Security Professionals - ipfw add deny all from eindgebruikers to any

Security standaarden

17-09-2009, 14:58 door xmichielx, 14 reacties

Hallo,

Ik wil met mijn bedrijf kijken aan welke Secuity ISO's we willen gaan voldoen.

Ik heb het idee dat de volgende ISO's belangrijk zijn om naar te kijken:

- OWASP top 10 (geen ISO) maar algemene secure programming lijst voor ontwikkelaars
- ISO 17799 algemeen voor de organisatie.

Zou ik ook naar bijv de ISO 27001 moeten kijken of valt deze zo goed als onder de ISO 17799 normering?

Het gaat ons er niet om dat wij 100% conform deze standaarden werken maar wel zo veel mogelijk.
Welke kan ik dan het beste gebruiken voor een hosting partij (ontwikkelaars, pm-ers, am-ers, hosting, directie model).

Bij voorbaat dank voor elke tip.

Michiel

Nessus en evt alternatieven

Problemen Hacker via IP

Reacties (14)

17-09-2009, 15:03 door Anoniem

de zoekfunctie is jouw vriend

17-09-2009, 15:16 door Preddie

Volgens mij valt 27001 niet onder de de 17799 normering al hoe wel er wel veel overeenkomsten zijn ...

Op technisch gebied kom je met OWASP top en de ISO 27001:2005 een heel end.

op het gebied van organisatie zou je ISO 17799 en/of de code van informatie beveiliging kunnen gebruiken

17-09-2009, 15:18 door xmichielx

Hoi,

Dus als ik het goed begrijp kan ik het beste naar de volgende 3 kijken:

-OWASP top 10 : secure programming (zit ook een stukje systeem beheer in zoals het dicht timmeren van versie nummer leaking)
- ISO 27001:2005: technisch - wellicht iets voor de Hosting afdeling?
- ISO 17799: organisatie wide

Klopt dat?

Mvg,

Michiel

17-09-2009, 15:25 door xmichielx

Door Anoniem: de zoekfunctie is jouw vriend

Als ik zoek op security standaarden of security iso kan ik niks vinden in de Fora.
Ik ben gewoon benieuwd naar mensen hun ervaring en een bevestiging voor wat ik evt al voor ogen had.
Als je mij de link kon geven waar al mijn vragen al beantwoord worden dan zou ik ook geholpen zijn.

17-09-2009, 16:33 door Anoniem

Beste Michiel

ISO 17799 is de voorloper van ISO27001.
Volgende website geeft je allicht heel wat antwoorden.

17-09-2009, 16:39 door xmichielx

Door Anoniem: Beste Michiel

ISO 17799 is de voorloper van ISO27001.
Volgende website geeft je allicht heel wat antwoorden.

Hoi,

Hmm ik lees dus verschillende dingen:
Vandaag,
15:16 door
Predjuh
Volgens mij valt 27001 niet onder de de 17799 normering al hoe wel er wel veel overeenkomsten zijn ...

Ik hou me nu bezig met de ISO 17799 standaard, is het beter dat ik mij richt op de ISO 27001 standaard?
EN had je die website link nog voor mij? ;)

Mvg,

Michiel

17-09-2009, 16:45 door xmichielx

Zou trouwens 1 van deze boeken mij kunnen helpen?

http://www.comcol.nl/detail/51502.htm
http://www.comcol.nl/detail/59104.htm
http://www.comcol.nl/detail/59103.htm

Of zijn er andere handige tips om een check te doen of je bedrijf voldoet aan ISO standaard X ?

Mvg,

Michiel

17-09-2009, 18:44 door Anoniem

hoi Michiel,

Kijk eens op http://www.iso27001security.com/

de ISO 27001 is wel zeker de opvolger van de iso 17799.

ISO 27001 = Information Security Management System (ISMS), ofwel hoe richt ik IB in
ISO 27002 = best practices, hierin staan de maatregelen die je kunt nemen.

succes !

