* measuring security is a non-trivial task * how do you measure what has not happened? * how do you measure attacks that haven't been discovered?

Relevanta dokument
Alla Tiders Kalmar län, Create the good society in Kalmar county Contributions from the Heritage Sector and the Time Travel method

PEC: European Science Teacher: Scientific Knowledge, Linguistic Skills and Digital Media

SWESIAQ Swedish Chapter of International Society of Indoor Air Quality and Climate

Hållbar utveckling i kurser lå 16-17

Health café. Self help groups. Learning café. Focus on support to people with chronic diseases and their families

Swedish framework for qualification

Information technology Open Document Format for Office Applications (OpenDocument) v1.0 (ISO/IEC 26300:2006, IDT) SWEDISH STANDARDS INSTITUTE

Uttagning för D21E och H21E

CVUSD Online Education. Summer School 2010

FORSKNINGSKOMMUNIKATION OCH PUBLICERINGS- MÖNSTER INOM UTBILDNINGSVETENSKAP

Svensk forskning näst bäst i klassen?

SVENSK STANDARD SS-ISO :2010/Amd 1:2010

6 th Grade English October 6-10, 2014

Understanding Innovation as an Approach to Increasing Customer Value in the Context of the Public Sector

Förändrade förväntningar

Questionnaire for visa applicants Appendix A

Adding active and blended learning to an introductory mechanics course

Senaste trenderna inom redovisning, rapportering och bolagsstyrning Lars-Olle Larsson, Swedfund International AB

Syns du, finns du? Examensarbete 15 hp kandidatnivå Medie- och kommunikationsvetenskap

Measuring child participation in immunization registries: two national surveys, 2001

Skattejurist för en dag på Deloitte i Malmö! 26 april 2016

Läkemedelsverkets Farmakovigilansdag

Från extern till intern på tre dagar Erfarenheter från externa lärares pedagogiska kompetensutveckling

Kursplan. AB1029 Introduktion till Professionell kommunikation - mer än bara samtal. 7,5 högskolepoäng, Grundnivå 1

Examensarbete Introduk)on - Slutsatser Anne Håkansson annehak@kth.se Studierektor Examensarbeten ICT-skolan, KTH

Oförstörande provning (NDT) i Del M Subpart F/Del 145-organisationer

Technology Management. Project Course TMAN40. Introduc:on Charlo>a Johnsson

FOI MEMO. Jonas Hallberg FOI Memo 5253

University of Nottingham ett internationellt campus med många inriktningar

Stiftelsen Allmänna Barnhuset KARLSTADS UNIVERSITET

Arbetsmiljö för doktorander

Kompetenscentrum - Några kommentarer och reflektioner kring start och drift. Lars Ekedahl.

Kursplan. FÖ1038 Ledarskap och organisationsbeteende. 7,5 högskolepoäng, Grundnivå 1. Leadership and Organisational Behaviour

EXPERT SURVEY OF THE NEWS MEDIA

SVENSK STANDARD SS-ISO 8734

Att mäta samverkansamverkansenkät

Love og regler i Sverige Richard Harlid Narkos- och Intensivvårdsläkare Aleris FysiologLab Stockholm

Mångfald som en del av affärsstrategin

Manhour analys EASA STI #17214

The present situation on the application of ICT in precision agriculture in Sweden

State Examinations Commission

SVENSK STANDARD SS-EN ISO 19108:2005/AC:2015

Goals for third cycle studies according to the Higher Education Ordinance of Sweden (Sw. "Högskoleförordningen")

Att rekrytera internationella experter - så här fungerar expertskatten

Isolda Purchase - EDI

2) att vi som deltar ska öka vårt EU pro-aktiva arbete i Bryssel för respektive påverkansplattform.

ISO general purpose metric screw threads Selected sizes for screws, bolts and nuts

Genusstudier i Sverige

Preschool Kindergarten

Adjunkt / Lecturer Lektor / Senior Lecturer Docent eller professor / Associate Professor (Sw. docent) or Professor

Kvalitetsarbete I Landstinget i Kalmar län. 24 oktober 2007 Eva Arvidsson

CUSTOMER READERSHIP HARRODS MAGAZINE CUSTOMER OVERVIEW. 63% of Harrods Magazine readers are mostly interested in reading about beauty

Svensk presentation Anita Lennerstad 1

CHANGE WITH THE BRAIN IN MIND. Frukostseminarium 11 oktober 2018

A metadata registry for Japanese construction field

PROMETEA Empowering Women Engineers in Industrial and Academic Research.

