Tietoturvallisuuden hallintajärjestelmä: ISO/IEC 27000

OPPILAITOSPORTAALI
Informaatioteknologia. Turvallisuus.
Tietoturvallisuuden hallintajärjestelmät.
ISO/IEC 27000 -standardiperhe
Kalvosarja oppilaitoksille
Suomen Standardisoimisliitto SFS ry
2015
5.10.2015| 2
Tervetuloa luentoaineiston käyttäjäksi!
Aineisto on suunnattu ammattikorkeakoulujen ja yliopistojen
opettajille ja opiskelijoille. Kalvosarja esittelee
tietoturvallisuuden hallintajärjestelmästandardiperheen
ISO/IEC 27000, sen käyttömahdollisuuksia ja yhteyksiä
muihin alan keskeisiin julkaisuihin. Tavoitteena on tukea
standardiperheen sisällyttämistä tietoturvallisuuden
hallintajärjestelmiä käsitteleviin opetussuunnitelmiin ja
kurssien sisältöön.
Tässä kalvosarjassa ei käsitellä kaikkia perheen standardeja
yksityiskohtaisesti, vaan yleisen johdanto-osan jälkeen
esitellään joidenkin standardien keskeiset sisällöt ja
pääkohdat
Kalvosarja on tuotettu SFS:n projektirahoituksella.
27.8.2012 | 3
Opetuskokonaisuus
• Opetuskokonaisuus on kaksi 45 min oppituntia
• Kalvot soveltuvat 27K-standardisarjan esittelyyn
ainakin tietotekniikkaan, tietojenkäsittelytieteisiin,
tietoturvaan, johtamiseen ja standardisointiin liittyvillä
syventävillä kursseilla yliopistoissa ja
ammattikorkeakouluissa.
5.10.2015 | 4
Aineiston käyttö ja tekijänoikeudet
• Tämän luentoaineiston tekijänoikeudet omistaa
Suomen Standardisoimisliitto SFS ry.
• Esitystä saa vapaasti käyttää opetustarkoituksiin ja
sitä saa tarvittaessa muokata. Aineistoa lainattaessa
lähde tulee mainita.
• Aineiston käyttö kaupallisiin tarkoituksiin on kielletty.
• Tämä materiaali on päivitetty viimeksi 5.10.2015.
5.10.2015 | 5
Sisältö
• Opetuskokonaisuus
• Turvallisuuden kokonaisuus
• Tietoturvallisuuden hallinta ja siihen liittyvät termit
– Tietoturvallisuuden hallintajärjestelmä
• ISO/IEC 27000 -standardiperhe
– Historia, standardit ja viitekehys
• Tietoturvauhkat
• Standardit ja lainsäädäntö
• Lisätietoa ISO/IEC 27001- ja 27005 -standardeista
• Kokemuksia ja hyötyjä standardien käytöstä
5.10.2015 | 6
Turvallisuuden kokonaisuus
5.10.2015 | 7
Tietoturvallisuuden hallintajärjestelmän
tarve
• Kaikentyyppiset ja -kokoiset organisaatiot
– keräävät, käsittelevät, säilyttävät ja välittävät suuria
määriä informaatiota,
– pitävät informaatiota sekä siihen liittyviä prosesseja,
järjestelmiä, verkkoja ja ihmisiä tärkeinä turvattavina
kohteina, joiden avulla organisaation tavoitteet
saavutetaan,
– kohtaavat monia erilaisia riskejä, jotka voivat vaikuttaa
turvattavien kohteiden toimintaan, ja
– muokkaavat riskejä toteuttamalla
tietoturvamekanismeja.
5.10.2015 | 8
Tietoturvallisuuden hallintajärjestelmä
• on osa yleistä hallintajärjestelmää, joka
liiketoimintariskien arviointiin perustuen luodaan ja
toteutetaan.
• käytetään, valvotaan, katselmoidaan, ylläpidetään ja
parannetaan tavoitteena parempi tietoturvallisuus.
• helpottaa yritysjohdon tietoturvatyön organisointia.
• tulisi kattaa kaikki tietoturvan johtamisessa,
hallinnoimisessa ja valvonnassa tarvittavat menettelyt
ja toimenpiteet.
• ei ole yksittäinen dokumentti, vaan moniosainen
prosessi, jota on kehitettävä jatkuvasti.
