Lataa tietoturvatarkastuksen teettäjän pikaopas tästä!

Tietoturvatarkastuksen
teettäjän pikaopas
Joulukuu 2013
Johdanto
1 Perustele tarve
Yritysten toiminta nojaa nykyään hyvin toimiviin ja turvallisiin tietojärjestelmiin. Kuitenkin neljä viidestä tietoturvatarkastuskohteesta sisältää vakavia haavoittuvuuksia, jotka altistavat kohteen hyväksikäytölle.
Tarkastuksen motiivi ja syyt vaihtelevat. Aivan aluksi on hyvä tehdä itselle selväksi, miksi kyseinen
tarkastus­tehdään. Voi osoittautua, että tarkastusta ei edes kyseiseen tarpeeseen ole tarvetta tehdä.
Hyvät perustelut auttavat myös tarkastuksen tekijää perustelemaan tarkastushavainnot ymmärrettävästi. Seuraavilla apukysymyksillä ja esimerkeillä voi hahmottaa tarvetta.
Verkottuneessa kyberympäristössä yrityksen järjestelmät ovat avoinna mistä päin maailmaa tahansa tehdyille hyökkäyksille.
Kyberhyökkäykset ovat myös erittäin edullisia ja tekijöilleen helppoja toteuttaa. Yritykset kohtaavat pääsääntöisesti kahden
tyyppisiä hyökkäyksiä: 1) massahyökkäyksiä, joissa kohteena voi olla mikä tahansa haavoittuva järjestelmä ja 2) kohdistettuja
hyökkäyksiä, joissa pyritään vaikuttamaan nimenomaan kohdeyritykseen.
Tietoturvatarkastus on mittari ja kontrolli, jonka avulla voidaan tehokkaasti tarkentaa käsitystä omiin järjestelmiin liittyvistä
uhkakuvista. Tarkastuksessa havaitaan puutteita ja esitetään kehityskohteita yrityksen ja sen tietojärjestelmien turvallisuudessa. Tarkastukset tehdään yleensä tietojärjestelmille tai -järjestelmäkokonaisuuksille, mutta monesti saattaa myös olla
tarve selvittää kokonaisvaltaisemmin organisaation tietoturvakäytäntöjä.
Tarkastus on erikoisosaamista vaativaa työtä, joka yleensä kannattaa teettää siihen erikoistuneella toimijalla. Tarkastuksen
kohteen määritykseen ja teettämiseen liittyy kuitenkin seikkoja, jotka kannattaa pitää mielessä, että lopputulos on halutunlainen. Tämä muistilista helpottaa sujuvan tarkastuksen teettämistä. Sitä voidaan käyttää riippumatta siitä, tehdäänkö tarkastus
ulkopuolisen tahon tai yrityksen omin voimin.
Tietoturvatarkastus on investointi, jonka tuottavuus on mahdollista varmistaa rajaamalla hanke oikein ja miettimällä tavoitteet
huolellisesti. Asiantuntijatyötä edellyttävien ja erillisenä projektina suoritettavien tarkastusten hintahaarukka vaihtelee yleensä
4 000–50 000 euron välillä.
Olemme tunnistaneet 10 kohtaa, jotka tulisi ottaa huomioon tietoturvatarkastuksen eri vaiheissa. Käsittelemme tässä dokumentissa kutakin kohtaa tarkemmin.
MIKÄ ON TARKASTUKSEN PÄÄTARKOITUS?
•
•
•
•
•
•
Haluan vakuuttaa omat asiakkaani tuotteemme/palvelumme/ratkaisumme turvallisuudesta.
Vaatimuksenmukaisuus (esim. PCI / Tietoturvatasot) edellyttää tarkastuksen tekemistä.
Haluan varmistaa, että järjestelmä on turvallinen, koska järjestelmä käsittelee sensitiivistä tietoa tai rahaa.
Järjestelmä on liiketoimintakriittinen, ja palvelun keskeytyminen on kallista.