The Municipality of Ystad

Module 6: Integrals and applications

Aborter i Sverige 2008 januari juni

Arbetsmiljö för doktorander

Akutmedicin som medicinsk specialitet i Sverige, uddannelsesaspekter

Regional Carbon Budgets

Ökat personligt engagemang En studie om coachande förhållningssätt

Chapter 1 : Who do you think you are?

Swedish Presidency of the EU

INSPECTION PROTOCOL Company copy

ISO general purpose screw threads Basic profile Part 1: Metric screw threads

Sammanfattning. Revisionsfråga Har kommunstyrelsen och tekniska nämnden en tillfredställande intern kontroll av att upphandlade ramavtal följs.

Urban Runoff in Denser Environments. Tom Richman, ASLA, AICP

Performance culture in policing. Författare: Tevfik Refik Altonchi (Ph.d)

The Algerian Law of Association. Hotel Rivoli Casablanca October 22-23, 2009

Quality-Driven Process for Requirements Elicitation: The Case of Architecture Driving Requirements

Kursplan. FR1050 Franska: Skriftlig språkfärdighet I. 7,5 högskolepoäng, Grundnivå 1. French Written Proficiency I

VARFÖR NI BÖR VARA MEDLEMMAR?

Arbetsplatsträff 8 mars 2011

Swedish CEF Transport Secretariat. Connecting Europe Facility

INTERNATIONAL SPINAL CORD INJURY DATA SETS - QUALITY OF LIFE BASIC DATA SET Swedish version

Beijer Electronics AB 2000, MA00336A,

SVENSK STANDARD SS :2010

En bild säger mer än tusen ord?

ANSÖKAN OM INRÄTTANDE AV EXTERNT FINANSIERAT DOKTORANDPROJEKT ANNAN ARBETSGIVARE ÄN GÖTEBORGS UNIVERSITET

Kompetensråd Life science Skåne

The Finite Element Method, FHL064

Kursplan. FÖ3032 Redovisning och styrning av internationellt verksamma företag. 15 högskolepoäng, Avancerad nivå 1

2.1 Installation of driver using Internet Installation of driver from disk... 3

Anställningsprofil för universitetslektor i matematikämnets didaktik

The Swedish system of Contract Archaeology

Webbregistrering pa kurs och termin

PORTSECURITY IN SÖLVESBORG

Item 6 - Resolution for preferential rights issue.

Inbjudan till workshop Grön Tillväxt i Køge, Danmark den september

Documentation SN 3102

UTLYSNING AV UTBYTESPLATSER VT12 inom universitetsövergripande avtal

Kursplan. MT1051 3D CAD Grundläggande. 7,5 högskolepoäng, Grundnivå 1. 3D-CAD Basic Course

Why WE care? Anders Lundberg Fire Protection Engineer The Unit for Fire Protection & Flammables Swedish Civil Contingencies Agency

Klimatförtroendebarometern Så tycker folket 2012

Conference: Sustainable use of plastics and textiles

Transkript:

Titel: Summary Report COINS project Open Seminar on Metrics Purpose This report gives a brief summary of the open seminar on security metrics that was held at Stockholm University Kista Campus on the 30 th of November. Summary An open invitation was sent out through SIG/Security organization and other channels about 1 month before the seminar. The invitations and announcement and attached as an appendix to this report. There were approximately 70 participants who attended the seminar. About 40% of the participants came from industry, another 40% coming from academia 1, and the remaining 20% were from the public sectors. The format of the seminar was three presentations and a final panel discussion, (power point presentation embedded in this report). The COINS project preliminary report on the State of the Art Report for information security metrics was present first followed by a presentation on software security metrics by the Finish Expert Rejio Savlo. The presentations concluded with a presentation by Kevin, Stine of NIST on their experience of introduce information s security metrics into the United States governmental agency s governance systems. Brief Summary of the Presentations Problems Solutions * measuring security is a non-trivial task * how do you measure what has not happened? * how do you measure attacks that haven't been discovered? * models are needed before measures can be established * organizational maturity and stable processes are prerequisites for measuring systematically * NIST has had good experience after early problems and the metrics standards seem to be filtering in to the government agencies operations Summary Panel Discussion The panel was made of Dag Stöman from CSEC, Professor Erland Johansson from Chalmers, and Kristoffer Lundholm from FOI. The panel was asked to answer the questions if Sweden should develop its own security metrics or copy those from other countries i.e. United States.. * The technical security metrics programs of the United States were highly praised by Dag Stroman and he suggested that Sweden should be following in this direction. * However there was a general consensus in the panel that the US approach, while being a good approach for US, cannot be taken directly and used in Sweden. The organizational structure of the US government administration is far too different. Before both technical and non-technical measures can be transplanted in Sweden more study and research is needed. 1 It should be note that on the same day Professor Erland Johansson and Docent Stewart Kowalski had organized a doctoral seminar at DSV on security metrics.

