Confronto tra Framework
di Cybersecurity
…e collocazione del Framework NIST
Luca Montanari
[email protected]
Ecosistema
FISMA
Ecosistema
ISO 27k
SANS 20
(CSC-5)
Ecosistema
FISMA
Ecosistema
ISO 27k
NIST CSF
SANS 20
(CSC-5)
Outline
•
•
•
•
•
FISMA (NIST SP 800-*)
ISO 27k
CSC-5 (SANS20)
NIST CSF
Confronto
Ecosistema FISMA
2002, USA.
Il presidente firma l’E-government Act il quale nel
Title III “Federal Information System Management
Act” richiede che
ogni agenzia federale sviluppi, documenti ed
implementi un programma “agency-wide” per
fornire information security a tutte quelle
informazioni e sistemi informativi che supportano
assets e operazioni dell’agenzia, inclusi quelli
forniti o gestiti da altre agenzie, contractor o terzi
Ecosistema FISMA Imp.Project
Nasce il FISMA implementation project:
– Fase 1: Standards and Guidelines Development
(2003-2012+)
– Fase 2: Implementation and Assessments Aids
Documenti dalla fase 1
•
•
•
•
•
•
FIPS Publication 199, Standards for Security Categorization of Federal
Information and Information Systems (Final)
FIPS Publication 200, Minimum Security Requirements for Federal Information
and Federal Information Systems (Final)
NIST Special Publication 800-18 Revision 1, Guide for Developing Security Plans
for Federal Information Systems (Final)
NIST Special Publication 800-30 Revision 1, Risk Management Guide for
Information Technology Systems (Final)
NIST Special Publication 800-37 Revision 1, Guide for Applying the Risk
Management Framework to Federal Information Systems: A Security Life Cycle
Approach (Final)
NIST Special Publication 800-39, Managing Information Security Risk:
Documenti dalla fase 1
•
•
•
•
•
•
•
NIST Special Publication 800-53 Revision 4, Security and Privacy Controls for
Federal Information Systems and Organizations (Final)
NIST Special Publication 800-53 Revision 3, Recommended Security Controls for
Federal Information Systems and Organizations (Final)
NIST Special Publication 800-53A Revision 1, Guide for Assessing the Security
Controls in Federal Information Systems and Organizations, Building Effective
Security Assessment Plans (Final)
NIST Special Publication 800-59, Guide for Identifying an Information System as a
National Security System (Final)
NIST Special Publication 800-60, Revision 1, Guide for Mapping Types of
Information and Information Systems to Security Categories (Final)
NIST Special Publication 800-128, Guide for Security-Focused Configuration
Management of Information Systems (Final)
NIST Special Publication 800-137, Information Security Continuous Monitoring for
References
• http://csrc.nist.gov/groups/SMA/fisma/overvi
ew.html
• http://www.nist.gov/itl/csd/soi/fisma.cfm
FIPS 199 & FIPS 200
Due documenti, meno di 10 pagine l’uno:
- FIPS 200: “Minimum Security Requirements for Federal Information and
Information Systems”
-
-
tutte le agenzie che posseggono dati federali devono certificare i loro sistemi informativi 80053 con profilo low, moderate e high rispetto alla baseline 800-53
FIPS 199: “Standards for Security Categorization of Federal Information and
Information Systems”
-
Definisce l’impatto potenziale sulle organizzazioni ed individui in caso di loss of
confidentiality, integrity, or availability (3 livelli)
[http://csrc.nist.gov/publications/PubsFIPS.html]
SP 800-53
Risponde direttamente ai FIPS 199 e 200
Scopo:
• Fornire un catalogo di controlli di sicurezza e
privacy per i sistemi informativi federali e per le
organizzazioni
• Fornire un processo per selezionare i controlli al
fine di proteggere
– Mission, functions, image, reputation
– Assetts, individui, Nazione,
da attacchi cyber, disastri, malfunzionamenti e errori
umani
• Fornisce una metodologia per la selezione dei
controlli critici (baseline)
Internazionalità:
Non è internazionale.