Prosessimme edellyttää tarkastuksen tekemistä.
Tietojärjestelmääni on jo tunkeuduttu. Haluan varmistaa, että tätä ei tapahdu jatkossa.
OVATKO OLETETUT UHKATEKIJÄT ULKOISIA VAI SISÄISIÄ JA TAHATTOMIA VAI TAHALLISIA?
•
•
•
•
•
•
•
Hakkeriryhmät ja haktivistit
Kilpailijat
Järjestäytynyt rikollisuus
Organisaation työntekijät
Oma tai vieraan valtion hallitus
Luonnonilmiöt
Asiakkaat tai käyttäjät
MITKÄ OLISIVAT VAKAVIMMAT SEURAUKSET TAI VAIKUTUKSET MAHDOLLISTEN UHKIEN TOTEUTUESSA?
1. PERUSTELE TARVE
6. SUUNNITTELE JA SOVI
2. RAJAA TARKASTUS
7.VALMISTELE
3. ENNAKOI AIKATAULUT
8.VALVO
4. PYYDÄ TARJOUS
9. VARMISTU TULOKSISTA
5. ARVIOI TARKASTUSMENETELMÄ
10. KÄSITTELE TULOKSET
•
•
•
•
•
•
•
Maineen menetys
Kilpailuedun menetys
Rahallinen menetys
Ihmishenkien menetys
Liiketoiminnan häiriö tai keskeytyminen
Organisaation tietoverkkojen tai -järjestelmien väärinkäyttö
Sidosryhmien yksityisyyden loukkaus
MIHIN KYSYMYKSIIN ERITYISESTI HALUAT SAADA TARKASTUKSELTA VASTAUKSET?
•
•
•
•
•
•
Miten järjestelmän tietoturvan taso suhtautuu muiden vastaavien järjestelmien tietoturvallisuuteen?
Onko kumppanilta ostettu palvelu toteutettu turvallisesti ja sovitut kontrollit toteutettu asianmukaisesti?
Onko järjestelmiä ylläpidetty ja kehitetty sovitusti ja suunnitellusti?
Ovatko tiedon ja järjestelmien luottamuksellisuus, eheys ja saatavuus turvattu?
Ovatko lainsäädännön tai toimielinten asettamat vaatimukset täytetty järjestelmän toteutuksessa ja ylläpidossa?
Toimivatko sisäiset IT- ja kehitysprosessit järjestelmän tietoturvan tason varmistamisen kannalta?
»
2
Tietoturvatarkastuksen teettäjän pikaopas
Nixu Oy:n julkaisu • Joulukuu 2013
3
NIMEÄ SIDOSRYHMÄT, JOILLE TARKASTUS TULEE PERUSTELLA, JA SELVITÄ NÄMÄ
TARPEET MYÖS HEILTÄ:
• Järjestelmän ja liiketoiminnan omistaja
• Tietoturvallisuusvastaava
• Kehittäjät
• Ylläpitäjät
• Kumppanit
• Käyttäjät (tarvittaessa)
2 Rajaa tarkastus
Tietojärjestelmät ovat yksittäisiä palveluita tai isoja järjestelmäkokonaisuuksia, jotka koostuvat useista
moniin muihin järjestelmiin liittyvistä alijärjestelmistä. Käytännössä tarkastus on kuitenkin tehtävä rajallisessa ajassa rajattuun ympäristöön rajatussa laajuudessa.
