web-dev-qa-db-ja.com

ISO 27001で企業はFTPを使用できますか?

プロジェクトでは、ホスティングプロバイダーに接続するためにunsecuredFTPを使用する必要がありました-FTPSではなくSFTPではありません。ホスティングプロバイダーは、ISO 27001認定を誇りに思っています。どういうわけか、これはすべて私にはかなり間違っているように見えました。

FTPなどの安全でないプロトコルを頻繁に利用しながらISO 27001認証を取得することは可能ですか?

私はもうこのプロジェクトに参加していません。以前に尋ねたときに適切な答えが得られなかったので、サービスプロバイダーにこれについて尋ねても間違いはありません。

私は主に、これがISO 27001との関係でどのように機能するかを知り、結果としてこの認証にどれだけの価値を置くことができるかを知りたいと思っています。

FTPを使用している組織に無関心でこれらの認定を与える人はいますか?または、サービスプロバイダーがこの情報を認証者から遠ざけている可能性が高いですか?

個人的には、FTPをまだ何でも使用しているインターネットサービスプロバイダーを信頼していません。顧客への主要なオプションとしてそれを提供することは言うまでもありません。

(私はFTP、SFTPと [〜#〜] ftps [〜#〜] の違いを知っています-後者2の違いは少し少ないですが、それはこの質問を超えています。)

関連するが重複していない:


更新:安全でないデータは、安全でないチャネルを介して送信されました。中間者攻撃を行うと、熟練した攻撃者は機関の内部ネットワークに簡単にアクセスできるようになります(ここでは詳細を説明しませんが、すごい...おそらく自分でそれを実行できたでしょう-そして私はmペンテストのプロではありません)。サービスプロバイダーはこれを知っている必要があります。

12
kqw

ISO 27001では、使用するプロトコルとその使用方法を指定していません。組織が情報セキュリティ装置をどのように構築するかを指定しています。 ISO 27001認定組織は、ポリシーが遵守されていることを確認するためのポリシーと手順を用意する必要があります。

ISO 27001には、組織が定義する範囲もあり、認証の影響に大きな違いをもたらす可能性があります。ネットワーク対応のコーヒーマシンを対象とする認定は、ビジネス全体を対象とする認定とは少し異なります。ご質問の場合のISO 27001認定では、FTPサーバーがスコープにない場合があります。

FTPは、転送されたデータが公開されている場合、またはデータを保護するための他の制御が行われている場合に使用することが完全に許容されます。転送前にデータが暗号化されており、データが改ざんされていないことを確認するための適切な検証システムがある場合は、暗号化されていないチャネルを介して送信しても問題ありません。 ISO 27001の観点から、組織がリスク評価を実行し、リスクを軽減するためのプロセスを実行した場合は、想定されていることを実行します。

20
GdD