• osia ovat mm. riskianalyysi, tietoturvapolitiikka,
tietoturva-, jatkuvuus- ja toipumissuunnitelmat.
5.10.2015 | 9
27000-standardiperhe
• ISO/IEC 27000 viittaa kasvavaan ISO/IECstandardiperheeseen, jonka yhteinen otsikko on
"Informaatioteknologia. Turvallisuus.
Tietoturvallisuuden hallintajärjestelmät".
• Tarjoaa suosituksia tietoturvallisuuden hallintaan,
riskeihin ja kontrollointiin tietoturvallisuuden
hallintajärjestelmissä.
• Myös muut 27-alkuiset tietoturvallisuuteen liittyvät
standardit lasketaan toisinaan perheeseen kuuluvaksi.
5.10.2015 | 10
27000-standardiperheen historia ja
kehittyminen
• Englannin aloite
– 1992: Code of Practice for Information Security
Management (hallituksen opaste)
– 1995: Muutetaan BSI standardiksi BS 7799
– 1999: Sertifiointi alkaa täysimääräisenä
• 2000: ISO/IEC 17799  ISO/IEC 27002:2005
• 2002: BS7799-2 Information Security Management
Specification  ISO/IEC 27001:2005
• 2013: 27001 ja 27002:n päivitetyt versiot
• 2014: 27000 päivitetty versio
5.10.2015 | 11
27000-standardiperhe…
• Informaatioteknologia – Turvallisuustekniikat Tietoturvallisuuden hallintajärjestelmät
• 27000:2015 - Yleiskatsaus ja sanasto - Overview and
vocabulary
• 27001:2013 - Vaatimukset - Requirements
• 27002:2013 - Tietoturvallisuuden hallintakeinojen
menettelyohjeet - Code of practice for information
security controls
• 27003:2010 - Tietoturvallisuuden hallintajärjestelmän
toteuttamisohjeita - Information security management
system implementation guidance
• 27004:2009 - Mittaaminen - Measurement
• 27005:2011 - Tietoturvariskien hallinta - Information
security risk management
5.10.2015 | 12
Suomennos saatavilla
…27000-standardiperhe…
• 27006:2011 - Requirements for bodies providing audit
and certification of information security management
systems
• 27007:2011 - Tietoturvallisuuden hallintajärjestelmien
auditointiohjeet - Guidelines for information security
management systems auditing
• 27008:2011 - Guidelines for auditors on information
security controls
5.10.2015 | 13
…27000-standardiperhe…
• 27009 Sector-specific application of ISO/IEC 27001 Requirements
• 27010:2012 - Information security management for
inter-sector and inter-organizational communications
• 27011:2008 - Information security management
guidelines for telecommunications organizations
based on ISO/IEC 27002
• 27013:2012 - Guidance on the integrated
implementation of ISO/IEC 27001 and ISO/IEC 20000-1
• 27014:2013 - Governance of information security
• 27015:2012 - Information security management
guidelines for financial services
• 27016:2014 - Organizational economics
5.10.2015 | 14
…27000-standardiperhe…
• 27018:2014 - Menettelyohjeet henkilötietojen
suojaamiseen henkilötietoja käsittelevissä julkisissa
pilvipalveluissa - Code of practice for protection of
personally identifiable information (PII) in public
clouds acting as PII processors
• 27019:2013 Information security management
guidelines based on ISO/IEC 27002 for process control
systems specific to the energy utility industry
• 27023:2015 Mapping the revised editions of ISO/IEC
27001 and ISO/IEC 27002
• 27031:2011 - Guidelines for information and
communication technology readiness for business
continuity
5.10.2015 | 15
…27000-standardiperhe…
• 27032:2012 - Guidelines for cybersecurity
• 27033 - Network security
– 27033-1:2015 Part 1: Overview and concepts
– 27033-2:2012 Part 2: Guidelines for the design and
implementation of network security
– 27033-3:2010 Part 3: Reference networking scenarios - Threats, design techniques and control issues
– 27033-4:2014 Part 4: Securing communications
between networks using security gateways
– 27033-5:2013 Part 5: Securing communications across
networks using Virtual Private Networks (VPNs)
– 27033-6 Part 6: Securing wireless IP network access
