La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Confronto tra Framework di Cybersecurity …e collocazione del Framework NIST Luca Montanari

Presentazioni simili


Presentazione sul tema: "Confronto tra Framework di Cybersecurity …e collocazione del Framework NIST Luca Montanari"— Transcript della presentazione:

1 Confronto tra Framework di Cybersecurity …e collocazione del Framework NIST Luca Montanari

2 Ecosistema FISMA Ecosistema ISO 27k SANS 20 (CSC-5)

3 Ecosistema FISMA Ecosistema ISO 27k SANS 20 (CSC-5) NIST CSF

4 Outline FISMA (NIST SP 800-*) ISO 27k CSC-5 (SANS20) NIST CSF Confronto

5 Ecosistema FISMA 2002, USA. Il presidente firma l’E-government Act il quale nel Title III “Federal Information System Management Act” richiede che ogni agenzia federale sviluppi, documenti ed implementi un programma “agency-wide” per fornire information security a tutte quelle informazioni e sistemi informativi che supportano assets e operazioni dell’agenzia, inclusi quelli forniti o gestiti da altre agenzie, contractor o terzi

6 Ecosistema FISMA Imp.Project Nasce il FISMA implementation project: – Fase 1: Standards and Guidelines Development ( ) – Fase 2: Implementation and Assessments Aids

7 Iniziative previste dalla Fase 2 (i)Training Initiative: for development of training courses, NIST publications Quick Start Guides (QSG’s), and Frequently Asked Questions (FAQ’s) for establishing common understanding of the NIST standards and guidelines supporting the Risk Management Framework; (ii)Support Tools Initiative: for defining criteria for common reference programs, materials, checklists, (i.e NVD, SCAP, etc.), technical guides, automated tools and techniques supporting implementation and assessment of SP based security controls; (iii)Product and Services Assurance Initiative: for defining minimum criteria and guidelines for security assurances (to include test results from SCAP tools and configuration checklists, etc. where applicable) in products and services supporting implementation and assessment of SP based security controls in information system operational environments; (iv)ISO Harmonization Initiative: for identifying common relationships and mappings of FISMA standards, guidelines and requirements with: (i) ISO/IEC series information security management standards; and (ii) ISO/IEC 9000 and series quality management, and laboratory testing, inspection and accreditation standards. This harmonization is important for minimizing duplication of effort for organizations that must demonstrate compliance to both FISMA and ISO requirements; and (v)Organizational Assessment Capability Criteria Initiative:drawing upon material from the above initiatives, define minimum capability and proficiency criteria for public and private sector organizations providing security assessment services of information systems for federal agencies.

8 3 Documenti prodotti dalla Fase 2 NISTIR 7328, Security Assessment Provider Requirements and Customer Responsibilities; Building a Security Assessment Credentialing Program (Draft) FAQ’s (Frequently Asked Questions) and QSG’s (Quick Start Guides) for Risk Management Framework Steps: Categorize, Select, Implement, Assess, Authorize, Monitor; Training Modules. On-line Course Available: "Applying the Risk Management Framework to Federal Information Systems"

9 Documenti dalla fase 1 FIPS Publication 199, Standards for Security Categorization of Federal Information and Information Systems (Final) FIPS Publication 200, Minimum Security Requirements for Federal Information and Federal Information Systems (Final) NIST Special Publication Revision 1, Guide for Developing Security Plans for Federal Information Systems (Final) NIST Special Publication Revision 1, Risk Management Guide for Information Technology Systems (Final) NIST Special Publication Revision 1, Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach (Final)

10 Documenti dalla fase 1 NIST Special Publication Revision 4, Security and Privacy Controls for Federal Information Systems and Organizations (Final) NIST Special Publication Revision 3, Recommended Security Controls for Federal Information Systems and Organizations (Final) NIST Special Publication A Revision 1, Guide for Assessing the Security Controls in Federal Information Systems and Organizations, Building Effective Security Assessment Plans (Final) NIST Special Publication , Guide for Identifying an Information System as a National Security System (Final) NIST Special Publication , Revision 1, Guide for Mapping Types of Information and Information Systems to Security Categories (Final) NIST Special Publication , Guide for Security-Focused Configuration Management of Information Systems (Final)