17-09-2009, 19:57 door Anoniem

Door Anoniem: Beste Michiel

ISO 17799 is de voorloper van ISO27001.
Volgende website geeft je allicht heel wat antwoorden.

http://www.iso27001security.com/

17-09-2009, 23:24 door Anoniem

ISO 17799 is inderdaad bijna verouderd. De ISO's 27000 tot 27007 vervangen de 17799 volledig. Niet alles is echter al gereed meen ik, maar 17799 wordt eigenlijk al niet meer gehanteerd door auditors.

Overigens: ISO's en zaken als CobIT vertellen je alleen wát je geregeld zou moeten hebben, maar niet hoe. Verwacht dus geen pasklare antwoorden en mogelijkheden om even wat checklistjes af te werken. Dat is ook altijd wat auditors doen: op basis van ITIL, COSO, CobIT en ISO normen stellen ze vragen die antwoord moeten geven op de vraag of je dingen hebt georganiseerd, hoe je dat hebt opgelost en hoe je dat kunt aantonen.
Ik heb inmiddels ervaring met de inrichting van compliancy aangelegenheden (in het kader van SOx en SAS-70) en ik kan wel zeggen dat je met CobIT en ISO 2700x een heel eind komt.

18-09-2009, 01:15 door Bitwiper

Die ISO normen zijn mooi, maar nogal abstract. Alleen de OWASP top 10 is dan wat mager.

Kijk eens in de SANS Reading Room (RR): http://www.sans.org/reading_room/. Aankondigingen van nieuwe en interessante uitgaven vind je rechtsbovenaan http://isc.sans.org/ (ik heb even kort gekeken naar "Security Incident Handling in High Availability Environments", dat is altijd goed leesvoer voor geeks, leuk is het stukje over de Five Nines).

Als je maar iets doet wat op geldzaken lijkt moet je naar de PCI DSS downloaden (en lezen :), dat kan vanaf https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml.

Ook bij het PvIB (Platform voor Informatie Beveiliging) is veel interessant leesvoer te vinden, gericht op de NL markt. Zie http://www.pvib.nl/.

Vooral op de USA markt gericht maar zeker interessant zijn sommige van de NIST publicaties: http://csrc.nist.gov/publications/PubsFL.html

18-09-2009, 08:21 door Anoniem

Als je iets verder wilt gaan dan OWASP (en training/workshops in NL wilt kunnen volgen) moet je eens kijken op https://www.certifiedsecure.eu/checklistdetails/all

18-09-2009, 09:31 door Anoniem

Michiel,

ISO27001 beschrijft het proces om tot een Informatie Beveiligingsmodel te komen.

ISO 27002 biedt een complete set van ‘best practices’, waaruit gekozen kan worden en geeft de mogelijkheid om zelf het basisbeveiligingsniveau (BBN) te definiëren, zodat dit veel dichter bij de daadwerkelijke beveiligingsbehoefte komt te liggen.

ISO 27002 is een richtlijn en daarom geen standaard maar één van waaruit een standaard ontwikkeld kan worden.

Mocht je meer willen weten kan ik het boek: ‘A management guide to Information Security: Based on ISO27001 / ISO 17799’ (ISBN 9789077212707) aanraden.

John

18-09-2009, 09:33 door Anoniem

Ik ben erg blij met die checklists van certfied secure, maken je het leven een stuk makkelijker en je kunt aantonen wat je getest hebt en dat herhalen.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Switchen naar een dumbphone wegens:

Vacature

Toezichthouder informatiebeveiliging Overheid

Rijksinspectie Digitale Infrastructuur (RDI)

Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.

Lees meer

Vacature

Adviseur Informatiebeveiliging

Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!

Lees meer

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.

Lees meer

Vacature

Senior Full Stack Developer

Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Security standaarden

Switchen naar een dumbphone wegens:

Wachtwoord Vergeten

Password Reset

Registreren