5.10.2015 | 16
…27000-standardiperhe…
• 27034 – Application security
–
–
–
–
–
27034-1:2011 Part 1: Overview and concepts
27034-2:2015 Part 2: Organization normative framework
27034-3 Part 3: Application security management process
27034-4 Part 4: Application security validation
27034-5 Part 5: Protocols and application security controls
data structure
– 27034-5-1 Part 5-1: Protocols and application security
controls data structure -- XML schemas
– 27034-6 Part 6: Security guidance for specific applications
– 27034-7 Part 7: Application security assurance prediction
5.10.2015 | 17
…27000-standardiperhe…
• 27035:2011 - Information security incident
management
– 27035-1 Part 1: Principles of incident management
– 27035-2 Part 2: Guidelines to plan and prepare for
incident response
– 27035-3 Part 3: Guidelines for CSIRT operations
• 27036 Information security for supplier relationships
– 27036-1:2014 Part 1: Overview and concepts
– 27036-2:2014 Part 2: Requirements
– 27036-3:2013 Part 3: Guidelines for information and
communication technology supply chain security
– 27036-4 Part 4: Guidelines for security of Cloud
services
5.10.2015 | 18
…27000-standardiperhe…
• 27037:2012 - Guidelines for identification, collection,
acquisition and preservation of digital evidence
• 27038:2014 - Specification for digital redaction
• 27039:2015 - Selection, deployment and operations of
intrusion detection systems (IDPS)
• 27040:2015 - Storage security
• 27041:2015 - Guidance on assuring suitability and
adequacy of incident investigative method
• 27042:2015 - Guidelines for the analysis and
interpretation of digital evidence
• 27043:2015 - Incident investigation principles and
processes
• 27799:2008 - Health Informatics: Information security
management in health using ISO/IEC 27002
5.10.2015 | 19
…27000-standardiperhe
• 27044 - Guidelines for Security Information and Event
Management (SIEM)
• 27050-1 - Electronic discovery - Part 1: Overview and
concepts
• 27799:2008 - Health Informatics: Information security
management in health using ISO/IEC 27002
5.10.2015 | 20
27000 standardien luokittelu
27000
Yleiskatsaus ja sanasto
Terminologia
Yleiset
vaatimukset
Yleiset
ohjeet
Sektorikohtaiset
ohjeet
Hallintakeinojen
ohjeet
27001
Vaatimukset
27006
Sertifiointielinten vaatimukset
27002
Menettelyohjeet
27003
Toteuttamisohjeet
27005
Riskienhallinta
27007
Auditointiohjeet
27010
Viestintä
27011
Tietoliikenne
27018
Henkilötiedot pilvipalveluissa
2703X
2703X
2703X
27004
Mittaukset
TR 27008
27014
27013
TR 27016
TR 27015
Rahoitus
27017
Pilvipalvelut
TR 27019
Energia
27799
Terveydenhuolto
2704X
2703X
2703X
12.1.2017 | 21
27000 standardien väliset suhteet
27000
Yleiskatsaus ja sanasto
Terminologia
Yleiset
vaatimukset
Yleiset
ohjeet
27001
Vaatimukset
27002
Menettelyohjeet
27004
Mittaukset
Sektorikohtaiset
ohjeet
Hallintakeinojen
ohjeet
27006
Sertifiointielinten vaatimukset
27005
Riskienhallinta
27003
Toteuttamisohjeet
27007
Auditointiohjeet
Selite
27011
Tietoliikenne
27799
Terveydenhuolto
27034
Sovelluskehitys
Velvoittava
standardi
(vaatimukset)
Opastava
standardi
(ohjeet)
12.1.2017 | 22
Standardit ja lainsäädäntö
•
•
•
•
Standardisoimislaki
Sertifiointilaitoksia koskeva lainsäädäntö
Yhteissääntely
Kansallinen turvallisuusauditointikriteeristö (KATAKRI)
– Päätavoitteena yhtenäistää viranomaistoimintoja silloin,
kun viranomainen toteuttaa kohteen turvallisuustason
auditoinnin yrityksessä tai muussa yhteisössä.
– Sisältää paljon viittauksia ISO/IEC 27000 standardeihin
• Valtionhallinnon tietoturvallisuuden johtoryhmä
(VAHTI)
– Tavoitteena on parantaa valtionhallinnon toimintoja
kehittämällä tietoturvallisuutta sekä edistää
tietoturvallisuuden saattamista kiinteäksi osaksi
hallinnon toimintaa, johtamista ja tulosohjausta.
