R: [ml] BS7799 e VPN

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Gennaio 2005 ml@sikurezza.org
Soggetto: R: [ml] BS7799 e VPN
Mittente: Tessarollo Franco
Data: Fri, 28 Jan 2005 16:10:27 +0100 (CET)

Lo Standard BS 7799-2:2002 indirizza l'impiego di VPN nell'ambito delle seguenti tipologie di contromisure di sicurezza
(BS 7799-2:2002 - Annex A "Control objectives and controls"):
A.8.5.1 "Network controls" (in generale)
A.9.4.8 "Network routeing control"  (con particolare riferimento alle VPN MPLS)
A.10.3.2 "Encryption" (per le tecniche di cifratura)
A.10.3.5 "Key Management" (per la gestione delle chiavi di cifratura)
A.12.1.6 "Regulation of cryptographic controls" (per la conformità alle leggi e regolamenti sull'impiego delle tecniche di cifratura).

Non pone alcun requisito di tipo tecnico (es. sulla "robustezza" della cifratura), lasciando all'Azienda decidere sia in merito alle modalità di applicazione che in merito alla opportunità di applicazione di tale tipo di contromisure, in base alle valutazioni che derivano dall'analisi e dalla gestione del rischio.

Si può pertanto essere pienamente conformi allo Standard BS 7799 *anche* non adottando tecniche di cifratura a protezione della riservatezza delle comunicazioni, purchè tale decisione sia stata adeguatamente valutata e motivata e risulti coerente con lo scenario di rischio cui l'Azienda espone le proprie informazioni qualora le facesse transitare "in chiaro" attraverso reti pubbliche.

--> Franco Tessarollo


> -----Messaggio originale-----
> Da: ml-bounces@xxxxxxxxxxxxx 
> [mailto:ml-bounces@xxxxxxxxxxxxx]Per conto
> di Fabio Casale
> Inviato: lunedì 24 gennaio 2005 10.11
> A: ml@xxxxxxxxxxxxx
> Oggetto: [ml] BS7799 e VPN
> 
> 
> Salve a tutti,
> 
> ho una curiosità (più che curiosità una esigenza di lavoro) riguardo
> le norme della BS7799.
> 
> Vorrei sapere se è previsto l'utilizzo di VPN all'interno di ambienti
> certificati BS7799 o se tale operazione potrebbe portare
> all'invalidazione della certificazione stessa.
> 
> Ho controllato i testi ufficiali relativi alla certificazione, e non
> ho trovato nulla al riguardo, né sulla impossibilità di utilizzare VPN
> né sulla possibilità di farlo.
> Verrebbe da pensare al famoso "silenzio assenzo", ma in certi ambiti
> bisogna essere certi di ciò che si fa.
> 
> Ciao a tutti e grazie
> Fabio
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List

Data:
- precedente: Re: [ml] Cambiare i Security-ID di windows 2003, Matteo Mancini
- successivo: Re:[ml] Cambiare i Security-ID di windows 2003, ando@xxxxxxxxx
- indice

Argomento:
- precedente: [ml] Re: pen test su MS RAS (pptp + MS-CHAPv1), Zeelock
- successivo: [ml] Quale proxy server utilizzare?, Daniele Manna
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005