image

Verdringt de ISO 21827 de ISO 17799?

woensdag 11 mei 2005, 09:14 door Redactie, 13 reacties

Dag in dag uit verschijnt er reparatie software voor beveiligingslekken, in het jargon “security patches” genoemd, gemiddeld verschijnen er ongeveer 7 per dag. ( bron: security.nl ). Alleen al hiermee wordt een hele tak van de IT security branche aan het werk gehouden.

Het is dus logisch dat de roep om fout vrije software ( in het jargon bug vrije software genoemd ) groot is. Hoewel bugs onvermijdelijk zijn, hebben programmeurs wel een verantwoordelijkheid, namelijk het veilig coderen van de software. Uiteindelijk betalen de gebruikers van de software de prijs voor het slechte programmeerwerk.

ISO/IEC 21827 kan een oplossing bieden om deze problemen onder controle te krijgen. Wat is ISO/IEC 21827 en wat kan de security gemeenschap er mee? Dit artikel gaat nader in op deze vragen.

Door Ronald Eygendaal

ISO/IEC 21827
Op 11 juli 2003 is versie 3 van SSE-CMM van ISO/IEC 21827 Information Technology - Systems Security Engineering - Capability Maturity Model
(SSE-CMM) gepubliceerd door de International Standards Organization (ISO). Het is daarmee naast de bekende ISO/IEC 17799:2000, beter bekent als BS7799, een mondiaal gedragen standaard geworden. Versie 3 bevat onder andere verwijzingen naar gerelateerde ISO Standaarden zoals ISO/IEC 15504 ( SPICE ) Software Process Assessment, ISO/IEC 15288, Systems Engineering-System Life Cycle Processes, ISO/IEC 15408 Security techniques -- Evaluation criteria for IT security en ISO/IEC TR13335 Guidelines for management of IT Security.

Historie
SSE-CMM vindt zijn historie bij de Amerikaanse defensie industrie waar men op zoek was naar een methodiek om leveranciers te kunnen evalueren. Onder andere door sponsering van de van de National Security Agency ( NSA ) is rond 1990 de eerste aanzet gemaakt voor het Systems Security Engineering Capability Maturity Model ( SSE-CMM ). Onderleiding van het Software Engineering Institute van de Carnegie Mellon University en een bedrijvencollectief, van 42 bedrijven, is SSE-CMM verder ontwikkeld.

Na enkele succesvolle workshops in 1995 over SSE-CMM heeft in 1996 de eerste officiële versie het Systems Security Engineering Capability Maturity Model het levenslicht gezien. SSE-CMM model vindt zijn oorsprong uit Capability Maturity Model ( CMM )

SSE-CMM verzorgt een internationaal erkend (ISO IEC 21827) framework voor evalueren van beveiliging, techniek en middelen. Verder geeft het een methodiek
voor het meten van prestaties en het verbeteren van diensten om vitale informatie te beschermen.

ISSEA.
De International Systems Security Engineering Association (ISSEA) is opgericht in 1999. De ISSEA is een internationale non-profit, op lidmaatschap gebaseerde organisatie, met als doel te fungeren als spreekbuis tussen de security gemeenschap en de International Standards Organization met betrekking tot ISO 21827 System Security Engineering Capability Maturity Model (SSE-CMM).

De ISSEA fungeert als soort van college van deskundige voor het ISO/IEC 21827 System Security Engineering Capability Maturity Model (SSE-CMM). Een minstens zo belangrijke taak van de ISSEA is het geven van voorlichting en educatie aangaande ISO 21827.

De ISSEA kent anno 2003 het individuele lidmaatschap, het bedrijfslidmaatschap en het onderzoeksinstelling lidmaatschap. De bedrijven en organisaties die financieel sponsor zijn geweest voor de tot stand komen van SSE-CMM hebben een special zogenaamd “chater” lidmaatschap. Chater leden worden niet meer geaccepteerd door de ISSEA.

De ISSEA heeft op drie continenten leden te weten; Australië, Europa en Amerika. De organisatie is sterk groeiende in het Europese continent.

ISSPCS
De International Systems Security Professional Certification Scheme ( ISSPCS ) is een certificatie instelling voor persoonscertificatie. ISSPCS is een onafhankelijke non-profit organisatie met een internationaal certificatie programma wat open is voor een ieder werkzaam in het IT werkveld.

