open security architecture - l'asiqiso/iec 21827, systems security engineering capability...
Post on 24-Jun-2020
10 Views
Preview:
TRANSCRIPT
- Les services Conseils I6T
Open Security Architecture
13 juin 2014 Guy Talbot - Les Services Conseils I6T 2
Préambule
● Survol du projet « Open SecurityArchitecture » (OSA).
http://creativecommons.org/licenses/by-sa/3.0/*
● Projet de type ouvert basé sur la licence « Creative Commons Licence »*
● Toutes les informations sur ce projet sontdisponibles à l’URL :http://www.opensecurityarchitecture.org/cms/
13 juin 2014 Guy Talbot - Les Services Conseils I6T 3
Introduction
Une architecture de sécurité, c'est quoi?
À quoi ça ressemble?
Pourquoi documenter une architecture de sécurité?
13 juin 2014 Guy Talbot - Les Services Conseils I6T 4
Introduction
La documentation d'une architecture (de sécurité) est un outil de communication.
La question n'est donc pas pourquoi on prépare un document, mais bien pour qui?
Vous trouverez la réponse parmi les choix suivants :
A) Les gestionnaires.B) Les développeurs.C) Les groupes d’exploitation et d’opération.D)Les spécialistes en architecture.E) Toutes ces réponses.
Réponse : E) Toutes ces réponses.
13 juin 2014 Guy Talbot - Les Services Conseils I6T 5
Définitions (OSA)
“IT Security”:
Security provided by IT Systems can be defined as the IT system’s ability to being able to protectconfidentiality and integrity of processed data, provide availability of the system and data,accountability for transactions processed, and assurance that the system will continue to performto its design goals
“IT Architecture”:
A set of design artifacts, that are relevant for describing an object such that it can be produced torequirements (quality) as well as maintained over the period of its useful life (change). The designartifact describe the structure of components, their inter-relationships, and the principles and guidelinesgoverning their design and evolution over time.
“IT Security Architecture” could be:
The design artifacts that describe how the security controls (= security countermeasures) are positioned,and how they relate to the overall IT Architecture. These controls serve the purpose to maintain thesystem’s quality attributes, among them confidentiality, integrity, availability, accountability andassurance.
13 juin 2014 Guy Talbot - Les Services Conseils I6T 6
Définitions (Wikipédia)
La sécurité informatique est l'ensemble des moyens techniques, organisationnels, juridiques ethumains nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité dessystèmes informatiques.
En informatique, l’architecture désigne la structure générale inhérente à un systèmeinformatique, l'organisation des différents éléments du système (logiciels et/ou matériels et/ouhumains et/ou informations) et des relations entre les éléments.
http://fr.wikipedia.org/wiki/Portail:S%C3%A9curit%C3%A9_informatiquehttp://fr.wikipedia.org/wiki/Architecture_(informatique)
13 juin 2014 Guy Talbot - Les Services Conseils I6T 7
La vision de l'OSA
Consolider la connaissance de la communautéet produire des modèles facilement
réutilisables pour la conceptiond'architectures de sécurité.
●
L'OSA propose un ensemble d'outils qui serontdéveloppés et mis à la disposition pour et par la
communauté.
13 juin 2014 Guy Talbot - Les Services Conseils I6T 8
Exemple d’un modèle
13 juin 2014 Guy Talbot - Les Services Conseils I6T 9
Exemple d’un modèleDescription: The intention of this pattern is to show how the major control families apply to the computing environment. ...
Assumptions: All computing systems are accessed from some form of user interface to a client. The client ...
Typical challenges: not applicable.
Indications: not applicable.
Contra-indications: not applicable.
Resistance against threats: not applicable.
References: not applicable.
Related patterns: not applicable.
Classification: not applicable.
Release: 08.02
Authors: Spinoza
Reviewer(s): Claudio, Aurelius
Control details :
13 juin 2014 Guy Talbot - Les Services Conseils I6T 10
Les deux fronts de l’OSA
Le projet OSA travaille sur deux fronts.
Les fondations de l'OSA sont les composantsconceptuels qui permettent le développement d'une
architecture de sécurité selon le modèle OSA.
La trousse d’outils fournit les outils qui permettent deproduire la représentation d’une architecture de sécurité.Cette représentation sert de base pour la mise en œuvre et l’entretient d’une
architecture de sécurité.