Appendix 1 (Invitations) http://dsv.su.se/forskning/sec/stewart Öppet seminarium Att mäta informationssäkerhet - Ska vi leda eller följa? Hur mäter man informationssäkerhet? Vad är en lagom nivå på säkerhet? Och vilken väg ska Sverige gå? Det är några av de frågor som ska tacklas på ett öppet seminarium i Kista den 30 november. Tanken är att det här ska bli startskottet för att välja väg i Sverige när det gäller informationssäkerhet i offentlig verksamhet. Bakgrunden är att Myndigheten för samhällsskydd och beredskap (MSB) gett en grupp forskare vid FOI och Stockholms universitet i uppdrag att undersöka problemet med bristande informationssäkerhet inom den offentliga sektorn. MSB ville ha en uppfattning hur bra myndigheterna är på informationssäkerhet idag, berättar docent Stewart Kowalski. De ville därför ha en metod att kunna mäta säkerhet i den offentliga sektorn. I det öppna seminariet kommer problemet med att mäta säkerhet att granskas ur både ett teoretiskt och ett praktiskt perspektiv. Stewart Kowalski presenterar forskningsläget inom säkerhetsmetrikområdet och därefter ges två konkreta exempel på mätmodeller av Kevin Stine från NIST, USA och Reijo Savola från VTT, Finland. Amerikaner förstår inte det där med lagom säkerhet, förklarar Stewart. I Sverige har vi en bättre statsförvaltningsmodell, och vi kan därför ha en annan inställning till säkerhet. Det forskarna intresserar sig för är att kunna förstå, förklara, kontrollera och förutse risker och säkerhet. Det handlar om att få en balans mellan teknik, organisation, uppgift och människor. Det här handlar om systemvetenskap och att modellera system så att vi kan förutsäga risker, förklarar Stewart Kowalski. Om man ändrar i någon del av ett system så förändras hela balansen det är det vi kan visa som forskare. Seminariet kommer att avslutas med en paneldiskussion om vilket vägval Sverige bör ta i säkerhetsmetrikfrågan: Ska vi leda eller följa? Och Stewart Kowalski hoppas att seminariet ska bli startskottet för det vägvalet. Här ges ju både den teoretiska bakgrunden och några konkreta exempel till hur man löst problemet i andra länder. Seminariet riktar sig främst till informationssäkerhetsansvariga och säkerhetsintresserade medarbetare vid myndigheter. När? Tisdagen den 30 november 2010, 15.00 18.00 Var? Föreläsningssal B, plan 4, entréplan Isafjordsgatan 39, Kista Institutionen för data- och systemvetenskap, Stockholms universitet

Program & bakgrund Under 2008 gav Myndigheten för samhällsskydd och beredskap (MSB) en grupp forskare vid FOI och Stockholms universitet i uppdrag att undersöka problemet med bristande informationssäkerhet inom den offentliga sektorn. I synnerhet ville MSB få inblick i hur informationssäkerhet bäst kan hanteras, kommuniceras och mätas. I detta öppna seminarium som anordnas av projektet COINS (Controlled Information Security) kommer problemet med att mäta säkerhet att granskas ur både ett teoretiskt och ett praktiskt perspektiv. Kevin Stine från NIST kommer att ge praktiska exempel på hur den amerikanska regeringen för närvarande arbetar med att mäta säkerhet i USA. Reijo Savola från VTT, Finland, presenterar säkerhetsmetriker för mjukvarusystem och diskuterar de viktigaste utmaningarna och målen inom området. Stewart Kowalski presenterar COINS rapport om state of the art inom säkerhetsmetrikområdet. Seminariet kommer att avslutas med en paneldiskussion om vilket vägval Sverige bör ta i säkerhetsmetrikfrågan. Ska vi leda eller följa? Seminariet riktar sig främst till informationssäkerhetsansvariga och säkerhetsintresserade medarbetare vid myndigheter. Seminariet är på engelska. Program: 15.00 15.30 Security Metrics State of the Art Report Docent Stewart Kowalski, Institutionen för data- och systemvetenskap, Stockholms universitet COINS Projektet Öppet Seminarium SecLab Computer Security & Security Informatics Att Mäta Informationssäkerhet 2010-11-30 Department of Computer & System Sciences 15.30 16.20 Security Metrics for Software Systems - objectives and challenges Mr. Reijo Savola, VTT Technical Research Center of Finland SECURITY METRICS FOR SOFTWARE SYSTEMS OBJECTIVES AND CHALLENGES Reijo Savola VTT Technical Research Centre of Finland Stockholm University, 30.11.2010

