SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques

Reijo Savola

Principal Scientist VTT

IT-standardisoinnin vuosiseminaari 18.12.2012

IT-standardisoinnin vuosiseminaari 2012 R. Savola

2

• Työohjelma ja organisaatio

• Tuloksia ja tilastoja

• Uhkia aiheuttavia trendejä ja

haasteita

• Tulevia kokouksia

SISÄLTÖ

IT-standardisoinnin vuosiseminaari 2012 R. Savola

3

Security and privacy

TYÖOHJELMA

Information security and privacy governance

Econom

ics o

f in

form

ation s

ecurity

a

nd

priva

cy

Information security management system (ISMS) requirements

Management system methods and processes

Security and privacy controls and services, codes of practice, frameworks (includes sector

Specific issues: cloud ,privacy, telecoms, energy, identity management)

Cryptographic and security mechanisms and technologies

Ce

rtific

atio

n a

nd

a

ud

itin

g

req

uire

me

nts

a

nd

me

tho

ds

Se

cu

rity

eva

lua

tio

n,

testin

g,

pro

ce

sse

s,

me

tho

ds

an

d s

pe

cific

atio

n

IT-standardisoinnin vuosiseminaari 2012 R. Savola

4

ISO/IEC JTC 1/SC 27 IT Security Techniques

pj. W. Fumy varapj: M. de Soete

ORGANISAATIO (ISO/IEC)

SC 27 Secretariat

DIN K. Passia

WG 1 Information

security management

Systems

kk. T. Hymphreys

WG 2 Cryptography And security mechanisms

kk. T. Chikazawa

WG 3 Security

Evaluation criteria

kk. M. Bañón

WG 4 Security Controls

and services

kk. J. Amsenga

WG 5 Identity

Management and privacy

technologies

kk. K. Rannenberg

IT-standardisoinnin vuosiseminaari 2012 R. Savola

Suomen seurantaryhmä

pj. R. Savola siht. J. Vartiainen

5

TUOREITA JULKAISUJA 1(2)

CRYPTO • Message authentication codes (ISO/IEC 9797-3)

• Key management (ISO/IEC 11770-5)

• Random bit generation (ISO/IEC 18031)

• Encryption algorithms – stream ciphers (ISO/IEC 18033-4)

• Signcryption (ISO/IEC 29150)

• Lightweight cryptography ISO/IEC 29192)

ISMS • Requirements for bodies providing audit and cert. Of ISMS (ISO/IEC 27006,

2nd ed.)

• Guidelines for ISMS guidelines auditing (ISO/IEC 27007)

• Guidelines for auditors on IS controls (ISO/IEC TR 27008)

• ISM for inter-sector and inter-org. communications (ISO/IEC 27010)

• Guidelines on the integrated impl. of 27001 and 20000-1 (ISO/EC 27013)

IT-standardisoinnin vuosiseminaari 2012 R. Savola

6

TUOREITA JULKAISUJA 2(2)

CONTROLS • Identity management framework (ISO/IEC 24760-1)

• Guidelines for cybersecurity (ISO/IEC 27032)

• Network security – guidelines for the deisgn and impl. (ISO/IEC 27033-2)

• Application security – overview and concepts (ISO/IEC 27034-1)

• Guidelines for identification, collection, acquisition and preservation of digital evidence (ISO/IEC 27037)

• Privacy framework (ISO/IEC 29100)

• Best practices for the provision and use of time-stamping services (ISO/IEC TR 2914)

EVALUATION • Security requirements for cryptographic modules (ISO/IEC 19790)

• Refining software vulnerability analysis under 15408 and 18045 (ISO/IEC TR 20004)

• Verification of cryptographic protocols (ISO/IEC 29128)

SFS • SFS-ISO/IEC 27000 Informaatioteknologia. Turvallisuus.

Tietoturvallisuuden hallintajärjestelmät julkaistu syksyllä (sis. ISO/IEC 27001, 17799, 27003, 27004, 27005).

IT-standardisoinnin vuosiseminaari 2012 R. Savola

7

1. ISO/IEC 27005:2011 Information technology -- Security techniques -- Information security risk management 2. ISO/IEC 27006:2011 Information technology ‎-- ‎Security techniques ‎-- ‎Requirements for bodies providing audit and certification of information ‎ security management systems‎ 3. ISO/IEC 27007:2011 Information technology -- Security techniques -- Guidelines for information security management systems auditing 4. ISO/IEC TR 27008:2011 Information technology -- Security techniques -- Guidelines for auditors on information security controls 5. ISO/IEC 27031:2011 Information technology ‎-- ‎Security techniques ‎-- ‎Guidelines for information and communication technology readiness for ‎business continuity‎ 6. ISO/IEC 29100:2011 Information technology -- Security techniques -- Privacy framework 7. ISO/IEC 29101(2013) Information technology -- Security techniques -- Privacy architecture framework 8. ISO/IEC 27001(2013) Information technology -- Security techniques -- Information security management systems -- Requirements

