Standard certificabili per la sicurezza del server, oltre a PCI-DSS?

7

Il Standard per la sicurezza dei dati dell'industria delle carte di pagamento è ampiamente utilizzato nel settore finanziario e sembra essere un utile requisito dal punto di vista di un potenziale cliente (vedi anche La conformità PCI è davvero ridurre i rischi e migliorare la sicurezza? ). Ma come indicato su PCI DSS è applicabile ad altre soluzioni rispetto a quelle che si occupano di carte di pagamento? è incentrato sulla protezione di cose come i numeri delle carte di credito ("numeri di conto principale").

Esistono standard e certificazioni di server correlate che sono più adatte per es. siti web che contengono una varietà di informazioni personali sensibili che non sono finanziarie (ad es. siti di social network) o siti governativi o militari o siti che pubblicano elezioni private o pubbliche?

Aggiornamento : per chiarire, so che molte altre domande su questo sito riguardano elenchi di linee guida più generali che sono utili ai dipartimenti IT e agli sviluppatori quando affrontano la sicurezza dei loro siti, e io Non sto cercando più di quelli. Sto ponendo questa domanda dal punto di vista di un estraneo - un potenziale cliente, un membro fidato o un partner di un sito web, e sto cercando degli standard a cui il cliente potrebbe richiedere la conformità. Idealmente lo standard verrebbe fornito con una nozione relativamente formale di chi è qualificato per giudicare la conformità con esso. E mi chiedo se richiedere PCI-DSS sia appropriato per i tipi di siti Web che ho menzionato, assumendo che in realtà non gestiscono alcun "numero di conto principale" finanziario.

Sono anche solidale con il sentimento che la risposta potrebbe essere solo "No" - che gli sforzi per stabilire regole certificabili per un caso generale stanno semplicemente prendendo l'approccio sbagliato e che tali standard sono solo ha senso per determinati tipi di siti molto specifici. Puntatori a prove o opinioni ben precise di questo tipo sarebbero utili in quel caso.

This question was IT Security Question of the Week.
Read the Nov 11, 2011 blog entry for more details or submit your own Question of the Week.

    
posta nealmcb 04.09.2011 - 19:31
fonte

3 risposte

7

Non è proprio una "certificazione", ma ci sono molti standard di configurazione di base per la sicurezza disponibili ..

Alcuni esempi per iniziare sono:

Centro per la sicurezza di Internet (CIS)

L'Istituto nazionale degli standard e della tecnologia (NIST) csrc.nist.gov/publications/PubsSPs.html

NSA

Spesso il fornitore della tecnologia o dell'applicazione fornisce anche indicazioni e pratiche specifiche di blocco della sicurezza. Ad esempio, Microsoft offre tonnellate di documenti che vanno dalla modellazione delle minacce alle pratiche di auditing per proteggere la configurazione.

Alcuni strumenti di valutazione delle vulnerabilità controlleranno la tua configurazione rispetto a questi modelli. Ma nota, come i benchmark PCI, potrebbe non coprire tutte le indicazioni fornite.

Personalmente, in passato ho preferito il Center for Internet Security (CIS).

    
risposta data 04.09.2011 - 21:20
fonte
4

È un vero e proprio "grab-bag", e sicuramente non è un elenco completo.

    
risposta data 04.09.2011 - 21:54
fonte
4

L'ISF ha un Standard of Good Practice che è pubblicamente disponibile ed è esattamente ciò che sembra: buone pratiche razionali in materia di sicurezza.

    
risposta data 07.09.2011 - 12:21
fonte

Leggi altre domande sui tag