Fråga:
Tillåter ISO 27001 ett företag att använda FTP?
kqw
2015-10-29 16:35:40 UTC
view on stackexchange narkive permalink

I ett projekt var jag tvungen att använda osäker FTP för att ansluta till värdleverantören - inte SFTP, inte FTPS. Värdleverantören hävdar stolt att den är ISO 27001-certifierad. På något sätt verkade allt detta helt fel för mig.

Är det möjligt att ett företag får ISO 27001-certifiering medan de fortfarande använder starkt osäkra protokoll som FTP?

Jag deltar inte längre i det här projektet, jag fick inte ett ordentligt svar när jag frågade tidigare och jag kommer definitivt inte att få svar om jag frågar tjänsteleverantören om detta nu.

Jag Jag är främst intresserad av att veta hur detta fungerar i förhållande till ISO 27001 - och därmed till hur mycket värde jag kan lägga i denna certifiering.

Är den som ger ut dessa certifieringar likgiltig för en organisation som använder FTP? Eller är det mer troligt att tjänsteleverantören hållit denna information borta från certifieraren?

Personligen litar jag inte på någon internetleverantör som fortfarande använder FTP för någonting. För att inte tala om att tillhandahålla det som det primära alternativet till sina kunder.

(Jag vet skillnaden mellan FTP, SFTP och FTPS - ja skillnaden mellan de senare 2 lite mindre men det är utöver denna fråga.)

Relaterat men inte duplicerat:

UPPDATERING: Osäker data överfördes över en osäker kanal. Med en man i mittenattacken skulle skickliga angripare lätt ha kunnat få tillgång till institutionens interna nätverk (jag kommer inte att ge detaljer här, men wow ... jag kunde nog ha gjort det själv - och jag ' Jag är inte en pentest pro på något sätt). Tjänsteleverantören måste ha varit medveten om detta.

Detta är ofta en fråga om villkor. När människor pratar om ftp menar de ofta ftps eller till och med sftp. Båda protokollen är krypterade och eftersom de inte är osäkra på det sätt som jag tror att du nämner det. Fråga dem om de stöder ssl eller sftp.
Jag är inte en ISO27001-kille men jag kan åtminstone förklara skillnaden mellan ftps och sftp. Ftps är ftp-protokollet med ssl tillagd. Sftp är ett annat protokoll som mestadels implementeras som ett delsystem av ssh och som sådan tillåter certifikatbaserad autentisering och inte bara lösenordsbaserad autentisering.
27001 är inte en lista över "du kan / kan inte" göra det, det handlar om riskbedömning och god praxis. Att skicka okrypterad data över en säker anslutning kan vara ok, att skicka krypterad data över en osäker anslutning kan också vara ok. På samma sätt kanske de inte, beroende på vad / hur du gör det. Den verkliga frågan är "Är dina data säkra, och har du vidtagit alla förnuftiga försiktighetsåtgärder för att se till att de är det?"
@JonStory ISO27001 (och liknande standarder för icke-IT-områden) kräver uttryckligen * inte * "har du vidtagit alla förnuftiga försiktighetsåtgärder för att säkerställa att det är", det räcker att ha en policy som erkänner att du inte har tagit en massa mycket förnuftiga försiktighetsåtgärder och att du helt enkelt accepterar de risker som orsakas av detta.
Ett svar:
GdD
2015-10-29 18:09:39 UTC
view on stackexchange narkive permalink

ISO 27001 anger inte vilka protokoll som ska användas och hur de ska användas, det anger hur en organisation ska strukturera sin informationssäkerhetsapparat. En ISO 27001-certifierad organisation måste ha policyer och procedurer för att säkerställa att policyn följs.

ISO 27001 har också ett omfång som definieras av organisationen vilket kan göra en enorm skillnad på certifieringens inverkan. En certifiering som täcker den nätverksaktiverade kaffemaskinen skiljer sig lite från den som täcker hela verksamheten. ISO 27001-certifiering i fråga om din fråga kanske inte har FTP-servern i omfång.

FTP är helt acceptabelt att använda i fall där den överförda informationen är offentlig, eller om det finns andra kontroller på plats för att skydda uppgifterna. Om data krypteras före transitering och det finns ett bra verifieringssystem för att säkerställa att data inte manipuleras är det ok att skicka dem över en icke-krypterad kanal. Ur ett ISO 27001-perspektiv om organisationen har utfört en riskbedömning och gått igenom en process för att mildra risken så är den gjort vad den ska göra.

Varje ledningscertifiering betyder bara att organisationen har ett ** management ** -system för den delen. Så i grund och botten betyder det att de har funderat över det och skrivit ner några regler. De vet också hur man hanterar brott mot sina egna regler. Men om din grundläggande förutsättning är "knulla kunderna och deras data, jag bryr mig inte om dem" kan du bygga en perfekt fin ISMS på det.
Uppgifterna var inte offentliga, inga andra kontroller fanns på plats. Och uppgifterna inkluderade också kod. Men totalt sett antar jag att det är rättvist att dra slutsatsen att ISO 27001 inte alls betyder så mycket - och @josef's grundläggande förutsättningar verkade definitivt ha tillämpats av det företag jag behandlade.
Det betyder att företaget har en form av IT-säkerhetshantering på plats, men det är inte en ren hälsa.
@KasperSouren ISO 27001 ** betyder ** mycket! Bara inte vad du tycker det betyder. Det betyder att ** ledningen ** har tänkt på informationssäkerhet och infört processer för att säkerställa att företagets informationssäkerhet är på en viss nivå och att det finns sätt att upptäcka och svara på incidenter. Men det tvingar inte fram någon specifik säkerhetsnivå eller specifikt skydd etc. Men tänk på det här: Om ett företag med rätt ISMS bara accepterar filöverföringar med osäker FTP betyder det att de ** tänkte på detta ** och bestämde sig inte deras problem eller de bryr sig inte.


Denna fråga och svar översattes automatiskt från det engelska språket.Det ursprungliga innehållet finns tillgängligt på stackexchange, vilket vi tackar för cc by-sa 3.0-licensen som det distribueras under.
Loading...