Esittely latautuu. Ole hyvä ja odota

Esittely latautuu. Ole hyvä ja odota

OPPILAITOSPORTAALI SFSedu.fi -sivuilta löytyy valmiita kalvosarjoja opettajien ja opiskelijoiden käyttöön. Materiaalit sopivat sekä yliopistojen että ammattikorkeakoulujen.

JulkaistuIivari Siitonen Muutettu yli 9 vuotta sitten

Samankaltaiset esitykset

Esitys aiheesta: "OPPILAITOSPORTAALI SFSedu.fi -sivuilta löytyy valmiita kalvosarjoja opettajien ja opiskelijoiden käyttöön. Materiaalit sopivat sekä yliopistojen että ammattikorkeakoulujen."— Esityksen transkriptio:

1 OPPILAITOSPORTAALI SFSedu.fi -sivuilta löytyy valmiita kalvosarjoja opettajien ja opiskelijoiden käyttöön. Materiaalit sopivat sekä yliopistojen että ammattikorkeakoulujen syventäville kursseille. Niiden myötä opiskelijat osaavat nykyistä paremmin käyttää standardeja siirtyessään työelämään. Tämä kalvosarja on yksi SFSedu.fi -sivuilla olevista kalvosarjoista.

2 ISO/IEC 27000 -standardiperhe
Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät. ISO/IEC standardiperhe Kalvosarja oppilaitoksille Suomen Standardisoimisliitto SFS ry 2012 Näiden kalvojen aiheena on ISO perhe, jonka yleisenä otsikkona on "Informaatioteknologia - Turvallisuus - Tietoturvallisuuden hallintajärjestelmät"

3 Tervetuloa luentoaineiston käyttäjäksi!
Tämän luentoaineiston ovat laatineet Teemu Väisänen VTT:ltä ja Juha Kreus Laurea ammattikorkeakoulusta. Kalvosarja on tuotettu SFS:n projektirahoituksella. Aineisto on suunnattu ammattikorkeakoulujen ja yliopistojen opettajille ja opiskelijoille. Kalvosarja esittelee tietoturvallisuuden hallintajärjestelmästandardiperheen ISO/IEC 27000, sen käyttömahdollisuuksia ja yhteyksiä muihin alan keskeisiin julkaisuihin. Tavoitteena on tukea standardiperheen sisällyttämistä tietoturvallisuuden hallintajärjestelmiä käsitteleviin opetussuunnitelmiin ja kurssien sisältöön. Tässä kalvosarjassa ei käsitellä kaikkia perheen standardeja yksityiskohtaisesti, vaan yleisen johdanto-osan jälkeen esitellään joidenkin standardien keskeiset sisällöt ja pääkohdat.

4 Aineiston käyttö ja tekijänoikeudet
Tämän luentoaineiston tekijänoikeudet omistaa Suomen Standardisoimisliitto SFS ry. Esitystä saa vapaasti käyttää opetustarkoituksiin ja sitä saa tarvittaessa muokata. Aineistoa lainattaessa lähde tulee mainita. Aineiston käyttö kaupallisiin tarkoituksiin on kielletty. Tämä materiaali on päivitetty viimeksi

5 Sisältö Opetuskokonaisuus Turvallisuuden kokonaisuus
Tietoturvallisuuden hallinta ja siihen liittyvät termit Tietoturvallisuuden hallintajärjestelmä ISO/IEC standardiperhe Historia, standardit ja viitekehys Tietoturvauhkat Standardit ja lainsäädäntö Lisätietoa ISO/IEC ja standardeista Kokemuksia ja hyötyjä standardien käytöstä Tällä kalvolla on kerrottu hieman kalvosarjan sisällöstä. Kalvoissa keskityttiin tietoturvallisuuden hallintaan liittyviin asioihin, termeihin ja ISO/IEC standardiperheen selitykseen keskittyen kahteen tärkeään standardiin: ja standardeihin.

6 Opetuskokonaisuus Opetuskokonaisuus on yksi 45 min oppitunti
Kalvot soveltuvat 27K-standardisarjan esittelyyn ainakin tietotekniikkaan, tietojenkäsittelytieteisiin, tietoturvaan, johtamiseen ja standardisointiin liittyvillä syventävillä kursseilla yliopistoissa ja ammattikorkeakouluissa. Kalvot riittävät ainakin yhden 45-minuutin oppitunnin materiaaliksi, jos oppilaat jo tietävät käytettävät termit tai ne jätetään heille kotitehtäväksi. Materiaalia on kuitenkin pidempiäkin opetussessioita varten, jos kaikki kalvoilla olevat asiat käy tarkasti läpi. Kalvot soveltuvat 27K –standardisarjan esittelyyn esim. tietotekniikkaan, tietojenkäsittelytieteisiin, tietoturvaan, johtamiseen ja standardisointiin liittyvillä syventävillä kursseilla yliopistoissa ja ammattikorkeakouluissa. Osa asioista sopii myös taloustietieteiden / liiketalouden kursseille. Joidenkin kalvojen notes-osassa on lisää asiaa, jota opettajat voivat käyttää hyväksi opetussessioissa tai joista oppilaat voivat lukea lisää aiheista.

7 Turvallisuuden kokonaisuus
Kuva esittää turvallisuuden kokonaisuuden, ja siitä nähdään, että tietoturvallisuus on yksi osa-alue turvallisuudessa.

8 Tietoturvallisuuden hallintajärjestelmän tarve
Kaikentyyppiset ja -kokoiset organisaatiot keräävät, käsittelevät, säilyttävät ja välittävät suuria määriä informaatiota, pitävät informaatiota sekä siihen liittyviä prosesseja, järjestelmiä, verkkoja ja ihmisiä tärkeinä turvattavina kohteina, joiden avulla organisaation tavoitteet saavutetaan, kohtaavat monia erilaisia riskejä, jotka voivat vaikuttaa turvattavien kohteiden toimintaan, ja muokkaavat riskejä toteuttamalla tietoturvamekanismeja. Kalvolla esitetään ISO/IEC standardin 3. kappaleen ”Tietoturvallisuuden hallintajärjestelmät” johdanto. Tietoturvallisuuden merkitys organisaatioissa on merkittävä, tähän vaikuttaa mm. tietoturvauhat. Tietoa siirretään eri järjestelmien välillä, myös yritysten välillä. Tieto on usein yritysten tärkeintä omaisuutta. Lait antavat vaatimuksia tiedon (esim. asiakastietojen) säilytykseen.

9 Tietoturvallisuuden hallintajärjestelmä
on osa yleistä hallintajärjestelmää, joka liiketoimintariskien arviointiin perustuen luodaan ja toteutetaan ja jota käytetään, valvotaan, katselmoidaan, ylläpidetään ja parannetaan tavoitteena hyvä tietoturvallisuus luodaan yritysjohdon tietoturvatyön organisoimiseksi ja helpottamiseksi. Hallintajärjestelmien tulisi kattaa kaikki tietoturvan johtamisessa, hallinnoimisessa ja valvonnassa tarvittavat menettelyt ja toimenpiteet. ei ole yksittäinen dokumentti, vaan moniosainen prosessi, jota on kehitettävä jatkuvasti. Hallintajärjestelmän osia ovat mm. riskianalyysi, tietoturvapolitiikka, tietoturva-, jatkuvuus- ja toipumissuunnitelmat. Tämä kalvo esittelee yhden 27K-sarjan tärkeimmän käsitteen, tietoturvallisuuden hallintajärjestelmän. ISO/IEC perheen standardit eivät edellytä määrättyä tietoturvallisuuden hallintajärjestelmän rakennetta. Se kehottaa soveltajia luomaan omat mallinsa, joilla järjestelmät toteutetaan. Standardien logiikasta voidaan määritellä rakenne, jolla tietoturvallisuus voidaan parhaalla tavalla toteuttaa. Lähtökohtana ovat organisaation strategiset tavoitteet. Strategiset tavoitteet kuvataan tietoturvallisuuden hallinnan kannalta tietoturvallisuuspolitiikkana, riskienhallintapolitiikkana ja tietoturvallisuusorganisaationa. Kohteille (assets) määritellään tietoturvallisuusarkkitehtuuri, jossa kuvataan tietoturvallisuuden keskeiset rakenteelliset piirteet. Näiden määrittelyjen jälkeen määritellään teknologiat ja tietoturvallisuustavoitteet, joiden avulla arkkitehtuurin määrittelemät tekijät tulee toteuttaa. Käytännössä tietoturvallisuus realisoidaan prosesseissa, joissa organisaatio tai palvelu tuottaa toimintansa kannalta relevantit asiat sekä infrastruktuurissa, joka on edellisen edellytys. Edellisten tulee johtaa organisaation tietoturvallisuusosaamiseen. Toiminnan edellytyksenä on, että on määriteltynä prosessi, jolla tietoturvallisuutta arvioidaan ja tavoitteita asetetaan sekä toinen, jolla luodun järjestelmän tuloksia arvioidaan.

