ISO/IEC JTC 1/SC 27/WG 4ISO/IEC JTC 1/SC 27/WG 4

IT Security ControlsIT Security ControlsIT Security Controls IT Security Controls and Servicesand Servicesand Servicesand Services

M. De Soete, ISO/IEC JTC 1 SC27 Vice ChairM. De Soete, ISO/IEC JTC 1 SC27 Vice Chair

© copyright ISO/IEC JTC 1/SC 27, 2014.  This is an SC27 public document and is distributed as is for the sole purpose of awareness and promotion of SC 27 standards and so the text is not to be used for commercial purposes, gain or as a source of profit.    Any changes to the slides or incorporation in other documents / presentations requires prior permission of the ISO/IEC JTC 1 SC27 Secretariat (krystyna.passia@din.de)

Mi i (1)Mi i (1)Mission (1)Mission (1)Security controls and servicesSecu y co o s a d se ces• Developing and maintaining International

Standards, Technical Specifications andTechnical Reports for information security in thearea of Security Controls and Services

• Assist organizations in the implementation of theISO/IEC 27000-series of Information SecurityISO/IEC 27000 series of Information SecurityManagement Systems (ISMS) InternationalStandards and Technical Reports

© copyright ISO/IEC JTC 1/SC 27, 2012.  This is an SC27 public document and is distributed as is for the sole purpose of awareness and promotion of SC 27 standards and so the text is not to be used for commercial purposes, gain or as a source of profit.    Any changes to the slides or incorporation in other documents / presentations requires prior permission of the ISO/IEC JTC 1 SC27 Secretariat (krystyna.passia@din.de)

Mi i (2)Mi i (2)Mission (2)Mission (2)Security controls and servicesSecurity controls and services

• The scope of WG4 also includes evaluating andp gdeveloping International Standards foraddressing existing and emerging informationsecurity issues and needs and other securitysecurity issues and needs and other securityaspects that resulted from the proliferation anduse of ICT and Internet related technology inorganizations (such as multi nationalsorganizations (such as multi-nationalscorporations, SMEs, government departments,and non-profit organisations)

© copyright ISO/IEC JTC 1/SC 27, 2012.  This is an SC27 public document and is distributed as is for the sole purpose of awareness and promotion of SC 27 standards and so the text is not to be used for commercial purposes, gain or as a source of profit.    Any changes to the slides or incorporation in other documents / presentations requires prior permission of the ISO/IEC JTC 1 SC27 Secretariat (krystyna.passia@din.de)

Security and Privacy Topic Areas Security and Privacy Topic Areas y y py y p

Information security management system (ISMS) requirements, methods  t 

Information security and privacy governance

y g y ( ) q ,and processes

nd aud

iting

 Managem

ent

es,  vices 

y and privacy

Privacy controls and identity Security controls Security controls &

certificatio

n a

d metho

ds fo

r System

s

ting, Processe

(produ

cts, de

rodu

cts) 

mation securit management 

methods (including application specific 

e.g. cloud), techniques,

Security controls (including 

application and sector specific e.g. Cloud, 

l

Security controls & services (including application specific 

e.g. Cloud), IT network security, 3rd party i S i id

Accred

itatio

n, 

uiremen

ts and

valuation, Test

 Spe

cification 

d system

 of p

r

omics o

f inform techniques, 

frameworks, biometric information protection, bi t i

Telecoms, Energy, FInance), codes of practice, frameworks

services, IDS, incident management, cyber security, application security, disaster recovery, forensics

WG 1 

WG 2

WG 3

Arequ

Cryptographic and security mechanisms and technologies

Security Ev

Metho

ds and an

Econ

o biometric authentication

y,WG 4

WG 5

© copyright ISO/IEC JTC 1/SC 27, 2012.  This is an SC27 public document and is distributed as is for the sole purpose of awareness and promotion of SC 27 standards and so the text is not to be used for commercial purposes, gain or as a source of profit.    Any changes to the slides or incorporation in other documents / presentations requires prior permission of the ISO/IEC JTC 1 SC27 Secretariat (krystyna.passia@din.de)