11 References ew.html

12 FIPS 199 & FIPS 200 Due documenti, meno di 10 pagine l’uno: -FIPS 200: “Minimum Security Requirements for Federal Information and Information Systems” -tutte le agenzie che posseggono dati federali devono certificare i loro sistemi informativi con profilo low, moderate e high rispetto alla baseline FIPS 199: “Standards for Security Categorization of Federal Information and Information Systems” -Definisce l’impatto potenziale sulle organizzazioni ed individui in caso di loss of confidentiality, integrity, or availability (3 livelli) [http://csrc.nist.gov/publications/PubsFIPS.html]

13 SP Risponde direttamente ai FIPS 199 e 200 Scopo: Fornire un catalogo di controlli di sicurezza e privacy per i sistemi informativi federali e per le organizzazioni Fornire un processo per selezionare i controlli al fine di proteggere – Mission, functions, image, reputation – Assetts, individui, Nazione, da attacchi cyber, disastri, malfunzionamenti e errori umani Fornisce una metodologia per la selezione dei controlli critici (baseline)

14 Internazionalità: Non è internazionale.

15 SP Aggiornamenti: Rev. 4, Aprile 2013 (dopo l’EO ) e aggiornata periodicamente. Prima versione pubblicata nel Febbraio 2005 Le agenzie dovevano essere compliant entro un anno.

16 SP Struttura e contenuto: 460 pagine, due capitoli descrivono i concetti fondamentali della selezione dei controlli Le appendici forniscono: i controlli di sicurezza (cataloghi di controlli di sicurezza e privacy) un glossario su IT e security la baseline dei controlli. I controlli sono organizzati in 18 famiglie

17 SP Famiglie di controlli Ogni controllo: Posizione nella Baseline (low, mod, high, not assigned) ha una priorità (none P0, last P3, next P2, first P1)

18 SP Esempio di controllo 54 non in bl (P0) 122 P1 36 P2 12 P controlli 170 controlli obbligatori per tutti

19 SP Baseline

20 SP Limiti: Molto legata al concetto di “federal information systems” e alla legislatura USA Legislation and EOs, POLICIES, DIRECTIVES, INSTRUCTIONS, REGULATIONS, AND MEMORANDA, tutte US (oltre 50 in totale) Molto complessa e orientata ai tecnici Certificabile fuori dagli USA!?!

21 LIVELLO TECNICO vs EXECUTIVE TECNICO/IMP TECNICO EXECUTIVE CEO CISO

22 SP VALUTAZIONE

23 References https://web.nvd.nist.gov/view/800-53/Rev4/

24 Ecosistema FISMA Ecosistema ISO 27k SANS 20 (CSC-5) NIST CSF

25 ISO 27k 1995 UK Il Department of Trade and Industry pubblica BS UK BS 7799: ISO lo ingloba nella ISO viene pubblicata la famiglia ISO/IEC ISO > ISO/IEC (la vecchia parte 1 della BS 7799) ISO/IEC (la vecchia parte 2 della BS7799)

26 ISO 27k ISO/IEC — Information security management systems — Overview and vocabulary ISO/IEC — Information technology - Security Techniques - Information security management systems - Requirements ISO/IEC — Code of practice for information security management ISO/IEC — Information security management system implementation guidance ISO/IEC — Information security management — Measurement ISO/IEC — Information security risk management ISO/IEC — Requirements for bodies providing audit and certification of information security management systems ISO/IEC — Guidelines for information security management systems auditing (focused on the management system) ISO/IEC TR — Guidance for auditors on ISMS controls (focused on the information security controls) ISO/IEC — Information security management for inter-sector and inter-organizational communications ISO/IEC — Information security management guidelines for telecommunications organizations based on ISO/IEC ISO/IEC — Guideline on the integrated implementation of ISO/IEC and ISO/IEC ISO/IEC — Information security governance.[4] Mahncke assessed this standard in the context of Australian e-health.[5]