KÄÄNNETTÄVÄNÄ ON TAI EHDOLLA KÄÄNNETTÄVÄKSI:

IT-standardisoinnin vuosiseminaari 2012 R. Savola

8

TILASTOJA: Common Criteria (ISO/IEC 15408)

IT-standardisoinnin vuosiseminaari 2012 R. Savola

1646 Certified Products by Category *

Category Products Archived

Access Control Devices and Systems 78 11

Biometric Systems and Devices 2 0

Boundary Protection Devices and Systems

122 27

Data Protection 69 15

Databases 53 12

Detection Devices and Systems 34 13

ICs, Smart Cards and Smart Card-Related Devices and Systems

512 2

Key Management Systems 37 5

Multi-Function Devices 228 11

Network and Network-Related Devices and Systems

144 29

Operating Systems 102 25

Other Devices and Systems 193 65

Products for Digital Signatures 71 4

Trusted Computing 1 0

Totals: 1646 219

Grand Total: 1865

9

TILASTOJA: Osallistuminen kokouksiin

IT-standardisoinnin vuosiseminaari 2012 R. Savola

KANSAINVÄLINEN OSALLISTUMINEN

• Plenary-kokous n. 60 henkilöä

• WG1: 120 (Tukholma 7.-15.5.2012)

• WG2: 50

• WG3: 40

• WG4: 60

• WG5: 50

• WG:t yhteensä: 320

SUOMALAINEN DELEGAATIO

A. Tukholma (7.-15.5.2012: 4 henkilöä)

B. Rooma (22.-26.10.2012: 5 henkilöä)

Suomi on tehnyt ehdotuksen yksityisyydensuojan standardisoinnin kohentamiseksi (Frank Dawson)

10

TUOTTEIDEN, PALVELUIDEN JA TIETOVERKKOJEN KEHITYS

Lähtötilanne: Vanhat (tietoturvattomat) ratkaisut pohjalla Aiemmin tietoturvanäkökulmiin ei ole kiinnitetty riittävissä määrin huomiota. Monet laajalle levinneet ratkaisut hyödyntävät vanhaa pohjaa (esim. Internet, monet alustat, erityistietoliikenne)

Trendi: Monimutkaistuminen

Tuotteiden, palvelujen ja tietoverkkojen monimutkaistuminen on haaste tietoturvalle, koska kokonaisuutta on vaikeampi hallita. Tietoturvanhallinta vaatii kokonaisymmärrystä.

Trendi: Kireä kehitysaikataulu

Markkinoiden asettamat aikatauluvaatimukset

vaikuttavat heikentävästi tuotteiden toteutuksen laatuun. Huonosta laadusta aiheutuu tietoturvauhkia.

IT-standardisoinnin vuosiseminaari 2012 R. Savola

11

OHJELMISTOLAADUSTA vs. TIETOTURVASTA JA -SUOJASTA

• Tietoturvaan tarvitaan hyvää ohjelmistolaatua, mutta se ei riitä

• Yksityisyydensuojaan/tietosuojaan tarvitaan hyvää tietoturvaa, mutta se ei riitä

• Nykyään ohjelmistokehitystalot painivat enimmäkseen ohjelmistolaadun ongelmien kanssa…

IT-standardisoinnin vuosiseminaari 2012 R. Savola

12

Trendi: Tieto- ja viestintätekniikan laaja

hyödyntäminen

ICT-alan perusratkaisut leviävät perinteisille aloille, joissa järjestelmällistä tietoturvanhallintakulttuuria ei ole ollut. Haasteet ovat valtavat.

Trendi: Tieto- ja viestintätekniikan käyttö

yhteiskunnalle kriittisissä järjestelmissä

Yhteiskunnalle kriittiset rakenteet ja järjestelmät käyttävät myös yhä enemmän ICT-alan perus-ratkaisuja, jotka kytkevät tietoturvan ja yleisen turvallisuuden uhkia yhteen. Riippuvuussuhteiden hallinta on erityisen haasteellista.

ICT:N SOVELTAMINEN MUILLE ALOILLE

IT-standardisoinnin vuosiseminaari 2012 R. Savola

13

TIETOTURVARATKAISUJEN – JA EVIDENSSIN BIASOITUMINEN?

Kuva:‎Savola,‎R.,‎Frühwirth,‎C.,‎Pietikäinen‎A.,‎”Risk-driven security metrics in agile software development – an‎industrial‎pilot‎study”.‎Submitted‎to‎Journal‎of‎Universal Computer Science, 2012.

IT-standardisoinnin vuosiseminaari 2012 R. Savola

14

TULEVIA KOKOUKSIA

SC 27 -kokoukset

• 22.-30.4.2013 (WG ja plenary), Ranska

• Lokakuu 2013 (WG), Korea

Suomen seurantaryhmän kokous

22.01.2013 klo 9-11

IT-standardisoinnin vuosiseminaari 2012 R. Savola

15 IT-standardisoinnin vuosiseminaari 2012 R. Savola