Qual è uno standard di sicurezza simile a ISO 27001 con maggiore attenzione alla sicurezza IT? [chiuso]

ISO27k riguarda la "gestione della sicurezza", non la sicurezza stessa. I revisori saranno preoccupati per quello che stai facendo per rispondere ai rischi che hai identificato, se stai davvero facendo quello che stai dicendo, cosa fai quando qualcosa devia da ciò che è stato specificato o a nuovi rischi, e come fai valuta l'efficienza delle tue misure.

Quindi, in sostanza, a loro non importa cosa stai facendo per fermare gli attacchi ddos (se questo è uno dei rischi a cui sei esposto), a patto che tu stia facendo qualcosa, ed è ritenuto abbastanza efficiente da una corretta indicatore.

ISO27k non dirà mai "questa entità è protetta", ma "questa entità gestisce bene la sua sicurezza".

Non stai davvero cercando alternative a ISO27k, ma per qualcosa di completamente diverso. Ci sono molti standard che puoi rispettare a seconda della tua attività.

Viene in mente PCI-DSS come più focalizzato sulle misure pratiche. Vedere link per una panoramica e alcuni collegamenti.

Vorrei qualificare questo suggerimento menzionando che considererei PCI-DSS un buon framework da usare come lista di controllo di cose che dovresti pensare di mettere in atto. Non ho esperienza con la certificazione PCI-DSS e non so che si applicherebbe o sarebbe auspicabile nella tua situazione.

Se la certificazione è un requisito / desiderio, non sono del tutto sicuro di concentrarmi su PCI-DSS.

Come menzionato da @ Purefan , concentrarsi sulla gestione delle vulnerabilità è anche una buona area.

Una parte di tutta la sicurezza è la sicurezza organizzativa (con politiche documentate, processi e procedure che riducono il fattore bus) e la controllabilità (essendo in grado di dimostrare che le misure di sicurezza funzionano come previsto). La sicurezza che si concentra solo sulla sicurezza tecnica, ma ignora le procedure non sono esercizi di sicurezza completi.

Lo stesso ISO 2700x non ti dice quali misure di sicurezza devi prendere perché ogni organizzazione ha esigenze e requisiti unici, mentre le tecniche di mitigazione sono in continua evoluzione. Il framework ISO 2700x ha lo scopo di guidare un'organizzazione a capire i suoi requisiti di sicurezza, la sua propensione al rischio e quindi sviluppare un piano di sicurezza che sia coerente con i requisiti di sicurezza dichiarati e la propensione al rischio.

Essere conformi a ISO 2700x non significa che tu abbia una buona misura di sicurezza sul posto. Tutto ciò che la conformità ISO 2700x ti dice è che l'organizzazione ha preso una decisione consapevole e informata su quali misure adottare o meno per soddisfare le proprie esigenze. Un'organizzazione conforme allo standard ISO 2700x può ancora essere l'azienda più insicura, se nelle valutazioni autonome l'organizzazione decide di accettare enormi rischi e decide di non implementare i controlli.

Se stai cercando linee guida di sicurezza più tecniche, probabilmente vorresti esaminare le pubblicazioni del progetto OWASP. Se gestisci la carta di credito, dovresti esaminare PCI-DSS. Vorresti anche valutare i requisiti di sicurezza delle leggi locali e di eventuali leggi straniere o enti standard del settore che ti aspetti di dover affrontare. Potrebbero avere requisiti relativi alla tenuta dei registri, alla gestione delle PII, ecc. Che dovresti rispettare e talvolta richiedono tecniche di mitigazione specifiche che devi attuare. Inoltre, vorrai tenere il passo con blog e riviste sulla sicurezza. Ti piacerebbe anche giocare con strumenti di test di penetrazione automatici e fare amicizia con pentesters.

Tieni presente che queste guide alla sicurezza non sono complete per la valutazione della sicurezza organizzativa. Queste guide tecniche completano la ISO 2700x, non la sostituiscono.

C'è un ottimo lavoro dal BSI, chiamato "BSI 100-1" Guarda qui .

È sviluppato dall'ufficio federale tedesco per la sicurezza delle informazioni.