27 ISO 27k ISO/IEC — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors ISO/IEC — Guidelines for information and communication technology readiness for business continuity ISO/IEC — Guideline for cybersecurity ISO/IEC — Network security - Part 1: Overview and concepts ISO/IEC — Network security - Part 2: Guidelines for the design and implementation of network security ISO/IEC — Network security - Part 3: Reference networking scenarios - Threats, design techniques and control issues ISO/IEC — Network security - Part 5: Securing communications across networks using Virtual Private Networks (VPNs) ISO/IEC — Application security - Part 1: Guideline for application security ISO/IEC — Information security incident management ISO/IEC — Information security for supplier relationships - Part 3: Guidelines for information and communication technology supply chain security ISO/IEC — Guidelines for identification, collection, acquisition and preservation of digital evidence ISO — Information security management in health using ISO/IEC The purpose of ISO is to provide guidance to health organizations and other holders of personal health information on how to protect such information via implementation of ISO/IEC

28 ISO e Scopo: Creare, mantenere e certificare il proprio Sistema di Gestione delle Informazioni di Sicurezza (ISMS). – Applicabile a tutti i settori, sia nel pubblico che privato. – L’ISMS preserva confidenzialità, integrità, disponibilità delle informazioni (triade CIA). Dare fiducia a terzi del fatto che i rischi siano gestiti in maniera appropriata.

29 ISMS L’insieme degli elementi che l’organizzazione usa per proteggere e preservare Confindezialità, Integrità e Disponibilità (CIA) delle informazioni. Questi elementi includono: le politiche Le procedure I processi I piani Ruoli Responsabilità Risorse Strutture che sono usati per gestire il rischio e proteggere le informazioni.

30 ISO e Internazionalità: E’ il framework più internazionale, riconosciuto in oltre 60 nazioni. survey.htm?certificate=ISO/IEC% &countrycode=IT#countrypick

31 ISO e Aggiornamenti: Prima edizione del 2005, siamo alla seconda edizione, del 2013.

32 ISO e Struttura: La è una checklist: ha una prima parte di normative e riferimenti, poiché presenta i requisiti organizzati in Clauses: 4 - Context of the organization 5 - Leadership 6 - Planning 7 - Support 8 - Operation 9 - Performance Evaluation 10 – Improvement Tutti obbligatori per la certificazione

33 ISO e Esempi

34 ISO e Link Quali controlli selezionare dipende dall’organizzazione, non da politiche “esterne” o Imposte (SOA)

35 ISO e controlli di sicurezza (della 27002) organizzati in 14 famiglie: Information Security Policies Organization of information security Human Resources Security Asset Management Access Control Cryptography Physical and environmental security Operation security Comunication Security System acquisition, development and maintenance Supplier Relationships Information security incident management Information security aspects of business continuity management Compliance

36 ISO e Ogni controllo contiene: Un obiettivo (cosa si deve ottenere) Uno o più sottocontrolli che possono essere applicati per raggiungere l’obiettivo. Non è definita nessuna priorità tra i controlli

37 ISO Esempio di controllo, sono 138

38 ISO 27k Limiti: E’ costoso e quindi raro vedere piccole imprese adottare lo standard Gestire un ISMS è complesso, richiede un ufficio specifico Non definisce alcuna priorità tra controlli Tutti i requisiti sono obbligatori O si è compliant o no, non è adatta ad autovalutarsi o a comunicare a terzi il proprio stato Documentazione da produrre e giustificazioni di requisiti non applicabili E’ volontario

