Qual è uno standard di sicurezza simile a ISO 27001 con maggiore attenzione alla sicurezza IT? [chiuso]

11

* Modifica - Le risposte fino ad ora stanno affermando che cos'è ISO 27K e non lo è. Ne siamo consapevoli, tuttavia la percezione di ISO 27K è diversa. Non abbiamo professionisti di infosec, quindi vogliamo solo sapere quali altre opzioni sono disponibili, indipendentemente dall'opinione soggettiva.

Esempio: (Regno Unito) Cyber Essentials Scheme. Ciò richiede l'implementazione di controlli di sicurezza IT essenziali di base, l'autovalutazione e la revisione esterna.

Una domanda simile è stata posta ma senza una risposta soddisfacente. Sfondo completo:

  • Siamo un'azienda di circa 100 persone in alcune sedi globali.
  • Siamo stati certificati esternamente per ISO 27001, abbiamo escluso solo un articolo dalla dichiarazione di applicabilità;
  • Non abbiamo un professionista della sicurezza delle informazioni dedicato.

Siamo diventati piuttosto insoddisfatti dello standard ISO 27K per i seguenti motivi:

  • I valutatori sono troppo concentrati sulla procedura e sulla documentazione piuttosto che sulla sicurezza effettiva
  • Durante le visite esterne non è mai stato chiesto ad alcun consulente in merito alla sicurezza Web e IT effettiva
  • Le infrazioni nella documentazione generano troppe scartoffie oltre a correggere eventuali problemi.
  • Incoerenza nell'approccio da parte di valutatori in diversi paesi
  • La quantità di tempo necessaria per mantenere lo standard diminuisce a causa dell'effettiva sicurezza informatica non richiesta dallo standard come la scansione delle vulnerabilità, la scansione delle porte, la crittografia ecc.

Siamo principalmente un'azienda britannica / statunitense. Vorremmo uno standard di sicurezza maggiormente incentrato sull'IT riconosciuto in quelle località. L'unico vero driver per il nostro standard ISO è il suo appeal e riconoscimento per i nostri clienti. Tutte le opinioni sono benvenute

    
posta user2514224 07.03.2017 - 13:18
fonte

4 risposte

17

ISO27k riguarda la "gestione della sicurezza", non la sicurezza stessa. I revisori saranno preoccupati per quello che stai facendo per rispondere ai rischi che hai identificato, se stai davvero facendo quello che stai dicendo, cosa fai quando qualcosa devia da ciò che è stato specificato o a nuovi rischi, e come fai valuta l'efficienza delle tue misure.

Quindi, in sostanza, a loro non importa cosa stai facendo per fermare gli attacchi ddos (se questo è uno dei rischi a cui sei esposto), a patto che tu stia facendo qualcosa, ed è ritenuto abbastanza efficiente da una corretta indicatore.

ISO27k non dirà mai "questa entità è protetta", ma "questa entità gestisce bene la sua sicurezza".

Non stai davvero cercando alternative a ISO27k, ma per qualcosa di completamente diverso. Ci sono molti standard che puoi rispettare a seconda della tua attività.

    
risposta data 07.03.2017 - 14:21
fonte
1

Viene in mente PCI-DSS come più focalizzato sulle misure pratiche. Vedere link per una panoramica e alcuni collegamenti.

Vorrei qualificare questo suggerimento menzionando che considererei PCI-DSS un buon framework da usare come lista di controllo di cose che dovresti pensare di mettere in atto. Non ho esperienza con la certificazione PCI-DSS e non so che si applicherebbe o sarebbe auspicabile nella tua situazione.

Se la certificazione è un requisito / desiderio, non sono del tutto sicuro di concentrarmi su PCI-DSS.

Come menzionato da @ Purefan , concentrarsi sulla gestione delle vulnerabilità è anche una buona area.

    
risposta data 07.03.2017 - 14:23
fonte
1

Una parte di tutta la sicurezza è la sicurezza organizzativa (con politiche documentate, processi e procedure che riducono il fattore bus) e la controllabilità (essendo in grado di dimostrare che le misure di sicurezza funzionano come previsto). La sicurezza che si concentra solo sulla sicurezza tecnica, ma ignora le procedure non sono esercizi di sicurezza completi.

Lo stesso ISO 2700x non ti dice quali misure di sicurezza devi prendere perché ogni organizzazione ha esigenze e requisiti unici, mentre le tecniche di mitigazione sono in continua evoluzione. Il framework ISO 2700x ha lo scopo di guidare un'organizzazione a capire i suoi requisiti di sicurezza, la sua propensione al rischio e quindi sviluppare un piano di sicurezza che sia coerente con i requisiti di sicurezza dichiarati e la propensione al rischio.

Essere conformi a ISO 2700x non significa che tu abbia una buona misura di sicurezza sul posto. Tutto ciò che la conformità ISO 2700x ti dice è che l'organizzazione ha preso una decisione consapevole e informata su quali misure adottare o meno per soddisfare le proprie esigenze. Un'organizzazione conforme allo standard ISO 2700x può ancora essere l'azienda più insicura, se nelle valutazioni autonome l'organizzazione decide di accettare enormi rischi e decide di non implementare i controlli.

Se stai cercando linee guida di sicurezza più tecniche, probabilmente vorresti esaminare le pubblicazioni del progetto OWASP. Se gestisci la carta di credito, dovresti esaminare PCI-DSS. Vorresti anche valutare i requisiti di sicurezza delle leggi locali e di eventuali leggi straniere o enti standard del settore che ti aspetti di dover affrontare. Potrebbero avere requisiti relativi alla tenuta dei registri, alla gestione delle PII, ecc. Che dovresti rispettare e talvolta richiedono tecniche di mitigazione specifiche che devi attuare. Inoltre, vorrai tenere il passo con blog e riviste sulla sicurezza. Ti piacerebbe anche giocare con strumenti di test di penetrazione automatici e fare amicizia con pentesters.

Tieni presente che queste guide alla sicurezza non sono complete per la valutazione della sicurezza organizzativa. Queste guide tecniche completano la ISO 2700x, non la sostituiscono.

    
risposta data 07.03.2017 - 14:26
fonte
-1

C'è un ottimo lavoro dal BSI, chiamato "BSI 100-1" Guarda qui .

È sviluppato dall'ufficio federale tedesco per la sicurezza delle informazioni.

    
risposta data 07.03.2017 - 16:47
fonte

Leggi altre domande sui tag