Tietoturvallisuuden hallintajärjestelmä: ISO/IEC 27000
Transcription
Tietoturvallisuuden hallintajärjestelmä: ISO/IEC 27000
OPPILAITOSPORTAALI Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät. ISO/IEC 27000 -standardiperhe Kalvosarja oppilaitoksille Suomen Standardisoimisliitto SFS ry 2015 5.10.2015| 2 Tervetuloa luentoaineiston käyttäjäksi! Aineisto on suunnattu ammattikorkeakoulujen ja yliopistojen opettajille ja opiskelijoille. Kalvosarja esittelee tietoturvallisuuden hallintajärjestelmästandardiperheen ISO/IEC 27000, sen käyttömahdollisuuksia ja yhteyksiä muihin alan keskeisiin julkaisuihin. Tavoitteena on tukea standardiperheen sisällyttämistä tietoturvallisuuden hallintajärjestelmiä käsitteleviin opetussuunnitelmiin ja kurssien sisältöön. Tässä kalvosarjassa ei käsitellä kaikkia perheen standardeja yksityiskohtaisesti, vaan yleisen johdanto-osan jälkeen esitellään joidenkin standardien keskeiset sisällöt ja pääkohdat Kalvosarja on tuotettu SFS:n projektirahoituksella. 27.8.2012 | 3 Opetuskokonaisuus • Opetuskokonaisuus on kaksi 45 min oppituntia • Kalvot soveltuvat 27K-standardisarjan esittelyyn ainakin tietotekniikkaan, tietojenkäsittelytieteisiin, tietoturvaan, johtamiseen ja standardisointiin liittyvillä syventävillä kursseilla yliopistoissa ja ammattikorkeakouluissa. 5.10.2015 | 4 Aineiston käyttö ja tekijänoikeudet • Tämän luentoaineiston tekijänoikeudet omistaa Suomen Standardisoimisliitto SFS ry. • Esitystä saa vapaasti käyttää opetustarkoituksiin ja sitä saa tarvittaessa muokata. Aineistoa lainattaessa lähde tulee mainita. • Aineiston käyttö kaupallisiin tarkoituksiin on kielletty. • Tämä materiaali on päivitetty viimeksi 5.10.2015. 5.10.2015 | 5 Sisältö • Opetuskokonaisuus • Turvallisuuden kokonaisuus • Tietoturvallisuuden hallinta ja siihen liittyvät termit – Tietoturvallisuuden hallintajärjestelmä • ISO/IEC 27000 -standardiperhe – Historia, standardit ja viitekehys • Tietoturvauhkat • Standardit ja lainsäädäntö • Lisätietoa ISO/IEC 27001- ja 27005 -standardeista • Kokemuksia ja hyötyjä standardien käytöstä 5.10.2015 | 6 Turvallisuuden kokonaisuus 5.10.2015 | 7 Tietoturvallisuuden hallintajärjestelmän tarve • Kaikentyyppiset ja -kokoiset organisaatiot – keräävät, käsittelevät, säilyttävät ja välittävät suuria määriä informaatiota, – pitävät informaatiota sekä siihen liittyviä prosesseja, järjestelmiä, verkkoja ja ihmisiä tärkeinä turvattavina kohteina, joiden avulla organisaation tavoitteet saavutetaan, – kohtaavat monia erilaisia riskejä, jotka voivat vaikuttaa turvattavien kohteiden toimintaan, ja – muokkaavat riskejä toteuttamalla tietoturvamekanismeja. 5.10.2015 | 8 Tietoturvallisuuden hallintajärjestelmä • on osa yleistä hallintajärjestelmää, joka liiketoimintariskien arviointiin perustuen luodaan ja toteutetaan. • käytetään, valvotaan, katselmoidaan, ylläpidetään ja parannetaan tavoitteena parempi tietoturvallisuus. • helpottaa yritysjohdon tietoturvatyön organisointia. • tulisi kattaa kaikki tietoturvan johtamisessa, hallinnoimisessa ja valvonnassa tarvittavat menettelyt ja toimenpiteet. • ei ole yksittäinen dokumentti, vaan moniosainen prosessi, jota on kehitettävä jatkuvasti. • osia ovat mm. riskianalyysi, tietoturvapolitiikka, tietoturva-, jatkuvuus- ja toipumissuunnitelmat. 