10 27000-standardiperhe ISO/IEC viittaa kasvavaan ISO/IEC-standardiperheeseen, jonka yhteinen otsikko on "Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät". Tarjoaa suosituksia tietoturvallisuuden hallintaan, riskeihin ja kontrollointiin tietoturvallisuuden hallintajärjestelmissä. Myös muut 27-alkuiset tietoturvallisuuteen liittyvät standardit lasketaan toisinaan perheeseen kuuluvaksi. Myös monet muut 27-alkuiset tietoturvallisuuteen liittyvät standardit voidaan laskea kuuluvaksi perheeseen. Standardi tarjoaa suosituksia tietoturvallisuuden hallintaan, riskeihin ja kontrollointiin tietoturvallisuuden hallintajärjestelmissä.

11 27000-standardiperheen historia ja kehittyminen
Englannin aloite 1992: Code of Practice for Information Security Management (hallituksen opaste) 1995: Muutetaan BSI standardiksi BS 7799 1999: Sertifiointi alkaa täysimääräisenä 2000: ISO/IEC  ISO/IEC 27002:2005 2002: BS Information Security Management Specification  ISO/IEC 27001:2005 27000, ja 27002:n 2. painos valmisteilla Uudet versiot vuoden 2013 aikana BSI Group (BSI tai British Standards Institution)

12 27000-standardiperhe… 27000: Yleiskatsaus ja sanasto - Overview and vocabulary 27001: Vaatimukset - Requirements 27002: Tietoturvallisuuden hallintaa koskeva menettelyohje - Code of practice for information security management 27003: Tietoturvallisuuden hallintajärjestelmän toteuttamisohjeita - Information security management system implementation guidance 27004: Mittaaminen - Measurement 27005: Tietoturvariskien hallinta - Information security risk management 27006: Auditointi- ja sertifiointielinten vaatimukset – Requirements for bodies providing audit and certification of information security management systems (suomennosta ollaan tekemässä) 27007: Guidelines for Information Security Management Systems Auditing (suomennosta ollaan tekemässä) 27008: Guidelines for auditors on information security management systems controls (suomennosta ollaan tekemässä) 27010 :?- Information security management for inter-sector and inter-organizational communications 27011: Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 Tämän ja seuraavien kalvojen nimet on otettu ISO:n sivuilta. Standardit on jo suomennettu Standardit ovat suomennoksen alla Standardiperheen standardit voi käydä nopeasti läpi keskittyen mielenkiintoisiin tai mainiten että tässä kalvosarjassa käsitellään tarkemmin 27001:stä ja 27005:sta, jotka on alleviivattu. Standardit, joita ei ole vielä julkaistu, on kursivoitu. määrittelee ja nimeää keskeneräiset hieman eri tavalla seuraavasti: CONFIRMED (27000, 27007, 27008, 27011, 27033, 27799), UNCONFIRMED / NOT YET CHEDULED (27010 – ISM Guidelines for Sector-Sector Working and Communications, – ICT readiness for Business Continuity, – Cyber security, – Guidelines for application security, – Telecommunications (ITU-T)) , SPECULATION – INDUSTRY SPECIFIC STANDARDS (27012 – Finance, Manufacturing), IRCA (Espanjassa) sotkee asiat nimeämällä samoilla numeroilla (27012 – Automotive Industry, Lotteries)

13 …27000-standardiperhe… 27013:? - Guidelines on the integrated implementation of ISO/IEC and ISO/IEC 27014:? - Governance of information security 27015:? - Proposal on an Information security management guidelines for financial and insurance services 27016:? - Organizational economics 27017:? - Cloud computing security and privacy management system -- Security controls 27018:? - Code of practice for data protection controls for public cloud computing services 27031: Guidelines for information and communication technology readiness for business continuity 27032:? - Guidelines for cybersecurity 27033:eri osia - Network security, sisältää useita osia (1–7) 27034:eri osia – Application security, sisältää useita osia (1–5) 27035: Information security incident management 27036:eri osia - Information security for supplier relationships, sisältää useita osia (1-3) Standardit, joita ei ole vielä julkaistu, on kursivoitu.

14 …27000-standardiperhe 27037:? - Guidelines for identification, collection, acquisition and preservation of digital evidence 27038:? - Specification for Digital Redaction 27039:? - Selection, deployment and operations of intrusion detection systems 27040:? - Storage security 27041:? - Guidance on assuring suitability and adequacy of investigation methods 27042:? - Guidelines for the analysis and interpretation of digital evidence 27043:? - Investigation principles and processes 27799: Health Informatics: Information security management in health using ISO/IEC 27002 Standardit, joita ei ole vielä julkaistu, on kursivoitu.

15 27000 viitekehys Kuvassa esitetään tietoturvallisuuden hallintajärjestelmästandardien väliset suhteet Tietoturvallisuuden hallintajärjestelmästandardien sarja koostuu toisiinsa liittyvistä standardeista, joista osa on julkaistu ja osa on valmisteilla. Tietoturvallisuuden hallintajärjestelmästandardien sarja liittyy moniin muihin ISO- ja ISO/IEC -standardeihin. Standardit luokitellaan tarkemmin johonkin seuraavista tyypeistä: yleiskatsauksen ja termit sisältävät standardit (27000) vaatimuksia määrittelevät standardit (27001, 27006) yleisiä ohjeita antavat standardit (27002, 27003, 27004, 27005, 27007) ja sektorikohtaisia ohjeita antavat standardit (27011, 27799).