5.10.2015 | 23
ISO/IEC 27000:2014
”Yleiskatsaus ja sanasto”
• Sisältää ISO/IEC 27000 -perheen
– yleiskatsauksen ja esittelyn,
– käyttämien termien määritelmät ja niiden luokitukset.
• Määrittelee yleiset vaatimukset
– tietoturvallisuuden hallintajärjestelmän luomiselle,
– toteuttamiselle,
– käyttämisellä,
– valvonnalle,
– katselmoinnille,
– ylläpidolle ja
– parantamiselle.
5.10.2015 | 24
Keskeisiä käsitteitä 27000 1/2
•
•
•
•
•
•
•
•
•
•
•
•
•
Pääsynvalvonta
Tilivelvollisuus
Turvattava kohde
Hyökkäys
Todennus
Aitous
Saatavuus
Toiminnan jatkuvuus
Luottamuksellisuus
Turvamekanismi
Valvontatavoite
Korjaava toimenpide
Vaikuttavuus
•
•
•
•
•
•
•
•
•
Tehokkuus
Tapahtuma
Ohje
(Haitta)vaikutus
Tieto-omaisuus
Tietoturvallisuus
Tietoturvatapahtuma
Tietoturvahäiriö
Tietoturvahäiriöiden
hallinta
• Tietoturvallisuuden
hallintajärjestelmä
(ISMS)
5.10.2015 | 25
Keskeisiä käsitteitä 27000 2/2
•
•
•
•
•
•
•
•
•
•
•
•
Tietoturvariski
Eheys
Johtamisjärjestelmä
Kiistämättömyys
Politiikka
Ehkäisevä toimenpide
Menettely
Prosessi
Tallenne
Luotettavuus
Riski
Riskin hyväksyntä
•
•
•
•
•
•
•
•
•
•
•
Riskianalyysi
Riskien arviointi
Riskeistä viestintä
Riskikriteerit
Riskin suuruuden
arviointi
Riskien arvottaminen
Riskien hallinta
Riskien käsittely
Soveltamissuunnitelma
(SoA)
Uhka
Haavoittuvuus
5.10.2015 | 26
ISO Online Browsing Platform
ISO:n käyttämien määritelmien hakeminen
https://www.iso.org/obp/ui
12.1.2017 | 27
Tietoturvallisuusuhkia
• Haittaohjelmat
• Verkkohyökkäykset
• Verkkosovellus- ja
injektiohyökkäykset
• Bottiverkot
• Palvelunestohyökkäykset
• Roskaposti
• Tietojen kalastelu
• Exploit kit –
hyökkäysohjelmistot
• Tietomurrot
Lähte: ENISA Threat Landscape 2014
• Fyysinen vanhinko,
varkaus tai häviäminen
• Sisäiset uhat
• Tietovuodot
• Identiteettivarkaudet ja –
petokset
• Kybertiedustelu
• Kiristysohjelmistot
(Ransomware,
Rogueware, Scareware)
5.10.2015 | 28
ISO/IEC 27001 ”Vaatimukset”
• Tavoitteena linjata tietoturvallisuuden hallinta
toiminnan määräystenmukaisuuden ja riskien
vähennystavoitteiden kanssa
• Tarkoituksena suojella luottamuksellisuutta, eheyttä ja
saatavuutta (CIA-malli)
• On hallinnointistandardi eikä tekninen standardi
– Ei kuvaa teknisesti ISMS-järjestelmien yksityiskohtia
• Keskittyy tietotekniikan lisäksi myös
liiketoimintaprosesseihin
• Keskittyy löytämään, hallinnoimaan ja vähentämään
tärkeään tietoon liittyviä riskejä
– Tieto voi tai voi olla liittymättä tietotekniikkaan tai voi tai
voi olla olematta digitaalisessa muodossa
5.10.2015 | 29
27001: Termit ja määritelmät
•
•
•
•
•
•
•
•
Suojattava kohde
Käytettävyys
Luottamuksellisuus
Tietoturvallisuus
Tietoturvatapahtuma
Tietoturvahäiriö
Eheys
Jäännösriski
•
•
•
•
Riskin hyväksyntä
Riskianalyysi
Riskien arviointi
Riskien vaikutuksen
arviointi
• Riskien hallinta
• Riskien käsittely
• Soveltamissuunnitelma
(SoA)
5.10.2015 | 30
27001: Vaiheet
• Tietoturvallisuuden hallintajärjestelmän luominen ja
johtaminen
– Luominen
– Toteuttaminen ja käyttäminen
