la sicurezza del sistema ha bisogno di classificazione

3

Sto lavorando su un modo per classificare i nostri sistemi (tutto ciò che è raggiungibile tramite ip) su quanto sarebbe male e quanto è possibile che qualcuno possa ottenere accesso non autorizzato usando gli exploit.

Lo faccio per determinare quanto sono profondo e con quale frequenza sto andando a controllarli con scanner di vulnerabilità come OpenVAS.

Finora ho i seguenti criteri:

  • Ci sono credenziali in chiaro sul sistema o file interessati che possono essere decifrati facilmente per ottenere l'accesso ad altri sistemi?
  • Gli utenti del sistema interessato dispongono di diritti speciali per connettersi e autenticarsi su altri sistemi?
  • Sono presenti dati personali sul sistema?
  • La perdita del sistema interessa anche altri sistemi che fanno affidamento su di esso?
  • È costoso in termini di tempo o denaro sostituire il sistema se un utente malintenzionato lo distrugge o lo rende inutile (Software)?
  • È produttivo o solo un sistema demo / test?
  • Solo un dipartimento è interessato alla perdita temporale del sistema o a più di uno?
  • Il reparto interessato si affida invariabilmente al sistema o è possibile mantenere l'operabilità in breve tempo senza il sistema?
  • La configurazione e il software sul sistema cambiano spesso, quindi è più probabile che si verifichino errori di configurazione o che nuove vulnerabilità vengano corrette nel sistema?
  • È un sistema fisico o una macchina virtuale?

Apprezzerei se qualcuno avesse un punto o due da aggiungere o se ci fosse già uno standard per classificare i sistemi in questo modo.

    
posta 24.04.2017 - 14:14
fonte

1 risposta

2

Sembra che tu stia cercando un po 'di ciò che è coperto nel CERT-RMM.

link

Sospetto che l'ambito del modello di gestione della resilienza possa superare il tuo progetto corrente ma l'obiettivo che descrivi sembra essere in parte lungo il percorso di ciò che codifica RMM. Un altro vantaggio tangenziale è che puoi indicare il lavoro che stai facendo seguendo un sistema documentato e promulgato.

    
risposta data 03.05.2017 - 19:49
fonte

Leggi altre domande sui tag