bkstvskmbntn

Robert Malmgren rom at romab.com
Mon Nov 12 17:40:48 CET 2007


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Erik Josefsson wrote:
> Åke Nordin wrote:
>> Erik Josefsson wrote:
>>
>>> Det ligger förslag om att utöka databasens innehåll och
>>> användningsområde, därför undrar jag om det inte skulle vara naturligt
>>> att sätta ribban ännu högre än "BSI100-2, BSI100-3, ISO/IEC 27001", om
>>> det nu går.
>>>
>>> Går det?
>> Nu vet jag inget om BS100-standarderna, men ISO 2700X säger absolut
>> inget om ribbans höjd, den sätter organisationen själv. Standarden
>> säger mest hur du ska beskriva att du klarar din egen ribba. Det är
>> ungefär som kvalitetssystem enligt ISO 9000: säger ditt
>> kvalitetssystem att du ska kasta alla klagomål i papperskorgen och
>> att alla produkter som överhuvud taget kan förpackas i sina kartonger
>> är godkända, så är det ett kvalitetsledningssystem som kan
>> ISO9000-certifieras.
>>
>> Man måste med andra ord granska policys, gap-analysernas utfall
>> och avstämningen att alla förändringar som krävs för att stänga
>> gapen om man ska kunna veta något om hur säker databasen är.
> 
> Finns det nån ISO-standard för detta förfarande och/eller som sätter
> ribban efter en extern referens (gärna högt)?
> 
> Jag är ute efter ett enkelt argument: "Gärna googla flyktingar men bara
> om systemen uppfyller ISO 11223344".
> 

Bra grundtanke - dvs att system som innehåller känslig data skall
skyddas förbannat väl. Både från en extern crackerallan och klåfingriga
internanvändare.

27000-serien är väl mer något som berättar "vad", inte "hur". Och så är
det som regel med ISO-standarderna. BSI-pojkarna är snäppet mer nere på
"hur" i sina grundskyddsdokument - fast jag  skulle vilja säga att de i
princip är på samma nivå som 27000-seriens dokument. Mycket snack om att
"etablera processer" (i form av verksamhetsprocesser, inte något man
fork()ar ;-) och rutiner snarare än var man lägger ribban.

Dessa BSI-dokument finns dessutom på engelska, för oss som inte pratar
dÿska....
(http://www.bsi.bund.de/english/publications/bsi_standards/index.htm)

BITS (som förvaltas hos KBM idag, tidigare ÖCB) som används av
myndigheter i Sverige är väl också mer på "vad" än på "hur".

Både BSI-dokumenten och BITS definierar "baskrav" och högre säkerhetskrav.

Man kan också försvinna ner i Common Criteria-träsket (CC) där man säger
att systemen, som lösningen skall bygga på, skall vara certifierade till
en viss nivå, typ EAL4. Men det man säger i CC är mer fokus på själva
säkerhetskrav på utvecklingsmetodik vid systemdesignen än om tex
hygienkrav under själva driftsmomentet. Tex att systemet skall klara att
designdokument kommer ut, utan att för den skull säkerheten per
automatik blir röjd (jmf Kerckhoffs princip, fast för systemsäkerhet)

Annars är väl de mest detaljerade "standarderna" för denna typ av system
det som man kan hitta i NIST Special Reports. Se
http://csrc.nist.gov/publications/PubsSPs.html för en sammanställning av
olika SPs.

Fast de är ju amerikanska, så de lär väl inte kunna accepteras som
referenser i ett EU-dokument. Håll inte andan i väntan på att se något
liknande från ENISA.....

Som sagt, NIST-standarderna är användbara, inte varmluft jmf med något
av de andra sakerna. Dock knappast PK att trycka i nyllet på
prestigefull byråkrat.

> //Erik

- --r

> _________________________________________________
> BSD Users Sweden -- BUS at stacken.kth.se
> https://lists.stacken.kth.se/mailman/listinfo/bus

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.3 (Darwin)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFHOIIQBDL0PDfjxw0RApaqAJ0SOgWLKM3s6zQIqlKGZrdw06fQxACcCTeC
u5hqMyiCFHsWdkf/mdhCv5g=
=oaW0
-----END PGP SIGNATURE-----


More information about the BUS mailing list