sr307 tietoturvatekniikat - suomen standardisoimisliitto ... · pdf filesr307...
TRANSCRIPT
SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques
Reijo Savola
Principal Scientist VTT
IT-standardisoinnin vuosiseminaari 18.12.2012
IT-standardisoinnin vuosiseminaari 2012 R. Savola
2
• Työohjelma ja organisaatio
• Tuloksia ja tilastoja
• Uhkia aiheuttavia trendejä ja
haasteita
• Tulevia kokouksia
SISÄLTÖ
IT-standardisoinnin vuosiseminaari 2012 R. Savola
3
Security and privacy
TYÖOHJELMA
Information security and privacy governance
Econom
ics o
f in
form
ation s
ecurity
a
nd
priva
cy
Information security management system (ISMS) requirements
Management system methods and processes
Security and privacy controls and services, codes of practice, frameworks (includes sector
Specific issues: cloud ,privacy, telecoms, energy, identity management)
Cryptographic and security mechanisms and technologies
Ce
rtific
atio
n a
nd
a
ud
itin
g
req
uire
me
nts
a
nd
me
tho
ds
Se
cu
rity
eva
lua
tio
n,
testin
g,
pro
ce
sse
s,
me
tho
ds
an
d s
pe
cific
atio
n
IT-standardisoinnin vuosiseminaari 2012 R. Savola
4
ISO/IEC JTC 1/SC 27 IT Security Techniques
pj. W. Fumy varapj: M. de Soete
ORGANISAATIO (ISO/IEC)
SC 27 Secretariat
DIN K. Passia
WG 1 Information
security management
Systems
kk. T. Hymphreys
WG 2 Cryptography And security mechanisms
kk. T. Chikazawa
WG 3 Security
Evaluation criteria
kk. M. Bañón
WG 4 Security Controls
and services
kk. J. Amsenga
WG 5 Identity
Management and privacy
technologies
kk. K. Rannenberg
IT-standardisoinnin vuosiseminaari 2012 R. Savola
Suomen seurantaryhmä
pj. R. Savola siht. J. Vartiainen
5
TUOREITA JULKAISUJA 1(2)
CRYPTO • Message authentication codes (ISO/IEC 9797-3)
• Key management (ISO/IEC 11770-5)
• Random bit generation (ISO/IEC 18031)
• Encryption algorithms – stream ciphers (ISO/IEC 18033-4)
• Signcryption (ISO/IEC 29150)
• Lightweight cryptography ISO/IEC 29192)
ISMS • Requirements for bodies providing audit and cert. Of ISMS (ISO/IEC 27006,
2nd ed.)
• Guidelines for ISMS guidelines auditing (ISO/IEC 27007)
• Guidelines for auditors on IS controls (ISO/IEC TR 27008)
• ISM for inter-sector and inter-org. communications (ISO/IEC 27010)
• Guidelines on the integrated impl. of 27001 and 20000-1 (ISO/EC 27013)
IT-standardisoinnin vuosiseminaari 2012 R. Savola
6
TUOREITA JULKAISUJA 2(2)
CONTROLS • Identity management framework (ISO/IEC 24760-1)
• Guidelines for cybersecurity (ISO/IEC 27032)
• Network security – guidelines for the deisgn and impl. (ISO/IEC 27033-2)
• Application security – overview and concepts (ISO/IEC 27034-1)
• Guidelines for identification, collection, acquisition and preservation of digital evidence (ISO/IEC 27037)
• Privacy framework (ISO/IEC 29100)
• Best practices for the provision and use of time-stamping services (ISO/IEC TR 2914)
EVALUATION • Security requirements for cryptographic modules (ISO/IEC 19790)
• Refining software vulnerability analysis under 15408 and 18045 (ISO/IEC TR 20004)
• Verification of cryptographic protocols (ISO/IEC 29128)
SFS • SFS-ISO/IEC 27000 Informaatioteknologia. Turvallisuus.
Tietoturvallisuuden hallintajärjestelmät julkaistu syksyllä (sis. ISO/IEC 27001, 17799, 27003, 27004, 27005).