13 juin 2014 Guy Talbot - Les Services Conseils I6T 11
Fondations
● L'environnement de la sécurité.
● Les rôles.
● Le cycle de développement.
● Les principes de conception.
● Mode d'emploi.
● Produire un modèle.
● Taxinomie.
13 juin 2014 Guy Talbot - Les Services Conseils I6T 12
L'environnement
Pourquoi définir l'environnement d'une architecture desécurité ?● Couverture adéquate● Identifier les sujets qui ont une faible couverture.● Déterminer les priorités pour les nouveaux modèles.● Aider la communauté de coordonner leurs activités.
Les normes telles que NIST, l'ISO et l'ISF divisent leurs matériaux en chapitres, maisceux-ci ne se traduisent pas facilement en une description de l'environnement d'une
architecture de sécurité.
13 juin 2014 Guy Talbot - Les Services Conseils I6T 13
L'environnement de la sécurité selon OSA
13 juin 2014 Guy Talbot - Les Services Conseils I6T 14
Rôles
Pourquoi définir des rôles ?
● Maintenir une cohérence entre les modèles
Comment ?
● Définitions de rôles déjà existantes.
● Les rôles définis par « CLASP » et ITIL v3 auraient pu servir de référence.
Solution retenue :
● Développer des rôles génériques.
● Produire une description de ces rôles.
Pour permettre l'utilisation d'un modèle déjà existant, ce dernierdevait respecter les critères suivants :
● Être utilisable dans un contexte de licence ouverte.● Ne pas être spécifique à une industrie ou un pays.● Ne pas être contrôlé ou détenu par une seule compagnie.
13 juin 2014 Guy Talbot - Les Services Conseils I6T 15
Rôles
IT Security manager(CISO, CSO,...)
IT Security specialist
IT Operations manager
Information asset owner
Service / product owner
Project manager
Human resources
ID administrations
Risk officer, controller &manager
Requirements analyst
Developer
SW architect
Infrastructure architect
Quality manager
External auditor
Internal auditor
End user
Data privacy officer
Facility manager
Developer
13 juin 2014 Guy Talbot - Les Services Conseils I6T 16
Rôles
● Pour faciliter la compréhension et l'utilisation deces rôles, une correspondance avec« CLASP » et « ITIL » est disponible dans ledocument de référence.
13 juin 2014 Guy Talbot - Les Services Conseils I6T 17
Principes de conception OSA
Encore ici, une esquisse a été développée pourpermettre l'avancement des travaux dans le restedu projet.
13 juin 2014 Guy Talbot - Les Services Conseils I6T 18
Cycle de vie
Aucune décision sur le modèle de référence primaire en termes de SDLC (Solution/System/SoftwareDevelopment Life Cycle).
Les exigences principales qui influent sur le choix du modèle de référence SDLC sont :
● Être compatible avec la licence du projet.
● Le modèle doit offrir une couverture adéquate des contrôles de sécurité ou minimalement uneextension qui offre une telle couverture.
Les modèles actuellement considérés sont :
● ISO/IEC 15288, System Life Cycle Processes
● IEEE STD 1220, Application and Management of the Systems Engineering Process
● ISO/IEC 21827, Systems Security Engineering Capability Maturity Model (SSE-CMM)
● ITIL
● COBIT
Pour permettre l'utilisation d'un modèle déjà existant, ce dernierdevait respecter les critères suivants :
● Être utilisable dans un contexte de licence ouverte.● Ne pas être spécifique à une industrie ou un pays.● Ne pas être contrôlé ou détenu par une seule compagnie.
13 juin 2014 Guy Talbot - Les Services Conseils I6T 19
Mode d'emploi
On retrouve sur le site de l’OSA un mode d’emploiqui propose les étapes importantes à suivre pourla conception d’un modèle.
13 juin 2014 Guy Talbot - Les Services Conseils I6T 20
Concevoir un modèle
● Préparation et recherche (QQOQCCP).
● Concevoir et annoter le schéma.
● Revue sur le babillard OSA avant la publicationdans la bibliothèque.
13 juin 2014 Guy Talbot - Les Services Conseils I6T 21
Mise en garde
La prochaine image pourrait affecter certainespersonnes dans l’auditoire et s’adresse à un
public averti seulement.