16 Tietoturvallisuusuhat
Teollisuusuhat Hyökkäykset sulautettuja laitteita vastaan Haktivismi ja anonymiteetti Virtuaalinen raha Cyberwar DNSsec Spam ”laillistuu” Mobiilit uhkat, bottiverkot ja rootkitit Väärät sertifikaatit Käyttöjärjestelmien uudet tietoturvaomaisuudet kohdistavat hyökkäykset muualle Sosiaalinen media ja verkko Käyttöjärjestelmät Hyökkäykset kannettavia laitteita vastaan Uudet teknologiat (HTML5, IPv6) Viihde-elektroniikka Haktivismi ja suunnatut hyökkäykset lisääntyvät Tietoa koskevat määräykset ja rangaistukset Mobiilimaksaminen Pilvipalvelut Perusasioissa tehdään virheitä Kalvolla on listattu tietoturvallisuusuhkia. Lähteenä on käytetty McAfeen ja Sophosen vuoden 2012 uhkaennustedokumentteja. McAfee: Teollisuutta ja kansallisia infrastruktuureja vastaan kohdistuvat uhkat kypsyvät ja segmentoituvat. Yhtenä esimerkkinä oli Stuxnet. Hyökkäykset sulautettuja laitteita vastaan laajentuvat ja syventyvät. Hyökkäykset voivat kohdistua esim. laitetasolle (hardware). Esim. autoihin ja lääketieteellisiin laitteisiin kohdistuvat hyökkäykset tulevat tehokkaammiksi. Haktivismi ja anonymiteetti lisääntyy. Esimerkkeinä Wikileaks, DDoS -hyökkäykset, protestoijat ja maiden väliset hyökkäykset. Virtuaalisen rahan suosio ja käyttö lisääntyy, jolloin myös hyökkäykset niitä vastaan lisääntyy. Esimerkkinä BitCoinia vastaan tehdyt erilaiset hyökkäykset. McAfee toivoo, että Cyberwar, eli hyökkäykset kriittisiä infrastruktuureja kohtaan pysyvät demojen tasolla. DNSsec:n käyttö toisi paljon parannusta tietoturvaan (esim. MitM-hyökkäyksiin), mutta tuo myös ongelmia ja voi vaatia muutoksia lakeihin. Spam ”laillistuu”: Mainoksien lähettäjät käyttävät kehittyneitä keinoja viestien lukijoiden seuraamiseen. Mobiilit uhkat, mobiilit bottiverkot, rootkitit ja hyökkäykset mobiileja pankkisovelluksia vastaan lisääntyvät ja kehittyvät. Nykyiset järjestelmät perustuvat allekirjoituksiin ja sertifikaatteihin, mutta mitä jos joku varastaa oikeuden allekirjoittaa niitä? MitM-hyökkäykset lisääntyvät, vaarallisten ohjelmien suoritus on mahdollista, koska ne on allekirjoitettu oikein, jne. Uusissa käyttöjärjestelmissä on mukana suojausominaisuuksia, joilla tietoturvan pitäisi parantua. Tämän seurauksena hyökkääjät tekevät rootkitteja, joilla he hyökkäävät käyttöjärjestelmän ulkopuolella laitteistoa (hardware) ja laiteohjelmia (firmware) vastaan. SOPHOS: Sosiaalinen media ja verkko houkuttelevat hyökkääjiä parantelemaan haittaohjelmia ja lisäämään hyökkäyksien määrää. He käyttävät hyväkseen sosiaalisen median alustoja ja niihin integroituja sovelluksia. Hyökkäykset muita kuin Microsoftin käyttöjärjestelmiä vastaan lisääntyvät. Mobiililaitteita kuten tabletteja ja puhelimia vastaan suunnatut hyökkäykset lisääntyvät jolloin tietoturvavastaavat joutuvat hallitsemaan yhä laajemmat mobiilialustat, joissa kaikissa on yksilölliset riskinsä. Uudet webbi- ja verkkoteknologiat kuten HTML5 ja IPv6 tuovat paljon uusia ominaisuuksia, mutta samalla uusia hyökkäysmahdollisuuksia ja uhkia. Arkipäivän halvat viihde-elektroniikka ja kulutuslaitteet aiheuttavat tasonlaskua tietoturvassa, koska halpatuotteissa ei panosteta riittävästi turvallisuuteen. Hakkerointi ja suunnatut hyökkäykset lisääntyvät, koska ihmisten tietoisuus kyberrikollisuudesta on lisääntynyt. Tietoa koskevat määräykset lisääntyvät ja rangaistukset kovenevat ja ne koskettavat merkittävästi monia organisaatioita. Uusilla määräyksillä ja laeilla (SOPA, EU:n DPD) on merkitystä tiedon suojaamiseen ja ihmisten yksityisyyteen. Esim. NFC:hen perustuvat mobiilit maksutavat ja maksupäätteet houkuttelevat hyökkäyksiä integroituja maksualustoja vastaan, koska ne sisältävät tietoa ihmisten elämästä ja heidän rahansa. Jotkut yritykset eivät ole luottaneet pilvipalveluihin, mutta alkavat nyt käyttää niitä. Tämä tarkoittaa tiedon salaamista missä tahansa se olikin. Tietoturvallisuuden perusasioissa kuten ohjelmien ja käyttöjärjestelmien päivityksissä ja salasanojen hallinnassa tehdään virheitä. Hyökkäykset kohdistuvat ajan tasalla olemattomiin laitteisiin. Tietojen salaus auttaa pilvipalveluiden ja uusien laitteiden käyttöönottoa. Tämä kalvo kannattaa päivittää vuosittain! Lähteet: McAfee 2012 Threats Predictions ja Sophos Security Threat Report 2012

17 Standardit ja lainsäädäntö
Standardisoimislaki Sertifiointilaitoksia koskeva lainsäädäntö Yhteissääntely Kansallinen turvallisuusauditointikriteeristö (KATAKRI) Päätavoitteena yhtenäistää viranomaistoimintoja silloin, kun viranomainen toteuttaa kohteen turvallisuustason auditoinnin yrityksessä tai muussa yhteisössä. Valtionhallinnon tietoturvallisuuden johtoryhmä (VAHTI) Tavoitteena on parantaa valtionhallinnon toimintoja kehittämällä tietoturvallisuutta sekä edistää tietoturvallisuuden saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta. Standardisoimislaki Sertifiointilaitokset Tietoturvallisuuden arviointilaitokset voivat käyttää hyväkseen FINAS-akkreditointipalvelua, mutta laitosten toiminta kokonaisuutena on vailla ulkopuolista valvontaa. Yritysturvallisuudella on kasvava merkitys muun ohella kansainvälisten hankintakilpailujen vuoksi sekä yritysten innovaatiotoiminnan ja muun toiminnan verkottuessa. Siten arviointilaitosten valvonta on myös yritysten intressissä. Arviointilaitoksia, jotka voisivat hakea ehdotettua Viestintäviraston hyväksyntää, on tällä hetkellä puolisenkymmentä. Lain tarkoitusta toteutetaan antamalla arviointilaitoksille mahdollisuus hakea toimintaansa varten Viestintäviraston hyväksyntä. Arviointitoiminnasta ei ehdotuksen mukaan tulisi luvan- tai ilmoituksenvaraista toimintaa, vaan hyväksynnän hakeminen olisi arviointilaitoksille mahdollisuus, ei velvoite Standardointiin ja sertifiointiin liittyy erilaisia lakeja, viranomaistoiminnan yhtenäistämiseen on tehty kriteeristö (KATAKRI), ja VAHTI on muodostettu parantamaan valtionhallinnon toimintoja. KATAKRI: -> etsi ”katakri” VAHTI:

