotavljajo kaksna je verjetnost nekega nezazeljenega dogodka in kaksne so posledice na podatkih, prodajalci pa potem ugotavljajo kaksno skodo bi to potem predstavljajo za podjetje. Oboji skupaj pa potem najdejo nek recept, kjer mozno skoda * verjetnost dogodka spravijo na to, kar je za podjetje poslovno gledano sprejemljivo. Tega ne rabis delati vsak teden ali vsak mesec, moras pa imeti jaseno (pisno) odlocitev, kjer je vodjem in operativcem nalozeno, da morajo to res delati.

Iz taksnega zacetka pa lahko potem stvar raste naprej. Lahko se dodaja nove sisteme, lahko se siri nabor kontrolnih tock.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

HERMES SoftLab - razgovor (strani: 1 2 3 )

Oddelek: Loža
14419002 (5499) Tr0n
»

šola In varnost

Oddelek: Informacijska varnost
322208 (1056) Matthai
»

Glibc bug

Oddelek: Informacijska varnost
291561 (932) Icematxyz
»

Kontrolne točke ISO 27001/27002

Oddelek: Informacijska varnost
71528 (1388) dukenukem

Več podobnih tem