Sicurezza domestica "datacenter", dove e cosa cercare?

Naviga le tue risposte
4

Questa è una domanda per saperne di più sulla gestione della sicurezza e sulla sicurezza fisica.

Gestisco una piccola sala server nel seminterrato di casa, principalmente come banco di prova per gli attacchi che non voglio provare su host live e per lo sviluppo. Sono più un apprendimento facendo una persona, quindi voglio massimizzare la sicurezza della mia stanza nel seminterrato e, se possibile, certificarlo .

Cosa c'è già:

  • Tastiera / porta di sicurezza
  • CCTV
  • Strong Firewall

Ora vorrei documentarlo e attuare alcuni controlli ricorrenti. Dove posso trovare alcuni documenti / helpers da leggere su politiche di sicurezza e sicurezza fisica sufficientemente flessibili da essere applicate a questa situazione?

EDIT : per chiarire un po ', si tratta di HOW e cosa per documentare sulla politica di sicurezza. E in un secondo momento desidero che la mia documentazione aderisca ad uno standard, quindi potrei eventualmente convincere qualcuno a certificarlo (in teoria). So già come bloccare una porta; -)

    
posta Peter Meyer 19.03.2012 - 17:44
fonte

2 risposte

2

Penso che la prima cosa che dovresti documentare, nel tuo caso, sia il tuo modello di minaccia.
Cioè, quali minacce stai difendendo, quali rischi sei preoccupato, qual è il tuo profilo di sicurezza, ecc.

Dato che non hai bisogno di una grande documentazione aziendale, in questo modo sarebbe molto più semplice, per poi documentare la mappatura tra minacce / rischi e la mitigazione implementata.
Una volta che stai documentando le contromisure (come mappate alle minacce e ai rischi), dovresti inserire solo la quantità di dettagli rilevanti, cioè i dettagli che sono importanti per la mitigazione e il livello di sicurezza previsto .

Come ha detto @Jeff in un commento, a meno che non ci manchi qualcosa, non c'è davvero bisogno di ottenere la certificazione esterna.
Scrivi solo le cose cattive e come lo stai impedendo.

    
risposta data 20.03.2012 - 13:24
fonte
2

Se fossi io creerei un foglio di calcolo con 2 colonne in esso con il primo che definisce il pezzo di sicurezza Ex. • Tastiera / Sportello di sicurezza • CCTV • Strong Firewall e nella seconda colonna eseguire il backup perché gli elementi elencati nella prima colonna sono considerati sicuri. Ad esempio CCTV | Il sistema TVCC registra le riprese a livello locale e invia anche avvisi in tempo reale al numero X di indirizzi e-mail e uno di questi è sul mio smartphone personale, quindi verrei avvisato immediatamente. In secondo luogo, se l'alimentazione viene interrotta sul dispositivo, viene alimentata da un dispositivo di backup della batteria che eseguirà il caricamento fino a XX: XX del tempo di registrazione con la sola alimentazione della batteria. Terzo, il sistema ha due diverse connessioni a Internet tramite due reti separate una cablata e la seconda tramite un WiFi separato 4G o Neighbors (con autorizzazione).

Le possibilità sono infinite ma quando provo a vendere una soluzione a un cliente è molto facile organizzare un foglio di calcolo a 2 colonne che ne delinea i benefici. (Pensa a causa ed effetto) L'elemento A fornisce questa soluzione, l'articolo B fornisce quel vantaggio ecc. Per quanto riguarda la certificazione, non so dove indirizzarti, tuttavia c'è una scappatoia a questo. La certificazione significa semplicemente che una terza parte di un certo tipo afferma che la tua configurazione è ciò che tu rivendichi. È possibile trovare o creare un'entità che faccia ciò e creare un tipo di certificato da mostrare ai propri amici o clienti. Si consiglia di prendere in considerazione la possibilità di consultare un avvocato se questo è il percorso che si desidera intraprendere. Se disponi di uno Scudo legale / legale prepagato, puoi chiamarli per una consulenza gratuita sotto il titolo 1 dei tuoi vantaggi e sarebbero in grado di dirti la legittimità del processo di "certificazione".

    
risposta data 20.03.2012 - 00:16
fonte

Leggi altre domande sui tag

Quali sono le migliori linee guida per il controllo dell'IT per Red Hat Linux 5.x +, compresa la protezione dei dati critici? Può formattare l'exploit di stringa bypassare la protezione PaX?