Onder andere voor de ISSEA heeft de ISSPCS een persoonscertificatie schema ontwikkeld wat gebaseerd is op ISO 21827.

ISSPCS zorgt met behulp van communicatie over en weer met de security gemeenschap dat het Certificatie programma actueel en bij de tijd blijft. Het certificatie programma is gebaseerd op de essentiële security principes en gefocust op processen en discipline. Deze unieke aanpak kenmerkt zich door de wijze waarmee de integratie van security in alle proces stappen geborgd is.

ISSPCS wordt ondersteunt door universiteiten, Computer Emergency Response Teams ( CERT) en Electronic Warfare organisaties.

“ISSPCS Certified” moet de klachten over onvoldoende mondiaal draagvlak zoals die er zijn over, de veel al Amerikaans georiënteerde persoonscertificeringen zoals, CISSP, CISM, SANS ondervangen. De ISSPCS certificering is gebaseerd op de internationaal geaccepteerde standaarden van de International Standards Organization ( ISO ) . De belangrijkste ISO standaarden op het gebied van informatiebeveiliging vormen de Common Body of Knowledge (CBK) voor de ISSPCS.

  • ISO 21827 System Security Engineering Capability Maturity Model (SSE-CMM)
  • ISO/IEC 13335 Information Technology - Security Techniques - Guidelines for the Management of IT Security
  • ISO/IEC 17799:2000
  • ISO 15408 ("Common Criteria")

Om in het bezit te komen van “ISSPCS Certified” moet examen worden gedaan. Dit examen toetst de inhoudelijke kennis van de belangrijkste ISO standaarden op het gebied van informatiebeveiliging.

Conclusie
Ondanks het relatief jonge bestaan van de ISSEA heeft het in vergelijking met andere organisaties zoals de Information Systems Security Association (ISSA) al veel bereikt. Het feit dat de ISSPCS zijn CBK ontleed aan ISO standaarden maakt hun een serieuze speler op het gebied van persooncertificatie.

Bronnen
http://www.sse-cmm.org
http://www.isspcs.org
http://www.issea.org/


Over de auteur
Ronald Eygendaal is werkzaam als Senior Security & Fraud Consultant heeft meer dan 12 jaar ervaring in beveiliging, fraude onderzoeken en informatiebeveiliging in het bijzonder; is voorzitter van de vakgroep informatiebeveiliging van de Vereniging Beveiligingsmanagers Nederland (VBN); is Certified In Security Supervision and Management ( CSSM ) en Certificate in Information Security Management Principles (CISMP) e-mail: ronaldeygendaal@protectioncompany.com

Reacties (13)
11-05-2005, 10:41 door Anoniem
Pfff, wat een blaaskakerij. Er wordt toch ook niet
gespeculeerd over de vraag in hoeverre 17799 een vervanging
is van 15408? Kom op zeg, het zijn standaarden die weliswaar
veel met elkaar te maken hebben, maar ieder een eigen deel
van informatiebeveiliging bestrijken.
11-05-2005, 11:46 door Poele
Hoezo blaaskakerij. Begrijp je het verhaal eigenlijk gewoon niet?
11-05-2005, 17:00 door Anoniem
het is een duidelijk verhaal met veel overlap, sla de links
er maar op na.

Wel jammer van de holle kreet 'ISSPCS Certified” moet de
klachten over onvoldoende mondiaal draagvlak zoals die er
zijn over, de veel al Amerikaans georiënteerde
persoonscertificeringen zoals, CISSP, CISM, SANS ondervangen.

De klachten worden namelijk niet bij naam genoemd, daarmee
krijgt het artikel een klein beetje de smaak van
belangenverstrengeling van de auteur, hoewel ik hem gelet op
zijn eigen certificeringen daar niet op kan betrappen.
11-05-2005, 23:40 door Anoniem
voor een opleiding “ISSPCS Certified” kijk:
http://www.securitycollege.nl/?doc=200410003
12-05-2005, 12:11 door Anoniem
Door Anoniem
voor een opleiding “ISSPCS Certified” kijk:
http://www.securitycollege.nl/?doc=200410003


klopt, van 7 t/m 11 maart 2005 .....
12-05-2005, 12:21 door Anoniem
--------------------------------
Wel jammer van de holle kreet 'ISSPCS Certified” moet de
klachten over onvoldoende mondiaal draagvlak zoals die er
zijn over, de veel al Amerikaans georiënteerde
persoonscertificeringen zoals, CISSP, CISM, SANS ondervangen.
--------------------------------

Bijna al deze certificeringen gaan uit van Amerikaanse denk wijzen over
informatie beveiliging. Het zijn ook titels van Amerikaanse organisaties.
Een aantal mensen van dat dus niet zo leuk.
12-05-2005, 15:07 door Anoniem
ISO17799 = best practises security (niet alleen info sex)

de rest staat in het artikel.

