Security Professionals
- ipfw add deny all from eindgebruikers to any
Security standaarden
Hallo,
Ik wil met mijn bedrijf kijken aan welke Secuity ISO's we willen gaan voldoen.
Ik heb het idee dat de volgende ISO's belangrijk zijn om naar te kijken:
- OWASP top 10 (geen ISO) maar algemene secure programming lijst voor ontwikkelaars
- ISO 17799 algemeen voor de organisatie.
Zou ik ook naar bijv de ISO 27001 moeten kijken of valt deze zo goed als onder de ISO 17799 normering?
Het gaat ons er niet om dat wij 100% conform deze standaarden werken maar wel zo veel mogelijk.
Welke kan ik dan het beste gebruiken voor een hosting partij (ontwikkelaars, pm-ers, am-ers, hosting, directie model).
Bij voorbaat dank voor elke tip.
Michiel
Ik wil met mijn bedrijf kijken aan welke Secuity ISO's we willen gaan voldoen.
Ik heb het idee dat de volgende ISO's belangrijk zijn om naar te kijken:
- OWASP top 10 (geen ISO) maar algemene secure programming lijst voor ontwikkelaars
- ISO 17799 algemeen voor de organisatie.
Zou ik ook naar bijv de ISO 27001 moeten kijken of valt deze zo goed als onder de ISO 17799 normering?
Het gaat ons er niet om dat wij 100% conform deze standaarden werken maar wel zo veel mogelijk.
Welke kan ik dan het beste gebruiken voor een hosting partij (ontwikkelaars, pm-ers, am-ers, hosting, directie model).
Bij voorbaat dank voor elke tip.
Michiel
Reacties (14)
17-09-2009, 15:16 door
Preddie
Volgens mij valt 27001 niet onder de de 17799 normering al hoe wel er wel veel overeenkomsten zijn ...
Op technisch gebied kom je met OWASP top en de ISO 27001:2005 een heel end.
op het gebied van organisatie zou je ISO 17799 en/of de code van informatie beveiliging kunnen gebruiken
Op technisch gebied kom je met OWASP top en de ISO 27001:2005 een heel end.
op het gebied van organisatie zou je ISO 17799 en/of de code van informatie beveiliging kunnen gebruiken
17-09-2009, 15:18 door
xmichielx
Hoi,
Dus als ik het goed begrijp kan ik het beste naar de volgende 3 kijken:
-OWASP top 10 : secure programming (zit ook een stukje systeem beheer in zoals het dicht timmeren van versie nummer leaking)
- ISO 27001:2005: technisch - wellicht iets voor de Hosting afdeling?
- ISO 17799: organisatie wide
Klopt dat?
Mvg,
Michiel
Dus als ik het goed begrijp kan ik het beste naar de volgende 3 kijken:
-OWASP top 10 : secure programming (zit ook een stukje systeem beheer in zoals het dicht timmeren van versie nummer leaking)
- ISO 27001:2005: technisch - wellicht iets voor de Hosting afdeling?
- ISO 17799: organisatie wide
Klopt dat?
Mvg,
Michiel
17-09-2009, 15:25 door
xmichielx
Door Anoniem: de zoekfunctie is jouw vriend
Als ik zoek op security standaarden of security iso kan ik niks vinden in de Fora.
Ik ben gewoon benieuwd naar mensen hun ervaring en een bevestiging voor wat ik evt al voor ogen had.
Als je mij de link kon geven waar al mijn vragen al beantwoord worden dan zou ik ook geholpen zijn.
Beste Michiel
ISO 17799 is de voorloper van ISO27001.
Volgende website geeft je allicht heel wat antwoorden.
ISO 17799 is de voorloper van ISO27001.
Volgende website geeft je allicht heel wat antwoorden.
17-09-2009, 16:39 door
xmichielx
Door Anoniem: Beste Michiel
ISO 17799 is de voorloper van ISO27001.
Volgende website geeft je allicht heel wat antwoorden.
ISO 17799 is de voorloper van ISO27001.
Volgende website geeft je allicht heel wat antwoorden.
Hoi,
Hmm ik lees dus verschillende dingen:
Vandaag,
15:16 door
Predjuh
Volgens mij valt 27001 niet onder de de 17799 normering al hoe wel er wel veel overeenkomsten zijn ...
Ik hou me nu bezig met de ISO 17799 standaard, is het beter dat ik mij richt op de ISO 27001 standaard?
EN had je die website link nog voor mij? ;)
Mvg,
Michiel
17-09-2009, 16:45 door
xmichielx
Zou trouwens 1 van deze boeken mij kunnen helpen?
http://www.comcol.nl/detail/51502.htm
http://www.comcol.nl/detail/59104.htm
http://www.comcol.nl/detail/59103.htm
Of zijn er andere handige tips om een check te doen of je bedrijf voldoet aan ISO standaard X ?
Mvg,
Michiel
http://www.comcol.nl/detail/51502.htm
http://www.comcol.nl/detail/59104.htm
http://www.comcol.nl/detail/59103.htm
Of zijn er andere handige tips om een check te doen of je bedrijf voldoet aan ISO standaard X ?
Mvg,
Michiel
hoi Michiel,
Kijk eens op http://www.iso27001security.com/
de ISO 27001 is wel zeker de opvolger van de iso 17799.
ISO 27001 = Information Security Management System (ISMS), ofwel hoe richt ik IB in
ISO 27002 = best practices, hierin staan de maatregelen die je kunt nemen.
succes !
Kijk eens op http://www.iso27001security.com/
de ISO 27001 is wel zeker de opvolger van de iso 17799.