18 Keskeiset käsitteet 27000 1/2 Pääsynvalvonta Tilivelvollisuus
Turvattava kohde Hyökkäys Todennus Aitous Saatavuus Toiminnan jatkuvuus Luottamuksellisuus Turvamekanismi Valvontatavoite Korjaava toimenpide Vaikuttavuus Tehokkuus Tapahtuma Ohje (Haitta)vaikutus Tieto-omaisuus Tietoturvallisuus Tietoturvatapahtuma Tietoturvahäiriö Tietoturvahäiriöiden hallinta Tietoturvallisuuden hallintajärjestelmä (ISMS) Kalvolla listatut keskeiset käsitteet voi käydä nopeasti läpi keskittyen esim. pariin kohtaan tai jättää vaikka kotitehtäviksi. Pääsynvalvonta Pääsyoikeuksien valvonta: keinot, joilla varmistetaan, että turvattaviin kohteisiin pääsevät vain valtuutetut tahot ja että pääsyä rajoitetaan liiketoiminta- ja turvallisuusvaatimusten perusteella Tilivelvollisuus Vastuullisuus: jonkin tahon vastuu sen omista teoista ja päätöksistä. Turvattava kohde Suojattava kohde: mikä tahansa, mikä on arvokas organisaatiolle. Esim. informaatio, ohjelmistot, fyysiset kohteet, palvelut, ihmiset ja maine. Hyökkäys Yritys tuhota, paljastaa tai varastaa turvattava kohde, muuttaa sitä, tehdä se toimimattomaksi, päästä siihen luvatta käsiksi tai käyttää sitä luvatta. Todennus Varmistuminen siitä, että jonkin tahon jokin ominaisuus on mitä sen väitetään olevan. Aitous Autenttisuus: tahon ominaisuus olla mitä se väittää olevansa. Saatavuus Ominaisuus, joka tarkoittaa kohteen olevan saatavilla ja käyttökelpoinen valtuutetun tahon niin vaatiessa. Toiminnan jatkuvuus Liiketoiminnan jatkuvuus: prosessit ja menettelyt, joilla varmistetaan liiketoiminnan jatkuminen. Luottamuksellisuus Ominaisuus, joka tarkoittaa, että tietoa ei anneta saataville tai paljasteta luvattomille henkilöille, tahoille tai prosesseille. Turvamekanismi Riskin hallitsemiseen käytettävät keinot, jotka voivat olla toimintaperiaatteita, menettelyjä, ohjeita, käytäntöjä tai organisaatirakenteita, joiden luonne voi olla havainnollinen, tekninen, johtamiseen liittyvä tai juridinen. Valvontatavoite Lausuma, joka kertoo, mitä turvamekanismien toteuttamisella on tarkoitus saavuttaa. Korjaava toimenpide Toimenpide, jonka tarkoituksena on poistaa havaitun poikkeaman tai muun ei-toivotun tilanteen syy. Vaikuttavuus Laajuus, jolla suunnitellut toimenpiteet toteutetaan ja jolla suunnitellut tulokset saavutetaan. Tehokkuus Saavutettujen tulosten ja käytettyjen resurssien suhde. Tapahtuma Tietyn olosuhdejoukon esiintyminen Ohje Suositus siitä, mitä toimenpiteitä odotetaan, jotta tavoite voidaan saavuttaa. (Haitta)vaikutus Haitallinen muutos liiketoimintatavoitteiden saavuttamisen tasossa. Tieto-omaisuus Tieto tai aineisto, joka on arvokas organisaatiolle. Tietoturvallisuus Informaation luottamuksellisuuden, eheyden ja saatavuuden säilyttäminen. Tähän voi sisältyä muitakin ominaisuuksia, kuten aitous, tilivelvollisuus, kiistämättömyys ja luotettavuus. Tietoturvatapahtuma Tunnistettu järjestelmän, palvelun tai verkon tila, joka viittaa mahdolliseen tietoturvallisuuteen liittyvän politiikan murtamiseen tai turvamekanismien pettämiseen, tai aikaisemmin tuntematon tilanne, jolla saattaa olla merkitystä turvallisuudelle. Tietoturvahäiriö Yksi tai useampi epätoivottu tai odottamaton tietoturvatapahtuma, joka merkittävällä todennäköisyydellä vaarantaa liiketoiminnot ja uhkaa tietoturvallisuutta. Tietoturvahäiriöiden hallinta Prosessit, joiden avulla voidaan havaita, raportoida ja arvioida tietoturvahäiriöt, reagoida niihin, käsitellä niitä ja oppia niistä. Tietoturvallisuuden hallintajärjestelmä (ISMS) Selitetty tarkemmin jo aiemmin. Liiketoimintariskien arviointiin perustuva yleisen johtamisjärjestelmän osa, jonka avulla luodaan, toteutetaan, käytetään, valvotaan, katselmoidaan, ylläpidetään ja parannetaan hyvää tietoturvallisuutta.

19 Keskeiset käsitteet 27000 2/2 Tietoturvariski Eheys
Johtamisjärjestelmä Kiistämättömyys Politiikka Ehkäisevä toimenpide Menettely Prosessi Tallenne Luotettavuus Riski Riskin hyväksyntä Riskianalyysi Riskien arviointi Riskeistä viestintä Riskikriteerit Riskin suuruuden arviointi Riskien arvottaminen Riskien hallinta Riskien käsittely Soveltamissuunnitelma (SoA) Uhka Haavoittuvuus Kalvolla listatut keskeiset käsitteet voi käydä nopeasti läpi keskittyen esim. pariin kohtaan tai jättää vaikka kotitehtäviksi. Tietoturvariski Mahdollisuus, että uhka hyödyntää turvattavan kohteen tai turvattavien kohteiden ryhmän haavoittuvuutta ja siten aiheuttaa organisaatiolle haittaa Eheys Turvattavien kohteiden virheettömyys ja täydellisyys Johtamisjärjestelmä Politiikasta, menettelyistä, ohjeista ja niihin liittyvistä resursseista koostuvat puitteet, joiden avulla organisaation tavoitteet saavutetaan. Kiistämättömyys Kysy todistaa väitetyn tapahtuman tai toimenpiteen tapahtuminen ja sen tekijätahot, jotta voidaan ratkaista kiistat siitä, tapahtuiko tapahtuma tai toimenpide vai ei ja olivatko tietyt tahot osallisina tapahtumassa. Politiikka Johdon julkituoma yleinen tarkoitus ja suunta Ehkäisevä toimenpide Toimenpide, jonka tarkoituksena on poistaa mahdollisen poikkeaman tai muun mahdollisen ei-toivotun tilanteen syy Menettely Toiminnon tai prosessin määritelty suoritustapa Prosessi Sarja toisiinsa liittyviä tai vuorovaikutteisia toimintoja, jotka muuttavat syötteet tuotoksiksi. Tallenne Asiakirja, jossa esitetään saavutetut tulokset tai joka sisältää näytöt suoritetuista toimenpiteistä. Luotettavuus Ominaisuus, joka tarkoittaa aiotun käytöksen ja tulosten olevan yhdenmukaisia. Riski Tapahtuman todennäköisyyden ja sen seurauksen yhdistelmä Riskin hyväksyntä Päätös hyväksyä riskin ottaminen Riskianalyysi Systemaattinen tietojen käyttäminen riskien tunnistamiseen ja niiden vaikutuksen arviointiin Riskien arviointi Yleiskäsite prosessille, joka kattaa riskianalyysin ja riskien arvottamisen Riskeistä viestintä Riskiä koskevan tiedon vaihtaminen tai jakaminen päätöksentekijöiden ja muiden sidosryhmien kanssa Riskikriteerit Toimintaohjeet, joiden perusteella riskin merkittävyys arvioidaan Riskin suuruuden arviointi Toiminto, jossa riskin todennäköisyydelle ja seurauksille annetaan arvot Riskien arvottaminen Riskien vaikutuksen arviointi: prosessi, jossa tunnistettujen riskien vaikutusta verrataan annettuihin riskikriteereihin, jotta voidaan määrittää riskin merkityksellisyys Riskien hallinta Koordinoidut toimenpiteet, joilla johdetaan ja ohjataan organisaation riskien käsittelyä Riskien käsittely Prosessi, jossa valitaan ja toteutetaan riskejä muuttavia toimenpiteitä Soveltamissuunnitelma (SoA) Kirjallinen lausuma, joka kuvaa organisaation tietoturvallisuuden hallintajärjestelmän kannalta olennaiset ja siihen soveltuvat valvontatavoitteet ja turvamekanismit. Uhka Mahdollinen syy epätoivottuun tapahtumaan, josta voisi seurata haittaa järjestelmälle tai organisaatiolle Haavoittuvuus Turvattavan kohteen tai turvamekanismin heikkous, jota uhka voi käyttää hyväksi

20 ISO/IEC 27000:2009 ”Yleiskatsaus ja sanasto”
Sisältää koko ISO/IEC perheen yleiskatsauksen ja esittelyn, perheessä käytettyjen termien määritelmät ja niiden luokitukset ja yleisiä vaatimuksia. Määrittelee yleiset vaatimukset tietoturvallisuuden hallintajärjestelmän luomiselle, toteuttamiselle, käyttämisellä, valvonnalle, katselmoinnille, ylläpidolle ja parantamiselle. ISO standardi kategorisoi muita –perheen standardeja eri ryhmiin ja antaa niiden yleiskuvauksen. Yleiskatsauksen ja termit esittävät standardit (27000) Vaatimuksia määrittelevät standardit (27001, 27006) Yleisiä ohjeita antavat standardit (27002, 27003, 27004, 27005, 27007) Sektorikohtaisia ohjeita antavat standardit (27011, 27799) Liitteessä A selitetään miten tietoturvallisuuden hallintajärjestelmästandardien sarjassa käytettäviä verbi-ilmauksia on tarkoitus tulkita joko vaatimuksiksi tai suosituksiksi: Vaatimus, suositus, lupa, mahdollisuus Liitteessä B on luokiteltu standardissa aiemmin määritellyt termit seuraaviin kategorioihin: tietoturvallisuuteen liittyvät termit, johtamiseen liittyvät termit, tietoturvariskeihin liittyvät termit ja dokumentointiin liittyvät termit. Seuraavilla kalvoilla tarkennetaan 27001:stä ja 27005:sta.

