Iso – norma bezpecnosti

Dobry den, Pripravujem velky projekt, kde potrebujem urobit urcitu normu bezpecnosti. Ma s tym niekto skusenosti? Co stoji certifikat? Dakujem

Dobry den, noriem bezpecnosti su stovky, kazda sluzi na nieco ine. Co konkretne riesite?

Napsal andrej11235;1096764

Dobry den, noriem bezpecnosti su stovky, kazda sluzi na nieco ine. Co konkretne riesite?

Aby som pravdu povedal, potrebujem poriadne zabezpecit webstranku, na ktorej bude vela firemnych kontaktov,rad by som sa o tom informoval viac, pripadne ze ako je to cenovo dostupne, potrebujem hlavne mojim buducim zakaznikom odprezentovat ze mame urcitu iso normu typu.... Ide mi hlavne o to aby som ubezpecil zakaznikov ze ich cenne informacie su v bezpeci.

Základní SSL certifikát se dá získat i zdarma, placené pak od 20 dolarů za rok výše. Záleží na tom, jakou úroveň budeš potřebovat.

Zabezpečenie web stránky nie je (len) o SSL certifikáte. SSL certifikát (dá sa získať aj zadarmo) slúži len na zašifrovanie komunikácie. Ale ak je samotný web nebezpečne nakonfigurovaný, žiadne SSL nezabráni tomu, aby tam niekto vliezol a kontakty ukradol. Ak chcete seriózne riešiť bezpečnosť webu, tak by som asi začal čítať štandard OWASP.Druhá vec ale je, ako veľmi máte pod kontrolou svoj web. Ak máte vlastný server niekde v server housingovej spoločnosti, potom OK. Ale ak ste len na nejakom zdieľanom hostingu, tak môžete zabudnúť na bezpečnosť (vyššiu ako má váš poskytovateľ). Zažil som "hacknutie" mojich stránok tak, že providerovi utiekli prihlasovacie údaje, a všetky stránky u neho boli napadnuté. Pokiaľ má provider root heslo a spravuje databázu vášho webu, tak on je pánom vašich dát, a nie vy :-).No a k tomu ISO certifikatu - treba rozlisovat medzi certifikatom napr. ISO 27000, ktory je certifikatom ISMS, a teda necertifikuje bezpecnost ako taku, ale len to, ze mate nasadeny system RIADENIA bezpecnosti. Pokial chcete uistenie o realnej bezpecnosti, potrebujete robit pravidelne penetracne testy a vulnerability scany. Je to aj o tom, aky velky biznis za tym mate, a ci ten biznis je regulovany - napriklad pre kartovy biznis je zaujimavy PCI DSS standard a prislusny certifikat, atd..

No a k tomu ISO certifikatu - treba rozlisovat medzi certifikatom napr. ISO 27000, ktory je certifikatom ISMS, a teda necertifikuje bezpecnost ako taku, ale len to, ze mate nasadeny system RIADENIA bezpecnosti. Pokial chcete uistenie o realnej bezpecnosti, potrebujete robit pravidelne penetracne testy a vulnerability scany. Je to aj o tom, aky velky biznis za tym mate, a ci ten biznis je regulovany - napriklad pre kartovy biznis je zaujimavy PCI DSS standard a prislusny certifikat, atd..

Je to ISO podla vas draha zalezitost?

Samotná certifikácia, ak ste na ňu pripravení, môže stáť rádovo v tisíckach euro. Háčik je však v tej pripravenosti. Napríklad certifikácia bezpečnosti podla ISO27001 je viac o firme, ako o samotnom informačnom systéme. Ak je firma dostatočne zrelá (=má popísané a funkčné procesy podľa ISO27000), potom je to ľahké. Ale dosiahnutie a udržiavanie tej zrelosti je drahé. A ťažko sa robia veľké skoky, lebo zrelosť firmy = zrelosť ľudí v nej, a ľudia sa tak rýchlo nemenia :-).Certifikát sa dáva štandardne na 3 roky, každý rok je audit. Čiže to nie je jednorázová investícia.