39 LIVELLO TECNICO vs EXECUTIVE TECNICO/IMP TECNICO EXECUTIVE CEO CISO ISO27k

40 ISO 27k VALUTAZIONE

41 ISO/IEC 27k vs NIST SP La ha un’appendice che fornisce il mapping tra i controlli dei due standard Tutti gli standard FISMA sono molto “system- oriented” mentre gli ISO sono dedicati all’organizzazione – La certificazione FISMA è per “IT-System” mentre per la ISO è per “management System” “Entrambi risultato di centinaia di anni uomo di esperti”

42 ISO/IEC 27k vs NIST SP Certificazione Nel modello FISMA, un sistema IT è certificato da un Assessor che fa audit sulla compliance con i controlli dello standard (tramite l’Office of Inspector General OIG Audit). Nel modello ISO un ISMS è certificato quando un certification body (terza parte) assicura che l’intero ISMS è conforme con lo standard.

43 ISO/IEC 27k vs NIST SP L’assicurazione ottenuta dalla certificazione non è dovuta solo allo svolgimento dei controlli ma anche dalla reputazione e dalla fiducia delle persone e organizzazioni che certificano: per il FISMA è l’U.S. government, per l’ISO è l’agenzia di accreditamento. Sta a chi si vuole certificare scegliere il certification body, la ISO suggerisce di prendere quelli “accreditati” cosa che non è obbligatoria.

44 ISO/IEC 27k vs NIST SP Internazionalità Volontarietà Certification body COSTO Prioritizzazione Differenze principali

45 References Pattinson, Fiona. "Security Assurance: Contrasting FISMA and ISO/IEC " (2011). articles/latest-news/april-2014/world-distribution- of-iso27001-certifications.aspx Audits.aspx

46 Ecosistema FISMA Ecosistema ISO 27k SANS 20 (CSC-5) NIST CSF

47 Critical Security Control for Effective Cyber Security (CSC-5 - SANS20) 2007, USA Due esperti di sicurezza (Bruce Brody, federal CISO e Alan Paller direttore della ricerca al SANS institute) descrivono l’ecosistema FISMA come un tool “flawed” e dicono che i processi di compliance e il reporting obbligatorio misurano più il security planning che l’information security.

48 CSC-5 / SANS20 USA 2008 NSA riconosce che i vari framework di sicurezza sono diventati esercizi per riportare la compliance e che spostano risorse cyber security dal loro scopo principale. NSA riceve la richiesta dal Office of Secretary of Defense di aiutare a prioritizzare i controlli sulla base di un approccio “offens must inform defense”

49 CSC-5 / SANS20 Progetto iniziato da agenzie pubbliche governative guidate da NSA. Diventa un consorzio di agenzie internazionali (pubbliche e private) composto da esperti nel settore industriale in tutto il mondo. Si creano le raccomandazioni chiamate “Critical Security Controls” (commonly called the Consensus Audit Guidelines or CAG or SANS20) Coordinate dall’istituto SANS e dal CSIS. Nel 2013 la guida dei controlli è passata al “Council on Cyber Security”, un’entità globale non-profit.

50 CSC-5 / SANS20 Adottato per la prima volta dall’US Department of State il quale stabilisce che i controlli sono allineati agli oltre 3000 attacchi subiti in quell’anno. Successivamente fu adottato da tutti i sistemi su cui operava il dipartimento ottenendo l’88% di riduzione in vulnerability-base risk su circa sistemi. Nel 2011 il Centre for the Protection of National Infrastructure (CPNI) annuncia che il governo UK avrebbe adottato i CSC per le proprie infrastrutture critiche. Nel 2012 riceve l’endorsment del direttore del NSA. SANS survey annuale: 2008: 73% delle organizzazioni intervistate ha adottato il CSC ma il 10% completamente. Nel 2014: 90% delle organizzazioni [https://www.sans.org/reading-room/whitepapers/analyst/critical-security- controls-adoption-implementation-35437]

51 CSC-5 Scopo: Fornire un catalogo di controlli ordinato, indipendente dal settore. Focalizzare l’attenzione su un piccolo numero di controlli con alto pay-off. Definire la base per un set di azioni ad alto valore.