21 ISO/IEC 27001 ja 27005 -standardit
Kaksi ehkä tärkeintä perheen standardia Määrittävät tietoturvallisuuden hallintajärjestelmän vaatimukset (27001) ja riskienhallinnan (27005). Tietoturvallisuuden hallintajärjestelmän käyttöönotto on organisaation strateginen päätös. Vuoteen 2009 mennessä yli organisaatiota oli sertifioitu. Siirrymme esittelemään kahta ehkä tärkeintä 27K -perheen standardia, 27001:stä ja 27005:sta. 27001 määrittelee tietoturvallisuuden hallintajärjestelmän vaatimukset ja määrittelee tietoturvallisuuden hallintajärjestelmän riskienhallinnan. Seuraavilla kalvoilla kerrotaan tarkemmin standardeista ja

22 ISO/IEC 27001:2005 ”Vaatimukset”
Tavoitteena linjata tietoturvallisuuden hallinta bisneksen määräystenmukaisuuden ja riskien vähennystavoitteiden kanssa Tarkoituksena suojella luottamuksellisuutta, eheyttä ja saatavuutta (CIA-malli) On hallinnointistandardi eikä tekninen standardi Ei kuvaa teknisesti ISMS-järjestelmien yksityiskohtia Keskittyy tietotekniikan lisäksi myös bisnesprosesseihin Keskittyy löytämään, hallinnoimaan ja vähentämään tärkeään tietoon liittyviä riskejä Tieto voi tai voi olla liittymättä tietotekniikkaan tai voi tai voi olla olematta digitaalisessa muodossa Tämä kalvo kertoo 27001:n perusteista. ISO/IEC on kansainvälinen standardi, joka määrittelee ne vaatimukset, jotka koskevat dokumentoidun tietoturvallisuuden hallintajärjestelmän luomista, toteuttamista, käyttämistä, valvontaa, katselmointia, ylläpitoa ja parantamista ottaen huomioon organisaation yleiset liiketoimintariskit. määrittelee vaatimukset turvamekanismien toteuttamista varten yksittäisen organisaation tai sen osien yksilöllisten tarpeiden mukaisesti. Tietoturvallisuuden hallintajärjestelmä luodaan takaamaan riittävien ja asianmukaisesti mitoitettujen turvamekanismien valinta. Niiden tulee suojata suojattavia kohteita ja luoda luottamusta sidosryhmille. 27001 on hyväksytty vuonna 2005. Se on korvannut BS :2002 -standardin tietoturvallisuuden hallintajärjestelmän sertifioinnin perustana. 27001 on vaatimusstandardi, joka perustuu ISO 17799:ssä (nykyisin ISO/IEC 27002) esitetyille hallintavaatimuksille (controls), jotka kuvaavat toimenpiteitä, joilla pyritään täyttämään hallintatavoitteita (control objectives) ISO määrittelee vaatimukset ja tavan, jolla vaatimukset toteutetaan.

23 27001: Termit ja määritelmät
Suojattava kohde Käytettävyys Luottamuksellisuus Tietoturvallisuus Tietoturvatapahtuma Tietoturvahäiriö Eheys Jäännösriski Riskin hyväksyntä Riskianalyysi Riskien arviointi Riskien vaikutuksen arviointi Riskien hallinta Riskien käsittely Soveltamissuunnitelma (SoA) Tällä kalvolla listataan 27001:n termejä ja määritelmiä. Nämä voi käydä nopeasti läpi keskittyen esim. pariin kohtaan tai jättää vaikka kotitehtäviksi. Suojattava kohde Mikä tahansa organisaatiolle arvokas Käytettävyys Ominaisuus olla saatavilla ja käyttökelpoinen valtuutetun tahon niin vaatiessa Luottamuksellisuus Ominaisuus, että tietoa ei anneta käytettäväksi tai paljasteta luvattomille henkilöille, tahoille tai prosesseille Tietoturvallisuus Tiedon luottamuksellisuuden, eheyden ja käytettävyyden säilyttäminen; lisäksi tähän voi sisältyä muita ominaisuuksia, kuten aitous, vastuullisuus, kiistämättömyys ja luotettavuus. Tietoturvatapahtuma Sellainen tunnistettu järjestelmän, palvelun tai verkon tila, joka viittaa mahdolliseen tietoturvapolitiikan murtamiseen tai turvatakuiden pettämiseen, tai aikaisemmin tuntematon tilanne, jolla saattaa olla merkitystä turvallisuudelle. Tietoturvahäiriö Yksi tai useampi epätoivottu tai odottamaton tietoturvatapahtuma, joka merkittävällä todennäköisyydellä vaarantaa liiketoiminnot ja uhkaa tietoturvallisuutta. Eheys Ominaisuus, että suojattavien kohteiden oikeellisuus ja täydellisyys suojataan. Jäännösriski Riskien käsittelyn jälkeen jäljellä oleva riski Riskin hyväksyntä Päätös hyväksyä riskin ottaminen Riskianalyysi Systemaattinen tietojen käyttäminen riskien tunnistamiseen ja niiden vaikutuksen arviointiin Riskien arviointi Yleiskäsite, joka kattaa riskianalyysin ja riskien vaikutuksen arvioinnin Riskien vaikutuksen arviointi Prosessi, jossa tunnistettujen riskien vaikutusta verrataan annettuihin kriteereihin tavoitteena riskin merkityksellisyyden arviointi. Riskien hallinta Koordinoidut toimenpiteet, joilla johdetaan ja ohjataan organisaation riskien käsittelyä Riskien käsittely Prosessi, jossa valitaan ja toteutetaan riskejä muuttavia toimenpiteitä Soveltamissuunnitelma (SoA) Dokumentti, joka kuvaa organisaation tietoturvallisuuden hallintajärjestelmän kannalta olennaiset ja siihen soveltuvat valvontatavoitteet ja turvamekanismit