ISO 27001 = Information Security Management System (ISMS), ofwel hoe richt ik IB in
ISO 27002 = best practices, hierin staan de maatregelen die je kunt nemen.
succes !
Door Anoniem: Beste Michiel
ISO 17799 is de voorloper van ISO27001.
Volgende website geeft je allicht heel wat antwoorden.
ISO 17799 is de voorloper van ISO27001.
Volgende website geeft je allicht heel wat antwoorden.
http://www.iso27001security.com/
ISO 17799 is inderdaad bijna verouderd. De ISO's 27000 tot 27007 vervangen de 17799 volledig. Niet alles is echter al gereed meen ik, maar 17799 wordt eigenlijk al niet meer gehanteerd door auditors.
Overigens: ISO's en zaken als CobIT vertellen je alleen wát je geregeld zou moeten hebben, maar niet hoe. Verwacht dus geen pasklare antwoorden en mogelijkheden om even wat checklistjes af te werken. Dat is ook altijd wat auditors doen: op basis van ITIL, COSO, CobIT en ISO normen stellen ze vragen die antwoord moeten geven op de vraag of je dingen hebt georganiseerd, hoe je dat hebt opgelost en hoe je dat kunt aantonen.
Ik heb inmiddels ervaring met de inrichting van compliancy aangelegenheden (in het kader van SOx en SAS-70) en ik kan wel zeggen dat je met CobIT en ISO 2700x een heel eind komt.
Overigens: ISO's en zaken als CobIT vertellen je alleen wát je geregeld zou moeten hebben, maar niet hoe. Verwacht dus geen pasklare antwoorden en mogelijkheden om even wat checklistjes af te werken. Dat is ook altijd wat auditors doen: op basis van ITIL, COSO, CobIT en ISO normen stellen ze vragen die antwoord moeten geven op de vraag of je dingen hebt georganiseerd, hoe je dat hebt opgelost en hoe je dat kunt aantonen.
Ik heb inmiddels ervaring met de inrichting van compliancy aangelegenheden (in het kader van SOx en SAS-70) en ik kan wel zeggen dat je met CobIT en ISO 2700x een heel eind komt.
18-09-2009, 01:15 door
Bitwiper
Die ISO normen zijn mooi, maar nogal abstract. Alleen de OWASP top 10 is dan wat mager.
Kijk eens in de SANS Reading Room (RR): http://www.sans.org/reading_room/. Aankondigingen van nieuwe en interessante uitgaven vind je rechtsbovenaan http://isc.sans.org/ (ik heb even kort gekeken naar "Security Incident Handling in High Availability Environments", dat is altijd goed leesvoer voor geeks, leuk is het stukje over de Five Nines).
Als je maar iets doet wat op geldzaken lijkt moet je naar de PCI DSS downloaden (en lezen :), dat kan vanaf https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml.
Ook bij het PvIB (Platform voor Informatie Beveiliging) is veel interessant leesvoer te vinden, gericht op de NL markt. Zie http://www.pvib.nl/.
Vooral op de USA markt gericht maar zeker interessant zijn sommige van de NIST publicaties: http://csrc.nist.gov/publications/PubsFL.html
Kijk eens in de SANS Reading Room (RR): http://www.sans.org/reading_room/. Aankondigingen van nieuwe en interessante uitgaven vind je rechtsbovenaan http://isc.sans.org/ (ik heb even kort gekeken naar "Security Incident Handling in High Availability Environments", dat is altijd goed leesvoer voor geeks, leuk is het stukje over de Five Nines).
Als je maar iets doet wat op geldzaken lijkt moet je naar de PCI DSS downloaden (en lezen :), dat kan vanaf https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml.
Ook bij het PvIB (Platform voor Informatie Beveiliging) is veel interessant leesvoer te vinden, gericht op de NL markt. Zie http://www.pvib.nl/.
Vooral op de USA markt gericht maar zeker interessant zijn sommige van de NIST publicaties: http://csrc.nist.gov/publications/PubsFL.html
Als je iets verder wilt gaan dan OWASP (en training/workshops in NL wilt kunnen volgen) moet je eens kijken op https://www.certifiedsecure.eu/checklistdetails/all
Michiel,
ISO27001 beschrijft het proces om tot een Informatie Beveiligingsmodel te komen.
ISO 27002 biedt een complete set van ‘best practices’, waaruit gekozen kan worden en geeft de mogelijkheid om zelf het basisbeveiligingsniveau (BBN) te definiëren, zodat dit veel dichter bij de daadwerkelijke beveiligingsbehoefte komt te liggen.
ISO 27002 is een richtlijn en daarom geen standaard maar één van waaruit een standaard ontwikkeld kan worden.
Mocht je meer willen weten kan ik het boek: ‘A management guide to Information Security: Based on ISO27001 / ISO 17799’ (ISBN 9789077212707) aanraden.
John
ISO27001 beschrijft het proces om tot een Informatie Beveiligingsmodel te komen.
ISO 27002 biedt een complete set van ‘best practices’, waaruit gekozen kan worden en geeft de mogelijkheid om zelf het basisbeveiligingsniveau (BBN) te definiëren, zodat dit veel dichter bij de daadwerkelijke beveiligingsbehoefte komt te liggen.
ISO 27002 is een richtlijn en daarom geen standaard maar één van waaruit een standaard ontwikkeld kan worden.
Mocht je meer willen weten kan ik het boek: ‘A management guide to Information Security: Based on ISO27001 / ISO 17799’ (ISBN 9789077212707) aanraden.
John
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