Rajaa tarpeen perusteella, mistä kokonaisuudesta haluat saada kuvan:
YKSITTÄINEN JÄRJESTELMÄ TAI SOVELLUS
•
•
•
•
•
Ulkoisten rajapintojen haavoittuvuudet (esim. Web UI, SOAP/ REST, SMS)
Palvelinten asetukset
Sisäiset hallintakäyttöliittymät
Integraatiorajapinnat (SOAP / REST)
Järjestelmän kehitykseen ja hallintaan liittyvät käytännöt
ORGANISAATION INFRASTRUKTUURI TAI SEN OSA
•
•
•
•
•
Pilvipalvelut
Verkot, laitteet ja palvelimet
Työasemat ja mobiililaitteet
Verkkoarkkitehtuuri
Ylläpitokäytännöt ja -prosessit
KOKO ORGANISAATION TIETOTURVALLISUUS
• Organisaation tietoturvaprosessit ja hallintamallit
• Tietoturvallisuuden jalkautuminen käytännössä
3 Ennakoi aikataulut
Aikataulu kannattaa suunnitella siten, että kalenteriaikaa lasketaan taaksepäin siitä päivämäärästä, kun
järjestelmän pitäisi olla turvallinen ja valmis käyttöönottoon. Esimerkiksi tyypillinen teknisen tason tarkastus kestää yleensä 5 kalenteriviikkoa aloituspalaverista päätöspalaveriin. Hyvä nyrkkisääntö on, että
tarkastus käynnistetään viimeistään 8 kalenteriviikkoa ennen takarajaa, jolloin myös mahdollisille korjaaville toimenpiteille jää aikaa.
VARAA TARKASTUS HYVISSÄ AJOIN.
• Käynnistä tarkastusprojekti ajoissa sekä omassa organisaatiossasi että tarkastuksen tekijällä.
• Varaamalla tarkastuksen hyvissä ajoin varmistat, että tarkastukselle on sopiva, asiantunteva tekijä.
HUOMIOI TARKASTUKSEN KESTO KALENTERIAJASSA KAIKKINE
VAIHEINEEN.
•
•
•
•
Aloituspalaveri
Suunnittelut ja valmistelut
Tarkastuksen tekeminen
Raportointi ja lopetuspalaverit
VARAA KORJAUKSIIN RIITTÄVÄSTI AIKAA.
• Tyypillisesti tarkastuksissa havaitaan mahdollisesti useitakin kriittisiä ongelmia, joiden korjaus voi viedä aikaa.
4 Pyydä tarjous
Tarjous kannattaa pyytää aina kirjallisena ja usein myös kiinteästi hinnoiteltuna. Jos yrityksesi teettää
useampia tarkastuksia vuodessa, on järkevää valita yksi tarkastaja koko kokonaisuudelle. Tällöin tarkastaja oppii tuntemaan paremmin liiketoimintanne luonnetta sekä toimintatapaanne ja sitä kautta antamaan parempia suosituksia. Tarkastusten toteuttaminen prosessina myös tehostaa oman organisaatiosi toimintaa.
TEE TARVITTAESSA SALASSAPITOSITOUMUS TARKASTUKSEN TOIMITTAJAEHDOKKAIDEN KANSSA.
• Mikäli tarkastettava kohde ei ole julkista tietoa, tee salassapitositoumus ennen tarjouksen lähettämistä.
ILMOITA TARJOUSPYYNNÖSSÄ AIKATAULU JA PAIKKA, MISSÄ JA MILLOIN TARKASTUS
PITÄISI TEHDÄ JA MILLOIN TULOSTEN TULISI OLLA KÄYTETTÄVISSÄ.
• Huomioi, että tiukka aikataulu, viikonloput tai toimistoajan ulkopuolella tehtävät työt saattavat vaikuttaa
kustannuksiin.
KUVAA MAHDOLLISIMMAN TARKASTI TARVE SEKÄ TARKASTUKSEN KOHDE
RAJAUKSINEEN.
• Pyri pitämään kohteen kuvaus mahdollisimman ytimekkäänä, kymmensivuiset dokumentit
saattavat vaikeuttaa tarjouksen rajaamista.
»
4
Tietoturvatarkastuksen teettäjän pikaopas
Nixu Oy:n julkaisu • Joulukuu 2013
5
KUVAA TARKASTUKSESSA VAADITTAVA ERITYISOSAAMINEN.
• Tarkastuksen tekijältä voidaan vaatia erityistä sertifiointia eri toimielimien tai säädöksien takia.
