Policies ¡& ¡Risk ¡Analysis ¡ CS461/ECE422 ¡ Spring ¡2012 ¡
Readings ¡ • Chapters ¡14 ¡and ¡15 ¡of ¡Computer ¡Security ¡ • Informa(on ¡Security ¡Policies ¡and ¡Procedures , ¡ Thomas ¡PelEer ¡ • Informa(on ¡Security ¡Risk ¡Analysis , ¡by ¡Thomas ¡R. ¡ PelEer ¡ – On ¡reserve ¡at ¡the ¡library ¡ – Chapters ¡1 ¡and ¡2 ¡Google ¡Books ¡ – IdenEfies ¡basic ¡elements ¡of ¡risk ¡analysis ¡and ¡reviews ¡ several ¡variants ¡of ¡qualitaEve ¡approaches ¡ • SANS ¡policy ¡project ¡ – hRp://www.sans.org/resources/policies/ ¡ 2012-‑01-‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡ 2 ¡
Security ¡Policy ¡ • A ¡security ¡policy ¡is ¡a ¡formal ¡statement ¡of ¡the ¡ rules ¡by ¡which ¡people ¡who ¡are ¡given ¡access ¡to ¡ an ¡organizaEon’s ¡technology ¡and ¡informaEon ¡ assets ¡must ¡apply. ¡(RFC ¡2196) ¡ • Defines ¡what ¡it ¡means ¡for ¡the ¡organizaEon ¡to ¡ be ¡in ¡a ¡secure ¡state. ¡ – Otherwise ¡people ¡can ¡claim ¡ignorance. ¡ 2012-‑01-‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡ 3 ¡
Mechanisms ¡or ¡Controls ¡or ¡ ¡ Countermeasures ¡ • EnEty ¡or ¡procedure ¡that ¡enforces ¡some ¡part ¡of ¡ the ¡security ¡policy ¡ – Access ¡controls ¡(like ¡bits ¡to ¡prevent ¡someone ¡from ¡ reading ¡a ¡homework ¡file) ¡ – Disallowing ¡people ¡from ¡bringing ¡CDs ¡and ¡floppy ¡ disks ¡into ¡a ¡computer ¡facility ¡to ¡control ¡what ¡is ¡ placed ¡on ¡systems ¡ 2012-‑01-‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡ 4 ¡
Types ¡of ¡Policies ¡that ¡Affect ¡ InformaEon ¡Security ¡ • Data ¡protecEon ¡ • Privacy ¡ • Email ¡ • Hiring ¡ • Numerous ¡others ¡types ¡of ¡organizaEonal ¡ policies ¡with ¡varying ¡impact ¡on ¡informaEon ¡ security ¡ -‑5 ¡ 2012-‑01-‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡
Natural ¡Language ¡Security ¡Policies ¡ • TargeEng ¡Humans ¡ – WriRen ¡at ¡different ¡levels ¡ • To ¡inform ¡end ¡users ¡ • To ¡inform ¡lawyers ¡ • To ¡inform ¡technicians ¡ • Users, ¡owners, ¡beneficiaries ¡(customers) ¡ • As ¡with ¡all ¡policies, ¡should ¡define ¡purpose ¡not ¡mechanism ¡ – May ¡have ¡addiEonal ¡documents ¡that ¡define ¡how ¡policy ¡maps ¡to ¡ mechanism ¡ • Should ¡be ¡enduring ¡ – Don't ¡want ¡to ¡update ¡with ¡each ¡change ¡to ¡technology ¡ • Shows ¡due ¡diligence ¡on ¡part ¡of ¡the ¡organizaEon ¡ -‑6 ¡ 2012-‑01-‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡
Key ¡Parts ¡of ¡OrganizaEonal ¡Policy ¡ 1. What ¡is ¡being ¡protected? ¡ ¡Why? ¡ 2. Generally ¡how ¡should ¡it ¡be ¡protected? ¡ 3. Who ¡is ¡responsible ¡for ¡ensuring ¡policy ¡is ¡ applied? ¡ 4. How ¡are ¡conflicts ¡and ¡discrepancies ¡to ¡be ¡ interpreted ¡and ¡resolved? ¡ 2012-‑01-‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡ 7 ¡
How ¡to ¡Write ¡a ¡Policy ¡ • Understand ¡your ¡environment ¡ – Risk ¡Analysis ¡(see ¡next ¡lecture) ¡ • Understand ¡your ¡industry ¡ – Look ¡for ¡“standards” ¡from ¡similar ¡companies ¡ – Leverage ¡others ¡wisdom ¡ – Already ¡proven ¡with ¡auditors/regulators ¡ • Standards ¡ • ISO ¡17799 ¡– ¡Code ¡of ¡PracEce ¡for ¡InformaEon ¡Security ¡ Management ¡ • COBIT ¡– ¡Control ¡ObjecEves ¡for ¡InformaEon ¡and ¡Related ¡ Technolgy ¡ • SANS, ¡CERT ¡have ¡policy ¡guidelines ¡ • Gather ¡the ¡right ¡set ¡of ¡people ¡ – Technical ¡experts, ¡person ¡ulEmately ¡responsible, ¡person ¡who ¡ can ¡make ¡it ¡happen ¡ – Not ¡just ¡the ¡security ¡policy ¡“expert” ¡ -‑8 ¡ 2012-‑01-‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡
Security ¡Policy ¡Life ¡Cycle ¡ Risk ¡Analysis ¡ Policy ¡ Reassessment ¡ Development ¡ Policy ¡ Policy ¡ ImplementaEon ¡ Approval ¡ Raising ¡ Awareness ¡ 2012-‑01-‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡ 9 ¡