24 27001: Vaiheet Tietoturvallisuuden hallintajärjestelmän luominen ja johtaminen Luominen Toteuttaminen ja käyttäminen Valvominen ja katselmointi Ylläpitäminen ja parantaminen Tällä kalvolla esitetään 27001:n vaiheet, miten tietoturvallisuuden hallintajärjestelmä luodaan ja miten sitä johdetaan. Vaiheet voi esittää hyvin monella eri tarkkuudella. Luominen: Organisaation tulee määritellä hallintajärjestelmän kattavuus ja rajat, tietoturvallisuuden hallintapolitiikka, organisaation riskien arvioinnin toimintatapa, tunnistaa riskit, analysoida ja arvioida riskien vaikutukset, tunnistaa ja arvioida riskien käsittelyn vaihtoehdot, valita valvontatavoitteet ja turvamekanismit riskien käsittelyyn, hankkia johdon hyväksyntä ehdotetuille jäännösriskeille, hankkia johdon valtuutus tietoturvallisuuden hallintajärjestelmän käyttöönotolle ja käytölle ja valmistella soveltamissuunnitelma (SoA) Toteuttaminen ja käyttäminen: Organisaation tulee määritellä riskien käsittelysuunnitelma, ottaa käyttöön riskien käsittelysuunnitelma, toteuttaa kohdassa ” valita valvontatavoitteet ja turvamekanismit riskien käsittelyyn” valitut turvamekanismit, joilla valvontatavoitteet saavutetaan, määritellä miten valittujen turvamekanismien ja turvamekanismiyhdistelmien tehokkuutta mitataan, määritellä miten näitä mittauksia käytetään turvamekanismien tehokkuuden arvioinnissa, toteuttaa koulutus- ja tietoisuusohjelmat, johtaa tietoturvallisuuden hallintajärjestelmän käyttötoimintoja, johtaa tietoturvallisuuden hallintajärjestelmän resursseja, ottaa käyttöön menettelytavat ja muut kontrollit, joiden avulla toteutetaan tietoturvatapahtumien viiveetön ja täsmällinen havaitseminen ja niihin reagointi, Valvominen ja katselmointi: Organisaation tulee Toteuttaa valvonta- ja katselmointimenettelyt ja muut kontrollit, Toteuttaa säännölliset tietoturvallisuuden hallintajärjestelmän tehokkuuden katselmoinnit, Mitata turvamekanismien tehokkuutta, Katselmoida riskien arviointi suunnitelluin väliajoin sekä katselmoida jäännösriski ja hyväksyttävän riskin taso ottaen huomioon eri muutokset Toteuttaa sisäisiä tietoturvallisuuden hallintajärjestelmän auditointeja säännöllisesti suunnitelman mukaan, Toteuttaa säännöllisesti tietoturvallisuuden hallintajärjestelmän johdon katselmus, Päivittää turvallisuussuunnitelmia siten, että niissä otetaan huomioon tarkkailu- ja katselmustoimintojen havainnot, Kirjata toimenpiteet ja tapahtumat, joilla saattaisi olla vaikutusta tietoturvajärjestelmän vaikuttavuuteen tai suorituskykyyn Ylläpitäminen ja parantaminen: Organisaation tulee säännöllisesti Toteuttaa tietoturvallisuuden hallintajärjestelmän tunnistetut parannustoimenpiteet, Suorittaa soveltuvat korjaavat ja ehkäisevät toimenpiteet ja soveltaa sekä oman että toisien organisaatioiden tietoturvakokemuksista opittuja asioita. Tiedottaa toimenpiteistä ja parannuksista kaikille sidosryhmille niin yksityiskohtaisesti, kuin tilanteeseen sopii, ja tarvittaessa sopia jatkotoimenpiteistä Varmistaa, että parannukset johtavat toivottuihin tavoitteisiin

25 PDCA-malli sovellettuna tietoturvallisuuden hallintajärjestelmän prosesseihin
Plan (Suunnittele) Do (Toteuta) Check (Arvioi) Act (Toimi) Kuva esittää miten tietoturvallisuuden hallintajärjestelmä käyttää panoksena sidosryhmien tietoturvavaatimuksia ja odotuksia ja tarvittavien toimenpiteiden ja prosessien tuloksena tuottaa tietoturvatuotoksia, jotka täyttävät nämä vaatimukset ja odotukset. Kuva esittää myös prosessien väliset vuorovaikutukset.

26 27001 vaatii, että hallinto tarkastelee organisaation tietoturvallisuusriskejä järjestelmällisesti, ottaen huomioon uhkat, haavoittuvuudet ja vaikutukset suunnittelee ja toteuttaa yhdenmukaiset ja kattavat tietoturvallisuuskontrollit ja riskien käsittelyohjeet (suite), jotta riskit, joita on mahdoton hyväksyä, saadaan käsiteltyä (address), ja omaksuu ylikaartuvan (overarching) hallintoprosessin varmistaakseen tietoturvallisuuskontrollien jatkuvuuden tulevaisuudessa. Tämä kalvo kertoo siitä miten hallinnon pitäisi toimia, jotta 27001:sta voidaan käyttää.

27 27001:n käyttö Käytetään usein yhdessä ISO/IEC 27002:n kanssa
Liite A sisältää suppean listan ISO/IEC 27002:n tietoturvallisuuskontrolleista ISO/IEC tarjoaa ylimääräistä tietoa ja neuvoo kontrollien toteutuksessa 27001 antaa vaatimuksia tietoturvallisuuden hallintajärjestelmän sisäiseen auditointiin, johdon katselmointiin, ja parantamiseen Kalvo kertoo 27001:n käytöstä.

28 27001:n liite A Liite A luettelee valvontatavoitteet ja turvamekanismit Esim. A.10.5 Varmuuskopiointi Tavoite: Tietotekniikka- ja tietojenkäsittelypalveluiden eheyden ja käytettävyyden säilyttäminen. A : Tietojen varmuuskopiointi Turvamekanismi: Tiedoista ja ohjelmistoista tulee ottaa varmuuskopiot ja testata ne säännöllisesti sovittujen varmuuskopioperiaatteiden mukaisesti. Kalvo kertoo 27001:n liite A:sta, joka luettelee valvontatavoitteita ja turvamekanismeja. Esimerkkinä annetaan varmuuskopiointi. Esimerkkejä tulee tämän kalvon jälkeen lisää, ja niitä kaikkia ei ole pakko käydä tunnilla läpi. Huom. Liite A sisältää suppean listan ISO/IEC 27002:n tietoturvallisuuskontrolleista. ISO/IEC tarjoaa ylimääräistä tietoa ja neuvoo kontrollien toteutuksessa.

29 27001:n liite A - esimerkkejä
A.10.7 Tietovälineiden käsittely Tavoite: Estää suojattavien kohteiden luvaton paljastaminen, muuttaminen, paikalta siirtäminen tai tuhoutuminen sekä liiketoiminnan keskeytyminen. A : Siirrettävien tietovälineiden hallinta Turvamekanismi: Siirrettävien tietovälineiden hallintaan tulee olla toimivat menettelytavat. A : Tietovälineiden poistaminen käytöstä Turvamekanismi: Tietovälineet tulee poistaa käytöstä turvallisella ja varmalla tavalla määriteltyjä menettelytapoja käyttäen, kun niitä ei enää tarvita. Mainitun A.10.7:n eli tietovälineiden käsittelyn alla on 5 turvamekanismia: A Siirrettävien tietovälineiden hallinta A Tietovälineiden poistaminen käytöstä A Tietojen käsittelyohjeet A Järjestelmän dokumentoinnin turvaaminen

30 27001:n liite A - esimerkkejä
A Tarkkailu Tavoite: Luvattomien tietojenkäsittelytoimintojen havaitseminen. A : Pääkäyttäjä- ja operaattorilokit Turvamekanismi: Järjestelmän pääkäyttäjien ja operaattoreiden toiminnot tulee kirjata. A : Kellojen synkronointi Turvamekanismi: Kaikkien samassa organisaatiossa tai turvallisuusalueella olevien olennaisten tietojenkäsittelyjärjestelmien kellot tulee synkronoida sovitun tarkan ajanlähteen kanssa. Mainitun A.10.10:n eli tarkkailun alla on 6 eri turvamekanismia: A Tapahtumalokit A Järjestelmän käytön tarkkailu A Lokitietojen suojaus A Pääkäyttäjä- ja operaattorilokit A Häiriöiden kirjaus A Kellojen synkronointi

31 27001:n liite A - esimerkkejä
A.11.7 Tietokoneen matkakäyttö ja etätyö Tavoite: Varmistaa tietojen turvallisuus tietokoneiden matkakäytössä ja etätyössä. A : Tietokoneen matkakäyttö ja tietoliikenne Turvamekanismi: Tulee ottaa käyttöön määritellyt toimintaperiaatteet ja turvamekanismit, joilla suojaudutaan tietokoneen matkakäytön ja etäyhteyksien aiheuttamilta riskeiltä. A : Etätyö Turvamekanismi: Etätyötoimintaa varten tulee kehittää ja ottaa käyttöön periaatteet, toimintasuunnitelmat ja menettelytavat.