• Ole kuitenkin realistinen sen suhteen, mitä erityisosaamisalueita voidaan vaatia yhdeltä henkilöltä.
ILMOITA, MIHIN SOPIMUSEHTOIHIN TOIMITTAJAN TULEE SITOUTUA.
• Takaraja varmistaa sen, että tarjouksen ennakoitu aikataulu pysyy kurissa.
5. Arvioi tarkastusmenetelmä
Kun olet saanut tarjouksen, arvioi siitä vähintään tässä kappaleessa kuvatut asiat. Jos tarjouksessa
ei ole mainintaa näistä kohdista, selvitä asiat tarkastuksen toimittajalta. Näiden avulla voidaan päätellä, täyttääkö tarjottu tarkastus vaatimukset. Käytössä on monenlaisia termejä, jotka tarkoittavat eri
toimijoilla eri asioita. Esimerkiksi pelkkä penetraatiotestaus, skannaus, koodin katselmointi, uhkamallinnus / -analyysi, gapanalyysi, auditointi, evaluointi tai dokumentaation katselmointi tms. eivät ole vielä täsmällisiä määritelmiä sellaisenaan, vaan
kannattaa selvittää, mihin menetelmiin tarkastus nojautuu. Eri menetelmillä voidaan päästä samoihin lopputuloksiin, mutta eri
menetelmissä on myös omat vahvuutensa tietyissä ympäristöissä.
• Aloitus- ja lopetuspalaverit
• Tietojen, kuten raportin ja esitietojen, turvallinen välittäminen
• Järjestelyt sairastapausten ja muiden erityistilanteiden varalta
RIIPPUMATTOMUUS
• Esimerkiksi henkilökohtaiset vaitiolositoumukset
ILMOITA, MIHIN TAKARAJAAN MENNESSÄ TARJOUS ON TOIMITETTAVA.
PROJEKTIKÄYTÄNNÖT
• Myykö toimittaja ohjelmistotuotelisenssejä, jotka saattavat ohjata tarkastustuloksia?
• Onko tarkastajalla sidoksia järjestelmään (mukana kehityksessä, omistajuudet)?
TUOTOSTEN LAATU
•
•
•
•
•
Varmistu, että tarkastuksesta saatava raportti vastaa tarvetta ja siinä kuvataan myös vaikutuksia, ilmenemistapoja
ja korjaustoimenpiteitä yms. Raportin ei tule olla pelkkä havaintoluettelo.
Raportin laadusta vastaa kokenut henkilö, joka myös osallistuu palavereihin.
Raportissa on johdon yhteenveto, jossa tarkastuksen tulokset avataan liiketoiminnan kannalta ymmärrettävästi.
Raportissa on vakavuuden perusteella priorisoidut havainnot.
Pyydä malliraportti nähtäväksi.
KOMMENTOINTIAIKA
• Asiakkaalla on oikeus pyytää korjauksia loppuraporttiin ilman erillistä veloitusta, mikäli tulokset eivät vastaa
etukäteen sovittua.
KÄYTETYT TARKASTUSMENETELMÄT JA VIITEKEHYKSET
•
•
•
•
•
•
Perustuuko tarkastus automatisoituihin työkaluihin vai manuaaliseen työhön?
OWASP ASVS (web-sovellukset)
CIS, NIST (alustojen turvallisuus)
ISO-27001 (tietoturvakäytännöt)
PCI (maksukorttijärjestelmät)
VAHTI, tietosuojalainsäädäntö jne.
TYÖVAIHEET/TARKASTUSPROSESSI
• Onko tarkastuksen eri vaiheet kuvattu selvästi?
• Ovatko eri työvaiheiden tavoitteet ja tulokset kuvattu ymmärrettävästi?
• Ovatko työmenetelmät tarkoitukseen sopivia ja mahdollisia toteuttaa kohdeympäristössä?
