© 2008 dreamlab technologies ag© 2008 soluzen itil, iso 27001, osstmm: convergence des bonnes...

© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN

ITIL, ISO 27001, OSSTMM:

Convergence des bonnes Pratiques, Pour un Système d‘information plus

fiable et plus sûr

30. Janvier 2008

2


Participants

2

• Didier Drapeau, Soluzen

• Philipp Egli, Dreamlab Technologies SA

• Alexandre Fernandez-Toro, HSC

3


Agenda

3

• Positionnement des Standards

• OSSTMM 3.0

– Présentation de la methode

– Complementarité et Compatibilité avec l‘ISO 27001

• Pause

• Mutualisation entre ITIL et ISO 27001

• Convergence entre ITIL, ISO 27001 et OSSTMM

4


ITIL, ISO 27001, OSSTMM

• Pour un système d’information plus fiable et plus sûr– Pourquoi ? (2001)

– Comment ? (2008)

• Avec l’ISO 20000 (ITIL)/27001– insuffisant car pas de garantie du niveau de sécurité

– Ce qu’offre l’OSSTMM

4


Positionnement des Standards

6


6

7


ISO 27001 et OSSTMM dans la démarche globale de sécurité

7

Diag./Audit initial

Plan directeur

Pare-feux

PRA

Stockage…

Mise en œuvre

Projets

CertificatISO27001

Mise en conformité

Contrôles

CertificatOSSTMM

Politiquedirectives


Sommes nous protégés?


Sommes nous protégés?

OSSTMM 3.0

10

Zur Anzeige wird der QuickTime™ Dekompressor „“

benötigt.


Sécurité parfaite...

10

11

Zur Anzeige wird der QuickTime™ Dekompressor „“

benötigt.


Sécurité parfaite... adaptée à la situation

11

12


OSSTMM signification

12

• Open Source Security Testing Methodology Manual

13


OSSTMM historique

13

• Depuis 2001 (Version actuelle 3.0)

• Edité par ISECOM (Institute for Security and Open Methodologies)

• Concept pour « mesurer » la sécurité des systèmes operationels

• Scientifique (Transparence / Reproductibilité)

• Université de La Salle (Barcelone) qui inclus les formations OPSA et OPST dans leur programme MBA (ECTS). (Berne / Bienne / Fribourg)

14


la méthode: Investigations

14

15


la méthode: Tests

15

16


OSSTMM: Une métrique de sécurité, le RAV(Risk Assessment Value)

• Le calcul du RAV est composé de trois éléments

• Operational Security (OPSEC) (Porosité de l‘asset mesuré)– Pour être operationel un système doit être ouvert aux

communications ce qui le rend vulnérable

• Controls (Mesures de sécurité)– Class A controls: 5 types de mesures qui sécurisent les interactions– Class B controls: 5 types de mesures qui sécurisent les procesus

• Limitations „Vulnérabilités“– les classes de vulnérabilités

16

17


Balance

17

18


OSSTMM: OPSEC

• OPSEC (Dependant du vecteur d‘attaque)– Visibility: Les cibles visibles dans le périmètre.

Exemple: Scan de serveurs qui donne leurs adresses IP

– Access: Toutes les possibilités pour acceder les cibles: Exemple: Le serveur a deux ports ouverts.

– Trust: Relations de confiance. Exemple: Lien sans authentification entre un Serveur de base de donne et un serveur Web.

18

19


OSSTMM: Controls A

• INTERACTIVE (Class A)– Authentication: Mot de passe

– Indemnification: Bannière „Défense d‘entrer“

– Resilience: Malgré la perte du certificat de chiffrement le disque dur reste chiffré et les données protégées.

– Subjugation (Renforcement): Redirection automatique des flux http vers https.

– Continuity: Load Balancing / Redondance

19

20


OSSTMM: Controls B

• PROCESS (Class B)– Non-repudiation: Traces utilisateur

Exemple: Log Files qui permet de déterminer l‘identité d‘un visiteur d‘un site web.

– Confidentiality: Encryption des données et des flux

– Privacy: Transactions au sein d‘une zone sécurisée sans chiffrement.

– Integrity: Checksum / Algorithme

– Alarm: IDS / Monitoring / Surveillance

20

21


OSSTMM: Limitations

• Limitations– Vulnerability: Possibilité de contourner les mesures de sécurité.

– Weakness: Vulnérabilités liées aux mesures de sécurité classe A. (Authentication, Indemnification, etc,)

– Concern: Vulnérabilités liées aux mesures de sécurité classe B. (Confidentiality, Privacy, Alarm, etc.)

– Exposure: Divulgation d‘informations

– Anomaly: Operations anormalesExemple: Serveur visible par intermittence sans raisons apparentes

21

22


Outil de calcul du RAV

22

ISECOM - RISK ASSESSMENT VALUES

OPSEC CALCULATION WORKSHEETVisibility 1 Porosity 54

Access 50 Total Controls 24

Trust 3 Class A Controls 3

Class B Controls 21

Whole Coverage 4,44%

Class A CONTROLS Missing True Coverage 4,44%

Authentication 1 53 True Coverage A 0,56%

Indemnification 0 54 True Coverage B 3,89%

Resistance 1 53 Missing Controls 516

Subjugation 0 54 Missing Controls A 267

Continuity 1 53 Missing Controls B 249

Class B Coverage Missing 95,56%

Non-Repudiation 1 53 Total # Limitations 0

Confidentiality 2 52 Limitations Value 0

Privacy 2 52

Integrity 15 39 Vulnerability 3,75587486

Alarm 1 53 Weakness 3,50650503

Concern 3,48144263

Exposure 1,00000000

LIMITATIONS Total Anomaly 3,42813479

Vulnerabilities 0 0,00000

Weaknesses 0 0,00000 RAV TOTALSConcerns 0 0,00000 OPSEC 13,93136348

Exposures 0 0,00000 CONTROLS 5,67400519

Anomalies 0 0,00000 LIMITATIONS 0,00000000

Δ -8,25735829

RAV 90,95217542

23


OSSTMM: RAV

23

• Avons nous calculé le risque avec le RAV?

