Rif: [ml] BS7799 e VPN

Salve a tutti,

ho una curiosità (più che curiosità una esigenza di lavoro) riguardo
le norme della BS7799.

Vorrei sapere se è previsto l'utilizzo di VPN all'interno di ambienti
certificati BS7799 o se tale operazione potrebbe portare
all'invalidazione della certificazione stessa.

Ho controllato i testi ufficiali relativi alla certificazione, e non
ho trovato nulla al riguardo, né sulla impossibilità di utilizzare VPN
né sulla possibilità di farlo.
Verrebbe da pensare al famoso "silenzio assenzo", ma in certi ambiti
bisogna essere certi di ciò che si fa.

-----

Non vedo perchè dovresti trovare riferimenti alla VPN nel testo dello
standard: il punto della questione non è impiegare una tecnologia piuttosto
che un'altra, quanto piuttosto farlo in maniera sufficientemente sicura.

IMHO (non sono certificato, quindi non prenderlo come un parere autorevole)
non c'e' nessun motivo per cui l'adozione di una VPN possa "inficiare" una
certificazione BS7799, a patto che tale tecnologia venga adeguatamente
documentata e gestita in modo da conformarsi con le policy aziendali.
In altre parole, se il ramo VPN usa una crittografia più debole di quella
considerata "minima" accettabile nel piano ISMS, o un sistema di
autenticazione utenti non conforme allo stesso, non va bene, ad esempio.

just my 2c
Fabrizio