KUSTANNUS JA HINNOITTELU
6 Suunnittele ja sovi
Kun tarkoitukseen sopivin tarjous on valittu, on sen toteuttaminen suunniteltava ja sovittava kaikkien
osapuolten kesken. Tietoturvatarkastukset joudutaan monesti tekemään järjestelmiin, jotka ovat esimerkiksi tuotantokäytössä tai hyväksymistestauksessa, jolloin kohdejärjestelmässä on muuta käyttöä.
Huolehdi, että kaikki osapuolet osallistuvat aloituspalaveriin tai vähintään saavat ja lukevat aloituspalaverin muistiinpanot.
TARKASTUKSEN LAAJUUS JA RAJAUKSET
• Varmista, että tarjotun tarkastuksen laajuus on riittävä, eikä mitään oleellista ole rajattu tarkastuksen ulkopuolelle.
TOIMITTAJAN KOKEMUS JA AMMATTITAITO
»
• Järjestelmään soveltuva asiantuntemus ja kokemus
• Onko hinta epäilyttävän pieni tai suuri? Vertaile tarjouksia ja selvitä hintaerojen syyt.
• Kiinteä hinta vs. työmääräarviopohjainen tuntihinta?
VARMISTU JO SOPIMUSHETKELLÄ, ETTÄ KAIKKI OSAPUOLET SITOUTUVAT SOVITTUUN
AJANKOHTAAN JA OTTAVAT HUOMIOON ESIMERKIKSI HYVÄKSYMIS- JA SUORITUSKYKYTESTAUKSET TAI LOMAKAUDET:
•
•
•
•
•
kehittäjät/testaajat
oma operaattori
palveluntarjoaja
hosting-kumppani
tarkastuskumppani.
»
6
Tietoturvatarkastuksen teettäjän pikaopas
Nixu Oy:n julkaisu • Joulukuu 2013
7
PIDÄ KAIKKI OSAPUOLET TIETOISINA AIKATAULUIHIN LIITTYVISTÄ MUUTOKSISTA
HYVISSÄ AJOIN JA SOVI, ETTÄ KAIKKI OSAPUOLET TOIMIVAT SAMOIN.
VARMISTA, ETTÄ KAIKILLA OSAPUOLILLA (OPERAATTORIT, PALVELUNTARJOAJAT) ON
TARVITTAVAT TARKASTUSLUVAT.
• Monet pilvipalveluntarjoajat vaativat ilmoitukset tietoturvatarkastuksista muutama päivä etukäteen. Tarjoajilla
on yleensä lomake hallintasovelluksessa, jonka kautta ilmoituksen voi tehdä.
8Valvo
Tarkastuksen aikana käytetään monenlaisia menetelmiä, jotka voivat aiheuttaa erilaisia virhetilanteita.
Näitä virhetilanteita kannattaa seurata ja tutkia mistä virheet johtuvat.
Jos tarkastuksen kohteena on tuotantojärjestelmä, on erityisesti syytä valvoa tarkastuksen ajan sitä,
miten järjestelmä käyttäytyy.
TARKASTUKSEN TEKIJÄ
SOVI, ETTÄ TARKASTAJA ILMOITTAA AINAKIN KRIITTISET LÖYDÖKSET VÄLITTÖMÄSTI,
JOTTA NE VOIDAAN OTTAA KORJAUKSEEN MAHDOLLISIMMAN PIAN.
• Varmista, että tekijöiden kokemus vastaa tarjouksessa sovittua tasoa.
• Valvo, että tekijä suorittaa tarkastusta ja kommunikoi sovittujen käytäntöjen mukaisesti.
TARKASTUKSEN KOHDE
7Valmistele
Tarkastus on suositeltavaa tehdä aina mahdollisimman tuotannonkaltaisessa ympäristössä. Kannattaa
kuitenkin varmistua, ettei tarkastus vaikuta tuotantokäyttöön tai toiminnan jatkuvuuteen. Valmistelujen
tarkoituksena on varmistaa, että tarkastus etenee alusta loppuun mahdollisimman sujuvasti.