5.10.2015 | 9 27000-standardiperhe • ISO/IEC 27000 viittaa kasvavaan ISO/IECstandardiperheeseen, jonka yhteinen otsikko on "Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät". • Tarjoaa suosituksia tietoturvallisuuden hallintaan, riskeihin ja kontrollointiin tietoturvallisuuden hallintajärjestelmissä. • Myös muut 27-alkuiset tietoturvallisuuteen liittyvät standardit lasketaan toisinaan perheeseen kuuluvaksi. 5.10.2015 | 10 27000-standardiperheen historia ja kehittyminen • Englannin aloite – 1992: Code of Practice for Information Security Management (hallituksen opaste) – 1995: Muutetaan BSI standardiksi BS 7799 – 1999: Sertifiointi alkaa täysimääräisenä • 2000: ISO/IEC 17799 ISO/IEC 27002:2005 • 2002: BS7799-2 Information Security Management Specification ISO/IEC 27001:2005 • 2013: 27001 ja 27002:n päivitetyt versiot • 2014: 27000 päivitetty versio 5.10.2015 | 11 27000-standardiperhe… • Informaatioteknologia – Turvallisuustekniikat Tietoturvallisuuden hallintajärjestelmät • 27000:2015 - Yleiskatsaus ja sanasto - Overview and vocabulary • 27001:2013 - Vaatimukset - Requirements • 27002:2013 - Tietoturvallisuuden hallintakeinojen menettelyohjeet - Code of practice for information security controls • 27003:2010 - Tietoturvallisuuden hallintajärjestelmän toteuttamisohjeita - Information security management system implementation guidance • 27004:2009 - Mittaaminen - Measurement • 27005:2011 - Tietoturvariskien hallinta - Information security risk management 5.10.2015 | 12 Suomennos saatavilla …27000-standardiperhe… • 27006:2011 - Requirements for bodies providing audit and certification of information security management systems • 27007:2011 - Tietoturvallisuuden hallintajärjestelmien auditointiohjeet - Guidelines for information security management systems auditing • 27008:2011 - Guidelines for auditors on information security controls 5.10.2015 | 13 …27000-standardiperhe… • 27009 Sector-specific application of ISO/IEC 27001 Requirements • 27010:2012 - Information security management for inter-sector and inter-organizational communications • 27011:2008 - Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 • 27013:2012 - Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 • 27014:2013 - Governance of information security • 27015:2012 - Information security management guidelines for financial services • 27016:2014 - Organizational economics 5.10.2015 | 14 …27000-standardiperhe… • 27018:2014 - Menettelyohjeet henkilötietojen suojaamiseen henkilötietoja käsittelevissä julkisissa pilvipalveluissa - Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors • 27019:2013 Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry • 27023:2015 Mapping the revised editions of ISO/IEC 27001 and ISO/IEC 27002 • 27031:2011 - Guidelines for information and communication technology readiness for business continuity 5.10.2015 | 15 …27000-standardiperhe… • 27032:2012 - Guidelines for cybersecurity • 27033 - Network security – 27033-1:2015 Part 1: Overview and concepts – 27033-2:2012 Part 2: Guidelines for the design and implementation of network security – 27033-3:2010 