SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques

SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques Reijo Savola Principal Scientist VTT IT-standardisoinnin vuosiseminaari 18.12.2012

SISÄLTÖ Työohjelma ja organisaatio Tuloksia ja tilastoja Uhkia aiheuttavia trendejä ja haasteita Tulevia kokouksia 2

Economics of information security and privacy Security evaluation, testing, processes, methods and specification Certification and auditing requirements and methods TYÖOHJELMA Security and privacy Information security and privacy governance Information security management system (ISMS) requirements Management system methods and processes Security and privacy controls and services, codes of practice, frameworks (includes sector Specific issues: cloud,privacy, telecoms, energy, identity management) Cryptographic and security mechanisms and technologies 3

ORGANISAATIO (ISO/IEC) ISO/IEC JTC 1/SC 27 IT Security Techniques pj. W. Fumy varapj: M. de Soete SC 27 Secretariat DIN K. Passia WG 1 Information security management Systems WG 2 Cryptography And security mechanisms WG 3 Security Evaluation criteria WG 4 Security Controls and services WG 5 Identity Management and privacy technologies kk. T. Hymphreys kk. T. Chikazawa kk. M. Bañón kk. J. Amsenga kk. K. Rannenberg Suomen seurantaryhmä pj. R. Savola siht. J. Vartiainen 4

CRYPTO Message authentication codes (ISO/IEC 9797-3) Key management (ISO/IEC 11770-5) Random bit generation (ISO/IEC 18031) TUOREITA JULKAISUJA 1(2) Encryption algorithms stream ciphers (ISO/IEC 18033-4) Signcryption (ISO/IEC 29150) Lightweight cryptography ISO/IEC 29192) ISMS Requirements for bodies providing audit and cert. Of ISMS (ISO/IEC 27006, 2nd ed.) Guidelines for ISMS guidelines auditing (ISO/IEC 27007) Guidelines for auditors on IS controls (ISO/IEC TR 27008) ISM for inter-sector and inter-org. communications (ISO/IEC 27010) Guidelines on the integrated impl. of 27001 and 20000-1 (ISO/EC 27013) 5

CONTROLS TUOREITA JULKAISUJA 2(2) Identity management framework (ISO/IEC 24760-1) Guidelines for cybersecurity (ISO/IEC 27032) Network security guidelines for the deisgn and impl. (ISO/IEC 27033-2) Application security overview and concepts (ISO/IEC 27034-1) Guidelines for identification, collection, acquisition and preservation of digital evidence (ISO/IEC 27037) Privacy framework (ISO/IEC 29100) Best practices for the provision and use of time-stamping services (ISO/IEC TR 2914) EVALUATION Security requirements for cryptographic modules (ISO/IEC 19790) Refining software vulnerability analysis under 15408 and 18045 (ISO/IEC TR 20004) Verification of cryptographic protocols (ISO/IEC 29128) SFS SFS-ISO/IEC 27000 Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät julkaistu syksyllä (sis. ISO/IEC 27001, 17799, 27003, 27004, 27005). 6

KÄÄNNETTÄVÄNÄ ON TAI EHDOLLA KÄÄNNETTÄVÄKSI: 1. ISO/IEC 27005:2011 Information technology -- Security techniques -- Information security risk management 2. ISO/IEC 27006:2011 Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems 3. ISO/IEC 27007:2011 Information technology -- Security techniques -- Guidelines for information security management systems auditing 4. ISO/IEC TR 27008:2011 Information technology -- Security techniques -- Guidelines for auditors on information security controls 5. ISO/IEC 27031:2011 Information technology -- Security techniques -- Guidelines for information and communication technology readiness for business continuity 6. ISO/IEC 29100:2011 Information technology -- Security techniques -- Privacy framework 7. ISO/IEC 29101(2013) Information technology -- Security techniques -- Privacy architecture framework 8. ISO/IEC 27001(2013) Information technology -- Security techniques -- Information security management systems -- Requirements 7