DomainsDomainsDomainsDomains

S it i id t• Security incidents• System and system life cycle y y y

security

Security incidentsSecurity incidentsSecurity incidentsSecurity incidents

• Management• Detection• Detection• Investigation• Recovery

SystemSystem and system lifeand system lifeSystem System and system life and system life cycle cycle securitysecurity

• Acquisition and supply Acquisition and supply • Security related to storage• Security related to processing• Security related to communicationSecurity related to communication

WG4 Published StandardsWG4 Published StandardsStandard Title Status AbstractISO/IEC TR14516

Guidelines for the use and management

1st Ed. 2002 Provides guidance for the use and management of Trusted Third Party (TTP) services a clear definition of the basic duties and14516 use and management 

of Trusted Third Party services 

Party (TTP) services, a clear definition of the basic duties and services provided, their description and their purpose, and the roles and liabilities of TTPs and entities using their services.

ISO/IEC 15816 Security information objects for access control

1st Ed. 2002 Provides object definitions that are commonly needed in security standards to avoid multiple and different definitions of the same functionalitycontrol the same functionality. 

ISO/IEC 15945 Specification of TTP services to support the application of digital signatures 

1st Ed. 2002 Defines the services required to support the application of digital signatures for non‐repudiation of creation of a document. 

ISO/IEC 18028‐4 IT network security –Part 4: Securing remote access

1st Ed. 2005 Provides guidance for securely using remote access and its implication for IT security. In this it introduces the different types of remote access including the protocols in use, discusses the authentication issues related to remote access and provides support when setting up remote access securely. 

ISO/IEC 18043 Selection, deployment and operations of intrusion detection systems

1st Ed. 2006(Being revised by ISO/IEC 27039)

Provides guidelines to assist organizations in preparing to deploy Intrusion Detection System (IDS). In particular, it addresses the selection, deployment and operations of IDS. 

y

© copyright ISO/IEC JTC 1/SC 27, 2012.  This is an SC27 public document and is distributed as is for the sole purpose of awareness and promotion of SC 27 standards and so the text is not to be used for commercial purposes, gain or as a source of profit.    Any changes to the slides or incorporation in other documents / presentations requires prior permission of the ISO/IEC JTC 1 SC27 Secretariat (krystyna.passia@din.de)

WG4 Published StandardsWG4 Published StandardsStandard Title Status Abstract

ISO/IEC 27031 Guidelines for ICT readiness for business continuity

1st Ed. 2011 Describes the concepts and principles ICT readiness for business continuity, and provides a framework of methods and processes to identify and specify all aspects for improving an organizationʹs ICT eadi e to e u e bu i e o ti uityreadiness to ensure business continuity. 

ISO/IEC 27032 Guidelines for cybersecurity

1st Ed. 2012 Provides guidance for improving the state of Cybersecurity, drawing out the unique aspects of that activity and its dependencies on other security domains. It covers the baseline security practices for stakeholders in the Cyberspace.

ISO/IEC 27035 Information security incident management

1st Ed. 2011(Currentlyunder revision)

Provides a structured and planned approach to detect, report and assess information security incidents; respond to and manage information security incidents; detect, assess and manage information security vulnerabilities; and continuously improve information security and incident management.

ISO/IEC 27037 Guidelines for the identification, collection, acquisition and preservation of 

1st Ed. 2012 Guidelines for specific activities in the handling of digital evidence that can be of evidential value. It provides guidance to individuals with respect to common situations encountered throughout the digital evidence handling process and assists organizations in their disciplinary procedures and in facilitating the exchange of potential p

digital evidencep y p g g p

digital evidence between jurisdictions. 

WG4 Published StandardsWG4 Published StandardsStandard Title Status AbstractISO/IEC 27033‐1 Network Security – Part 1: 

Overview and concepts1st Ed. 2009(Currently under

Provides an overview of network security and related definitions. It defines and describes the concepts associated with, and provides management guidance on,under 

revision)associated with, and provides management guidance on, network security.  Overall, it provides an overview of the ISO/IEC 27033 series and a “road map” to all other parts.

