[BS7799 / Code v Infobev] Standaard / Software voor beleid - Privacy en beveiliging

vrijdag 20 mei 2005 10:37

Acties:

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

Veel van ons kennen de BS7799 en de hiervan afgeleide Code voor Informatiebeveiliging wel.

Deze hele standaarden zijn opgebouwd rond het zogenaamde informatiebeveiligingsbeleid. Het formuleren van een dergelijk beleid is een behoorlijk klus en moet procedureel goed worden aangepakt. Wat mij opvalt is dat veel bedrijven / mensen een totaal verschillend beveiligingsbeleid hebben, dwz, totaal verschillend wat betreft opbouw, behandelde zaken, gehanteerde standaarden / procedures voor het formuleren van het beleid etc.

Zijn er op dit vlak geen standaarden of software matige tools die ons kunnen helpen bij het formuleren van een beleid? Het enige wat ik tegen kom zijn boeken van mensen met ervaring op dit vlak en hoe zij het formuleren van een beveiligingsbeleid hebben aangepakt. Wat zijn jullie ervaringen met dergelijke standaarden / plan van aanpakken / software tools etc?

Wat is handig om juist wel te doen of juist niet?

Dit topic is bedoelt als discussie. Voor de code voor informatiebeveiliging / BS7799 kun je natuurlijk net zo goed de VIR / Regelgeving voor de zorg etc lezen. Kortom, kom maar met ervaringen, stellingen, reacties etc!

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zondag 22 mei 2005 14:25

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

*Kickje*

Is er niemand die hier interesse in heeft?

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

woensdag 25 mei 2005 19:26

Acties:

BoGhi

Bij de overheid wordt veel gewerkt met danwel nog onderzoek gedaan naar PKI, zie http://pki.surfnet.nl/. Ik ben er zelf niet mee bezig, maar de indruk die ik er van krijg is dat dit in ieder geval nogal moeizaam van de grond komt. Ik denk dat veel bedrijven dit zien als nogal overkill, wat dat betreft staat beveiliging veelal nog in de kinderschoenen. Vandaar ook de groeimarkt. Maar inderdaad wel HET moment om op beleidsnivo standaarden af te spreken (voordat iedereen weer z'n eigen weg is ingeslagen).

Programmers don't die. They GOSUB without RETURN

donderdag 26 mei 2005 11:13

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

PKI is weer een heel andere tak van sport dan de baseline beveiliging die de BS7799 en CvI behandelen. Men spreekt al jaren over een groeimarkt op beveiligingsgebied. In mijn ogen een verkooppraatje van het management. Het marktgebied groeit namelijk niet echt zie ik om mij heen. Men worstelt nog steeds met de zelfde vragen / uitdagingen als een aantal jaar geleden. Maar goed, hoewel bij PKI een beleid erg belangrijk is is dit toch een iets ander onderwerp imho (hoewel interessant).

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

vrijdag 27 mei 2005 11:46

Acties:

biobak

De BS7799/ISO17799 is, in mijn ogen, een baseline en geeft aan wat hoe de security minimaal geregeld moet zijn om volgens deze norm gecertificeerd te worden. Dat is voor velen een prima uitgangspunt om beleid op te stellen. Daarbij is natuurlijk enige creativiteit geboden. Dat maakt het werk van een security consultant interessant

Security is mijns inziens maatwerk. Je moet rekening houden met management, bedrijfscultuur, sentimenten, typen gegevensverzamelingen en budgetten. Software kan daar misschien een hulpmiddel bij zijn, maar ik zie daar zelf niet zoveel in of de software moet met allerhande factoren rekening kunnen houden die de security specialist ook laat meewegen bij het opstellen van beleid.

vrijdag 27 mei 2005 11:51

Acties:

MrBarBarian

Once

Ik heb een half jaar bij een klant gezeten die bezig was met het implementeren van de bs7799. Ik zat daar om een two factor authentication en Single Sign-on oplossing te ontwerpen (wat dus onderdeel is/was van de bs7799)..

Opzich heb ik er verder niet veel mee te maken gehad, maar ik kreeg wel mee dat het implementeren no erg veel tijd/moeite kost. Dan met name om het management te overtuigen en bewust te maken van ht nut van de bs7799.

iRacing Profiel

vrijdag 27 mei 2005 11:56

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

biobak schreef op vrijdag 27 mei 2005 @ 11:46:
Security is mijns inziens maatwerk. Je moet rekening houden met management, bedrijfscultuur, sentimenten, typen gegevensverzamelingen en budgetten. Software kan daar misschien een hulpmiddel bij zijn, maar ik zie daar zelf niet zoveel in of de software moet met allerhande factoren rekening kunnen houden die de security specialist ook laat meewegen bij het opstellen van beleid.

En wat vind je dan van bijvoorbeeld een hulpmiddels als CRAMM?

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

vrijdag 27 mei 2005 12:48

Acties:

biobak

Bor de Wollef schreef op vrijdag 27 mei 2005 @ 11:56:
[...]

En wat vind je dan van bijvoorbeeld een hulpmiddels als CRAMM?

De CRAMM software ken ik niet. Ik ken het alleen als methodiek voor risk assesment en risicoanalyse is juist iets wat je doet nadat er vastgesteld is wat het beleid binnen een organisatie is/gaat worden. Beleid is input voor de analyse mbv. CRAMM