VARMISTA TOIMINNAN JATKUVUUS TARKASTUKSEN AIKANA.
•
•
•
Varmista, että koko tarkastuksen aikana on valmius tarvittaessa esimerkiksi käynnistää järjestelmät uudelleen
ja palauttaa järjestelmä toimintakuntoon ja tiedottaa mahdollisia sidosryhmiä katkoksista.
Järjestelmää tarkastettaessa tee tuotantoa vastaava tarkastukselle varattu erillinen testausympäristö, jossa ei
käsitellä tuotantodataa.
Ota ennen tarkastusta järjestelmistä varmuuskopiot – olipa kyseessä sitten tuotanto- tai testiympäristö – jotta
järjestelmän palauttaminen on mahdollisimman nopeaa.
KERÄÄ TARKASTUKSEEN TARVITTAVA TAUSTAMATERIAALI HYVISSÄ AJOIN.
• Taustamateriaali, kuten arkkitehtuurikuvaus, ei välttämättä ole ajan tasalla ja voi vaatia päivityksiä ennen
toimittamista.
SELVITÄ, MIHIN KAIKKIALLE JÄRJESTELMÄ MAHDOLLISESTI OTTAA YHTEYKSIÄ
TARKASTUKSEN AIKANA, JA TIEDOTA TÄSTÄ KAIKILLE OSAPUOLILLE.
• Esimerkiksi web-sovellusten palaute- tai rekisteröintilomakkeet saattavat automaattisen skannauksen yhteydessä
aiheuttaa merkittäviä määriä sähköpostia.
• Erilaiset toimenpiteet saattavat aiheuttaa hälytyksen valvontajärjestelmissä, mistä voi aiheutua turhaa työtä.
VARMISTA, ETTÄ VAADITUT ESITIEDOT ON TOIMITETTU JA JÄRJESTELYT ON TEHTY
HYVISSÄ AJOIN ENNEN TARKASTUKSEN SUUNNITELTUA ALOITUSTA.
AIKATAULUT
• Valvo, että erilaiset muutostilanteet tarkastuksen aikana myöskin huomioidaan muussa aikataulussa, ja niiden
vaikutus lopulliseen aikatauluun selviää.
VÄLITUOTOKSET
• Mikäli on sovittu välituotoksia, kuten viikkoraportointia, valvo että niitä toimitetaan ja niiden laatu on
sovitulla tasolla.
9 Varmistu tuloksista
Tarkastuksesta saadaan tyypillisesti havaintoluettelo, joka on yleensä raportin muodossa. Raportti on
tärkein tuotos tarkastuksesta, ja on tärkeä varmistua, että siinä esitetyt havainnot ovat ymmärrettäviä
kaikille osapuolille.
KÄY LÄPI RAPORTTI ENNEN LOPETUSPALAVERIA.
• Kirjaa muistiin kaikki esiin tulleet kysymykset ja lähetä kysymykset tarkastajalle.
VARMISTA, ETTÄ KAIKKI ASIANOSAISET YMMÄRTÄVÄT JA VAHVISTAVAT HAVAINNOT.
• Pyydä kustakin havainnosta vastine tarpeellisilta sidosryhmiltä, esimerkiksi järjestelmän toimittajalta.
»
• Valvo, että kohdeympäristö toimii normaalisti. Esimerkiksi tuotantojärjestelmän tilaa on syytä seurata tarkastuksen
aikana tavanomaista tarkemmin.
• Vahvista tarkastuksen tekijältä ja muilta sidosryhmiltä, että valmius tarkastuksen tekemiseen on olemassa
viimeistään tarkastusta edeltävällä viikolla.
8
Tietoturvatarkastuksen teettäjän pikaopas
Nixu Oy:n julkaisu • Joulukuu 2013
9
VARMISTA, ETTÄ RAPORTISSA KÄY SELVÄSTI ILMI:
•
•
•
•
•
•
tarkastuksen laajuus
käytetyt menetelmät
tarkastetut osa-alueet
tarkastuksen ulkopuolelle sovitut osa-alueet
havaintojen kuvaukset, vaikutukset ja korjausehdotukset
lausunto niistä tarkastetuista osa-alueista, joista ei ollut havaintoja.