– Valvominen ja katselmointi
– Ylläpitäminen ja parantaminen
PDCA-malli
(Plan-Do-CheckAct) oli mukana
versiossa 2005,
mutta on poistettu
2013 versiosta
5.10.2015 | 31
27001 sisältö (1/2)
• Organisaatio ja toimintaympäristö
– Hallintaympäristön kokonaisuuden ymmärtäminen
– Sidosryhmien tarpeiden ymmärtäminen
– Hallintajärjestelmän sovellusalan määrittämien
• Johtaminen
– Johtajuus ja johdon sitoutuminen
– Tietoturvapolitiikka
– Roolit, velvollisuudet ja oikeudet
• Suunnittelu
– Riskien ja mahdollisuuksien käsittely
– Tietoturvatavoitteet ja tarvittavien toimien suunnittelu
– Suunnittelun ja päätösten dokumentointi
12.1.2017 | 32
27001 sisältö (2/2)
• Tukitoiminnot
– Resurssit
– Pätevyys
– Tietoisuus
– Viestintä
– Dokumentointi
• Toiminta
– Suunnittelu ja ohjaus
– Tietoturvariskien
arviointi ja käsittely
• Suorituskyvyn arviointi
– Seuranta, mittaus,
analysointi ja arviointi
– Sisäinen auditointi
– Johdon katselmus
• Parantaminen
– Poikkeamat ja
korjaavat toimenpiteet
– Jatkuva parantaminen
12.1.2017 | 33
27001 vaatii, että hallinto
• tarkastelee organisaation tietoturvallisuusriskejä
järjestelmällisesti, ottaen huomioon uhkat,
haavoittuvuudet ja vaikutukset
• suunnittelee ja toteuttaa yhdenmukaiset ja kattavat
tietoturvallisuuskontrollit ja riskien käsittelyohjeet
(suite), jotta riskit, joita on mahdoton hyväksyä,
saadaan käsiteltyä (address), ja
• omaksuu ylikaartuvan (overarching) hallintoprosessin
varmistaakseen tietoturvallisuuskontrollien
jatkuvuuden tulevaisuudessa.
5.10.2015 | 34
27001:n käyttö
• Käytetään yhdessä ISO/IEC 27002:n kanssa
– ISO/IEC 27001 liite A sisältää listan hallintatavoitteista
ja -keinoista
– ISO/IEC 27002 sisältää tarkemmat kuvaukset
hallintakeinoista
• 27001 antaa vaatimuksia tietoturvallisuuden
hallintajärjestelmän
– sisäiseen auditointiin,
– johdon katselmointiin, ja
– parantamiseen
27.8.2012 | 35
Hallintatavoitteiden jaottelu
• 14 pääkohtaa
– Tietoturvapolitiikat
– Tietoturvallisuuden
organisointi
– Henkilöstöturvallisuus
– Suojattavan
omaisuuden hallinta
– Pääsynhallinta
– Salaus
– Fyysinen turvallisuus ja
ympäristön turvallisuus
– Käyttöturvallisuus
– Viestintäturvallisuus
– Järjestelmien hankkiminen,
kehittäminen ja ylläpito
– Suhteet toimittajiin
– Tietoturvahäiriöiden hallinta
– Liiketoiminnan jatkuvuuden
hallintaan liittyviä
tietoturvanäkökohtia
– Vaatimustenmukaisuus
12.1.2017 | 36
Hallintakeinot
• Yhteensä 35 pääturvallisuus-luokkaa pääkohtien alla
– Hallintatavoite
– Yksi tai useampi hallintakeinon tavoitteen
saavuttamiseksi
• Yhteensä 114 hallintakeinoa
– Kuvaus
– Toteuttamisohjeet
– Lisätiedot
• Hallintakeinoista käytetään englanninkielistä nimeä
(security) control, joka toisinaan suomennetaan
(turvallisuus-)kontrolli tai vastatoimenpide
12.1.2017 | 37
Hallintatavoitteet ja –keinot - esimerkki
• Esimerkki: A.9 Pääsynhallinta
– A.9.1 Pääsynhallinnan liiketoiminnalliset
vaatimukset
• Tavoite: hallita pääsyä tietoon ja
tietojenkäsittelypalveluihin.
