it-cisq.orgit-cisq.org/wp-content/uploads/2018/03/cisq-cyber-resilience...international...
TRANSCRIPT
+����������������$&%$&�( $#�� !!�& ��('�&�'�&*���� %%&$*����$&��)�! ����!��'���� '(& �)( $#��#! " (������'���$�����������
��������� �����������������������
Robert A. Martin20 March 2018
������������� �������
+����������������$&%$&�( $#�� !!�& ��('�&�'�&*���� %%&$*����$&��)�! ����!��'���� '(& �)( $#��#! " (������'���$�����������
+����������������$&%$&�( $#�� !!�& ��('�&�'�&*���� %%&$*����$&��)�! ����!��'���� '(& �)( $#��#! " (������'���$�����������
-������!���������&('&(�*"&%�� ##�(" !*)�(�)�(,���� ''(&,����&(��+�#"����#��)����")*("�+*"&%��%#"$"*������)���&�����������
���������� �
6��� ��'$��������-/.-/ 1(-,���**�/(&'10�/$0$/3$#���../-3$#�%-/��2!*("��$*$ 0$���(01/(!21(-,��,*(+(1$#��� 0$��-��������
�(00(-,�
�2*%(**+$,1
� 5 /#0����11 ")0
� . !(*(14 �(00(-,���20(,$00��2,"1(-,0
�2 *(14�� .��
�2 *(14�� .���
�2 *(14�� .��
One element of Risk Management is Identifying Quality Gaps in Capabilities Critical to Mission/Business Functions
8���� )&��� ����/10/1"3*/.���,,�1*()32�1&2&15&%���001/5&%�'/1��4#,*$��&,&"2&���*231*#43*/.�!.,*-*3&%���"2&��/������� ��
�*22*/.�
�4,'*,,-&.
3
�"0"#*,*36
�-0"$3�3)1/4()�4",*36��"0��
�4",*36��"0���
�$3*5"3&%��4",*36��"0����"�54,.&1"#*,*36�
�$3*5"3&%��4",*36��"0�����"�54,.&1"#*,*36�
�-0"$3�3)1/4()�4",*36��"0���
�*22*/.��42*.&22��4.$3*/.2
�*22*/.���42*.&22��4.$3*/.2
�"7"1%2����33"$+2
One element of Risk Management is Identifying Quality Gaps in Capabilities Critical to Mission/Business Functions
2������# ��������)+*)+�-$)(�� &&�+$"#-,�+ , +/ ��� **+)/ ��!)+��.�&$��� & �, ���$,-+$�.-$)(��(&$'$- �����, ��)�����������
��*��$&$-1
���$&$-$ ,
��*��$&$-1
�+)� �.+ ,
��*��$&$-1
�+)� ,, ,
��*��$&$-1
� �',
Quality Gaps can occur in any of the capabilities that make up ourmission/business functions ��*��$&$-1
� )*&
��*��$&$-1
� -0)+%,
��*��$&$-1
�.**&1��#�$(,
��*��$&$-1
�#$*,
��*��$&$-1
��+�0�+
��*��$&$-1
�)!-0�+
��*��$&$-1
�)'*$& +,
��*��$&$-1
�)'*.- +���(".�" ��-�(��+�,
=����#-*���#!���35435&7.32���00�5.,-76�5*6*59*)���44539*)�+35��8'0.(�!*0*&6*���.675.'87.32�$20.1.7*)���&6*��3������� ��
�� �������������
�� ������������
�� ������������
�� ������������
��� �
�����������
�����
�� �
�� �
�� �
����������
��������
��� �
�����
�����
�23:2#-5*&76���&<&5)6
�&<&5)��77&(/��(7.9&7.32��&77*526������6�
%*&/2*66*6�� 8&0.7;��&46��%�6�
�3827*5�*&685*6� �(7.326�
#*(-2.(&0�14&(76�73�.66.32�
�&4&'.0.7.*6
�.66.32��86.2*66��14&(76
“Counter Measures - Actions” include: choices about architecture, design, physical decomposition, and operational approaches; adding/changing security/safety functions, protection schemes, activities & processes; use of static & dynamic code assessments, dynamic testing, physical testing, and pen testing;attack surface & fault-tree analysis, architecture and design reviews
";67*1���";67*1�"*(85.7;�
�2,.2**5.2,#5&)*6
!.6/��&2&,*1*27�.6�&'387�&))5*66.2,�7-*��&<&5)6����77&(/6�7-&7�(&2�.14&(7��.66.32��86.2*66��82(7.326
����������
������������ ����� ���������������
�
+����������������$&%$&�( $#�� !!�& ��('�&�'�&*���� %%&$*����$&��)�! ����!��'���� '(& �)( $#��#! " (������'���$�����������
�����*� ����������������������������#���������"����(�����)������! �����
���
������������������"��������� �� ����������"��"����������(���)
�������������������������
����������
���
�� �������� �������� �������� ��������� ��������� ��������� ��������� ��������� ��������� ��������� ��������� ��������� ��������� ��������� �������
%
���'���������! ���
��� ������ �� ���������&!��� #�����
$
6�������'$��������-/.-/ 1(-,���**�/(&'10�/$0$/3$#���../-3$#�%-/��2!*("��$*$ 0$���(01/(!21(-,��,*(+(1$#��� 0$��-��� ������
�-++-,��$ ),$00��"-/(,&��501$+ ����$.������ �������������� � ���!�������"������ ���!�������"�������$��� �� ��������� ��������� �"������ ������������������
���������� ������
� ���!�������"������ ���!�������"�������$��� ���������� ��� �! ��� ��� ����� ���� �� �"�������� ���� ���� �����$��� ������
������������������
� �!������������ � ������������������"��$� ��������������#���� � �# ��������� ��������� �"������ ��"������
