Dove si trovano alcuni criteri di sicurezza attualmente in uso?

Naviga le tue risposte
12

So che nel web ci sono un sacco di esempi e modelli di policy di sicurezza. Sono curioso di sapere se ci sono politiche di sicurezza che sono effettivamente in uso e ancora pubblicate pubblicamente. So che sono là fuori quindi mi sto informando qui per vedere se qualcun altro ha conoscenza di aziende o organizzazioni che pubblicano queste politiche affinché tutti possano vederle. Se ne conosci qualcuno, ti preghiamo di fornire il link e, ancora meglio, se sai perché è pubblicato pubblicamente che potrebbe saziare perfettamente la mia curiosità in merito.

    
posta James Santiago 29.01.2011 - 13:46
fonte

4 risposte

6

Recentemente ho guardato Yammer's l'altro giorno: pdf

Un paio di altri che ho visto:

MIT

Università di MI

    
risposta data 29.01.2011 - 22:33
fonte
12

Questo può essere visto più come modello che come criterio, ma penso che sia degno di menzione qui.

L'Istituto nazionale degli standard e della tecnologia degli Stati Uniti ha una serie di pubblicazioni speciali (SP) sulla sicurezza dei sistemi di informazione. Queste sono collettivamente chiamate serie 800 , poiché tutte hanno designazioni numeriche che iniziano con 800. Sono usate da alcuni organizzazioni governative, e immagino che alcune corporazioni abbiano adottato anche i concetti.

Forse il più significativo di questi (e il più rilevante per questa domanda) è NIST SP 800-53, "Controlli di sicurezza raccomandati per i sistemi informativi e le organizzazioni federali". Al momento della stesura di questo documento (29 gennaio 2011), la versione più recente di questo documento è Rev. 3 e può essere scaricata in formato PDF qui:

link

Potrei scrivere un intero articolo che descrive cosa è questo documento, come leggerlo e come usarlo. Qui, penso sia sufficiente dire che fornisce una base solida da cui un'organizzazione può costruire un piano di sicurezza per la protezione dei suoi sistemi IT.

    
risposta data 29.01.2011 - 22:33
fonte
7

Molte aziende sono molto preoccupate di pubblicare le loro politiche per ovvi motivi. Il merito di queste ragioni, tuttavia, è fuori discussione. D'altra parte, ho avuto la fortuna di trovare tali politiche nei siti di istruzione.

A causa dell'ambiente specifico all'interno di un istituto di istruzione standard e politiche sono in genere resi disponibili al pubblico. Le ragioni sono molte e variano a seconda della cultura dell'istituzione, ma sono spesso qualcosa sulla falsariga di una nozione inerente di "restituire" alla comunità. In base a questo, puoi trovare un numero significativo di hit utilizzando una ricerca Google standard.

Questi sono alcuni di quelli che ho usato come riferimento negli anni per le loro politiche / standard, o per i tipi di informazioni che rendono disponibili:

risposta data 30.01.2011 - 16:25
fonte
5

Contro:

  • Costo: alcune organizzazioni lo sentono le loro politiche dovrebbero essere loro proprietà intellettuale e come loro costare soldi per lo sviluppo non dovrebbe solo essere dato ad altri
  • Perdita di dati - la politica perde informazioni che possono essere utili a un attaccante? Molte organizzazioni no avere risorse da risparmiare per controllare, quindi prendere la decisione generale da mantenere tutti loro privati

Per:

  • Ambienti condivisi: se disponi di una buona serie di norme, i tuoi clienti, partner, ecc. potrebbero utilizzarli per migliorare la propria sicurezza, portando a un ambiente aziendale più sicuro e apportando benefici indiretti alla tua organizzazione
  • Reputazione - se la tua politica appare molto buona, questo può legarsi a una solida reputazione di sicurezza, che potrebbe dissuadere alcune classi di aggressori che potrebbero mirare a un calo di frutti

Esempi

risposta data 29.01.2011 - 14:58
fonte

Leggi altre domande sui tag

Posso leggere il nome del dominio da HTTPS prima dell'handshake SSL? Perché non premiamo gli utenti che scelgono password forti? [chiuso]