SP800-53
Aggiornamenti:
Rev. 4, Aprile 2013 (dopo l’EO ) e aggiornata
periodicamente.
Prima versione pubblicata nel Febbraio 2005
Le agenzie dovevano essere compliant entro un
anno.
SP800-53
Struttura e contenuto:
460 pagine, due capitoli descrivono i concetti
fondamentali della selezione dei controlli
Le appendici forniscono:
• i controlli di sicurezza (cataloghi di controlli di
sicurezza e privacy)
• un glossario su IT e security
• la baseline dei controlli.
I controlli sono organizzati in 18 famiglie
SP800-53
18 Famiglie di controlli
Ogni controllo:
• Posizione nella Baseline (low, mod, high, not assigned)
• ha una priorità (none P0, last P3, next P2, first P1)
SP800-53
Esempio di controllo
54 non in bl (P0)
122 P1
36 P2
12 P3
-------------224 controlli
170 controlli
obbligatori per tutti
SP800-53
Baseline
SP800-53
Limiti:
• Molto legata al concetto di “federal
information systems” e alla legislatura USA
Legislation and EOs, POLICIES, DIRECTIVES,
INSTRUCTIONS, REGULATIONS, AND
MEMORANDA, tutte US (oltre 50 in totale)
• Molto complessa e orientata ai tecnici
• Certificabile fuori dagli USA!?!
LIVELLO TECNICO vs EXECUTIVE
CEO
CEO
CISO
EXECUTIVE
TECNICO
TECNICO/IMP
800-53
SP800-53 VALUTAZIONE
References
http://csrc.nist.gov/publications/PubsSPs.html
https://web.nvd.nist.gov/view/800-53/Rev4/
Ecosistema
FISMA
Ecosistema
ISO 27k
NIST CSF
SANS 20
(CSC-5)
ISO 27k
1995 UK
Il Department of Trade and Industry pubblica
BS 7799
1998 UK
BS 7799:2
2000 ISO lo ingloba nella
ISO 17799
2005 viene pubblicata la famiglia ISO/IEC 27000
ISO 17799 -> ISO/IEC 27002 (la vecchia parte 1 della BS 7799)
ISO/IEC 27001 (la vecchia parte 2 della BS7799)
ISO 27k
•
•
•
•
•
ISO/IEC 27000 — Information security management systems — Overview and vocabulary
ISO/IEC 27001 — Information technology - Security Techniques - Information security management systems - Requirements
ISO/IEC 27002 — Code of practice for information security management
ISO/IEC 27003 — Information security management system implementation guidance
ISO/IEC 27004 — Information security management — Measurement
•
•
•
•
•
•
•
•
•
ISO/IEC 27005 — Information security risk management
ISO/IEC 27006 — Requirements for bodies providing audit and certification of information security management systems
ISO/IEC 27007 — Guidelines for information security management systems auditing (focused on the management system)
ISO/IEC TR 27008 — Guidance for auditors on ISMS controls (focused on the information security controls)
ISO/IEC 27010 — Information security management for inter-sector and inter-organizational communications
ISO/IEC 27011 — Information security management guidelines for telecommunications organizations based on ISO/IEC 27002
ISO/IEC 27013 — Guideline on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1
ISO/IEC 27014 — Information security governance.[4] Mahncke assessed this standard in the context of Australian e-health.[5]
ISO/IEC TR 27015 — Information security management guidelines for financial services
ISO 27k
•
•
•
•
•
•
•
•
•
•
•
•
ISO/IEC 27018 — Code of practice for protection of personally identifiable information (PII) in public clouds
acting as PII processors
ISO/IEC 27031 — Guidelines for information and communication technology readiness for business continuity
ISO/IEC 27032 — Guideline for cybersecurity
ISO/IEC 27033-1 — Network security - Part 1: Overview and concepts
ISO/IEC 27033-2 — Network security - Part 2: Guidelines for the design and implementation of network security
ISO/IEC 27033-3 — Network security - Part 3: Reference networking scenarios - Threats, design techniques and
control issues
ISO/IEC 27033-5 — Network security - Part 5: Securing communications across networks using Virtual Private
Networks (VPNs)
ISO/IEC 27034-1 — Application security - Part 1: Guideline for application security
ISO/IEC 27035 — Information security incident management
ISO/IEC 27036-3 — Information security for supplier relationships - Part 3: Guidelines for information and
communication technology supply chain security
ISO/IEC 27037 — Guidelines for identification, collection, acquisition and preservation of digital evidence
ISO 27799 — Information security management in health using ISO/IEC 27002. The purpose of ISO 27799 is to
provide guidance to health organizations and other holders of personal health information on how to protect
such information via implementation of ISO/IEC 27002.
