Nel corso degli anni ho utilizzato una serie di diverse fonti di guida alla configurazione della sicurezza per uno spettro di sistemi, tra cui ad esempio:
Dato che ci sono così tante fonti diverse, nel tentativo di sfoltire lo spazio delle opzioni, le seguenti regole hanno senso?
-
In primo luogo, segui la direzione del governo;
-
In secondo luogo, in assenza della direzione del governo, seguire le raccomandazioni del produttore;
-
In terzo luogo, in assenza di una raccomandazione del produttore, seguire le raccomandazioni delle migliori prassi (ad es. CIS).
Ma dal momento che più autorità di best practice forniscono consigli di indurimento alternativo per lo stesso sistema, esistono criteri per preferire un'autorità di migliore pratica rispetto ad un'altra (ad esempio CIS o Stig)?
PS Non riesco a capire se la funzione di Information Assurance della NSA stia ancora fornendo questo tipo di orientamento - sono ancora in affari per farlo?