13 juin 2014 Guy Talbot - Les Services Conseils I6T 22
Taxinomie d'OSA
13 juin 2014 Guy Talbot - Les Services Conseils I6T 23
Trousse d'outils
● Bibliothèque de modèles.
● Bibliothèque des contrôles.
● Bibliothèque des menaces.
● Bibliothèque d'icônes.
● Gabarit de modèle.
13 juin 2014 Guy Talbot - Les Services Conseils I6T 24
Bibliothèque de modèles
● Bibliothèque contenant plusieurs modèlesd'architectures de sécurité.
SP-001: Client Module SP-014: Awareness and Training Pattern
SP-002: Server Module SP-016: DMZ Module
SP-003: Privacy Mobile Device Pattern SP-018: Information Security Management System (ISMS) Module
SP-004: SOA Publication and Location Pattern SP-019: Secure Ad-Hoc File Exchange Pattern
SP-005: SOA Internal Service Usage Pattern SP-020: Email Transport Layer Security (TLS) Pattern
SP-006: Wireless- Private Network Pattern SP-021: Realtime Collaboration Pattern
SP-007: Wireless- Public Hotspot Pattern SP-022: Board of Directors Room
SP-008: Public Web Server Pattern SP-023: Industrial Control Systems
SP-009: Generic Pattern SP-024: iPhone Pattern
SP-010: Identity Management Pattern SP-025: Advanced Monitoring and Detection
SP-011: Cloud Computing Pattern SP-026: PCI Full Environment
SP-013: Data Security Pattern SP-014: Awareness and Training Pattern
13 juin 2014 Guy Talbot - Les Services Conseils I6T 25
Bibliothèque des contrôles
La bibliothèque de contrôles est basée sur NIST 800-53 rev 2 (2006)* et fournit des détails sur tous lescontrôles qui sont nécessaires pour créer des solutions de sécurité.
Les contrôles vont évoluer pour inclure des tests, ainsi que des mappages avec d'autres normes,règlements, lois et normes de gouvernance.
NIST 800-53 est divisé en familles de contrôle telles que l’« Access Control » (AC), ces noms de famillesont inclus dans les conventions de nommage pour faciliter la mémorisation et les références.
Les familles de contrôles sont :
http://csrc.nist.gov/publications/PubsSPs.html*
13 juin 2014 Guy Talbot - Les Services Conseils I6T 26
Contrôles
AT-01 Security Awareness And Training Policy And Procedures
AT-02 Security Awareness
AT-03 Security Training
AT-04 Security Training Records
AT-05 Contacts With Security Groups And Associations
AU-01 Audit And Accountability Policy And Procedures
AU-02 Auditable Events
13 juin 2014 Guy Talbot - Les Services Conseils I6T 27
ContrôlesAC-01 Access Control Policies and Procedures
Control: The organization develops, disseminates, and periodically reviews/updates: (i) a formal, documented, access control policy thataddresses purpose, scope, roles, responsibilities, management commitment, coordination among organizational entities, and compliance;and (ii) formal, documented procedures to facilitate the implementation of the access control policy and associated access controls.
Supplemental Guidance: The access control policy and procedures are consistent with applicable laws, Executive Orders, directives,policies, regulations, standards, and guidance. The access control policy can be included as part of the general information security policyfor the organization. Access control procedures can be developed for the security program in general, and for a particular informationsystem, when required. NIST Special Publication 800-12 provides guidance on security policies and procedures.
Control Enhancements: (0) None.
Baseline: LOW AC-1 MOD AC-1 HIGH AC-1
Family: Access Control
Class: Technical
ISO 17799 mapping: 11.1.1, 11.4.1, 15.1.1
COBIT 4.1 mapping: DS11.6, PC5
PCI-DSS v2 mapping: 12.3.2, 7.1, 12.5.1
13 juin 2014 Guy Talbot - Les Services Conseils I6T 28
Bibliothèque des menaces
La bibliothèque de menace est toujours en développement.
Une option est l'utilisation du catalogue de BITS.