TILASTOJA: Common Criteria (ISO/IEC 15408) 1646 Certified Products by Category * Category Products Archived Access Control Devices and Systems 78 11 Biometric Systems and Devices 2 0 Boundary Protection Devices and 122 27 Systems Data Protection 69 15 Databases 53 12 Detection Devices and Systems 34 13 ICs, Smart Cards and Smart Card- Related Devices and Systems 512 2 Key Management Systems 37 5 Multi-Function Devices 228 11 Network and Network-Related Devices 144 29 and Systems Operating Systems 102 25 Other Devices and Systems 193 65 Products for Digital Signatures 71 4 Trusted Computing 1 0 Totals: 1646 219 Grand Total: 1865 8

TILASTOJA: Osallistuminen kokouksiin KANSAINVÄLINEN OSALLISTUMINEN Plenary-kokous n. 60 henkilöä WG1: 120 (Tukholma 7.-15.5.2012) WG2: 50 WG3: 40 WG4: 60 WG5: 50 WG:t yhteensä: 320 SUOMALAINEN DELEGAATIO A. Tukholma (7.-15.5.2012: 4 henkilöä) B. Rooma (22.-26.10.2012: 5 henkilöä) Suomi on tehnyt ehdotuksen yksityisyydensuojan standardisoinnin kohentamiseksi (Frank Dawson) 9

TUOTTEIDEN, PALVELUIDEN JA TIETOVERKKOJEN KEHITYS Lähtötilanne: Vanhat (tietoturvattomat) ratkaisut pohjalla Aiemmin tietoturvanäkökulmiin ei ole kiinnitetty riittävissä määrin huomiota. Monet laajalle levinneet ratkaisut hyödyntävät vanhaa pohjaa (esim. Internet, monet alustat, erityistietoliikenne) Trendi: Monimutkaistuminen Tuotteiden, palvelujen ja tietoverkkojen monimutkaistuminen on haaste tietoturvalle, koska kokonaisuutta on vaikeampi hallita. Tietoturvanhallinta vaatii kokonaisymmärrystä. Trendi: Kireä kehitysaikataulu Markkinoiden asettamat aikatauluvaatimukset vaikuttavat heikentävästi tuotteiden toteutuksen laatuun. Huonosta laadusta aiheutuu tietoturvauhkia. 10

OHJELMISTOLAADUSTA vs. TIETOTURVASTA JA -SUOJASTA kanssa Tietoturvaan tarvitaan hyvää ohjelmistolaatua, mutta se ei riitä Yksityisyydensuojaan/tietosuojaan tarvitaan hyvää tietoturvaa, mutta se ei riitä Nykyään ohjelmistokehitystalot painivat enimmäkseen ohjelmistolaadun ongelmien 11

ICT:N SOVELTAMINEN MUILLE ALOILLE Trendi: Tieto- ja viestintätekniikan laaja hyödyntäminen ICT-alan perusratkaisut leviävät perinteisille aloille, joissa järjestelmällistä tietoturvanhallintakulttuuria ei ole ollut. Haasteet ovat valtavat. Trendi: Tieto- ja viestintätekniikan käyttö yhteiskunnalle kriittisissä järjestelmissä Yhteiskunnalle kriittiset rakenteet ja järjestelmät käyttävät myös yhä enemmän ICT-alan perusratkaisuja, jotka kytkevät tietoturvan ja yleisen turvallisuuden uhkia yhteen. Riippuvuussuhteiden hallinta on erityisen haasteellista. 12

TIETOTURVARATKAISUJEN JA EVIDENSSIN BIASOITUMINEN? Kuva: Savola, R., Frühwirth, C., Pietikäinen A., Risk-driven security metrics in agile software development an industrial pilot study. Submitted to Journal of Universal Computer Science, 2012. 13

TULEVIA KOKOUKSIA SC 27 -kokoukset 22.-30.4.2013 (WG ja plenary), Ranska Lokakuu 2013 (WG), Korea Suomen seurantaryhmän kokous 22.01.2013 klo 9-11 14

15