16.30 17.20 Current Work in Security Performance Measurement in the United States Mr. Kevin Stine, National Institute of Standards and Technology s (NIST) Current Work in Information Security Performance Measurement Security Metrics Workshop Stockholm University 30 November 2010 Kevin Stine National Institute of Standards and Technology (NIST) Information Technology Laboratory (ITL) Computer Security Division (CSD) 1 17.30 18.00 Panel Anmälan: Anmälan görs till Info_Sec_Metrics@fc.dsv.su.se (Seminariet är kostnadsfritt. Avgift på 500 kr debiteras om anmäld uteblir utan att meddela) Hitta till seminariet: Vägbeskrivning till Stockholms universitet i Kista hittar du på: http://dsv.su.se/omdsv/kontakt/hittahit Medverkande: Associate Professor, Stewart Kowalski has over 25 years of experience with security issues in computer and telecommunication systems. He has both extensive industrial and academic experience. He has worked for a number of major telecommunication players including Ericsson, Huawei, TeliaSonera, HP and Digital. The major focus of his research is applied socio-technical analysis to security in ICT systems. He is currently an associate professor at the Department of Computer and Systems Sciences at Stockholm University Mr. Reijo M Savola is a Senior Research Scientist at the VTT Technical Research Centre of Finland, MSc in Electrical Engineering, Univ. of Oulu, Finland in 1992, LicTech in Computer Science, Tampere Univ. of Techn. in 1995. Mr. Savola worked for seven years in the software industry before joining VTT. His research interests include security metrics, modeling of security and bridging the gaps between various aspects of software and security engineering. He has published more than 40 journal and conference articles on security metrics. He is editor-in-chief of the Int. Journal of Advances in Security and is a member of the board of advisors in Software Assurance Forum for Excellence in Code (SAFECode).

Mr. Kevin Stine is an Information Security Specialist in the Security Management and Assurance Group within the National Institute of Standards and Technology s (NIST) Computer Security Division. His primary focus at NIST is on information security in the Health Information Technology arena. He is also involved in the publication of information security standards and guidelines, in outreach and awareness, and in security performance measurement. Prior to joining NIST, Kevin served as the Chief Information Security Officer for the U.S. Food and Drug Administration, and in various information security positions with a number of private sector consulting companies. Arrangör: Projektet COINS Inom ramen för projektet COINS (COntrolled INformation Security) studeras metoder och tekniker för kommunikation och modellering av värden för informationssäkerhet inom organisationer. Projektet genomförs av FOI, Linköping, tillsammans med DSV, SU, och med en myndighet som fallstudie. Projektet är finansierat av MSB.

Email Invitations Vi har gläden att bjuda in dig till: Öppet seminarie om att mäta informationssäkerhet När? Tisdagen den 30 november 2010, 15.00-18.00 Var? Föreläsningssal B, plan 4, entréplan Institutionen för data- och systemvetenskap, Stockholms universitet Isafjordsgatan 39, Kista Program: 15.0 0-15.30 Security Metrics State of the Art Report Docent Stewart Kowalski, Institutionen för data- och systemvetenskap, Stockholms universitet 15.3 0-16.20 16.3 0-17.20 Security Metrics for Software Systems - objectives and challenges Mr. Reijo Savola, VTT Technical Research Center of Finland Current Work in Security Performance Measurement in the United States Mr. Kevin Stine, National Institute of Standards and Technology s (NIST) 17.3 Panel 0-18.00 Anmälan: Anmälan görs till Info_Sec_Metrics@fc.dsv.su.se (Seminariet är kostnadsfritt. Avgift på 500 kr debiteras om anmäld uteblir utan att meddela) Hitta till seminariet: Vägbeskrivning till Stokholms universitet i Kista hittar du på: http://dsv.su.se/omdsv/kontakt/hittahit Mer detaljerat program och presentation av medverkande i bifog fil. Inbjudan får spridas fritt till kollegor som har intresse av området. Välkommen! Forskningsprojektet COINS