ISO 27001 e 27002
Scopo:
• Creare, mantenere e certificare il proprio
Sistema di Gestione delle Informazioni di
Sicurezza (ISMS).
– Applicabile a tutti i settori, sia nel pubblico che
privato.
– L’ISMS preserva confidenzialità, integrità,
disponibilità delle informazioni (triade CIA).
• Dare fiducia a terzi del fatto che i rischi siano
gestiti in maniera appropriata.
ISMS
L’insieme degli elementi che l’organizzazione
usa per proteggere e preservare Confindezialità,
Integrità e Disponibilità (CIA) delle informazioni.
Questi elementi includono:
•
•
•
•
le politiche
Le procedure
I processi
I piani
•
•
•
•
Ruoli
Responsabilità
Risorse
Strutture
che sono usati per gestire il rischio e proteggere le
informazioni.
ISO 27001 e 27002
Internazionalità:
E’ il framework più internazionale, riconosciuto
in oltre 60 nazioni.
http://www.iso.org/iso/home/standards/certification/isosurvey.htm?certificate=ISO/IEC%2027001&countrycode=IT#countrypick
ISO 27001 e 27002
Aggiornamenti:
Prima edizione del 2005, siamo alla seconda
edizione, del 2013.
ISO 27001 e 27002
Struttura:
La 27001 è una checklist: ha una prima parte di normative e
riferimenti, poiché presenta i requisiti organizzati in Clauses:
• 4 - Context of the organization
• 5 - Leadership
• 6 - Planning
• 7 - Support
• 8 - Operation
• 9 - Performance Evaluation
• 10 – Improvement
Tutti obbligatori per la certificazione
ISO 27001 e 27002
• Esempi
ISO 27001 e 27002
Link 27001-27002
Quali controlli selezionare dipende dall’organizzazione, non da politiche “esterne”
o Imposte (SOA)
ISO 27001 e 27002
113 controlli di sicurezza (della 27002) organizzati in 14 famiglie:
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Information Security Policies
Organization of information security
Human Resources Security
Asset Management
Access Control
Cryptography
Physical and environmental security
Operation security
Comunication Security
System acquisition, development and maintenance
Supplier Relationships
Information security incident management
Information security aspects of business continuity management
Compliance
ISO 27001 e 27002
Ogni controllo contiene:
• Un obiettivo (cosa si deve ottenere)
• Uno o più sottocontrolli che possono essere
applicati per raggiungere l’obiettivo.
