it-swarm.com.de

Was ist ein ähnlicher Sicherheitsstandard wie ISO 27001 mit mehr Fokus auf IT-Sicherheit?

* Bearbeiten - In den bisherigen Antworten wird erneut angegeben, was ISO 27K ist und was nicht. Wir sind uns dessen bewusst, jedoch ist die Wahrnehmung von ISO 27K anders. Wir haben keine Infosec-Experten, deshalb möchten wir nur wissen, welche anderen Optionen es gibt, unabhängig von der subjektiven Meinung.

Beispiel: (UK) Cyber ​​Essentials Scheme. Dies erfordert die Implementierung grundlegender grundlegender IT-Sicherheitskontrollen, Selbsteinschätzung und externer Überprüfung.

Eine ähnliche Frage wurde gestellt, jedoch ohne zufriedenstellende Antwort. Voller Hintergrund:

  • Wir sind ein Unternehmen mit rund 100 Mitarbeitern an einigen Standorten weltweit.
  • Wir sind extern nach ISO 27001 zertifiziert und haben nur einen Punkt aus der Anwendbarkeitserklärung ausgeschlossen.
  • Wir haben keinen engagierten Informationssicherheitsfachmann.

Wir sind aus folgenden Gründen mit der Norm ISO 27K ziemlich unzufrieden geworden:

  • Die Prüfer konzentrieren sich zu sehr auf Verfahren und Dokumentation als auf die tatsächliche Sicherheit
  • Zu keinem Zeitpunkt während eines externen Besuchs hat ein Prüfer nach der tatsächlichen Web- und IT-Sicherheit gefragt
  • Verstöße gegen die Dokumentation verursachen neben der Behebung von Problemen viel zu viel Papierkram.
  • Inkonsistenter Ansatz der Prüfer in verschiedenen Ländern
  • Die für die Aufrechterhaltung des Standards erforderliche Zeit beeinträchtigt die Arbeit an der tatsächlichen Cybersicherheit, die vom Standard nicht benötigt wird, wie z. B. das Scannen von Sicherheitslücken, das Scannen von Ports, die Verschlüsselung usw. usw.

Wir sind hauptsächlich ein Unternehmen in Großbritannien und den USA. Wir möchten einen stärker auf die IT ausgerichteten Sicherheitsstandard, der an diesen Standorten anerkannt wird. Der einzige wirkliche Treiber für unseren ISO-Standard ist seine Attraktivität und Anerkennung für unsere Kunden. Alle Meinungen sind willkommen

11
user2514224

Bei ISO27k geht es um das "Sicherheitsmanagement", nicht um die Sicherheit selbst. Die Prüfer sind besorgt darüber, was Sie tun, um auf die von Ihnen identifizierten Risiken zu reagieren. Wenn Sie wirklich das tun, was Sie sagen, was tun Sie, wenn etwas von den festgelegten oder neuen Risiken abweicht, und wie Sie es tun Bewerten Sie die Effizienz Ihrer Maßnahmen.

Im Grunde ist es ihnen egal, was Sie tun, um ddos-Angriffe zu stoppen (wenn dies eines der Risiken ist, denen Sie ausgesetzt sind), solange Sie etwas tun, und es wird von einem korrekten Indikator als effizient genug angesehen.

ISO27k wird niemals sagen, dass diese Entität gesichert ist, sondern dass diese Entität ihre Sicherheit gut verwaltet.

Sie suchen nicht wirklich nach Alternativen zu ISO27k, sondern nach etwas ganz anderem. Es gibt viele Standards, die Sie einhalten können, je nachdem, was Ihr Unternehmen ist.

17
M'vy

PCI-DSS ist eher auf praktische Maßnahmen ausgerichtet. Eine Übersicht und einige Links finden Sie unter https://en.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard .

Ich würde diesen Vorschlag qualifizieren, indem ich erwähne, dass ich PCI-DSS als einen guten Rahmen betrachten würde, der als Checkliste für Dinge verwendet werden sollte, über die Sie nachdenken sollten. Ich habe keine Erfahrung mit der PCI-DSS-Zertifizierung und weiß nicht, ob sie in Ihrer Situation zutreffen oder wünschenswert wäre.

Wenn Zertifizierung eine Anforderung/ein Wunsch ist, bin ich mir nicht ganz sicher, ob ich mich auf PCI-DSS konzentrieren würde.

Wie von @ Purefan erwähnt, ist die Konzentration auf das Schwachstellenmanagement ebenfalls ein guter Bereich.

1

Teil einer ganzen Sicherheit sind die organisatorische Sicherheit (dokumentierte Richtlinien, Prozesse und Verfahren reduzieren den Busfaktor) und die Überprüfbarkeit (der Nachweis, dass die Sicherheitsmaßnahmen wie beabsichtigt funktionieren). Sicherheit, die sich nur auf die technische Sicherheit konzentriert, die Verfahren jedoch ignoriert, ist keine vollständige Sicherheitsübung.

ISO 2700x selbst sagt Ihnen nicht, welche Sicherheitsmaßnahmen Sie ergreifen müssen, da jedes Unternehmen individuelle Anforderungen und Anforderungen hat, während sich die Schadensbegrenzungstechniken ständig weiterentwickeln. Das ISO 2700x-Framework soll eine Organisation dabei unterstützen, ihre Sicherheitsanforderungen und ihren Risikoappetit herauszufinden und anschließend einen Sicherheitsplan zu entwickeln, der den angegebenen Sicherheitsanforderungen und dem Risikoappetit entspricht.

ISO 2700x-konform zu sein bedeutet nicht, dass Sie über gute Sicherheitsmaßnahmen verfügen. Die Einhaltung der ISO 2700x-Richtlinien besagt lediglich, dass die Organisation bewusst und fundiert entschieden hat, welche Maßnahmen zu ergreifen sind oder nicht, um ihre eigenen Anforderungen zu erfüllen. Eine ISO 2700x-konforme Organisation kann immer noch das unsicherste Unternehmen sein, wenn die Organisation bei den Selbstbewertungen beschließt, große Risiken einzugehen und keine Kontrollen zu implementieren.

Wenn Sie nach technischen Sicherheitsrichtlinien suchen, sollten Sie sich wahrscheinlich Veröffentlichungen aus dem OWASP-Projekt ansehen. Wenn Sie mit Kreditkarten umgehen, sollten Sie sich mit PCI-DSS befassen. Sie möchten auch die Sicherheitsanforderungen anhand Ihrer lokalen Gesetze und aller ausländischen Gesetze oder Branchenstandards bewerten, mit denen Sie sich voraussichtlich befassen müssen. Sie haben möglicherweise Anforderungen in Bezug auf das Führen von Aufzeichnungen, den Umgang mit personenbezogenen Daten usw., die Sie einhalten müssen, und erfordern manchmal bestimmte Schadensbegrenzungstechniken, die Sie implementieren müssen. Sie möchten auch mit Sicherheitsblogs und -journalen Schritt halten. Sie möchten auch mit automatisierten Penetrationstest-Tools spielen und sich mit Pentestern anfreunden.

Beachten Sie, dass diese Sicherheitsleitfäden keine vollständige Bewertung der organisatorischen Sicherheit darstellen. Diese technischen Anleitungen ergänzen ISO 2700x und ersetzen es nicht.

1
Lie Ryan