52 CSC-5 Definisce 5 principi fondamentali Offense informs defense: utilizzare la conoscenza su eventi che succedono o sono successi per imparare e costruire le pratiche di conseguenza. Utilizzare solo quei controlli che è possibile mostrare la capacita di fermare attacchi noti e reali. Prioritization: Investire prima su controlli che forniscono la più grande riduzione del rischio e protezione contro le minacce e gli attori più pericolosi, che possano essere implementati in maniera sostenibile Metrics: Stabiliscono un linguaggio comune per chi si occupa di sicurezza per misurare l’efficacia delle misure di sicurezza all’interno di un’organizzazione Continuous diagnostic and mitigation: portare avanti continue misure per testare e validare l’efficacia delle misure di sicurezza correnti e per aiutare guidare la priorità dei passi seguenti. Automation: Automatizzare le difese in modo che le organizzazioni possano ottenere misurazioni affidabili, scalabili, e continue della loro adesione ai controlli e le relative metriche.

53 CSC-5 Internazionalità: Abbastanza internazionale. (Nato in USA e utilizza i controlli della )

54 CSC-5 Aggiornamenti: Siamo alla edizione 5.1 (CSC-5.1, ottobre 2014) La prima versione è del 2008.

55 CSC-5 Struttura: Presenta alcuni “consigli” di sicurezza di base, come i “First Fine Quick Wins”: 1.application whitelisting (found in CSC 2); 2.use of standard, secure system configurations (found in CSC 3); 3.patch application software within 48 hours (found in CSC 4); 4.patch system software within 48 hours (found in CSC 4); and 5.reduced number of users with administrative privileges (found in CSC 3 and CSC 12).

56 CSC-5 20 Famiglie di controlli prioritizzati, 183 “azioni”:

57 CSC-5 Ogni “controllo” (in realtà ogni famiglia) ha: una descrizione dell’importanza del singolo controllo nel fermare o nell’identificazione degli attacchi ed una descrizione di come gli attaccanti sfruttano l’assenza di quel controllo, una lista di azioni specifiche (183) che le organizzazioni usano per implementare, automatizzare e misurare l’efficacia del controllo. Procedure e tool per l’implementazione e l’automazione. Sono raggruppate in 4 sottocategorie (quick wins; visibility and attribution measures; Improved information security configuration and hygiene; Advanced sub-controls), Metrics and tests per stimare lo stato di avanzamento dell’implementazione e efficacia, Diagrammi ER di esempio che mostrano i componenti dell’implementazione

58 CSC-5 Esempio di controllo

59 CSC-5 Limiti: Molto tecnico, si aggiungono dettagli ai controlli della rendendoli ancora più di basso livello Non obbligatorio e non certificabile

60 LIVELLO TECNICO vs EXECUTIVE TECNICO/IMP TECNICO EXECUTIVE CEO CISO CSC-5

61 CSC-5VALUTAZIONE

62 References questioned.aspx?Page=2 https://www.sans.org/critical-security-controls/ https://www.sans.org/critical-security-controls/control/5 https://www.sans.org/reading- room/whitepapers/analyst/critical-security-controls- adoption-implementation-35437

63 Ecosistema FISMA Ecosistema ISO 27k SANS 20 (CSC-5) NIST CSF

64 NIST Framework for Improving Critical Infrastructure Cybersecurity USA 2013 Il presidente Obama dirama l’EO “Improving Critical Infrastructure Cybersecurity” Il quale assegna al direttore del NIST il compito di sviluppare un “voluntary risk-based Cybersecurity Framework”, un set di standard e best practices intrustriali per aiutare le organizzazioni a gestire il rischio di cybersecurity.

65 NIST Framework for Improving Critical Infrastructure Cybersecurity Il Framework, da sviluppare entro un anno dall’ordine, deve essere creato dalla collaborazione tra pubblico e privato per creare un linguaggio comune, senza porre requisiti e regolamenti addizionali alle aziende.