Non è definita nessuna priorità tra i controlli
ISO 27002
Esempio di controllo, sono 138
ISO 27k
Limiti:
• E’ costoso e quindi raro vedere piccole imprese
adottare lo standard
• Gestire un ISMS è complesso, richiede un ufficio
specifico
• Non definisce alcuna priorità tra controlli
• Tutti i requisiti sono obbligatori
• O si è compliant o no, non è adatta ad autovalutarsi o
a comunicare a terzi il proprio stato
• Documentazione da produrre e giustificazioni di
requisiti non applicabili
• E’ volontario
LIVELLO TECNICO vs EXECUTIVE
CEO
CEO
CISO
EXECUTIVE
ISO27k
TECNICO
TECNICO/IMP
ISO 27k VALUTAZIONE
ISO/IEC 27k vs NIST SP 800-53
• La 800-53 ha un’appendice che fornisce il
mapping tra i controlli dei due standard
• Tutti gli standard FISMA sono molto “systemoriented” mentre gli ISO sono dedicati
all’organizzazione
– La certificazione FISMA è per “IT-System” mentre
per la ISO è per “management System”
• “Entrambi risultato di centinaia di anni uomo
di esperti”
ISO/IEC 27k vs NIST SP 800-53
Certificazione
Nel modello FISMA, un sistema IT è certificato
da un Assessor che fa audit sulla compliance
con i controlli dello standard (tramite l’Office of
Inspector General OIG Audit).
Nel modello ISO un ISMS è certificato quando
un certification body (terza parte) assicura che
l’intero ISMS è conforme con lo standard.
ISO/IEC 27k vs NIST SP 800-53
L’assicurazione ottenuta dalla certificazione non
è dovuta solo allo svolgimento dei controlli ma
anche dalla reputazione e dalla fiducia delle
persone e organizzazioni che certificano: per il
FISMA è l’U.S. government, per l’ISO è l’agenzia
di accreditamento.
Sta a chi si vuole certificare scegliere il
certification body, la ISO suggerisce di prendere
quelli “accreditati” cosa che non è obbligatoria.
ISO/IEC 27k vs NIST SP 800-53
Differenze principali
•
•
•
•
Internazionalità
Volontarietà
Certification body
COSTO
• Prioritizzazione
References
Pattinson, Fiona. "Security Assurance: Contrasting
FISMA and ISO/IEC 27001." (2011).
http://www.iso270012013.info/newsarticles/latest-news/april-2014/world-distributionof-iso27001-certifications.aspx
http://www.oig.doc.gov/Pages/FAQs-About-OIGAudits.aspx
Ecosistema
FISMA
Ecosistema
ISO 27k
NIST CSF
SANS 20
(CSC-5)
Critical Security Control for Effective
Cyber Security (CSC-5 - SANS20)
2007, USA
Due esperti di sicurezza (Bruce Brody, federal
CISO e Alan Paller direttore della ricerca al SANS
institute) descrivono l’ecosistema FISMA come
un tool “flawed” e dicono che i processi di
compliance e il reporting obbligatorio misurano
più il security planning che l’information
security.
CSC-5 / SANS20
USA 2008
NSA riconosce che i vari framework di sicurezza
sono diventati esercizi per riportare la
compliance e che spostano risorse cyber
security dal loro scopo principale.
NSA riceve la richiesta dal Office of Secretary of
Defense di aiutare a prioritizzare i controlli sulla
base di un approccio “offens must inform
defense”
CSC-5 / SANS20
Progetto iniziato da agenzie pubbliche governative
guidate da NSA. Diventa un consorzio di agenzie
internazionali (pubbliche e private) composto da
esperti nel settore industriale in tutto il mondo.
Si creano le raccomandazioni chiamate “Critical
Security Controls” (commonly called the
Consensus Audit Guidelines or CAG or SANS20)
Coordinate dall’istituto SANS e dal CSIS. Nel 2013 la
guida dei controlli è passata al “Council on Cyber
Security”, un’entità globale non-profit.
CSC-5 / SANS20
Adottato per la prima volta dall’US Department of State il quale stabilisce
che i controlli sono allineati agli oltre 3000 attacchi subiti in quell’anno.
Successivamente fu adottato da tutti i sistemi su cui operava il dipartimento
ottenendo l’88% di riduzione in vulnerability-base risk su circa 85000 sistemi.
Nel 2011 il Centre for the Protection of National Infrastructure (CPNI)
annuncia che il governo UK avrebbe adottato i CSC per le proprie
infrastrutture critiche.
Nel 2012 riceve l’endorsment del direttore del NSA.
SANS survey annuale:
2008: 73% delle organizzazioni intervistate ha adottato il CSC ma il 10%
completamente.