• A.9.1.1 Pääsynhallintapolitiikka
– Pääsynhallinnan periaatteet on laadittava,
dokumentoitava ja katselmoitava
liiketoiminnallisten vaatimusten ja
tietoturvavaatimusten perusteella.
• A.9.1.2 Pääsy verkkoihin ja verkkopalveluihin
– Käyttäjille on sallittava pääsy ainoastaan niihin
verkkoihin ja verkkopalveluihin, joihin heille on
nimenomaisesti myönnetty pääsyoikeudet.
5.10.2015 | 38
Hallintatavoitteet ja –keinot - esimerkki
• A.9.2 Pääsyoikeuksien hallinta
– Tavoite: varmistaa valtuutettujen käyttäjien pääsy
järjestelmiin ja palveluihin sekä estää luvaton pääsy
niihin.
– A.9.2.1 Käyttäjien rekisteröinti ja poistaminen
• Hallintakeino: On toteutettava muodollinen
käyttäjien rekisteröinti- ja poistamisprosessi, jonka
avulla pääsyoikeudet jaetaan.
– A.9.2.2 Pääsyoikeuksien jakaminen
• Hallintakeino: On toteutettava muodollinen
pääsyoikeuksien jakoprosessi, jonka avulla kyetään
antamaan tai kumoamaan pääsyoikeus minkä
tahansa tyyppiseltä käyttäjältä mihin tahansa
järjestelmään tai palveluun.
5.10.2015 | 39
– …
Hallintakeinoja…
Hallinnollisia
• Tietoturvapolitiikat
• Roolit ja vastuut
• Yhteydet viranomaisiin
• Tehtävien eriyttäminen
• Tietoturvallisuus
projektienhallinnassa
Henkilöstöturvallisuus
• Taustatarkistus
• Työsopimuksen ehdot
• Johdon vastuut
• Tietoturvatietoisuus, opastus ja -koulutus
12.1.2017 | 40
…Hallintakeinoja…
Tiedonhallinta
• Tiedon luokittelu
• Tiedon merkintä
• Suojattavan omaisuuden
käsittely
• Siirrettävien
tietovälineiden hallinta
• Tietovälineiden
hävittäminen
• Fyysisten tietovälineiden
siirtäminen
Pääsynhallinta
• Pääsynhallintapolitiikka
• Pääsy verkkoihin ja
verkkopalveluihin
• Käyttäjien rekisteröinti
ja poistaminen
• Käyttäjien
tunnistautumistietojen
hallinta
• Pääsyoikeuksien
uudelleenarviointi
12.1.2017 | 41
…Hallintakeinoja..
Fyysinen turvallisuus
• Fyysinen turva-alue
• Kulunvalvonta
• Toimistojen, tilojen ja
laitteistojen suojaus
• Suojaus ulkoisia ja
ympäristön aiheuttamia
uhkia vastaan
Viestintäturvallisuus
• Verkon hallinta
• Verkkopalvelujen
turvaaminen
• Tiedonsiirtopolitiikat ja
–menettelyt
• Sähköinen viestintä
• Salassapito- ja
vaitiolositoumukset
12.1.2017 | 42
…Hallintakeinoja…
Järjestelmien hankkiminen,
kehittäminen ja ylläpito
• Tietoturvavaatimusten
analysointi ja määrittely
• Turvallisen
kehittämisen politiikka
• Turvallisen järjestelmäsuunnittelun periaatteet
• Turvallinen
kehitysympäristö
• Järjestelmän
turvallisuustestaus
Tietoturvahäiriöiden
hallinta
• Vastuut ja menettelyt
• Tietoturvatapahtumien
raportointi
• Tietoturvaheikkouksien
raportointi
• Tietoturvahäiriöihin
vastaaminen
• Tietoturvahäiriöistä
oppiminen
12.1.2017 | 43
…Hallintakeinoja
Jatkuvuuden hallinta
• Tietoturvallisuuden
jatkuvuuden
suunnittelu
• Tietoturvallisuuden
jatkuvuuden
todentaminen,
katselmointi ja arviointi
• Tietojenkäsittelypalvelujen saatavuus
Vaatimustenmukaisuus
• Sovellettavien lakisääteisten ja sopimuksellisten vaatimusten
yksilöiminen
• Immateriaalioikeudet
• Tietosuoja ja henkilötietojen suojaaminen
• Tietoturvallisuuden
riippumaton
katselmointi
12.1.2017 | 44
…Hallintakeinoja..