Part 3: Reference networking scenarios - Threats, design techniques and control issues – 27033-4:2014 Part 4: Securing communications between networks using security gateways – 27033-5:2013 Part 5: Securing communications across networks using Virtual Private Networks (VPNs) – 27033-6 Part 6: Securing wireless IP network access 5.10.2015 | 16 …27000-standardiperhe… • 27034 – Application security – – – – – 27034-1:2011 Part 1: Overview and concepts 27034-2:2015 Part 2: Organization normative framework 27034-3 Part 3: Application security management process 27034-4 Part 4: Application security validation 27034-5 Part 5: Protocols and application security controls data structure – 27034-5-1 Part 5-1: Protocols and application security controls data structure -- XML schemas – 27034-6 Part 6: Security guidance for specific applications – 27034-7 Part 7: Application security assurance prediction 5.10.2015 | 17 …27000-standardiperhe… • 27035:2011 - Information security incident management – 27035-1 Part 1: Principles of incident management – 27035-2 Part 2: Guidelines to plan and prepare for incident response – 27035-3 Part 3: Guidelines for CSIRT operations • 27036 Information security for supplier relationships – 27036-1:2014 Part 1: Overview and concepts – 27036-2:2014 Part 2: Requirements – 27036-3:2013 Part 3: Guidelines for information and communication technology supply chain security – 27036-4 Part 4: Guidelines for security of Cloud services 5.10.2015 | 18 …27000-standardiperhe… • 27037:2012 - Guidelines for identification, collection, acquisition and preservation of digital evidence • 27038:2014 - Specification for digital redaction • 27039:2015 - Selection, deployment and operations of intrusion detection systems (IDPS) • 27040:2015 - Storage security • 27041:2015 - Guidance on assuring suitability and adequacy of incident investigative method • 27042:2015 - Guidelines for the analysis and interpretation of digital evidence • 27043:2015 - Incident investigation principles and processes • 27799:2008 - Health Informatics: Information security management in health using ISO/IEC 27002 5.10.2015 | 19 …27000-standardiperhe • 27044 - Guidelines for Security Information and Event Management (SIEM) • 27050-1 - Electronic discovery - Part 1: Overview and concepts • 27799:2008 - Health Informatics: Information security management in health using ISO/IEC 27002 5.10.2015 | 20 27000 standardien luokittelu 27000 Yleiskatsaus ja sanasto Terminologia Yleiset vaatimukset Yleiset ohjeet Sektorikohtaiset ohjeet Hallintakeinojen ohjeet 27001 Vaatimukset 27006 Sertifiointielinten vaatimukset 27002 Menettelyohjeet 27003 Toteuttamisohjeet 27005 Riskienhallinta 27007 Auditointiohjeet 27010 Viestintä 27011 Tietoliikenne 27018 Henkilötiedot pilvipalveluissa 2703X 2703X 2703X 27004 Mittaukset TR 27008 27014 27013 TR 27016 TR 27015 Rahoitus 27017 Pilvipalvelut TR 27019 Energia 27799 Terveydenhuolto 2704X 2703X 2703X 12.1.2017 | 21 27000 standardien väliset suhteet 27000 Yleiskatsaus ja sanasto Terminologia Yleiset vaatimukset Yleiset ohjeet 27001 Vaatimukset 27002 Menettelyohjeet 27004 Mittaukset Sektorikohtaiset ohjeet Hallintakeinojen ohjeet 27006 