Nel 2014: 90% delle organizzazioni
[https://www.sans.org/reading-room/whitepapers/analyst/critical-securitycontrols-adoption-implementation-35437]
CSC-5
Scopo:
• Fornire un catalogo di controlli ordinato,
indipendente dal settore.
• Focalizzare l’attenzione su un piccolo numero
di controlli con alto pay-off.
• Definire la base per un set di azioni ad alto
valore.
CSC-5
Internazionalità:
Abbastanza internazionale.
(Nato in USA e utilizza i controlli della 800-53)
CSC-5
Aggiornamenti:
Siamo alla edizione 5.1 (CSC-5.1, ottobre 2014)
La prima versione è del 2008.
CSC-5
Struttura:
Presenta alcuni “consigli” di sicurezza di base, come i “First
Fine Quick Wins”:
1. application whitelisting (found in CSC 2);
2. use of standard, secure system configurations (found in
CSC 3);
3. patch application software within 48 hours (found in CSC
4);
4. patch system software within 48 hours (found in CSC 4);
and
5. reduced number of users with administrative privileges
(found in CSC 3 and CSC 12).
CSC-5
20 Famiglie di controlli prioritizzati, 183
“azioni”:
CSC-5
Ogni “controllo” (in realtà ogni famiglia) ha:
• una descrizione dell’importanza del singolo controllo nel fermare o
nell’identificazione degli attacchi ed una descrizione di come gli
attaccanti sfruttano l’assenza di quel controllo,
• una lista di azioni specifiche (183) che le organizzazioni usano per
implementare, automatizzare e misurare l’efficacia del controllo.
Procedure e tool per l’implementazione e l’automazione. Sono
raggruppate in 4 sottocategorie (quick wins; visibility and
attribution measures; Improved information security configuration
and hygiene; Advanced sub-controls),
• Metrics and tests per stimare lo stato di avanzamento
dell’implementazione e efficacia,
• Diagrammi ER di esempio che mostrano i componenti
dell’implementazione
CSC-5
Esempio di controllo
CSC-5
Limiti:
• Molto tecnico, si aggiungono dettagli ai
controlli della 800-53 rendendoli ancora più
di basso livello
• Non obbligatorio e non certificabile
LIVELLO TECNICO vs EXECUTIVE
CEO
CEO
CISO
EXECUTIVE
TECNICO
CSC-5
TECNICO/IMP
CSC-5VALUTAZIONE
References
http://gcn.com/Articles/2007/03/18/FISMAs-effectivenessquestioned.aspx?Page=2
https://www.sans.org/critical-security-controls/
http://www.counciloncybersecurity.org/critical-controls/
https://www.sans.org/critical-security-controls/control/5
https://www.sans.org/readingroom/whitepapers/analyst/critical-security-controlsadoption-implementation-35437
Ecosistema
FISMA
Ecosistema
ISO 27k
NIST CSF
SANS 20
(CSC-5)
NIST Framework for Improving
Critical Infrastructure Cybersecurity
USA 2013
Il presidente Obama dirama l’EO 13636
“Improving Critical Infrastructure
Cybersecurity”
Il quale assegna al direttore del NIST il compito
di sviluppare un “voluntary risk-based
Cybersecurity Framework”, un set di standard e
best practices intrustriali per aiutare le
organizzazioni a gestire il rischio di
cybersecurity.
NIST Framework for Improving
Critical Infrastructure Cybersecurity
Il Framework, da sviluppare entro un anno
dall’ordine, deve essere creato dalla
collaborazione tra pubblico e privato per creare
un linguaggio comune, senza porre requisiti e
regolamenti addizionali alle aziende.
NIST Framework for Improving
Critical Infrastructure Cybersecurity
Scopo:
Il framework è technology neutral e si appoggia ad una serie
di standard, guide, pratiche esistenti.
