Estándar de la empresa para asegurar servidores.

8

Esta debe ser la pregunta más amplia, pero a lo largo de los años he creado mi propia lista de cosas para proteger mis servidores. Sigo los pasos obvios que puedo reunir en línea, como la longitud de la contraseña. , iptables, / etc / hosts, rutas, aseguramiento de paquetes, parches de seguridad, etc.

Me gustaría saber si hay un estándar en la industria, no importa si es el sector público o privado contra el que puedo comparar mis pasos. Sé que hay pocos por ahí, pero lo que podría considerarse EL estándar.

    
pregunta kmassada 09.01.2013 - 21:10
fuente

1 respuesta

14
Los

estándares son generales y consisten en principios de alto nivel. Las guías se centran en la seguridad práctica. Listas de verificación son los documentos más detallados.

Hay varias agencias que producen estándares de seguridad. Uno de los estándares de seguridad más utilizados hoy en día es ISO / IEC 27002 que comenzó en 1995. Este estándar consta de tres partes básicas, BS 7799 parte 1, parte 2 y 3. Recientemente, esta norma se ha convertido en ISO 27001 . Pero es un estándar de muy alto nivel que no se aplica a la configuración específica. Habla sobre la construcción de una infraestructura de seguridad de la información (BS 7799 parte 1), un sistema de administración de seguridad de la información (BS 7799 parte 2) y análisis y gestión de riesgos (BS 7799 parte 3).

Está preguntando sobre guías y el Instituto Nacional de Estándares y Tecnología (NIST) ha publicado varias publicaciones especiales sobre seguridad cibernética. Aquí se encuentra la Guía de seguridad general del servidor de NIST. Este documento general trata la necesidad de proteger los servidores y proporciona recomendaciones para seleccionar, implementar y mantener los controles de seguridad necesarios.

NSA desarrolla y distribuye guías de configuración de seguridad para una amplia variedad de software, tanto de código abierto como de propietario.

Para obtener más documentos detallados sobre cómo proteger ciertas instalaciones, siga el Repositorio del Programa de la Lista de Verificación Nacional de NIST . Las listas de verificación (o puntos de referencia) de seguridad de NCP proporcionan una guía detallada de bajo nivel para establecer la configuración de seguridad de los sistemas operativos y las aplicaciones. Por ejemplo, hay listas de verificación para asegurar:

fuente

Lea otras preguntas en las etiquetas