32 27001:n liite A - esimerkkejä
A.14.1 Liiketoiminnan jatkuvuuden hallintaan liittyviä tietoturvanäkökohtia Tavoite: Ehkäistä liiketoiminnan keskeytyminen ja suojata kriittisiä liiketoimintaprosesseja tietojärjestelmien merkittävien häiriöiden tai onnettomuuksien vaikutuksilta ja taata prosessien viiveetön jatkaminen. A : Liiketoiminnan jatkuvuus ja riskien arviointi Turvamekanismi: Liiketoimintaprosessit mahdollisesti keskeyttävät tapahtumat tulee yksilöidä samoin kuin tällaisten keskeytysten todennäköisyys, vaikutus ja seuraukset tietoturvallisuuden kannalta. Mainitun A.14.1:n eli liiketoiminnan jatkuvuuden hallintaan liittyvien tietoturvanäkökohtien alla on 5 turvamekanismia: A Tietoturvallisuuden sisällyttäminen liiketoiminnan jatkuvuuden hallintaprosessiin A Liiketoiminnan jatkuvuus ja riskien arviointi A Tietoturvallisuuden sisältävien jatkuvuussuunnitelmien kehittäminen ja toteuttaminen A Liiketoiminnan jatkuvuussuunnittelun puitteet A Liiketoiminnan jatkuvuussuunnitelmien testaus, ylläpito ja uudelleenarviointi

33 ISO/IEC 27005:2011: ”Tietoturvariskien hallinta”
Sisältää ohjeita organisaation tietoturvariskien hallinnasta. Tukee erityisesti ISO/IEC –standardin mukaisen tietoturvallisuuden hallintajärjestelmän vaatimuksia. Ei esitä mitään tiettyä tietoturvan riskien hallinnan menettelytapaa. Sisältää jäsentyneen, järjestelmällisen ja tiukan riskien analysointiprosessin, jonka 5 askelman avulla voidaan tuottaa riskien käsittelysuunnitelma Ensimmäinen versio julkaistu 2008, toinen 2011. Suunnattu lähinnä organisaation tietoturvariskien hallinnasta vastaaville johtajille ja henkilöstölle. Seuraavaksi siirrytään 27005:n esittelyyn. Ensimmäisellä kalvolla on yleistä esittelyä. ISO/IEC 27005 sisältää mukaisen riskienhallintaprosessin ohjeistuksen tarkastelee riskienhallintaa osana yleistä (liike)toimintariskien hallintaa

34 27005: Riskien hallinnan termit
Vaikuttavuus, vaikutusarvo Välitön vaikutus Myöhempi vaikutus Tietoturvariski Riskin välttäminen Riskeistä viestintä Riskin suuruuden arviointi Riskin tunnistus Riskin pienentäminen Riskin säilyttäminen Riskin siirto Tällä kalvolla kerrotaan 27005:ssa käytettyjä riskien hallinnan termejä. Nämä voi käydä nopeasti läpi keskittyen esim. pariin kohtaan tai jättää kotitehtäviksi. Vaikuttavuus, vaikutusarvo Haitallinen muutos liiketoimintatavoitteiden saavuttamisen tasossa. Vaikuttavuuden katsotaan liittyvän joko välittömään (toiminnalliseen) vaikutukseen tai myöhempään (liiketoiminnalliseen) vaikutukseen, johon sisältyvät myös taloudelliset ja markkinoihin liittyvät seuraukset. Välittömät (toiminnalliset) vaikutukset ovat joko suoria tai epäsuoria. Tietoturvariski Mahdollisuus, että jokin uhka hyödyntää suojattavan kohteen tai suojattavien kohteiden ryhmän haavoittuvuutta ja siten aiheuttaa organisaatiolle haittaa. Riskien välttäminen Päätös pysytellä poissa riskitilanteesta tai toimenpide, jolla poistutaan riskitilanteesta. Riskeistä viestintä Riskiä koskevan tiedon vaihtaminen tai jakaminen päätöksentekijöiden ja muiden sidosryhmien kanssa. Riskin suuruuden arviointi Prosessi, jossa riskin todennäköisyydelle ja seurauksille annetaan arvot. Riskin tunnistus Prosessi, jossa etsitään, luetellaan ja kuvaillaan riskin osatekijät. Riskin pienentäminen Toimenpiteet, joilla pienennetään riskin todennäköisyyttä, siihen liittyviä haitallisia seurauksia tai molempia. Riskin säilyttäminen Tietystä riskistä aiheutuvan menetyksen taakan tai hyödyn saavuttamisen hyväksyminen Riskin siirto Riskiin liittyvän menetyksen tai saavutettavan hyödyn jakaminen toisen osapuolen kanssa

35 27005:n sisältö kuvaus tietoturvariskien hallintaprosessista (Information Security Risk Management, ISRM). riskien arviointi (Information Security Risk Assessment, ISRA) riskien käsittely (risk treatment) riskien hyväksyntä (acceptance) riskeistä viestiminen (communication) Riskien tarkkailu (monitoring) ja katselmointi (review). Tämä kalvo kertoo 27005:n sisällöstä. Nämä esitellään tarkemmin seuraavilla kalvoilla.

36 27005:n käyttö Soveltuu käytettäväksi organisaatioissa, jotka haluavat hallinnoida riskejä, jotka voivat vaarantaa yrityksen tietoturvallisuuden. Ei sisällä tai suosittele mitään spesifistä metodiikkaa. Vaatii 27001:2005 ja 27002:2005 –standardit viiteasiakirjoiksi. Kalvolla kerrotaan miten standardia käytetään. Seuraavat kalvot esittelevät esimerkkejä prosesseista.

37 27005: Tietoturvariskien hallintaprosessi
Kuva esittää tietoturvallisuuden hallintaprosessin ja mistä se koostuu: arviointiympäristön määrittämisestä riskien arvioinnista riskien käsittelystä riskin hyväksynnästä riskeistä viestimisestä ja riskien tarkkailusta ja katselmoinnista Kuvassa esitetään myös kuinka riskien arviointi- ja käsittelytoiminnot voivat olla iteratiivisia tietoturvariskien hallintaprosessissa. Riskien iteratiivinen toimintamalli auttaa saavuttamaan tasapainon siten, että turvamekanismien tunnistamiseen käytetään mahdollisimman vähän aikaa mutta samalla varmistetaan suurten riskien asianmukainen arviointi. Arviointiympäristön määrittämisen jälkeen tehdään riskien arviointi, jonka jälkeen VOIDAAN siirtyä riskien käsittelyyn. Jos saatua tietoa ei ole riittävästi toimenpiteiden määrittämiseen tehokkaasti, riskien arviointi toistetaan muutetussa arviointiympäristössä. Riskien käsittelyn tehokkuus riippuu riskien arvioinnin tuloksista, esim. jäännösriskiä ei saada välttämättä heti hyväksyttävälle tasolle. Koko tietoturvariskien hallintaprosessin ajan on tärkeää viestiä riskeistä ja niiden käsittelystä asianosaisille johtajille ja suorittavalle henkilöstölle. | 37