Sanasto
Termi
Selitys
Uhka
Järjestelmään kohdistuva ei-toivottu tapahtuma, joka esimerkiksi vaikuttaa järjestelmän tietojen
luottamuksellisuuteen, eheyteen ja saatavuuteen.
Riski
Uhan arvioitu kriittisyys sen toteutumisen vaikutuksen ja todennäköisyyden perusteella.
Kontrolli
Mekanismi, jolla pyritään rajoittamaan uhan toteutumista. Kontrolleja voi olla esimerkiksi politiikkadokumentti, prosessi, turvalaite tai tekninen toiminto ohjelmakoodissa.
Haavoittuvuus
Puuttuva tai puutteellisesti toteutettu kontrolli, joka mahdollistaa uhan toteutumisen. Hallinnol­lisella
tasolla voi olla puutteellisia käytäntöjä. Järjestelmätasolla puhutaan monesti ohjelmointi- tai
konfigurointivirheestä.
Tarkastus
Tarkastuksessa kohteen tietoturvakontrolleja verrataan tietyn standardin, viitekehyksen tai yleisten
hyvien käytäntöjen määrittelemiin kontrolleihin. Tavoitteena on selvittää, minkälaisia puutteita
järjestelmän kontrolleissa on.
Murto- tai
penetraatiotestaus
Murtotestauksella pyritään osoittamaan puutteita tietojärjestelmän tai organisaation kontrol­leissa
toteuttamalla hyökkäys käytännössä. Murtotestaus voi perustua tarkastuksen tuloksiin tai se
voidaan tehdä itsenäisenä työnä.
Auditointi
Auditointi ja tarkastus ovat käytännössä sama asia, mutta auditointi-sanaa käytetään Suomessa
erityisesti tiettyjen ulkoisten vaatimusten tarkastamiseen kun tavoitteena on standardin- ja vaatimustenmukaisuuden sertifiointi.
Katselmointi
Katselmointi tehdään kirjalliselle materiaalille, kuten dokumentaatiolle, teknisille konfiguraatioille tai
lähdekoodille. Erilaisista arkkitehtuuri- ja määritelmädokumenteista voidaan havaita, ottavatko ne
kantaa tiettyihin vaatimuksiin. Tavoitteena on havaita mm. puutteita tai ristiriitaisuuksia.
Gap-analyysi
Gap- tai kuiluanalyysin avulla pyritään selvittämään puutteet tai puutealueet, joita kohdeorganisaatiolla on tiettyyn standardin- tai vaatimustenmukaisuuteen pääsemiseksi. Gap-analyysi voidaan tehdä
aluksi kevyesti ylätasolla osa-alueittain.
Skannaus
Skannaus on pitkälle automatisoitu toimenpide, jolla pyritään havaitsemaan yleisiä haavoittuvuustyyppejä järjestelmästä. Skannaus voidaan jakaa useaan alatyyppiin: verkko- ja haavoittuvuusskannaus,
sovellusskannaus, lähdekoodianalyysi (staattinen/dynaaminen). Skannereiden käyttö ja tulosten
tulkinta vaativat usein huolellista läpikäyntiä sekä ammattitaitoa. Työkalut tuottavat monesti vääriä
hälytyksiä.
Uhkamallinnus
Uhkamallinnuksella pyritään konkreettisesti etsimään uhkia järjestelmässä käymällä esimerkiksi läpi
järjestelmällisesti teknisen toteutuksen vuo- ja sekvenssikaavioita ja tutkimalla, miten eri tietoturvakontrollit ja hyökkäystavat on huomioitu eri vaiheissa. Apuna voidaan käyttää esimerkiksi hyökkäyspuun laatimista.