Security ¡Policy ¡Contents ¡ • Purpose ¡– ¡Why ¡are ¡we ¡trying ¡to ¡secure ¡ things ¡ • IdenEfy ¡protected ¡resources ¡ • Who ¡is ¡responsible ¡for ¡protecEng ¡ ¡ – What ¡kind ¡of ¡protecEon? ¡ ¡Degree ¡but ¡probably ¡ not ¡precise ¡mechanism. ¡ ¡ • Cover ¡all ¡cases ¡ • RealisEc ¡ -‑10 ¡ 2012-‑01-‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡
More ¡Specific ¡Policy ¡Content ¡Ideas ¡ • Principles ¡of ¡Security ¡ • Technical ¡support ¡ • OrganizaEonal ¡ReporEng ¡ • Privacy ¡ Structure ¡ • Access ¡ • Physical ¡Security ¡ • Accountability ¡ • Hiring, ¡management, ¡ • AuthenEcaEon ¡ firing ¡ • Availability ¡ • Data ¡protecEon ¡ • Maintenance ¡ • CommunicaEon ¡security ¡ • ViolaEons ¡reporEng ¡ • Hardware ¡ • Business ¡conEnuity ¡ • Sonware ¡ • SupporEng ¡informaEon ¡ • OperaEng ¡systems ¡ 2012-‑01-‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡ 11 ¡
University ¡of ¡Illinois ¡InformaEon ¡ Security ¡Policies ¡ • University ¡of ¡Illinois ¡InformaEon ¡Security ¡Policies ¡ – System ¡wide ¡policy; ¡IdenEfies ¡what, ¡not ¡how ¡ – hRp://www.obfs.uillinois.edu/cms/one.aspx? pageId=914038 ¡ • CITES ¡UIUC ¡standards ¡and ¡guidelines ¡ – DNS ¡-‑ ¡hRp://www.cites.uiuc.edu/dns/standards.html ¡ – FERPA ¡-‑ ¡ hRp://www.cites.uiuc.edu/edtech/development_aids/ ferpa/index.html ¡ • CS ¡Department ¡policies ¡ • hRps://wiki.engr.illinois.edu/display/tsg/Policies ¡ -‑12 ¡ 2012-‑01-‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡
Example ¡Privacy ¡policies ¡ • Busey ¡Bank ¡ • hRps://www.busey.com/home/fiFiles/staEc/ documents/privacy.pdf ¡ – Financial ¡Privacy ¡Policy ¡ • Targets ¡handling ¡of ¡personal ¡non-‑public ¡data ¡ • Clarifies ¡what ¡data ¡is ¡protected ¡ • Who ¡the ¡data ¡is ¡shared ¡with ¡ -‑13 ¡ 2012-‑01-‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡
Poorly ¡WriRen ¡Policies ¡ Cars.gov ¡– ¡Had ¡following ¡in ¡click-‑through ¡policy ¡ • for ¡dealers ¡ This ¡applicaEon ¡provides ¡access ¡to ¡the ¡[Department ¡of ¡ • TransportaEon] ¡DoT ¡CARS ¡system. ¡When ¡logged ¡on ¡to ¡the ¡CARS ¡ system, ¡your ¡computer ¡is ¡considered ¡a ¡Federal ¡computer ¡system ¡ and ¡is ¡the ¡property ¡of ¡the ¡U.S. ¡Government. ¡Any ¡or ¡all ¡uses ¡of ¡this ¡ system ¡and ¡all ¡files ¡on ¡this ¡system ¡may ¡be ¡intercepted, ¡monitored, ¡ recorded, ¡copied, ¡audited, ¡inspected, ¡and ¡disclosed... ¡to ¡ authorized ¡CARS, ¡DoT, ¡and ¡law ¡enforcement ¡personnel, ¡as ¡well ¡as ¡ authorized ¡officials ¡of ¡other ¡agencies, ¡both ¡domesEc ¡and ¡foreign. ¡ According ¡to ¡ ¡EFF ¡ • hRp://www.eff.org/deeplinks/2009/08/cars-‑gov-‑ – terms-‑service ¡ -‑14 ¡ 2012-‑01-‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡
Example ¡Acceptable ¡Use ¡Policy ¡ • IEEE ¡Email ¡Acceptable ¡Use ¡Policy ¡ ¡ – hRp://eleccomm.ieee.org/email-‑aup.shtml ¡ – Inform ¡user ¡of ¡what ¡he ¡can ¡do ¡with ¡IEEE ¡email ¡ – Inform ¡user ¡of ¡what ¡IEEE ¡will ¡provide ¡ • Does ¡not ¡accept ¡responsibility ¡of ¡acEons ¡resulEng ¡ from ¡user ¡email ¡ • Does ¡not ¡guarantee ¡privacy ¡of ¡IEEE ¡computers ¡and ¡ networks ¡ – Examples ¡of ¡acceptable ¡and ¡unacceptable ¡use ¡ -‑15 ¡ 2012-‑01-‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡
What ¡is ¡Risk? ¡ ¡ • The ¡probability ¡that ¡a ¡parEcular ¡threat ¡will ¡ exploit ¡a ¡parEcular ¡vulnerability ¡ – Not ¡a ¡certainty. ¡ ¡ – Risk ¡impact ¡– ¡loss ¡associated ¡with ¡exploit ¡ • Need ¡to ¡systemaEcally ¡understand ¡risks ¡to ¡a ¡ system ¡and ¡decide ¡how ¡to ¡control ¡them. ¡ 2012-‑01-‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡ Slide ¡#16 ¡
Recommend
More recommend