24


OSSTMM: RAV

24

• Avons nous calculé le risque avec le RAV?

• Non

25


OSSTMM et gestion de risquesAvant application des mesures

25

Impact

Téléphonie

26


Matrice Impact - Probabilité

26

27


Risque après les corrections

27

Impact

Téléphonie

28


28

Pilotage

Outils de calcul automatiques du RAV

29


Certification

29

• Par qui: ISECOM et Organisme Certificateur

• Quoi: Produits, services, Personnes

• Conditions:– Maintien du RAV > 90 % – Certification annuelle – Recertification en cas de changement de périmètre

• Personnels certifiés:– Testeur (OPST)– Analyste (OPSA)– Expert (OPSE)


Complémentarités

OSSTMM / ISO 27001

31


ISO27001 : Pilotage & maîtrise des risques 31

ISO 27001Syst¸me Management Sˇcuritˇ Information

Basedoc

Planifier

Dˇployer

Contr™ler

Amˇliorer

ISO 27002Mesures (17799)

ISO 27005Gestionrisques

Activitˇ

Applications - donnˇes

Serveurs

Rˇseaux locaux - ˇtendus

Localisation - humain

Zur Anzei ge w i rd der Q ui ckTi me™ D ekompressor „“

benöti gt.

ISO 2700?MCA

ISO 27004 IndicateursIntelligence

éco

Joyaux ?

Quelle valeur / enjeux?

SOXBâle2LSF

PandémiePirate

32


ISO27001: Contrôles et mesure du niveau de sécurité32

ISO 27001Syst¸me Management Sˇcuritˇ Information

Planifier

Dˇployer

Contr™ler

Amˇliorer

ISO 27002Mesures (17799)

ISO 27005Gestionrisques

Activitˇ


Serveurs



ISO 27004 Indicateurs

Objectifs mˇtier etde sˇcuritˇ

Auditeur Testeur Analyste

OpenSourceSecurityTesting

MethodologyManual

(OSSTMM)

33


Sécurité du système d’information: certification 33

ISO

270

01S

yst¸

me

Man

agem

ent

Sˇc

uritˇ

Info

rmat

ion

Activitˇ


Serveurs



Exigencesrˇglementaires / mˇtierdes parties prenantes

certifiˇ

OSSTMM(standard)

Mˇ thode detests

techniquesde sˇ curitˇ

certifiˇ

Niveau desˇcuritˇ

Gestion de lasˇcuritˇ+

Contribution conformitˇ:SOX

BALE 2ITIL

34


OSSTMM vs ISO 27001 34

ISO 27001Exigences

OSSTMMRéponses

4.2.1.a : scope du SMSI Scope de l’audit: protection périmétrique d’un réseau (assets)

4.2.1.c: définition méthode d’analyse de risques Méthodologie OSSTMMMode de calcul du RAV (%) : feuille de calcul

4.2.1.c.2: Critères d’acceptation risques et niveau de risques acceptables (5.1.f)

% du RAV objectif défini par le propriétaire des assets> 90% alors certification possible(RAV reproductible et comparable)

4.2.1.d: identification des risques Assets testés: pare-feux…Vulnérabilités mesurées: mauvais paramétrage

4.2.1.e: analyse et évaluation des risques Résultats des tests (impacts mesurés): pénétration possible du réseauRAV détermine si risque acceptable

4.2.1.f: évaluer les options de traitement des risques

Envisager mesures de sécurité: règles du pare-feu appropriées, doubler appliances…

4.2.1.g, h, i, j: sélection des mesures annexe A (17799)& SoA (déclaration d’applicabilité)

Rapport d’audit & justification des mesures vs business

35


OSSTMM: vs ISO 27001 35

ISO 27001 Exigences

OSSTMMExigences

4.2.2 : mise en œuvre du SMSI Application des mesures issues de l’audit

4.2.3: surveillance et revues du SMSI Audits intermédiaires proactifs déterminés par valeur du RAV (décroissance niveau sécurité)

4.2.4: amélioration du SMSI Application des corrections issues de l’audit et re-calcul du RAV jusqu’à acceptable

4.3: documentations Rapport d’audit, feuille calcul RAV Logs des tests réalisés,

5.1: engagement du management Règles d’engagement, accord confidentialité, mandats (tests intrusion)

5.2: affectation des ressourcesCompétences

Testeurs, analyste identifiés (IP sources…)Certifications OPST, OPSA…


Questions / Pause

37


Convergences 37

Mutualisation

ITILISO20000

ISO27001 OSSTMM

PDCA Certifiantes et certifiˇes Amˇlioration qualitˇ du SI Ma”trise des risques

38


Perspectives 38

mutualisation plus compl¸te ITIL / ISO 27001 Maintien accru du RAV (outils automatisˇs dˇj existants) Intˇgration des ĒŹbonnes pratiquesŹČ dans les cursusuniversitaires

© 2008 dreamlab technologies ag© 2008 soluzen itil, iso 27001, osstmm: convergence des bonnes...

Documents