Sertifiointielinten vaatimukset 27005 Riskienhallinta 27003 Toteuttamisohjeet 27007 Auditointiohjeet Selite 27011 Tietoliikenne 27799 Terveydenhuolto 27034 Sovelluskehitys Velvoittava standardi (vaatimukset) Opastava standardi (ohjeet) 12.1.2017 | 22 Standardit ja lainsäädäntö • • • • Standardisoimislaki Sertifiointilaitoksia koskeva lainsäädäntö Yhteissääntely Kansallinen turvallisuusauditointikriteeristö (KATAKRI) – Päätavoitteena yhtenäistää viranomaistoimintoja silloin, kun viranomainen toteuttaa kohteen turvallisuustason auditoinnin yrityksessä tai muussa yhteisössä. – Sisältää paljon viittauksia ISO/IEC 27000 standardeihin • Valtionhallinnon tietoturvallisuuden johtoryhmä (VAHTI) – Tavoitteena on parantaa valtionhallinnon toimintoja kehittämällä tietoturvallisuutta sekä edistää tietoturvallisuuden saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta. 5.10.2015 | 23 ISO/IEC 27000:2014 ”Yleiskatsaus ja sanasto” • Sisältää ISO/IEC 27000 -perheen – yleiskatsauksen ja esittelyn, – käyttämien termien määritelmät ja niiden luokitukset. • Määrittelee yleiset vaatimukset – tietoturvallisuuden hallintajärjestelmän luomiselle, – toteuttamiselle, – käyttämisellä, – valvonnalle, – katselmoinnille, – ylläpidolle ja – parantamiselle. 5.10.2015 | 24 Keskeisiä käsitteitä 27000 1/2 • • • • • • • • • • • • • Pääsynvalvonta Tilivelvollisuus Turvattava kohde Hyökkäys Todennus Aitous Saatavuus Toiminnan jatkuvuus Luottamuksellisuus Turvamekanismi Valvontatavoite Korjaava toimenpide Vaikuttavuus • • • • • • • • • Tehokkuus Tapahtuma Ohje (Haitta)vaikutus Tieto-omaisuus Tietoturvallisuus Tietoturvatapahtuma Tietoturvahäiriö Tietoturvahäiriöiden hallinta • Tietoturvallisuuden hallintajärjestelmä (ISMS) 5.10.2015 | 25 Keskeisiä käsitteitä 27000 2/2 • • • • • • • • • • • • Tietoturvariski Eheys Johtamisjärjestelmä Kiistämättömyys Politiikka Ehkäisevä toimenpide Menettely Prosessi Tallenne Luotettavuus Riski Riskin hyväksyntä • • • • • • • • • • • Riskianalyysi Riskien arviointi Riskeistä viestintä Riskikriteerit Riskin suuruuden arviointi Riskien arvottaminen Riskien hallinta Riskien käsittely Soveltamissuunnitelma (SoA) Uhka Haavoittuvuus 5.10.2015 | 26 ISO Online Browsing Platform ISO:n käyttämien määritelmien hakeminen https://www.iso.org/obp/ui 12.1.2017 | 27 Tietoturvallisuusuhkia • Haittaohjelmat • Verkkohyökkäykset • Verkkosovellus- ja injektiohyökkäykset • Bottiverkot • Palvelunestohyökkäykset • Roskaposti • Tietojen kalastelu • Exploit kit – hyökkäysohjelmistot • Tietomurrot Lähte: ENISA Threat Landscape 2014 • Fyysinen vanhinko, varkaus tai häviäminen • Sisäiset uhat • Tietovuodot • Identiteettivarkaudet ja – petokset • Kybertiedustelu • Kiristysohjelmistot (Ransomware, Rogueware, Scareware) 5.10.2015 | 28 ISO/IEC 27001 ”Vaatimukset” • Tavoitteena linjata tietoturvallisuuden hallinta toiminnan määräystenmukaisuuden ja riskien vähennystavoitteiden kanssa • Tarkoituksena suojella luottamuksellisuutta, eheyttä ja saatavuutta (CIA-malli) • On hallinnointistandardi eikä tekninen standardi – Ei kuvaa teknisesti ISMS-järjestelmien yksityiskohtia • Keskittyy tietotekniikan lisäksi myös liiketoimintaprosesseihin • Keskittyy löytämään, hallinnoimaan