Qu'est-ce qu'une norme de sécurité similaire à ISO 27001 avec un accent plus prononcé sur la sécurité informatique?
* Édition - Jusqu'à présent, les réponses réaffirment ce qu'est et ce qui n'est pas ISO 27K. Nous en sommes conscients, cependant la perception d'ISO 27K est différente. Nous n'avons pas de professionnels infosec, nous voulons simplement savoir quelles sont les autres options disponibles, indépendamment de l'opinion subjective.
Exemple: (UK) Cyber Essentials Scheme. Cela nécessite la mise en œuvre de contrôles essentiels de sécurité informatique de base, une auto-évaluation et un examen externe.
Une question similaire a été posée mais sans réponse satisfaisante. Contexte complet:
- Nous sommes une entreprise d'environ 100 personnes réparties sur quelques sites mondiaux.
- Nous avons été certifiés en externe pour ISO 27001, nous n'avons exclu qu'un seul article de la déclaration d'applicabilité;
- Nous n'avons pas de professionnel dédié à la sécurité de l'information.
Nous sommes devenus très insatisfaits de la norme ISO 27K pour les raisons suivantes:
- Les évaluateurs se concentrent trop sur la procédure et la documentation plutôt que sur la sécurité réelle
- À aucun moment lors de visites externes, aucun évaluateur n'a même posé de questions sur la sécurité réelle du Web et des TI.
- Les infractions dans la documentation génèrent beaucoup trop de paperasse en plus de résoudre les problèmes.
- Incohérence d'approche des évaluateurs dans différents pays
- Le temps requis pour maintenir la norme nuit au travail sur la cybersécurité réelle qui n'est pas requise par la norme, comme l'analyse des vulnérabilités, l'analyse des ports, le chiffrement, etc.
Nous sommes principalement une entreprise britannique/américaine. Nous aimerions une norme de sécurité davantage axée sur les TI qui soit reconnue dans ces endroits. Le seul véritable moteur de notre norme ISO est son attrait et sa reconnaissance auprès de nos clients. Toutes les opinions sont les bienvenues
ISO27k concerne la "gestion de la sécurité", pas la sécurité elle-même. Les auditeurs seront préoccupés par ce que vous faites pour répondre aux risques que vous avez identifiés, si vous faites vraiment ce que vous dites, que faites-vous lorsque quelque chose s'écarte de ce qui a été spécifié ou de nouveaux risques, et comment évaluer l'efficacité de vos mesures.
Donc, fondamentalement, ils ne se soucient pas de ce que vous faites pour arrêter les attaques ddos (si c'est l'un des risques auxquels vous êtes exposé), tant que vous faites quelque chose, et il est jugé suffisamment efficace par un indicateur correct.
ISO27k ne dira jamais "cette entité est sécurisée", mais "cette entité gère bien sa sécurité".
Vous ne cherchez pas vraiment des alternatives à ISO27k, mais quelque chose de complètement différent. Il existe de nombreuses normes auxquelles vous pouvez vous conformer en fonction de votre activité.
Le PCI-DSS vient à l'esprit comme étant davantage axé sur des mesures pratiques. Voir https://en.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard pour un aperçu et quelques liens.
Je qualifierais cette suggestion en mentionnant que je considérerais PCI-DSS comme un bon cadre à utiliser comme liste de contrôle des choses que vous devriez penser à mettre en place. Je n'ai aucune expérience de la certification PCI-DSS et je ne sais pas si cela s'appliquerait ou serait souhaitable dans votre situation.
Si la certification est une exigence/un désir, je ne suis pas entièrement sûr de me concentrer sur PCI-DSS.
Comme mentionné par @ Purefan , se concentrer sur la gestion des vulnérabilités est également un bon domaine.
Une partie de la sécurité globale est la sécurité organisationnelle (avoir des politiques, des processus et des procédures documentés réduit le facteur de bus) et l'auditabilité (être en mesure de prouver que les mesures de sécurité fonctionnent comme prévu). La sécurité qui se concentre uniquement sur la sécurité technique, mais ignore les procédures ne sont pas des exercices de sécurité complets.
ISO 2700x elle-même ne vous dit pas quelles mesures de sécurité vous devez prendre car chaque organisation a des besoins et des exigences uniques, tandis que les techniques d'atténuation évoluent constamment. Le cadre ISO 2700x est destiné à guider une organisation à comprendre ses exigences de sécurité, son appétence au risque, puis à développer un plan de sécurité qui soit cohérent avec l'exigence de sécurité et l'appétence au risque énoncées.
Être conforme à la norme ISO 2700x ne signifie pas que vous avez mis en place de bonnes mesures de sécurité. Tout ce que la conformité ISO 2700x vous dit, c'est que l'organisation a pris une décision consciente et informée sur les mesures à prendre ou à ne pas prendre pour satisfaire ses propres exigences. Une organisation conforme à la norme ISO 2700x peut toujours être l'entreprise la plus précaire si, dans les auto-évaluations, l'organisation décide d'accepter d'énormes risques et décide de ne pas mettre en œuvre de contrôles.
Si vous cherchez des directives de sécurité plus techniques, vous voudrez probablement consulter les publications du projet OWASP. Si vous manipulez une carte de crédit, vous voudrez vous pencher sur PCI-DSS. Vous souhaitez également évaluer les exigences de sécurité de vos lois locales et de toutes les lois étrangères ou organismes de normalisation de l'industrie auxquels vous vous attendez à devoir faire face. Ils peuvent avoir des exigences en matière de tenue de registres, de gestion des informations personnelles, etc. auxquelles vous devez vous conformer et nécessitent parfois des techniques d'atténuation spécifiques que vous devez mettre en œuvre. Vous souhaitez également suivre les blogs et les journaux de sécurité. Vous souhaitez également jouer avec des outils de test de pénétration automatisés et vous lier d'amitié avec des pentesters.
Sachez que ces guides de sécurité ne sont pas une évaluation complète de la sécurité de l'organisation. Ces guides techniques complètent ISO 2700x, pas le remplacer.