Titel: Summary Report COINS project Open Seminar on Metrics Purpose This report gives a brief summary of the open seminar on security metrics that was held at Stockholm University Kista Campus on the 30 th of November. Summary An open invitation was sent out through SIG/Security organization and other channels about 1 month before the seminar. The invitations and announcement and attached as an appendix to this report. There were approximately 70 participants who attended the seminar. About 40% of the participants came from industry, another 40% coming from academia 1, and the remaining 20% were from the public sectors. The format of the seminar was three presentations and a final panel discussion, (power point presentation embedded in this report). The COINS project preliminary report on the State of the Art Report for information security metrics was present first followed by a presentation on software security metrics by the Finish Expert Rejio Savlo. The presentations concluded with a presentation by Kevin, Stine of NIST on their experience of introduce information s security metrics into the United States governmental agency s governance systems. Brief Summary of the Presentations Problems Solutions * measuring security is a non-trivial task * how do you measure what has not happened? * how do you measure attacks that haven't been discovered? * models are needed before measures can be established * organizational maturity and stable processes are prerequisites for measuring systematically * NIST has had good experience after early problems and the metrics standards seem to be filtering in to the government agencies operations Summary Panel Discussion The panel was made of Dag Stöman from CSEC, Professor Erland Johansson from Chalmers, and Kristoffer Lundholm from FOI. The panel was asked to answer the questions if Sweden should develop its own security metrics or copy those from other countries i.e. United States.. * The technical security metrics programs of the United States were highly praised by Dag Stroman and he suggested that Sweden should be following in this direction. * However there was a general consensus in the panel that the US approach, while being a good approach for US, cannot be taken directly and used in Sweden. The organizational structure of the US government administration is far too different. Before both technical and non-technical measures can be transplanted in Sweden more study and research is needed. 1 It should be note that on the same day Professor Erland Johansson and Docent Stewart Kowalski had organized a doctoral seminar at DSV on security metrics.
Appendix 1 (Invitations) http://dsv.su.se/forskning/sec/stewart Öppet seminarium Att mäta informationssäkerhet - Ska vi leda eller följa? Hur mäter man informationssäkerhet? Vad är en lagom nivå på säkerhet? Och vilken väg ska Sverige gå? Det är några av de frågor som ska tacklas på ett öppet seminarium i Kista den 30 november. Tanken är att det här ska bli startskottet för att välja väg i Sverige när det gäller informationssäkerhet i offentlig verksamhet. Bakgrunden är att Myndigheten för samhällsskydd och beredskap (MSB) gett en grupp forskare vid FOI och Stockholms universitet i uppdrag att undersöka problemet med bristande informationssäkerhet inom den offentliga sektorn. MSB ville ha en uppfattning hur bra myndigheterna är på informationssäkerhet idag, berättar docent Stewart Kowalski. De ville därför ha en metod att kunna mäta säkerhet i den offentliga sektorn. I det öppna seminariet kommer problemet med att mäta säkerhet att granskas ur både ett teoretiskt och ett praktiskt perspektiv. Stewart Kowalski presenterar forskningsläget inom säkerhetsmetrikområdet och därefter ges två konkreta exempel på mätmodeller av Kevin Stine från NIST, USA och Reijo Savola från VTT, Finland. Amerikaner förstår inte det där med lagom säkerhet, förklarar Stewart. I Sverige har vi en bättre statsförvaltningsmodell, och vi kan därför ha en annan inställning till säkerhet. Det forskarna intresserar sig för är att kunna förstå, förklara, kontrollera och förutse risker och säkerhet. Det handlar om att få en balans mellan teknik, organisation, uppgift och människor. Det här handlar om systemvetenskap och att modellera system så att vi kan förutsäga risker, förklarar Stewart Kowalski. Om man ändrar i någon del av ett system så förändras hela balansen det är det vi kan visa som forskare. Seminariet kommer att avslutas med en paneldiskussion om vilket vägval Sverige bör ta i säkerhetsmetrikfrågan: Ska vi leda eller följa? Och Stewart Kowalski hoppas att seminariet ska bli startskottet för det vägvalet. Här ges ju både den teoretiska bakgrunden och några konkreta exempel till hur man löst problemet i andra länder. Seminariet riktar sig främst till informationssäkerhetsansvariga och säkerhetsintresserade medarbetare vid myndigheter. När? Tisdagen den 30 november 2010, 15.00 18.00 Var? Föreläsningssal B, plan 4, entréplan Isafjordsgatan 39, Kista Institutionen för data- och systemvetenskap, Stockholms universitet
