¿Estándares certificables para la seguridad del servidor, además de PCI-DSS?

6

El Tarjeta de pago de seguridad de datos de la industria se usa ampliamente en la industria financiera y parece ser un requisito útil de punto de vista de un cliente potencial (consulte también ¿El cumplimiento de PCI realmente ¿Reducir el riesgo y mejorar la seguridad? ). Pero como se señala en ¿PCI DSS es aplicable a otras soluciones distintas de las que se ocupan de las tarjetas de pago? se centra en proteger cosas como los números de tarjetas de crédito ("números de cuenta principales").

¿Hay estándares y certificaciones de servidores relacionados que sean más adecuados para, por ejemplo, sitios web que contienen una variedad de información personal confidencial que no es financiera (por ejemplo, sitios de redes sociales), o sitios gubernamentales o militares, o sitios que llevan a cabo elecciones privadas o públicas?

Actualización : para aclarar, sé que muchas otras preguntas en este sitio abordan listas de pautas más generales que son útiles para los departamentos de TI y los desarrolladores cuando abordan la seguridad de sus propios sitios, y yo No estoy buscando más de esos. Hago esta pregunta desde el punto de vista de un extraño: un cliente potencial, una parte confiable o un socio de un sitio web, y estoy buscando normas a las que el cliente podría exigirle el cumplimiento. Idealmente, la norma vendría con una noción relativamente formal de quién está calificado para juzgar su cumplimiento. Y me pregunto si el requerimiento de PCI-DSS sería apropiado para cualquiera de los tipos de sitios web que menciono, asumiendo que en realidad no manejan ningún "número de cuenta primario" financiero.

También simpatizo con el sentimiento de que la respuesta puede ser "No" , que los esfuerzos para establecer reglas certificables para un caso general solo están tomando el enfoque equivocado y que tales estándares solo Tiene sentido para ciertos tipos de sitios muy específicos. Los indicadores de evidencia o las opiniones bien pensadas de ese tipo serían útiles en ese caso.

  

Esta pregunta fue Cuestión de la semana sobre seguridad de TI .
  Lea el 11 de noviembre de 2011 entrada de blog para obtener más detalles o envíe su propio Pregunta de la semana.

    
pregunta nealmcb 04.09.2011 - 19:31
fuente

3 respuestas

6

No es una "certificación", pero hay muchos estándares de configuración de línea de base de seguridad disponibles.

Algunos ejemplos para comenzar son:

El Centro de Seguridad de Internet (CIS)

El Instituto Nacional de Estándares y Tecnología (NIST) csrc.nist.gov/publications/PubsSPs.html

NSA

Muchas veces el proveedor de la tecnología o la aplicación también proporcionará guías y prácticas específicas de bloqueo de seguridad. Por ejemplo, Microsoft ofrece toneladas de documentos que van desde el modelado de amenazas hasta las prácticas de auditoría y la configuración segura.

Algunas herramientas de evaluación de vulnerabilidades evaluarán su configuración comparativamente con estas plantillas. Pero tenga en cuenta que, como los puntos de referencia de PCI, es posible que no cubra toda la orientación proporcionada.

Personalmente, he favorecido a los del Centro de Seguridad de Internet (CIS) en el pasado.

    
respondido por el Gabe 04.09.2011 - 21:20
fuente
3

Es una bolsa literal, y definitivamente no es una lista exhaustiva.

    
respondido por el Jeff Ferland 04.09.2011 - 21:54
fuente
3

La ISF tiene un Estándar de buenas prácticas que está disponible públicamente y es exactamente como suena: Buenas prácticas racionales en seguridad.

    
respondido por el Rory Alsop 07.09.2011 - 12:21
fuente

Lea otras preguntas en las etiquetas