Ops, scusatemi, era "un po'" che non controllavola coda delle mail bloccate per attachment.. vi ricordo di inviare i messaggi in formato solo testo..
thnx, K. (list admin) ----- Forwarded message from giacomo.collini(at)gmail.com ----- From: giacomo.collini(at)gmail.com To: ml(at)sikurezza.org Subject: Re: [ml] CIS Security Cisecurity produce set di checks per varie piattaforme; in passato distribuivano pure il software per alcune mentre per altre si limitavano a rilasciare checklist. Adesso non producono piu' software ed il vecchio non e' piu' supportato, in compenso certificano software di terze parti che implementano le loro checklist, Tripwire Enterprise ad esempio. Le checklist di cis sono molto mirate ad i sistemi e sono composte di entry mappabili direttamente in comandi unix ad esempio. Nsa e Nist stanno mergiando le loro checklist sotto la spinta della standardizzazione attraverso i formati xccdf e oval. PCI e' richiesto da parte di Visa e company ad aziende che trattano carte di credito; e' in continua evoluzione e diventa ogni anno piu' corposo; e' grossomodo un questionario che contiene domande piu' o meno generiche; e' piu' orientato ai processi anche se ci sono requirements ben specifici, soprattutto riguardo alla segregation of duty; segregazione della infrastruttura che contiene i dati delle cc, storaging degli stessi, auditing, trattamento del materiale cartaceo. Io credo i software CIS siano ancora validi, specialmente per Red Hat, ma manca una alternativa open source aggiornata capace di processare oval e xccdf per esempio; nell'ambito del progetto Atalaya (http://atalayasec.org) abbiamo cercato un'alternativa a cis open source ma non l'abbiamo trovata, per cui ci siamo accontentati di Tripwire commerciale che dalla versione 7 supporta la checklist CIS. Se qualcuno conosce un'alternativa open o vuole far partire un progetto in tal senso si faccia avanti, come Atalaya gia supportiamo parte del processo dato che l'ultima versione di CIS supporta output XCCDF :) -- Giacomo Collini - CISSP GCIH http://atalayasec.org Information Security Analyst email: giacomo.collini(at)gmail.com ----- End forwarded message -----
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