Uhka-analyysi
Uhka-analyysillä pyritään tunnistamaan järjestelmän tai organisaation suojattaviin kohteisiin ja liiketoimintoihin liittyviä tietoturvauhkia sekä arvioimaan näiden todennäköisyyksiä ja vaikutuksia.
Analyysitapoja on monenlaisia, ja menetelmä kannattaa valita tilanteen mukaan järkeväksi, vaikka
useimmilla menetelmillä päästäänkin samansuuntaisiin lopputuloksiin.
Evaluointi
Tietyn kontrollin toteutustavan valinta muutamasta vaihtoehdosta. Evaluointi yleensä pitää sisällään
myös jonkintasoisen tarkastuksen evaluoitaville ratkaisuille. Evaluointikriteeristö voidaan valita joko
nykyisistä kriteeristöistä tai määritellä tapauskohtaisesti.
VARMISTA, ETTÄ TARKASTUSRAPORTISSA ON SELVÄT VASTAUKSET KYSYMYKSIIN JA
TARPEISIIN, MIKSI TARKASTUS ALUN PERIN TEETETTIIN.
• Käy läpi tarjouspyyntö, tarjous, aloituspalaverin muistio ja vertaa niitä loppuraporttiin.
VARMISTA, ETTÄ TULOKSET JA JOHTOPÄÄTÖKSET KÄYDÄÄN LÄPI ASIANOMAISTEN
KESKEN LOPETUSPALAVERISSA.
• Vahvista, että havainnoista ei ole epäselvyyksiä tai avoimia kysymyksiä.
10 Käsittele tulokset
Jotta tarkastuksesta saadaan paras hyöty irti, on tärkeää, että raportti ei unohdu pöytälaatikkoon.
Tulosten käsittelyprosessin tulee jatkua, kunnes kaikki havainnot on todennetusti korjattu tai tietoisesti
päätetty jättää korjaamatta hyväksymällä niihin liittyvät riskit.
VASTUUTA JA AIKATAULUTA KORJAUSTOIMENPITEET.
MIKÄLI JOKIN ASIA JÄÄ KORJAAMATTA ESIMERKIKSI KUSTANNUSSYISTÄ, PYYDÄ SELVÄ
HYVÄKSYNTÄ TÄSTÄ AIHEUTUVILLE RISKEILLE JÄRJESTELMÄN OMISTAJALTA TAI HÄNEN
ESIMIEHELTÄÄN.
10
VARMISTA, ETTÄ HAVAINNOT TULEVAT KORJATUKSI SOVITUSSA AIKATAULUSSA.
JOS KORJAUKSIA EI OLE TEHTY, SOVI AINA UUSI AIKATAULU.
TILAA UUSINTATARKASTUS AINAKIN KRIITTISTEN ONGELMIEN OSALTA, JOTTA VARMISTAT,
ETTÄ KORJAUKSET ON TEHTY OIKEIN EIVÄTKÄ NE OLE AIHEUTTANEET MAHDOLLISIA
UUSIA ONGELMIA.
Tietoturvatarkastuksen teettäjän pikaopas
Nixu Oy:n julkaisu • Joulukuu 2013
11
Nixu Oy on Pohjoismaiden suurin tietoturvakonsultointiyritys. Yritysasiakkaamme luottavat riippumattomaan osaamiseemme tietoturvan kehitykseen,
toteutukseen ja tarkastukseen liittyvissä hankkeissa. Varmistamme asiakkaidemme tietovastuun
toteutumisen huolehtimalla toiminnan jatkuvuudesta, sähköisten palvelujen esteettömyydestä
sekä asiakastietojen suojaamisesta.
www.nixu.fi
Twitter: @nixutigerteam
Nixu Oy
PL 39 (Keilaranta 15),
FI-02151 Espoo, Finland
Puhelin: +358 9 478 1011
Fax: +358 9 478 1030
Y-tunnus: 0721811-7
Internet: www.nixu.fi
Copyright © 2013 Nixu Oy/Ltd. All Rights Reserved.