�������������������
�-++-,��$ ),$00��(0)��, *50(0��/ +$4-/)��������� �(&,$11$0� �$"',(" *��+. "1��"-/$" /#
.������!���������&('&(�*"&%�� ##�(" !*)�(�)�(,���� ''(&,����&(��+�#"����#��)����")*("�+*"&%��%#"$"*������)���&�����������
�&$$&%��+#%�(��"#"*-���&("% ��-)*�$
�������������������������
������������� �
�����������������������������������������
���������� ���������� �������������� ����� ��
���� �������������������� ��������������� � ���� ���������
�������������������
+����������������$&%$&�( $#�� !!�& ��('�&�'�&*���� %%&$*����$&��)�! ����!��'���� '(& �)( $#��#! " (������'���$�����������
I n t e r n a t i o n a l T e l e c o m m u n i c a t i o n U n i o n
ITU-T X.1520TELECOMMUNICATION STANDARDIZATION SECTOR OF ITU
(01/2014)
SERIES X: DATA NETWORKS, OPEN SYSTEM COMMUNICATIONS AND SECURITY Cybersecurity information exchange – Vulnerability/state exchange
Common vulnerabilities and exposures
Recommendation ITU-T X.1520
x
U n i ó n I n t e r n a c i o n a l d e T e l e c o m u n i c a c i o n e s
UIT-T X.1520SECTOR DE NORMALIZACIÓN DE LAS TELECOMUNICACIONES DE LA UIT
(04/2011)
SERIE X: REDES DE DATOS, COMUNICACIONES DE SISTEMAS ABIERTOS Y SEGURIDAD Intercambio de información de ciberseguridad – Intercambio de estados/vulnerabilidad
Vulnerabilidades y exposiciones comunes
Recomendación UIT-T X.1520
�����
U n i o n i n t e r n a t i o n a l e d e s t é l é c o m m u n i c a t i o n s
UIT-T X.1520SECTEUR DE LA NORMALISATION DES TÉLÉCOMMUNICATIONS DE L'UIT
(04/2011)
SÉRIE X: RÉSEAUX DE DONNÉES, COMMUNICATION ENTRE SYSTÈMES OUVERTS ET SÉCURITÉ Echange d'informations sur la cybersécurité – Echange concernant les vulnérabilités/les états
Vulnérabilités et expositions courantes
Recommandation UIT-T X.1520
�����
�
��
�
� � � � � � � � � � " � � � � % � � $ � � � � � � � � & � � �
� �
� ��� � �����"��#�!�"#����!#���%����)���#!�"�*����")�
��������
�
"�!�*�� �"�#�� �!���&������'$��������"�*�(��#�!'#'$�"�"#���������� �"��"#(��,4/5�15<684+=1/2��3+9+?>/29@�31,/8,/067+9569:1����,4/5�15<684+=1/2�6,�;@0-1469:1�969:6@511��
� ��!��������"�� &���������������!�!������#�
�
!/364/5.+=1@���")���������
�
�
� ����
� � - � � � � & � ! �
ITU-T X.1520�- �&! ���+,
(04/2011)
X"����%���"$*� �� %#����� – '����������
�(�� �.
ITU-T X.1520 �)�
������
!"#$$$$%& '()'#$$$*$ +,-'$$$."&$
X.1520
ITU-T (2011/04) !"#$%&"' ())*& +#$,-
!"#%&./ 012/' 3#4"' 5
!"#"#$%X: &'()*&'+',)$% !-.+/% 01 &2'342%5
67/% 89'#75 !:;<=>% !"#$%&" '()" *+(,-.( /0+12!3.4&" '5",( *+(,-.( /0+12 /6&+7"
!"#$%&' ()*"+&', -".&' /01'23(CVE)
,?;<$%@! ITU-T X.1520
������
�����������
I n t e r n a t i o n a l T e l e c o m m u n i c a t i o n U n i o n
ITU-T X.1521 TELECOMMUNICATION STANDARDIZATION SECTOR OF ITU
(03/2016)
SERIES X: DATA NETWORKS, OPEN SYSTEM COMMUNICATIONS AND SECURITY Cybersecurity information exchange � Vulnerability/state exchange
Common vulnerability scoring system 3.0
Recommendation ITU-T X.1521
�����������
�������������������������� �� �����������
I n t e r n a t i o n a l T e l e c o m m u n i c a t i o n U n i o n
ITU-T X.1525 TELECOMMUNICATION STANDARDIZATION SECTOR OF ITU
(04/2015)
SERIES X: DATA NETWORKS, OPEN SYSTEM COMMUNICATIONS AND SECURITY Cybersecurity information exchange � Vulnerability/state exchange
Common weakness scoring system
Recommendation ITU-T X.1525
����
I n t e r n a t i o n a l T e l e c o m m u n i c a t i o n U n i o n
ITU-T X.1524TELECOMMUNICATION STANDARDIZATION SECTOR OF ITU
(03/2012)
SERIES X: DATA NETWORKS, OPEN SYSTEM COMMUNICATIONS AND SECURITY Cybersecurity information exchange – Vulnerability/state exchange
Common weakness enumeration
Recommendation ITU-T X.1524
����
+����������������$&%$&�( $#�� !!�& ��('�&�'�&*���� %%&$*����$&��)�! ����!��'���� '(& �)( $#��#! " (������'���$�����������
������ ��������������� ������������
/�������"���������(*)(*�,#('���%%�*#!",+�*�+�*.�����))*(.��� (*��-�%#����%��+� ��#+,*#�-,#('��'%#&#,������+���(����������
�"(0+�*#+$�#+���#'!�&�'�!���
�������
���������
��������� ������
������� ��������
�������
����������������
������ ��