66 NIST Framework for Improving Critical Infrastructure Cybersecurity Scopo: Il framework è technology neutral e si appoggia ad una serie di standard, guide, pratiche esistenti. Permette di: Descrivere la propria postura corrente di cybersecurity Descrivere il proprio stato obiettivo di cybersecurity Identificare e prioritizzare i miglioramenti Stimare i progressi verso lo stato obiettivo Comunicare a stakeholders interni ed esterni il rischio cyber Sembra più rivolto al board delle organizzazioni che ai tecnici.

67 NIST Framework for Improving Critical Infrastructure Cybersecurity Internazionalità: Nasce con l’idea di essere internazionale e cita standard internazionali, ma i riferimenti a leggi e guide non standard sono USA.

68 NIST Framework for Improving Critical Infrastructure Cybersecurity Aggiornamenti: La prima versione è di Febbraio 2014, non è previsto un aggiornamento a breve.

69 NIST Framework for Improving Critical Infrastructure Cybersecurity Struttura: Composto da 3 parti: Framework Core (i controlli di sicurezza) Framework Tiers (Novità) Framework Profiles (Novità) Più sezione su come usare il framework (con esempi).

70 NIST Framework for Improving Critical Infrastructure Cybersecurity Framework Core: Insieme delle attività di sicurezza, organizzate in Functions (Identify, Protect, Detect, Respond, Recover) Ogni Function ha un certo numero di Categories Ogni Categories un certo numero di subcategories (i controlli veri e propri) Mai definita priorità tra le azioni. Ogni subcategory ha ESEMPI di riferimenti informativi (agli standard visti, più qualche altro)

71 NIST Framework for Improving Critical Infrastructure Cybersecurity

72 Il singolo controllo (subcategory) di fatto è solo un’azione, non descritta. Sono 98.

73 NIST Framework for Improving Critical Infrastructure Cybersecurity Profile I Profile sono un elenco di azioni selezionate dalla totalità delle subcategories. Sono utili per definire la situazione attuale (current profile) e quella obiettivo (target profile) e per fare gap analysis nonché creare roadmap e priorità tra azioni (ma il CSF non dice come fare, non ci sono priorità! Né come definire i profili…) Possono essere utili per comunicare a terzi la propria situazione (simile al SOA ISO 27k).

74 NIST Framework for Improving Critical Infrastructure Cybersecurity Tiers Sono 4 (Partial, Risk Informed, Repeatable, Adaptive), servono a fornire “contesto” su come l’organizzazione vede il rischio cyber.

75 NIST Framework for Improving Critical Infrastructure Cybersecurity Limiti: E’ per infrastrutture critiche, troppo complesso per PMI? (nelle FAQ si dice di no) Non obbligatorio Non specifica una metodologia di utilizzo o di stesura dei profile (si trovano esempi molto variegati) ne dei Tier (per pratica? per organizzazione? Per settore?) si lascia libertà. Non certificabile Non prioritizzato Dipendenza totale dei controlli da altri framework (ma non fa parte del FISMA)

76 LIVELLO TECNICO vs EXECUTIVE TECNICO/IMP TECNICO EXECUTIVE CEO CISO NIST CSF

77 NIST CSF VALUTAZIONE

78 References urity-framework-faqs.cfm

79 Ecosistema FISMA Ecosistema ISO 27k SANS 20 (CSC-5) NIST CSF

80 Confronto tra Framework Copertura delle tematiche Timeline Confronto finale

81 Copertura Tematiche Sono disponibili fogli excel che collegano (quasi 1-1) i controlli tra ISO e NIST CSF Tra e iso li fornisce la

82 Copertura Tematiche

83 TimeLine FISMA FIPS r r r r ISO 27k: ISO 27k CSC CSC

84 Confronto finale

85 Conclusione Perché Obama ha voluto un (altro) framework?


Scaricare ppt "Confronto tra Framework di Cybersecurity …e collocazione del Framework NIST Luca Montanari"

Presentazioni simili


Annunci Google