Permette di:
• Descrivere la propria postura corrente di cybersecurity
• Descrivere il proprio stato obiettivo di cybersecurity
• Identificare e prioritizzare i miglioramenti
• Stimare i progressi verso lo stato obiettivo
• Comunicare a stakeholders interni ed esterni il rischio
cyber
Sembra più rivolto al board delle organizzazioni che ai tecnici.
NIST Framework for Improving
Critical Infrastructure Cybersecurity
Internazionalità:
Nasce con l’idea di essere internazionale e cita
standard internazionali, ma i riferimenti a leggi
e guide non standard sono USA.
NIST Framework for Improving
Critical Infrastructure Cybersecurity
Aggiornamenti:
La prima versione è di Febbraio 2014, non è
previsto un aggiornamento a breve.
NIST Framework for Improving
Critical Infrastructure Cybersecurity
Struttura:
Composto da 3 parti:
• Framework Core (i controlli di sicurezza)
• Framework Tiers (Novità)
• Framework Profiles (Novità)
Più sezione su come usare il framework (con
esempi).
NIST Framework for Improving
Critical Infrastructure Cybersecurity
Framework Core:
Insieme delle attività di sicurezza, organizzate in
• Functions (Identify, Protect, Detect, Respond,
Recover)
• Ogni Function ha un certo numero di Categories
• Ogni Categories un certo numero di
subcategories (i controlli veri e propri)
Mai definita priorità tra le azioni.
Ogni subcategory ha ESEMPI di riferimenti
informativi (agli standard visti, più qualche altro)
NIST Framework for Improving
Critical Infrastructure Cybersecurity
NIST Framework for Improving
Critical Infrastructure Cybersecurity
Il singolo controllo (subcategory) di fatto è solo
un’azione, non descritta. Sono 98.
NIST Framework for Improving
Critical Infrastructure Cybersecurity
Profile
I Profile sono un elenco di azioni selezionate dalla
totalità delle subcategories.
Sono utili per definire la situazione attuale (current
profile) e quella obiettivo (target profile) e per fare
gap analysis nonché creare roadmap e priorità tra
azioni (ma il CSF non dice come fare, non ci sono
priorità! Né come definire i profili…)
Possono essere utili per comunicare a terzi la
propria situazione (simile al SOA ISO 27k).
NIST Framework for Improving
Critical Infrastructure Cybersecurity
Tiers
Sono 4 (Partial, Risk Informed, Repeatable,
Adaptive), servono a fornire “contesto” su come
l’organizzazione vede il rischio cyber.
NIST Framework for Improving
Critical Infrastructure Cybersecurity
Limiti:
• E’ per infrastrutture critiche, troppo complesso
per PMI? (nelle FAQ si dice di no)
• Non obbligatorio
• Non specifica una metodologia di utilizzo o di
stesura dei profile (si trovano esempi molto
variegati) ne dei Tier (per pratica? per
organizzazione? Per settore?) si lascia libertà.
• Non certificabile
• Non prioritizzato
• Dipendenza totale dei controlli da altri
framework (ma non fa parte del FISMA)
LIVELLO TECNICO vs EXECUTIVE
CEO
EXECUTIVE
TECNICO
TECNICO/IMP
CEO
NIST
CSF
CISO
NIST CSF VALUTAZIONE
References
http://www.nist.gov/cyberframework/
http://www.nist.gov/cyberframework/cybersec
urity-framework-faqs.cfm
Ecosistema
FISMA
Ecosistema
ISO 27k
NIST CSF
SANS 20
(CSC-5)
Confronto tra Framework
• Copertura delle tematiche
• Timeline
• Confronto finale
Copertura Tematiche
Sono disponibili fogli excel che collegano (quasi
1-1) i controlli tra ISO 27001 e NIST CSF
Tra 800-53 e iso 27001 li fornisce la 800-53
Copertura Tematiche
TimeLine
2002
2004 2005 2006 2007
2005
2009
2013
2013
2008 2009 2010 2011 2011 2013 2014
Confronto finale
Conclusione
• Perché Obama ha voluto un (altro)
framework?