ja vähentämään tärkeään tietoon liittyviä riskejä – Tieto voi tai voi olla liittymättä tietotekniikkaan tai voi tai voi olla olematta digitaalisessa muodossa 5.10.2015 | 29 27001: Termit ja määritelmät • • • • • • • • Suojattava kohde Käytettävyys Luottamuksellisuus Tietoturvallisuus Tietoturvatapahtuma Tietoturvahäiriö Eheys Jäännösriski • • • • Riskin hyväksyntä Riskianalyysi Riskien arviointi Riskien vaikutuksen arviointi • Riskien hallinta • Riskien käsittely • Soveltamissuunnitelma (SoA) 5.10.2015 | 30 27001: Vaiheet • Tietoturvallisuuden hallintajärjestelmän luominen ja johtaminen – Luominen – Toteuttaminen ja käyttäminen – Valvominen ja katselmointi – Ylläpitäminen ja parantaminen PDCA-malli (Plan-Do-CheckAct) oli mukana versiossa 2005, mutta on poistettu 2013 versiosta 5.10.2015 | 31 27001 sisältö (1/2) • Organisaatio ja toimintaympäristö – Hallintaympäristön kokonaisuuden ymmärtäminen – Sidosryhmien tarpeiden ymmärtäminen – Hallintajärjestelmän sovellusalan määrittämien • Johtaminen – Johtajuus ja johdon sitoutuminen – Tietoturvapolitiikka – Roolit, velvollisuudet ja oikeudet • Suunnittelu – Riskien ja mahdollisuuksien käsittely – Tietoturvatavoitteet ja tarvittavien toimien suunnittelu – Suunnittelun ja päätösten dokumentointi 12.1.2017 | 32 27001 sisältö (2/2) • Tukitoiminnot – Resurssit – Pätevyys – Tietoisuus – Viestintä – Dokumentointi • Toiminta – Suunnittelu ja ohjaus – Tietoturvariskien arviointi ja käsittely • Suorituskyvyn arviointi – Seuranta, mittaus, analysointi ja arviointi – Sisäinen auditointi – Johdon katselmus • Parantaminen – Poikkeamat ja korjaavat toimenpiteet – Jatkuva parantaminen 12.1.2017 | 33 27001 vaatii, että hallinto • tarkastelee organisaation tietoturvallisuusriskejä järjestelmällisesti, ottaen huomioon uhkat, haavoittuvuudet ja vaikutukset • suunnittelee ja toteuttaa yhdenmukaiset ja kattavat tietoturvallisuuskontrollit ja riskien käsittelyohjeet (suite), jotta riskit, joita on mahdoton hyväksyä, saadaan käsiteltyä (address), ja • omaksuu ylikaartuvan (overarching) hallintoprosessin varmistaakseen tietoturvallisuuskontrollien jatkuvuuden tulevaisuudessa. 5.10.2015 | 34 27001:n käyttö • Käytetään yhdessä ISO/IEC 27002:n kanssa – ISO/IEC 27001 liite A sisältää listan hallintatavoitteista ja -keinoista – ISO/IEC 27002 sisältää tarkemmat kuvaukset hallintakeinoista • 27001 antaa vaatimuksia tietoturvallisuuden hallintajärjestelmän – sisäiseen auditointiin, – johdon katselmointiin, ja – parantamiseen 27.8.2012 | 35 Hallintatavoitteiden jaottelu • 14 pääkohtaa – Tietoturvapolitiikat – Tietoturvallisuuden organisointi – Henkilöstöturvallisuus – Suojattavan omaisuuden hallinta – Pääsynhallinta – Salaus – Fyysinen turvallisuus ja ympäristön turvallisuus – Käyttöturvallisuus – Viestintäturvallisuus – Järjestelmien hankkiminen, kehittäminen ja ylläpito – Suhteet toimittajiin – Tietoturvahäiriöiden hallinta – Liiketoiminnan jatkuvuuden hallintaan liittyviä tietoturvanäkökohtia – Vaatimustenmukaisuus 12.1.2017 | 36 Hallintakeinot • Yhteensä 35 pääturvallisuus-luokkaa pääkohtien alla – Hallintatavoite – Yksi tai useampi hallintakeinon tavoitteen saavuttamiseksi • Yhteensä 114 hallintakeinoa – Kuvaus – Toteuttamisohjeet – Lisätiedot • Hallintakeinoista käytetään englanninkielistä nimeä (security) control, joka toisinaan suomennetaan (turvallisuus-)kontrolli tai vastatoimenpide 12.1.2017 | 37 Hallintatavoitteet ja –keinot - esimerkki • Esimerkki: A.9 Pääsynhallinta – A.9.1 Pääsynhallinnan liiketoiminnalliset vaatimukset • Tavoite: hallita pääsyä tietoon ja tietojenkäsittelypalveluihin. • A.9.1.1 Pääsynhallintapolitiikka – Pääsynhallinnan periaatteet on laadittava, dokumentoitava ja katselmoitava liiketoiminnallisten vaatimusten ja tietoturvavaatimusten perusteella. • A.9.1.2 Pääsy verkkoihin ja verkkopalveluihin – Käyttäjille on sallittava pääsy ainoastaan niihin verkkoihin ja verkkopalveluihin, joihin heille on nimenomaisesti myönnetty pääsyoikeudet. 5.10.2015 | 38 Hallintatavoitteet ja –keinot - esimerkki • A.9.2 Pääsyoikeuksien hallinta – Tavoite: varmistaa valtuutettujen käyttäjien pääsy järjestelmiin ja palveluihin sekä estää luvaton pääsy niihin. – A.9.2.1 Käyttäjien rekisteröinti ja poistaminen • Hallintakeino: On toteutettava muodollinen käyttäjien rekisteröinti- ja poistamisprosessi, jonka avulla pääsyoikeudet jaetaan. – A.9.2.2 Pääsyoikeuksien jakaminen • Hallintakeino: On toteutettava muodollinen pääsyoikeuksien jakoprosessi, jonka avulla kyetään antamaan tai kumoamaan pääsyoikeus minkä tahansa tyyppiseltä käyttäjältä mihin tahansa järjestelmään tai palveluun. 5.10.2015 | 39 – … Hallintakeinoja… Hallinnollisia • Tietoturvapolitiikat • Roolit ja vastuut • Yhteydet viranomaisiin • Tehtävien eriyttäminen • Tietoturvallisuus projektienhallinnassa Henkilöstöturvallisuus • Taustatarkistus • Työsopimuksen ehdot • Johdon vastuut • Tietoturvatietoisuus, opastus ja -koulutus 12.1.2017 | 40 …Hallintakeinoja… Tiedonhallinta • Tiedon luokittelu • Tiedon merkintä • Suojattavan omaisuuden käsittely • Siirrettävien tietovälineiden hallinta • Tietovälineiden hävittäminen • Fyysisten tietovälineiden siirtäminen Pääsynhallinta • Pääsynhallintapolitiikka • Pääsy verkkoihin ja verkkopalveluihin • Käyttäjien rekisteröinti ja poistaminen • Käyttäjien tunnistautumistietojen hallinta • Pääsyoikeuksien uudelleenarviointi 12.1.2017 | 41 …Hallintakeinoja.. Fyysinen turvallisuus • Fyysinen turva-alue • Kulunvalvonta • Toimistojen, tilojen ja laitteistojen suojaus • Suojaus ulkoisia ja ympäristön aiheuttamia uhkia vastaan Viestintäturvallisuus • Verkon hallinta • Verkkopalvelujen turvaaminen • Tiedonsiirtopolitiikat ja –menettelyt • Sähköinen viestintä • Salassapito- ja vaitiolositoumukset 12.1.2017 | 42 …Hallintakeinoja… Järjestelmien hankkiminen, kehittäminen ja ylläpito • Tietoturvavaatimusten analysointi ja määrittely • Turvallisen kehittämisen politiikka • Turvallisen järjestelmäsuunnittelun periaatteet • Turvallinen kehitysympäristö • Järjestelmän turvallisuustestaus Tietoturvahäiriöiden hallinta • Vastuut ja menettelyt • Tietoturvatapahtumien raportointi • Tietoturvaheikkouksien raportointi • Tietoturvahäiriöihin vastaaminen • Tietoturvahäiriöistä oppiminen 12.1.2017 | 43 …Hallintakeinoja Jatkuvuuden hallinta • Tietoturvallisuuden jatkuvuuden suunnittelu • Tietoturvallisuuden jatkuvuuden todentaminen, katselmointi ja arviointi • Tietojenkäsittelypalvelujen saatavuus Vaatimustenmukaisuus • Sovellettavien lakisääteisten ja sopimuksellisten vaatimusten yksilöiminen • Immateriaalioikeudet • Tietosuoja ja henkilötietojen suojaaminen • Tietoturvallisuuden riippumaton katselmointi 12.1.2017 | 44 …Hallintakeinoja.. Käyttöturvallisuus • Dokumentoidut toimintaohjeet • Muutoksenhallinta • Kehitys-, testaus- ja tuotanto ympäristöjen erottaminen • Haittaohjelmilta suojautuminen • Tietojen varmuuskopiointi • Tapahtumien kirjaaminen • Lokitietojen suojaaminen • Teknisten haavoittuvuuksien hallinta • Ohjelmien asentamisen rajoittaminen 12.1.2017 | 45 ISO/IEC 27005:2011: ”Tietoturvariskien hallinta” • Soveltuu käytettäväksi organisaatioissa, jotka haluavat hallinnoida riskejä, jotka voivat vaarantaa yrityksen tietoturvallisuuden. • Tukee erityisesti ISO/IEC 27001 –standardin mukaisen tietoturvallisuuden hallintajärjestelmän vaatimuksia. • Ei esitä tai suosittele mitään tiettyä tietoturvan riskien hallinnan menettelytapaa. • Sisältää jäsentyneen, järjestelmällisen ja tiukan riskien analysointiprosessin, jonka 5 askelman avulla voidaan tuottaa riskien käsittelysuunnitelma • Suunnattu lähinnä organisaation tietoturvariskien hallinnasta vastaaville johtajille ja henkilöstölle. • Vaatii 27001 ja 27002 –standardit viiteasiakirjoiksi. 5.10.2015 | 46 27005: Riskien hallinnan termit • Vaikuttavuus, vaikutusarvo – Välitön vaikutus – Myöhempi vaikutus • Tietoturvariski • Riskin välttäminen • Riskeistä viestintä • Riskin suuruuden arviointi • • • • Riskin tunnistus Riskin pienentäminen Riskin säilyttäminen Riskin siirto 5.10.2015 | 47 27005:n sisältö • kuvaus tietoturvariskien hallintaprosessista (Information Security Risk Management, ISRM). – riskien arviointi (Information Security Risk Assessment, ISRA) – riskien käsittely (risk treatment) – riskien hyväksyntä (acceptance) – riskeistä viestiminen (communication) – Riskien tarkkailu (monitoring) ja katselmointi (review). 27.8.2012 | 48 27005: Tietoturvariskien hallintaprosessi 12.1.2017 | 49 5.10.2015 | 49 27005: Riskien käsittelytoiminta 5.10.2015 | 50 27005: Riskien käsittely • Käsittelyvaihtoehdot – Riskien pienentäminen – Riskin säilyttäminen – Riskin välttäminen – Riskin siirto • Käsittelyvaihtoehtojen valintamenetelmät – Kustannuksien ja hyötyjen suhde – Riskien haitalliset seuraukset – Harvinaiset mutta vakavat riskit 5.10.2015 | 51 Auditointi Ulkoinen auditointi Sisäinen auditointi Toimittajan auditointi Kolmannen osapuolen suorittama auditointi Lakien tai viranomaisten määräämiin tarkoituksiin tai Kutsutaan toisinaan ensimmäisen osapuolen auditoinniksi Kutsutaan toisinaan toisen vastaaviin tarkoituksiin osapuolen auditoinniksi Sertifiointiin (ks. myös standardin ISO/IEC 17021:2011 vaatimukset) 5.10.2015 | 52 Esimerkki auditointiprosessista • Vaihe 1. Tietoturvallisuuden hallintajärjestelmän alustava ja epävirallinen katselmointi – Keskeisten asiakirjojen olemassaolon ja kattavuuden tarkistamiseen (organisaation tietoturvapolitiikka, soveltamissuunnitelma, riskien käsittelysuunnitelma). • Vaihe 2. Yksityiskohtaisempi ja muodollisempi audiointi – Tietoturvallisuuden hallintajärjestelmän testaus ISO/IEC 27001:n vaatimuksia vasten, sekä todisteiden keräys siitä, että johtamisjärjestelmä on suunniteltu ja toteutettu oikein ja on käytössä. Läpipääsy antaa sertifioinnin. • Vaihe 3. jatkokatselmoinnit ja auditoinnit – Säännöllinen uudelleenarviointi. 