Käyttöturvallisuus
• Dokumentoidut
toimintaohjeet
• Muutoksenhallinta
• Kehitys-, testaus- ja
tuotanto ympäristöjen
erottaminen
• Haittaohjelmilta
suojautuminen
• Tietojen
varmuuskopiointi
• Tapahtumien
kirjaaminen
• Lokitietojen
suojaaminen
• Teknisten
haavoittuvuuksien
hallinta
• Ohjelmien asentamisen
rajoittaminen
12.1.2017 | 45
ISO/IEC 27005:2011:
”Tietoturvariskien hallinta”
• Soveltuu käytettäväksi organisaatioissa, jotka haluavat
hallinnoida riskejä, jotka voivat vaarantaa yrityksen
tietoturvallisuuden.
• Tukee erityisesti ISO/IEC 27001 –standardin mukaisen
tietoturvallisuuden hallintajärjestelmän vaatimuksia.
• Ei esitä tai suosittele mitään tiettyä tietoturvan riskien
hallinnan menettelytapaa.
• Sisältää jäsentyneen, järjestelmällisen ja tiukan riskien
analysointiprosessin, jonka 5 askelman avulla voidaan
tuottaa riskien käsittelysuunnitelma
• Suunnattu lähinnä organisaation tietoturvariskien
hallinnasta vastaaville johtajille ja henkilöstölle.
• Vaatii 27001 ja 27002 –standardit viiteasiakirjoiksi.
5.10.2015 | 46
27005: Riskien hallinnan termit
• Vaikuttavuus,
vaikutusarvo
– Välitön vaikutus
– Myöhempi vaikutus
• Tietoturvariski
• Riskin välttäminen
• Riskeistä viestintä
• Riskin suuruuden
arviointi
•
•
•
•
Riskin tunnistus
Riskin pienentäminen
Riskin säilyttäminen
Riskin siirto
5.10.2015 | 47
27005:n sisältö
• kuvaus tietoturvariskien hallintaprosessista
(Information Security Risk Management, ISRM).
– riskien arviointi (Information Security Risk Assessment,
ISRA)
– riskien käsittely (risk treatment)
– riskien hyväksyntä (acceptance)
– riskeistä viestiminen (communication)
– Riskien tarkkailu (monitoring) ja katselmointi (review).
27.8.2012 | 48
27005: Tietoturvariskien hallintaprosessi
12.1.2017 | 49
5.10.2015 | 49
27005: Riskien käsittelytoiminta
5.10.2015 | 50
27005: Riskien käsittely
• Käsittelyvaihtoehdot
– Riskien pienentäminen
– Riskin säilyttäminen
– Riskin välttäminen
– Riskin siirto
• Käsittelyvaihtoehtojen valintamenetelmät
– Kustannuksien ja hyötyjen suhde
– Riskien haitalliset seuraukset
– Harvinaiset mutta vakavat riskit
5.10.2015 | 51
Auditointi
Ulkoinen auditointi
Sisäinen auditointi
Toimittajan auditointi
Kolmannen osapuolen
suorittama auditointi
Lakien tai viranomaisten
määräämiin tarkoituksiin tai
Kutsutaan toisinaan
ensimmäisen osapuolen
auditoinniksi
Kutsutaan toisinaan toisen
vastaaviin tarkoituksiin
osapuolen auditoinniksi
Sertifiointiin (ks. myös
standardin ISO/IEC
17021:2011 vaatimukset)
5.10.2015 | 52
Esimerkki auditointiprosessista
• Vaihe 1. Tietoturvallisuuden hallintajärjestelmän
alustava ja epävirallinen katselmointi
– Keskeisten asiakirjojen olemassaolon ja kattavuuden
tarkistamiseen (organisaation tietoturvapolitiikka,
soveltamissuunnitelma, riskien käsittelysuunnitelma).
• Vaihe 2. Yksityiskohtaisempi ja muodollisempi
audiointi
– Tietoturvallisuuden hallintajärjestelmän testaus ISO/IEC
27001:n vaatimuksia vasten, sekä todisteiden keräys
siitä, että johtamisjärjestelmä on suunniteltu ja
toteutettu oikein ja on käytössä. Läpipääsy antaa
sertifioinnin.