Ronald is CISSP dus weet best dat 17799 voornamelijk over
beleid gaat en niet over techniek inhoudelijk.

Voor een leek is dit artikel leuk, voor mensen in het vak is
de titel provocerend en de inhoud lichtelijk irritant.

Maar goed, we weten nu ook van deze standaard, de vraag is
in hoeverre bedrijven zich voor de ISO standaard willen
certificeren.

Het lijk mij alleen weggelegd voor software producerende
organisaties en niet zo zeer voor generieke bedrijven.

Dus bs7799 blijft hiermee gewoon de generieke standaard op
het moment.
13-05-2005, 10:20 door Anoniem
Ik zie nergens staan dat hij CISSP is, maar zie wel het nut
in van iets van beide werelden, het is maar net welke
disciplines je in de organisatie hebt. Ik begrijp in elk
geval dat CISSP nog steeds een goede keuze blijft

En dat de ISO 17799 overeind blijft dat geloof ik wel.

Waar ik nog wel steeds mee zit is die opmerking over
'klachten' die vervolgens nooit worden genoemd.

Wat is uiteindelijk zijn betoog, dat hij zichzelf gaat
omscholen ?
13-05-2005, 10:45 door raboof
Ik vraag me af of de auteur die titel zelf gekozen heeft. Security.nl heeft wel
vaker rare headlines (no offence).
16-05-2005, 17:36 door Anoniem
Afgezien van de titel heeft de auteur wel een punt.

De moderne programmeur heeft de kunst van het ambachtelijk
programmeren verleerd. Simpele zaken als invoer en uitvoer controles
worden veelal vergeten door de tijdsdruk.

Deze ontwikkel methodiek kan een manier zijn om meer structuur in het
applicatie ontwikkel proces te brengen. Maar naast SSE-CMM bestaat er
ook nog de common criteria. Beide modellen zijn goed bruikbaar onder de
BS7799 paraplu. De BS7799 is management systeem en zegt niets over
hoe eea is geimplementeerd.
Eigenlijk moet de BS7799 uitgebreid worden met technische inspecties.
SSE-CMM en CC zijn modellen om deze technische inspecties mogelijk te
maken en hiermee de kwaliteit van het programmeer werk.
20-05-2005, 09:35 door Anoniem
Hoewel dit inderdaad een toegevoegde waarde kan hebben heeft het
helemaal niets te maken met de relatie tot BS7799 (of ISO 17799 daar en
tegen). ISO 17799 geschrijft wat er gedaan moet worden, SSE-CMM
beschrijft hoe. Wezenlijke verschillen

Joep Gommers
Kahuna Network Solutions BV
20-05-2005, 11:10 door witje
Grote bedrijven die grote schade kunnen oplopen (banken wellicht) zullen
er voor zorgen dat ze zo gecertificeerd (bureaucratisch) mogelijk aan het
wijzigen en installeren gaan. De andere kant is dat bedrijven die er weinig
schade van ondervinden het een worst zal zijn om te investeren in dure
certificering. Daar tussenin beweegt zich een heel scala aan bedrijven die
het van een beetje tot veel belangrijk vinden.
Maar om nu in te gaan op de vraag. Ik denk dat die vraag postief zal
worden beantwoord, omdat juist de grote(re) (en gedwongen meer )
bureaucratisch handelende bedrijven zaken geborgd willen zien door het
afwerken van breed erkende procedures. Een soort van zelferkenning.
20-05-2005, 14:38 door Anoniem
Naast de een certificering zelf inderdaad een kwaliteits keurmerk bied
hebben de normeren ook goede methoden om te gebruiken. Niet
gecertificeerd toch de methode gebruiken is voor de meeste afdoende.
Kleine ondernemingen die zich hier niet mee bezig houden 'denken' over
het algemeen dat ze wel veilig genoeg zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.