Acta Univ. Bohem. Merid. 2009, 12(3):93-98 | DOI: 10.32725/acta.2009.044466
The proposal of software development and acquisition metrics based on ISO/IEC 27001 standard
- University of South Bohemia in České Budějovice
Příspěvek stručně popisuje zavádění systémů řízení bezpečnosti informací (ISMS) dle ISO 27001 se zaměřením na metriky v oblasti vývoje a pořizování software. Vzhledem k tomu, že při zavádění ISMS se jedná o nastavení řídicích procesů, je důležitou otázkou stanovení bezpečnostních metrik pro měření účinnosti a efektivnosti procesů a přijatých opatření. Příspěvek se zaměřil na metriky pro základní oddíl "Nákup, vývoj a údržba informačního systému" (ISO/IEC 27001, ISO/IEC 27002) a zejména na oblast "Bezpečnost procesů vývoje a podpory". V této oblasti se, podle zkušeností autorů, většina firem soustředí spíše na opatření z ostatních oblastí (tedy z oblastí "Bezpečnostní požadavky systémů", "Správné zpracování v aplikacích", "Kryptografická opatření" a "Bezpečnost systémových souborů"). Návrh metrik, které by byly smysluplné a umožnily kontrolovat a řídit procesy implementované v rámci systému řízení bezpečnosti informací, není jednoduchý. Cílem příspěvku na základě výzkumů a zkušeností s návrhem ISMS pro konkrétní organizace je ukázat, že je nutné definovat vhodné metriky pro všechny procesy (opatření) odpovídající všem oblastem oddílu ISO/IEC 27001 (ISO/IEC 27002) "Nákup, vývoj a údržba informačního systému", a dále ukázat, jak je možné tyto metriky konstruovat.
Keywords: Bezpečnostní metriky, bezpečnost informací, ISO 27001, ISMS, vývoj software
The implementation and operation of efficient information security management systems (ISMS) according to the ISO/IEC 27001 standard involves a number of steps, among others implementation and operation of appropriate processes, policies and objectives. The crucial issue is the correct definition of the metrics for measurement of the effectiveness of established processes and established controls. The paper describes some practical metrics for ISMS processes review but primarily deals with the metrics for the security category "Security in development and support processes" from the security control clause "Information systems acquisition, development and maintenance processes" (ISO/IEC 27001, ISO/IEC 27002). Judged by the authors' research and experience, organizations often concentrate mainly on other security categories (Correct processing in application, Cryptographic controls, Security of system files) from the security control clause "Information systems acquisition, development and maintenance processes" (ISO/IEC 27001, ISO/IEC 27002). The aim of this paper is to refocus on the necessity to define appropriate metrics for all processes (controls) corresponding to the "Information systems acquisition, development and maintenance" security clause.
Keywords: Security metrics, information security, ISO 27001, ISMS, software development
Published: September 26, 2012 Show citation
References
- Český normalizační institut. 2004 [ref. 2009-03-20]. Available on: http://domino.cni.cz/NP/NotesPortalCNI.nsf/key/hlavni_stranka?Open.
- Are you ready for a BS ISO/IEC 27001 ISMS audit?. British Standard Institution Publications. 2008 [ref. 2009-03-20]. Available on: http://www.standardsuk.com/shop/products_list.php?keyword=BIP%200072:2005&searchtype=quicksearch&textsearchtype=BSi.
- Howard, M., Pincus, J., Wing, J. Measuring Relative Attak Surfaces. 2003 [ref. 2009-03-20]. Available on: http://www.cs.cmu.edu/~wing/publications/Howard-Wing03.pdf
- Manadhata, K., Wing, J. Measuring a System's Attack Surface. 2004 [ref. 2009-03-20]. Available on: http://reports-archive.adm.cs.cmu.edu/anon/2004/CMU-CS-04-102.pdf.
Go to original source...
This is an open access article distributed under the terms of the Creative Commons Attribution 4.0 International License (CC BY 4.0), which permits use, distribution, and reproduction in any medium, provided the original publication is properly cited. No use, distribution or reproduction is permitted which does not comply with these terms.