Program & bakgrund Under 2008 gav Myndigheten för samhällsskydd och beredskap (MSB) en grupp forskare vid FOI och Stockholms universitet i uppdrag att undersöka problemet med bristande informationssäkerhet inom den offentliga sektorn. I synnerhet ville MSB få inblick i hur informationssäkerhet bäst kan hanteras, kommuniceras och mätas. I detta öppna seminarium som anordnas av projektet COINS (Controlled Information Security) kommer problemet med att mäta säkerhet att granskas ur både ett teoretiskt och ett praktiskt perspektiv. Kevin Stine från NIST kommer att ge praktiska exempel på hur den amerikanska regeringen för närvarande arbetar med att mäta säkerhet i USA. Reijo Savola från VTT, Finland, presenterar säkerhetsmetriker för mjukvarusystem och diskuterar de viktigaste utmaningarna och målen inom området. Stewart Kowalski presenterar COINS rapport om state of the art inom säkerhetsmetrikområdet. Seminariet kommer att avslutas med en paneldiskussion om vilket vägval Sverige bör ta i säkerhetsmetrikfrågan. Ska vi leda eller följa? Seminariet riktar sig främst till informationssäkerhetsansvariga och säkerhetsintresserade medarbetare vid myndigheter. Seminariet är på engelska. Program: 15.00 15.30 Security Metrics State of the Art Report Docent Stewart Kowalski, Institutionen för data- och systemvetenskap, Stockholms universitet COINS Projektet Öppet Seminarium SecLab Computer Security & Security Informatics Att Mäta Informationssäkerhet 2010-11-30 Department of Computer & System Sciences 15.30 16.20 Security Metrics for Software Systems - objectives and challenges Mr. Reijo Savola, VTT Technical Research Center of Finland SECURITY METRICS FOR SOFTWARE SYSTEMS OBJECTIVES AND CHALLENGES Reijo Savola VTT Technical Research Centre of Finland Stockholm University, 30.11.2010
16.30 17.20 Current Work in Security Performance Measurement in the United States Mr. Kevin Stine, National Institute of Standards and Technology s (NIST) Current Work in Information Security Performance Measurement Security Metrics Workshop Stockholm University 30 November 2010 Kevin Stine National Institute of Standards and Technology (NIST) Information Technology Laboratory (ITL) Computer Security Division (CSD) 1 17.30 18.00 Panel Anmälan: Anmälan görs till Info_Sec_Metrics@fc.dsv.su.se (Seminariet är kostnadsfritt. Avgift på 500 kr debiteras om anmäld uteblir utan att meddela) Hitta till seminariet: Vägbeskrivning till Stockholms universitet i Kista hittar du på: http://dsv.su.se/omdsv/kontakt/hittahit Medverkande: Associate Professor, Stewart Kowalski has over 25 years of experience with security issues in computer and telecommunication systems. He has both extensive industrial and academic experience. He has worked for a number of major telecommunication players including Ericsson, Huawei, TeliaSonera, HP and Digital. The major focus of his research is applied socio-technical analysis to security in ICT systems. He is currently an associate professor at the Department of Computer and Systems Sciences at Stockholm University Mr. Reijo M Savola is a Senior Research Scientist at the VTT Technical Research Centre of Finland, MSc in Electrical Engineering, Univ. of Oulu, Finland in 1992, LicTech in Computer Science, Tampere Univ. of Techn. in 1995. Mr. Savola worked for seven years in the software industry before joining VTT. His research interests include security metrics, modeling of security and bridging the gaps between various aspects of software and security engineering. He has published more than 40 journal and conference articles on security metrics. He is editor-in-chief of the Int. Journal of Advances in Security and is a member of the board of advisors in Software Assurance Forum for Excellence in Code (SAFECode).
Mr. Kevin Stine is an Information Security Specialist in the Security Management and Assurance Group within the National Institute of Standards and Technology s (NIST) Computer Security Division. His primary focus at NIST is on information security in the Health Information Technology arena. He is also involved in the publication of information security standards and guidelines, in outreach and awareness, and in security performance measurement. Prior to joining NIST, Kevin served as the Chief Information Security Officer for the U.S. Food and Drug Administration, and in various information security positions with a number of private sector consulting companies. Arrangör: Projektet COINS Inom ramen för projektet COINS (COntrolled INformation Security) studeras metoder och tekniker för kommunikation och modellering av värden för informationssäkerhet inom organisationer. Projektet genomförs av FOI, Linköping, tillsammans med DSV, SU, och med en myndighet som fallstudie. Projektet är finansierat av MSB.
Email Invitations Vi har gläden att bjuda in dig till: Öppet seminarie om att mäta informationssäkerhet När? Tisdagen den 30 november 2010, 15.00-18.00 Var? Föreläsningssal B, plan 4, entréplan Institutionen för data- och systemvetenskap, Stockholms universitet Isafjordsgatan 39, Kista Program: 15.0 0-15.30 Security Metrics State of the Art Report Docent Stewart Kowalski, Institutionen för data- och systemvetenskap, Stockholms universitet 15.3 0-16.20 16.3 0-17.20 Security Metrics for Software Systems - objectives and challenges Mr. Reijo Savola, VTT Technical Research Center of Finland Current Work in Security Performance Measurement in the United States Mr. Kevin Stine, National Institute of Standards and Technology s (NIST) 17.3 Panel 0-18.00 Anmälan: Anmälan görs till Info_Sec_Metrics@fc.dsv.su.se (Seminariet är kostnadsfritt. Avgift på 500 kr debiteras om anmäld uteblir utan att meddela) Hitta till seminariet: Vägbeskrivning till Stokholms universitet i Kista hittar du på: http://dsv.su.se/omdsv/kontakt/hittahit Mer detaljerat program och presentation av medverkande i bifog fil. Inbjudan får spridas fritt till kollegor som har intresse av området. Välkommen! Forskningsprojektet COINS