IT-standardisoinnin vuosiseminaari 2012 R. Savola
7
1. ISO/IEC 27005:2011 Information technology -- Security techniques -- Information security risk management 2. ISO/IEC 27006:2011 Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems 3. ISO/IEC 27007:2011 Information technology -- Security techniques -- Guidelines for information security management systems auditing 4. ISO/IEC TR 27008:2011 Information technology -- Security techniques -- Guidelines for auditors on information security controls 5. ISO/IEC 27031:2011 Information technology -- Security techniques -- Guidelines for information and communication technology readiness for business continuity 6. ISO/IEC 29100:2011 Information technology -- Security techniques -- Privacy framework 7. ISO/IEC 29101(2013) Information technology -- Security techniques -- Privacy architecture framework 8. ISO/IEC 27001(2013) Information technology -- Security techniques -- Information security management systems -- Requirements
KÄÄNNETTÄVÄNÄ ON TAI EHDOLLA KÄÄNNETTÄVÄKSI:
IT-standardisoinnin vuosiseminaari 2012 R. Savola
8
TILASTOJA: Common Criteria (ISO/IEC 15408)
IT-standardisoinnin vuosiseminaari 2012 R. Savola
1646 Certified Products by Category *
Category Products Archived
Access Control Devices and Systems 78 11
Biometric Systems and Devices 2 0
Boundary Protection Devices and Systems
122 27
Data Protection 69 15
Databases 53 12
Detection Devices and Systems 34 13
ICs, Smart Cards and Smart Card-Related Devices and Systems
512 2
Key Management Systems 37 5
Multi-Function Devices 228 11
Network and Network-Related Devices and Systems
144 29
Operating Systems 102 25
Other Devices and Systems 193 65
Products for Digital Signatures 71 4
Trusted Computing 1 0
Totals: 1646 219
Grand Total: 1865
9
TILASTOJA: Osallistuminen kokouksiin
IT-standardisoinnin vuosiseminaari 2012 R. Savola
KANSAINVÄLINEN OSALLISTUMINEN
• Plenary-kokous n. 60 henkilöä
• WG1: 120 (Tukholma 7.-15.5.2012)
• WG2: 50
• WG3: 40
• WG4: 60
• WG5: 50
• WG:t yhteensä: 320
SUOMALAINEN DELEGAATIO
A. Tukholma (7.-15.5.2012: 4 henkilöä)
B. Rooma (22.-26.10.2012: 5 henkilöä)
Suomi on tehnyt ehdotuksen yksityisyydensuojan standardisoinnin kohentamiseksi (Frank Dawson)
10
TUOTTEIDEN, PALVELUIDEN JA TIETOVERKKOJEN KEHITYS
Lähtötilanne: Vanhat (tietoturvattomat) ratkaisut pohjalla Aiemmin tietoturvanäkökulmiin ei ole kiinnitetty riittävissä määrin huomiota. Monet laajalle levinneet ratkaisut hyödyntävät vanhaa pohjaa (esim. Internet, monet alustat, erityistietoliikenne)
Trendi: Monimutkaistuminen
Tuotteiden, palvelujen ja tietoverkkojen monimutkaistuminen on haaste tietoturvalle, koska kokonaisuutta on vaikeampi hallita. Tietoturvanhallinta vaatii kokonaisymmärrystä.
Trendi: Kireä kehitysaikataulu
Markkinoiden asettamat aikatauluvaatimukset
vaikuttavat heikentävästi tuotteiden toteutuksen laatuun. Huonosta laadusta aiheutuu tietoturvauhkia.
IT-standardisoinnin vuosiseminaari 2012 R. Savola
11
OHJELMISTOLAADUSTA vs. TIETOTURVASTA JA -SUOJASTA
• Tietoturvaan tarvitaan hyvää ohjelmistolaatua, mutta se ei riitä
• Yksityisyydensuojaan/tietosuojaan tarvitaan hyvää tietoturvaa, mutta se ei riitä
• Nykyään ohjelmistokehitystalot painivat enimmäkseen ohjelmistolaadun ongelmien kanssa…
IT-standardisoinnin vuosiseminaari 2012 R. Savola
12
Trendi: Tieto- ja viestintätekniikan laaja
hyödyntäminen
ICT-alan perusratkaisut leviävät perinteisille aloille, joissa järjestelmällistä tietoturvanhallintakulttuuria ei ole ollut. Haasteet ovat valtavat.
Trendi: Tieto- ja viestintätekniikan käyttö
yhteiskunnalle kriittisissä järjestelmissä
Yhteiskunnalle kriittiset rakenteet ja järjestelmät käyttävät myös yhä enemmän ICT-alan perus-ratkaisuja, jotka kytkevät tietoturvan ja yleisen turvallisuuden uhkia yhteen. Riippuvuussuhteiden hallinta on erityisen haasteellista.
ICT:N SOVELTAMINEN MUILLE ALOILLE
IT-standardisoinnin vuosiseminaari 2012 R. Savola
13
TIETOTURVARATKAISUJEN – JA EVIDENSSIN BIASOITUMINEN?
Kuva:Savola,R.,Frühwirth,C.,PietikäinenA.,”Risk-driven security metrics in agile software development – anindustrialpilotstudy”.SubmittedtoJournalofUniversal Computer Science, 2012.
IT-standardisoinnin vuosiseminaari 2012 R. Savola
14
TULEVIA KOKOUKSIA
SC 27 -kokoukset
• 22.-30.4.2013 (WG ja plenary), Ranska
• Lokakuu 2013 (WG), Korea
Suomen seurantaryhmän kokous
22.01.2013 klo 9-11
IT-standardisoinnin vuosiseminaari 2012 R. Savola
15 IT-standardisoinnin vuosiseminaari 2012 R. Savola