Une comparaison sommaire de différentes bibliothèques de menaces est en cours. En ce moment, cetteanalyse couvre
● « BSI » http://www.bsi.de/english/gshb/manual/t/t01.htm
● « BITS » http://www.bitsinfo.org/downloads/Publications%20Page/BITS%20Kalculator/bitskalculatorspreadsht.xls
● « ISF » Abonnement
● « CRAMM » Abonnement
● « MELANI » http://www.melani.admin.ch/themen/00103/index.html?lang=de
● « Microsoft Threat Model » http://www.microsoft.com/downloads/details.aspx?familyid=59888078-9daf-4e96-b7d1-944703479451
Pour permettre l'utilisation d'un modèle déjà existant, ce dernierdevait respecter les critères suivants :
● Être utilisable dans un contexte de licence ouverte.● Ne pas être spécifique à une industrie ou un pays.● Ne pas être contrôlé ou détenu par une seule compagnie.
13 juin 2014 Guy Talbot - Les Services Conseils I6T 29
Bibliothèque des menaces
Une méthode de classification des menaces est en discussion.
Propose une classification sur 3 axes basée sur les travaux du groupe « Security Architecture » de l'ISSS(Information Security Society Switzerland)*.
Les trois axes proposés sont :
● Motivation
● Agent
● Localisation
http://www.isss.ch/fileadmin/publ/agsa/ISSS-AG-Security-Architecture__Threat-Modeling_Lukas-Ruf.pdf*
13 juin 2014 Guy Talbot - Les Services Conseils I6T 30
Bibliothèque d'icônes
● Une bibliothèque d’icône est disponible pour construire des modèles.
● Basée sur les icônes du projet « Tango Free Desktop Project ».
● Compatibles avec la licence « Creative Common ».
Peu également être utilisée pour vos diagrammes d'architecture.
13 juin 2014 Guy Talbot - Les Services Conseils I6T 31
Gabarit de modèle
Le gabarit est disponible en format HTML.
Le schéma de base est disponible en format SVG.
13 juin 2014 Guy Talbot - Les Services Conseils I6T 32
Le gabarit HTML
13 juin 2014 Guy Talbot - Les Services Conseils I6T 33
Schéma
13 juin 2014 Guy Talbot - Les Services Conseils I6T 34
Exemple d’un modèle
13 juin 2014 Guy Talbot - Les Services Conseils I6T 35
Exemple d’un modèle
Description: The intention of this pattern is to show how the major control families apply to the computing environment. ...
Assumptions: All computing systems are accessed from some form of user interface to a client. The client ...
Typical challenges: not applicable.
Indications: not applicable.
Contra-indications: not applicable.
Resistance against threats: not applicable.
References: not applicable.
Related patterns: not applicable.
Classification: not applicable.
Release: 08.02
Authors: Spinoza
Reviewer(s): Claudio, Aurelius
Control details :
13 juin 2014 Guy Talbot - Les Services Conseils I6T 36
Exemples
Voir la librairie de modèle du site de l’OSA :
http://www.opensecurityarchitecture.org/cms/library/patternlandscape
13 juin 2014 Guy Talbot - Les Services Conseils I6T 37
Conclusions
● Les outils déjà disponibles permettent déjà ledéveloppement de modèles d'architecture desécurité.
● Les grands chantiers :● Développement de modèles.● Évolution des fondations et de la trousse d’outils.
13 juin 2014 Guy Talbot - Les Services Conseils I6T 38
Roadmap
13 juin 2014 Guy Talbot - Les Services Conseils I6T 39
La suite
Maintenant vous avez les options suivantes :
A)Oublier tout ce que le présentateur vient dedire et passer à la présentation suivante.
B)Aller voir le site de l’OSA et voir ce qui peutêtre utile dans vos projets en cours.
C)Aller sur le site de l’OSA, faire l’inventaire detout ce qui a besoin d’être ajouté, amélioré oumodifier et faire profiter la communauté devotre génie.
13 juin 2014 Guy Talbot - Les Services Conseils I6T 40
Questions Commentaires
13 juin 2014 Guy Talbot - Les Services Conseils I6T 41
13 juin 2014 Guy Talbot - Les Services Conseils I6T 42
Dépôt
Serveur de distribution
Événements
Événements
Événements Événements
Serveur de gestion
Tableau de bord
Rapports
Opérateur
Spécialiste en sécurité
Gestionnaire
Auditeur
Autres sources d’événements
ServeurCédule
Cédule
Alarmes
Alertes
Alertes
Procédures opérationnelles
Ges
tion
des
inci
dent
s
Analyse des journaux
Mises à jour
Tableau de contrôleet de commande
top related