ISO/IEC 27033‐2 Network Security – Part 2: Guidelines for the design and implementation of

1st Ed. 2012 Provides guidelines for organizations to plan, design, implement and document network security.

and implementation of network security

ISO/IEC 27033‐3 Network Security – Part 3: Reference networking scenarios – Risks, design techniques and control

1st Ed. 2010 Describes the threats, design techniques and control issues associated with reference network scenarios. For each scenario, it provides detailed guidance on the security threats and the security design techniques andtechniques and control 

issuessecurity threats and the security design techniques and controls required to mitigate the associated risks. 

ISO/IEC 27033‐4 Network security — Part 4: Securing communications between networks using

it t

1st Ed.(To be published)

Gives guidance for securing communications between networks using security gateways in accordance with a documentedi f ti it li f th it tsecurity gateways information security policy of the security gateways.

ISO/IEC 27033‐5 Network security — Part 5:Securing communications across networks using VPNs

1st Ed. 2013 Gives guidelines for the selection, implementation and monitoring of the technical controls necessary to provide network security using VPN connections to inter‐connect networks and connect remote users to networks.

WG4 Published StandardsWG4 Published StandardsStandard Title Status AbstractISO/IEC 27034‐1 Application security –

Part 1: Overview and concepts

1st Ed. 2011 ISO/IEC 27034 provides guidance to assist organizations in integrating security into the processes used for managing their applications. This International Standard presents an overviewconcepts applications. This International Standard presents an overview of application security. It introduces definitions, concepts,principles and processes involved in application security.

ISO/IEC 27036‐1 Information security for supplier relationships –Part 1: Overview and

1st Ed.(To be published)

Provides an overview of the guidance intended to assist organizations in securing their information and information systems within the context of supplier relationships It addressesPart 1: Overview and 

conceptspublished) systems within the context of supplier relationships. It addresses 

perspectives of both acquirers and suppliers.

ISO/IEC 27036‐3 Information security for supplier relationships –Part 3:Guidelines for ICT

1st Ed. 2013 Provides product and service acquirers and suppliers in ICT supply chain.

Guidelines for ICT supply chain security

ISO/IEC 27038 Specification for digital redaction

1st Ed.(To be published)

Specifies characteristics of techniques for performing digital redaction on digital documents. It also specifies requirements for software redaction tools and methods of testing that digital d ti h b l l t dredaction has been securely completed.

ISO/IEC TR 29149

Best practice on the provision and use of time‐stamping services

1st Ed. 2012 This Technical Report explains how to provide and use time‐stamping services so that time‐stamp tokens are effective when used to provide timeliness and data integrity services, or non‐repudiation services (in conjunction with other mechanisms). It covers time‐stamp services, explaining how to generate, renew, and verify time‐stamp tokens. 

Under developmentUnder developmentUnder developmentUnder developmentSecurity IncidentsSecurity Incidents

• 27035-x - Information security incident managemento Part 1 – Principles, Part 2 – Guidelines to plan and prepare for incident

response, Part 3 – Guidelines for incident response operationsresponse, Part 3 Guidelines for incident response operations

• 27042 - Guidelines for the analysis and interpretation of digital evidence

• 27043 - Incident investigation principles and processes

• 27044 - Guidelines for security information and event 27044 Guidelines for security information and event management (SIEM)

Under developmentUnder developmentUnder developmentUnder developmentSystem / System Life Cycle SecuritySystem / System Life Cycle Security• 27040 – Storage Security• 27036-4 - Information security for supplier relationships

– Guidelines for security of cloud services• 27034-3 -Application security –Application security

management processmanagement process• 27034-5 - Application security –Protocols and

application security controls data structure• 27033-6 - Network security –Securing wireless IP

network access

Collaboration with ETSICollaboration with ETSICollaboration with ETSI Collaboration with ETSI ISG ISIISG ISI

• Liaison on standards under developmento 27044 (guidelines for security information and event management

(SIEM)o 27035-1 -2 -3 (information security incident management)

• Works are complementaryo WG 4 is more focusing on policy and strategic aspectso ETSI ISG ISI more on operational aspects and detail indicatorso ETSI ISG ISI more on operational aspects and detail indicators

• Establishment of a cat. C liaisono Jan de Meer is the liaison officer

Further informationFurther information

http://www.jtc1sc27.din.de