こんばんわ
投稿お久ですw
CNDの学習をしていきます!
本日は、「セキュリティポリシーの設計と作成」について学んでいきたいと思います。
セキュリティポリシーについて
セキュリティポリシーとは、組織の理想的な情報セキュリティの状態にするための計画、プロセス、手続き、標準、ガイドラインを文書化したものです。
優れたセキュリティポリシーは以下の特徴があります。
・簡潔で明確
・使いやすく、手続きが容易
・経済的に妥当
・現実的で一貫性がある
・法的順守
・基準・規格と規制に基づいている
ポリシー作成・実装の手順
以下の手順でポリシーを作成していきます!
1 リスク評価からリスクを特定
2 標準のガイドラインを参照
3 ポリシー作成に管理者や他スタッフ等を巻き込む
4 罰則を規定し、施行する
5 組織全体に最終版を公開する
6 スタッフ全員がポリシーに署名し、理解しているか確認
7 ポリシーの徹底のためのツールを導入する
8 従業員の訓練、教育を行う
9 定期的にレビューして更新する
情報セキュリティポリシーのタイプ
ポリシーのタイプには主に3つあります!
EISP
組織の範囲を決定づけ、ポリシーの方向を示します。
ISSP
ガイドラインを利用し、テクノロジーベースのシステム使用法について対象者を導きます。
SSSP
システム構成や維持する際にユーザを導きます。
それぞれのポリシー
一概にポリシーといっても、色々な箇所に対するポリシーがあります!
そう簡単なものではないんですね~
下記にまとめていきます
インターネットアクセスポリシー
プロミスキャスポリシー
制限なし
許容ポリシー
既知の危険なサービスや攻撃をブロックします
パラノイドポリシー
すべてをブロックします
慎重のポリシー
必要最低限の許容範囲という最大のセキュリティを提供します
他にもそれぞれのポリシーがあります!
名前の通りのものの取り組みをまとめたものなので、説明は省きます!
・ユーザ利用ポリシー
・ユーザアカウントポリシー
・リモートアクセスポリシー
・情報保護ポリシー
・ファイアウォール管理ポリシー
・特別アクセスポリシー
・ネットワーク接続ポリシー
・ビジネスパートナーポリシー
・電子メールセキュリティポリシー
・パスワードポリシー
・物理セキュリティポリシー
・情報システムセキュリティポリシー
・BYODポリシー
⇒自分のスマホを業務で使うとりまとめ
・ソフトウェア/アプリケーションセキュリティポリシー
・データバックアップポリシー
・機密データポリシー
・データ分類ポリシー
・インターネット使用ポリシー
・サーバポリシー
・ワイヤレスネットワークポリシー
・ユーザアクセス制御ポリシー
・スイッチセキュリティポリシー
・IDS/IPSポリシー
⇒ネットワークの侵入検知と防止に関するとりまとめ
・暗号化ポリシー
・ルータポリシー
まとめ
ここまでにさせていただきます!
本当に長かったですね~それだけ濃かったということで。。
ポリシーは個人的に考えるとそこまで意識するものでないと思うのですが、組織になると必須のものとなりますので知っておいて損はないかと!
ここまで読んでいただきありがとうございました。