web-dev-qa-db-ja.com

ITセキュリティに重点を置いたISO 27001と同様のセキュリティ標準とは何ですか?

*編集-これまでの返信では、ISO 27Kとは何であるかを示しています。私たちはこれを認識していますが、ISO 27Kのperceptionは異なります。 infosecの専門家はいないため、主観的な意見に関係なく、他にどのようなオプションがあるかを知りたいだけです。

例:(英国)Cyber​​ Essentials Scheme。これには、基本的な必須ITセキュリティコントロール、自己評価、および外部レビューの実装が必要です。

同様の質問が尋ねられましたが、満足のいく回答はありませんでした。完全な背景:

  • 私たちは、世界のいくつかの場所にいる約100人の企業です。
  • 私たちはISO 27001の外部認証を取得しており、適用の声明から1つの項目のみを除外しています。
  • 専任の情報セキュリティ専門家はおりません。

以下の理由により、ISO 27K規格に非常に不満を感じています。

  • 評価者は、実際のセキュリティではなく、手順と文書に集中しすぎている
  • 外部からの訪問中に、実際のWebおよびITのセキュリティについてアセッサーが質問することはありません
  • ドキュメンテーションの違反は、問題の修正に加えて、あまりにも多くの書類を生成します。
  • 異なる国の評価者によるアプローチの不一致
  • 標準を維持するために必要な時間は、脆弱性スキャン、ポートスキャン、暗号化など、標準では必要とされない実際のサイバーセキュリティへの取り組みを妨げます。

私たちは主に英国/米国のビジネスです。これらの場所で認められている、よりITに重点を置いたセキュリティ標準が必要です。 ISO規格の唯一の真の推進力は、顧客に対するその魅力と認識です。すべての意見を歓迎します

11
user2514224

ISO27kは、セキュリティ自体ではなく、「セキュリティの管理」に関するものです。監査人は、特定したリスクに対応するために何をしているのか、本当にあなたが言っていることをしているのか、何かが指定されたものから逸脱した場合に何をしているのか、または新しいリスクにどのようにしているかに懸念を抱くでしょう対策の効率を評価します。

したがって、基本的には、何かをしている限り、ddos攻撃を停止するために何をしているのか(これがリスクの1つである場合)を気にせず、正しい指標によって十分に効率的であると見なされます。

ISO27kは「このエンティティはセキュリティで保護されている」とは決して言いませんが、「このエンティティはセキュリティを適切に管理しています」。

ISO27kに代わるものを実際に探しているのではなく、まったく別のものを探しています。あなたのビジネスが何であるかに応じて、あなたが従うことができる多くの標準があります。

17
M'vy

PCI-DSSは、実際的な対策により重点を置いていると思い浮かびます。概要といくつかのリンクについては https://en.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard を参照してください。

私は、PCI-DSSを、導入を検討する必要があることのチェックリストとして使用するのに適したフレームワークと見なすことを言及することで、その提案を修飾します。私はPCI-DSS認定の経験がなく、それがあなたの状況に適用されるか、望ましいかどうかはわかりません。

認定が要件/要望である場合、PCI-DSSに集中するかどうかは完全にはわかりません。

@ Purefan で述べたように、脆弱性管理に焦点を当てることも良い分野です。

1

全体的なセキュリティの一部は、組織のセキュリティ(文書化されたポリシー、プロセス、および手順を実行することでバス係数が低下します)と監査可能性(セキュリティ対策が意図したとおりに機能することの証拠を示すことができる)です。技術的なセキュリティのみに焦点を当て、手順を無視するセキュリティは、完全なセキュリティの演習ではありません。

ISO 2700x自体は、軽減策が常に進化している一方で、すべての組織に固有のニーズと要件があるため、どのセキュリティ対策を講じなければならないかを教えてくれません。 ISO 2700xフレームワークは、組織がそのセキュリティ要件とそのリスク選好度を把握し、次に、指定されたセキュリティ要件とリスク選好度と一致するセキュリティ計画を策定することを目的としています。

ISO 2700xに準拠しているからといって、適切なセキュリティ対策が講じられているとは限りません。 ISO 2700xに準拠していることからわかることは、組織が独自の要件を満たすために取るべき措置または取るべきでない措置について意識的かつ情報に基づいた決定を行ったことです。 ISO 2700x準拠の組織は、自己評価で組織が大きなリスクを受け入れることを決定し、制御を実装しないことを決定した場合でも、最も安全でない会社である可能性があります。

より技術的なセキュリティガイドラインを探している場合は、OWASPプロジェクトの出版物を調べてみてください。クレジットカードを扱う場合は、PCI-DSSを調べてください。また、現地の法律や、外国の法律や業界標準の組織が対処する必要があると想定して、セキュリティ要件を評価することもできます。それらには、記録の保持、PIIの処理などに関する要件があり、準拠する必要があり、実装する必要がある特定の軽減手法が必要になる場合があります。また、セキュリティブログやジャーナルについていく必要もあります。また、自動侵入テストツールを試して、ペンテスターと友達になりたいと思うでしょう。

これらのセキュリティガイドは完全な組織のセキュリティ評価ではないことに注意してください。これらのテクニカルガイドはISO 2700xを補完するものであり、置き換えるものではありません。

1
Lie Ryan