Stefano wrote:
da tempo sto operando con un software che mi permette di eseguire la compliance di security dei sistemi
La compliance di security si deve estendere oltre ai sistemi, e quindi necessariamente i software che automagicamente la verificano sono dei poveri sostituti dell'analisi manuale di un esperto.
con delle rules o CIS, DISA, NIST, NSA, PCI ... il concetto mi pare interessante però quale di queste privilegiare?
Siccome sono cose profondamente diverse, ed alcune di esse sono degli interi ORGANISMI di standardizzazione, forse dovresti approfondire un po' la tua preparazione sull'argomento e/o chiarire la domanda.
Allo stato stai chiedendo qualcosa di simile a: "Ma le norme ISO sono buone ?"
La risposta e' ovviamente non definita.
Ho cercato un po' su internet e ho visto che quella più seguita è il CIS
Fonti ?
Inoltre ho scoperto l'esistenza di CISSP che, se interpreto bene, è una certificazione ma non fornisce in realtà dei set di rules per i sistemi..
... la CISSP e' la piu' famosa certificazione vendor-independent per i PROFESSIONISTI. Non c'entra assolutamente nulla con quello che stavi chiedendo prima.
Sei sicuro di aver cercato bene ? :) -- Cordiali saluti, Stefano Zanero Politecnico di Milano - Dip. Elettronica e Informazione Via Ponzio, 34/5 I-20133 Milano - ITALY Tel. +39 02 2399-4017 Fax. +39 02 2399-3411 E-mail: [EMAIL PROTECTED] Web: http://home.dei.polimi.it/zanero/
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