5.10.2015 | 53 ISO 27001 sertifioidut organisaatiot (1/2) 12.1.2017 | 54 ISO 27001 sertifioidut organisaatiot (2/2) Sertifioidut organisaatiot Suomessa 35 30 25 27 28 2011 2012 32 32 2013 2014 23 20 18 15 14 13 2007 2008 10 5 1 0 2006 2009 2010 12.1.2017 | 55 Standardin soveltaminen ja kokemuksia* • Johdon todellinen sitouttaminen voi olla hankalaa – Johto voi lähteä innokkaana mukaan, koska heidän mielestään tietoturva on tärkeää, mutta siinä vaiheessa kun heidän pitää muuttaa omaa käytöstään, kohdataan hankaluuksia – Johto pitää pystyä sitouttamaan kunnolla ennen kuin standardeja aletaan viedä alemmille portaille • Kaikkien hallintotasojen kouluttaminen ja sitouttaminen on tärkeää • Yritys voi olla ennakoiva tietoturvan suhteen. • Suurilta ja kalliilta yllätyksiltä voidaan välttyä. • Jotkut 27K:n asiat eivät ole välttämättä kustannustehokkaita erityisesti pienille yrityksille. * Lea Viljanen 5.10.2015 | 56 Standardin soveltaminen ja kokemuksia • Lopputöitä: – Ilmari Luoma, ”Tietoturvallisuusauditointi ISO 27000viitekehyksessä”, 2015 – Kirsi Kautola, ”Tietoturva- ja uhkakartoitus”, 2013 – Mikko Nisonen, ”Tietoturvallisuuden hallintajärjestelmä JYVSECTEC –hankkeeseen”, 2012 – Markus Kuivalainen, ”Valmistautuminen ISO/IEC 27001 standardin sertifiointiin”, 2011 – Matti Laakso, ”PK-yrityksen tietoturvasuunnitelman laatiminen”, 2010 – Simo Kemppainen, ”Tietoturvallisuuden sertifiointi ISO/IEC 27001 -tietoturvallisuusstandardilla”, 2009 5.10.2015 | 57 Tietoturvallisuusstandardin käytön hyödyt • ISO/IEC 27001: – Parempi kuva organisaatiossa itsestään. • Tietoturvaan liittyvän tiedon määrä ja ymmärrys sen tärkeydestä lisääntyy. – Vältetyt riskit vähentävät kuluja. – Organisaation toiminnot sujuvat sulavammin, koska vastuut ja prosessit on selvästi määritelty. – Tietoturvavalveutuneisuus paranee. – Yhteiset termit ja käytännöt helpottavat kommunikointia muiden organisaatioiden kanssa. – Asiakkaiden luottamus ja näkemys yrityksestä paranee. 5.10.2015 | 58 ISO:n standardointiprosessi Jos ehdotus hyväksytään Jos tekninen komitea hyväksyy työversion Ehdotus ko. alueen tekniselle komitealla Asiantuntijoiden ryhmä valmistelee työversion Ensimmäinen työversio jaetaan tekniselle komitealle ja ISO:n sihteeristölle Työversio jaetaan kaikille kansallisille jäsenille kommentteja varten Äänestysversio lähetetään kansallisille jäsenille äänestystä varten Valmis standardi Jos yhteisymmärrys saavutetaan http://www.iso.org/iso/home/standards_development.htm Jos standardi hyväksytään äänestyksessä 12.1.2017 | 59 Lisätietoa standardeista • ISO:n online browsing platform -palvelu – http://www.iso.org/obp/ui • 27K-standardiperheestä vastaa kansainvälinen ISO/IEC JTC 1/SC 27 -komitea, erityisesti työryhmä 1 (WG 1). • Suomen osalta SFS:n seurantaryhmä SR 307 Tietoturvatekniikat seuraa komitean ja sen työryhmien työtä ja lähettää kansallisia kannanottoja. – Puheenjohtaja: Reijo Savola (VTT) – Sihteeri: Saana Seppänen (SFS) 5.10.2015 | 60