• Vaihe 3. jatkokatselmoinnit ja auditoinnit
– Säännöllinen uudelleenarviointi.
5.10.2015 | 53
ISO 27001 sertifioidut organisaatiot (1/2)
12.1.2017 | 54
ISO 27001 sertifioidut organisaatiot (2/2)
Sertifioidut organisaatiot Suomessa
35
30
25
27
28
2011
2012
32
32
2013
2014
23
20
18
15
14
13
2007
2008
10
5
1
0
2006
2009
2010
12.1.2017 | 55
Standardin soveltaminen ja kokemuksia*
• Johdon todellinen sitouttaminen voi olla hankalaa
– Johto voi lähteä innokkaana mukaan, koska heidän
mielestään tietoturva on tärkeää, mutta siinä vaiheessa
kun heidän pitää muuttaa omaa käytöstään, kohdataan
hankaluuksia
– Johto pitää pystyä sitouttamaan kunnolla ennen kuin
standardeja aletaan viedä alemmille portaille
• Kaikkien hallintotasojen kouluttaminen ja
sitouttaminen on tärkeää
• Yritys voi olla ennakoiva tietoturvan suhteen.
• Suurilta ja kalliilta yllätyksiltä voidaan välttyä.
• Jotkut 27K:n asiat eivät ole välttämättä
kustannustehokkaita erityisesti pienille yrityksille.
* Lea Viljanen
5.10.2015 | 56
Standardin soveltaminen ja kokemuksia
• Lopputöitä:
– Ilmari Luoma, ”Tietoturvallisuusauditointi ISO 27000viitekehyksessä”, 2015
– Kirsi Kautola, ”Tietoturva- ja uhkakartoitus”, 2013
– Mikko Nisonen, ”Tietoturvallisuuden hallintajärjestelmä
JYVSECTEC –hankkeeseen”, 2012
– Markus Kuivalainen, ”Valmistautuminen ISO/IEC 27001
standardin sertifiointiin”, 2011
– Matti Laakso, ”PK-yrityksen tietoturvasuunnitelman
laatiminen”, 2010
– Simo Kemppainen, ”Tietoturvallisuuden sertifiointi
ISO/IEC 27001 -tietoturvallisuusstandardilla”, 2009
5.10.2015 | 57
Tietoturvallisuusstandardin käytön
hyödyt
• ISO/IEC 27001:
– Parempi kuva organisaatiossa itsestään.
• Tietoturvaan liittyvän tiedon määrä ja ymmärrys sen
tärkeydestä lisääntyy.
– Vältetyt riskit vähentävät kuluja.
– Organisaation toiminnot sujuvat sulavammin, koska
vastuut ja prosessit on selvästi määritelty.
– Tietoturvavalveutuneisuus paranee.
– Yhteiset termit ja käytännöt helpottavat kommunikointia
muiden organisaatioiden kanssa.
– Asiakkaiden luottamus ja näkemys yrityksestä paranee.
5.10.2015 | 58
ISO:n standardointiprosessi
Jos ehdotus
hyväksytään
Jos
tekninen
komitea
hyväksyy
työversion
Ehdotus ko. alueen
tekniselle komitealla
Asiantuntijoiden
ryhmä valmistelee
työversion
Ensimmäinen
työversio jaetaan
tekniselle komitealle
ja ISO:n sihteeristölle
Työversio jaetaan
kaikille kansallisille
jäsenille kommentteja
varten
Äänestysversio
lähetetään
kansallisille jäsenille
äänestystä varten
Valmis standardi
Jos yhteisymmärrys
saavutetaan
http://www.iso.org/iso/home/standards_development.htm
Jos standardi
hyväksytään
äänestyksessä
12.1.2017 | 59
Lisätietoa standardeista
• ISO:n online browsing platform -palvelu
– http://www.iso.org/obp/ui
• 27K-standardiperheestä vastaa kansainvälinen ISO/IEC
JTC 1/SC 27 -komitea, erityisesti työryhmä 1 (WG 1).
• Suomen osalta SFS:n seurantaryhmä SR 307
Tietoturvatekniikat seuraa komitean ja sen työryhmien
työtä ja lähettää kansallisia kannanottoja.
– Puheenjohtaja: Reijo Savola (VTT)
– Sihteeri: Saana Seppänen (SFS)
5.10.2015 | 60