38 27005: Riskien käsittelytoiminta
Kuvassa esitetään riskien käsittelytoimintaa edellisessä aikaisemmassa kuvassa esitetyn tietoturvariskien hallintaprosessin puitteissa. Ennen riskien vaikutuksen arviointia on pitänyt tehdä seuraavat toimenpiteet: Tietoturvariskien arvioinnin yleiskuvaus Riskianalyysi Riskin tunnistus Johdatus riskin tunnistukseen Suojattavien kohteiden tunnistaminen Uhkien tunnistus Käytössä olevien turvamekanismien tunnistus Haavoittuvuuksien tunnistaminen Seurausten tunnistus Riskien suuruuden arviointi Riskin suuruuden arviointimenettelyt Seurausten arviointi Häiriön todennäköisyyden arviointi Riskitason arviointi Riskien vaikutuksen arvioinnin jälkeen käytössä on luettelo riskeistä, jotka on asetettu tärkeysjärjestykseen riskien vaikutuksen arviointikriteerien perusteella ja suhteutettu kyseisiin riskeihin johtaviin häiriöskenaarioihin. Tietoturvariskien käsittelyssä käytetään lähtötietoina tuota luetteloa. Tämän jälkeen riskejä käsitellään valitsemalla riskien pienentämiseen, säilyttämiseen, välttämiseen tai siirtämiseen käytettävät turvamekanismit ja määrittelemällä riskien käsittelysuunnitelma. Toteuttamisohjeet: Riskien käsittelyyn on käytettävissä neljä vaihtoehtoa: riskin pienentäminen, riskin säilyttäminen, riskin välttäminen ja riskin siirtäminen. Ne eivät sulje pois toisiaan ja joskus voi olla merkittävää hyötyä yhdistellä vaihtoehtoja. Kun riskien käsittelysuunnitelma on määritelty, täytyy määrittää jäännösriskit. Tämä tarkoittaa riskien arvioinnin päivittämistä tai toistamista siten, että arvioinnissa otetaan huomioon ehdotettujen riskien käsittelytapojen odotetut vaikutukset. Tuloksena riskien käsittelyssä on riskien käsittelysuunnitelma ja jäännösrikit, joiden hyväksymisestä organisaation johtajien täytyy päättää.

39 27005: Riskien käsittely Käsittelyvaihtoehdot Riskien pienentäminen
Riskin säilyttäminen ”jemmaaminen” Riskin välttäminen Riskin siirto Käsittelyvaihtoehtojen valintamenetelmät Kustannuksien ja hyötyjen suhde Riskien haitalliset seuraukset Harvinaiset mutta vakavat riskit Kalvolla kerrotaan riskien käsittelyvaihtoehdoista ja valintamenetelmistä. Riskien käsittelyvaihtoehdot tulisi valita riskien arvioinnin tulosten, vaihtoehtojen toteuttamisen odotettavissa olevien kustannusten ja näistä vaihtoehdoista odotettavissa olevien hyötyjen perusteella. Vaihtoehdot, joilla on mahdollista pienentää riskejä merkittävästi suhteellisen alhaisin kustannuksin, tulisi toteuttaa. Riskien haitalliset seuraukset tulisi saada niin vähäisiksi kuin on käytännössä mahdollista. Johtajien tulisi tarkastella myös harvinaisia mutta vakavia riskejä, jolloin saatetaan joutua toteuttamaan turvamekanismeja, jotka eivät ole perusteltuja pelkästään taloudellisin perustein.

40 Toimittajan auditointi Kolmannen osapuolen suorittama auditointi
Sisäinen auditointi Ulkoinen auditointi Toimittajan auditointi Kolmannen osapuolen suorittama auditointi Kutsutaan toisinaan ensimmäisen osapuolen auditoinniksi Kutsutaan toisinaan toisen osapuolen auditoinniksi Lakien tai viranomaisten määräämiin tarkoituksiin tai vastaaviin tarkoituksiin Sertifiointiin (ks. myös standardin ISO/IEC :2011 vaatimukset) HUOM: Toimittajan auditointi: Toimittaja ei auditoi vaan toimittaja auditoidaan.

41 Esimerkki auditointiprosessista
Vaihe 1. Tietoturvallisuuden hallintajärjestelmän alustava ja epävirallinen katselmointi Keskeisten asiakirjojen olemassaolon ja kattavuuden tarkistamiseen (organisaation tietoturvapolitiikka, soveltamissuunnitelma, riskien käsittelysuunnitelma). Vaihe 2. Yksityiskohtaisempi ja muodollisempi audiointi Tietoturvallisuuden hallintajärjestelmän testaus ISO/IEC 27001:n vaatimuksia vasten, sekä todisteiden keräys siitä, että johtamisjärjestelmä on suunniteltu ja toteutettu oikein ja on käytössä. Läpipääsy antaa sertifioinnin. Vaihe 3. jatkokatselmoinnit ja auditoinnit Säännöllinen uudelleenarviointi. Prosessi on kuvattuna –sivulla.

42 27K-sertifioidut Suomessa on 18 sertifioitua auditoijaa (Leena Haapaniemi, ) Esim. GIAC sertifioi vuoden 2012 huhtikuussa 16 henkilöä.

43 Standardin soveltaminen ja kokemuksia*
Johdon todellinen sitouttaminen voi olla hankalaa Johto voi lähteä innokkaana mukaan, koska heidän mielestään tietoturva on tärkeää, mutta siinä vaiheessa kun heidän pitää muuttaa omaa käytöstään, kohdataan hankaluuksia Johto pitää pystyä sitouttamaan kunnolla ennen kuin standardeja aletaan viedä alemmille portaille Kaikkien hallintotasojen kouluttaminen ja sitouttaminen on tärkeää Yritys voi olla ennakoiva tietoturvan suhteen. Suurilta ja kalliilta yllätyksiltä voidaan välttyä. Jotkut 27K:n asiat eivät ole välttämättä kustannustehokkaita erityisesti pienille yrityksille. * Lea Viljanen Kalvolla esitetään kokemuksia 27K-perheen standardien soveltamisesta.

44 Standardin soveltaminen ja kokemuksia
Lopputöitä: Markus Kuivalainen, ”Valmistautuminen ISO/IEC standardin sertifiointiin”, joulukuu 2011 Matti Laakso, ”PK-yrityksen tietoturvasuunnitelman laatiminen”, syyskuu 2010 Simo Kemppainen, ”Tietoturvallisuuden sertifiointi ISO/IEC tietoturvallisuusstandardilla”, toukokuu 2009

45 Tietoturvallisuusstandardin käytön hyödyt
ISO/IEC 27001: Parempi kuva organisaatiossa itsestään. Tietoturvaan liittyvän tiedon määrä ja ymmärrys sen tärkeydestä lisääntyy. Vältetyt riskit vähentävät kuluja. Organisaation operaatiot sujuvat sulavammin, koska vastuut ja businessprosessit on selvästi määritelty. Tietoturvavalveutuneisuus paranee. Asiakkaiden luottamus ja näkemys yrityksestä paranee. Kalvolla listataan joitakin hyötyjä, joita 27001:n käytöllä voidaan saavuttaa.

46 Lisätietoa standardeista
ISO:n online browsing platform -palvelu 27K-standardiperheestä vastaa kansainvälinen ISO/IEC JTC 1/SC 27 -komitea, erityisesti sen työryhmä 1 (WG 1). Suomen osalta SFS:n seurantaryhmä SR 307 Tietoturvatekniikat seuraa komitean ja sen työryhmien työtä ja lähettää kansallisia kannanottoja. Puheenjohtaja: Reijo Savola (VTT) Sihteeri: Juha Vartiainen (SFS)

Lataa ppt "OPPILAITOSPORTAALI SFSedu.fi -sivuilta löytyy valmiita kalvosarjoja opettajien ja opiskelijoiden käyttöön. Materiaalit sopivat sekä yliopistojen että ammattikorkeakoulujen."

Samankaltaiset esitykset

Juha Kauppinen Consulting oy Työntekijäkysely Tietoja 2.4.2008.

Juha Kauppinen Consulting oy Työntekijäkysely Tietoja
Tietopaketti Big Datasta

Tietopaketti Big Datasta
Pääkaupunkiseudun 8. luokkien palvelukyky Espoo, Tapiolan koulu Joulukuu 2013.

Pääkaupunkiseudun 8. luokkien palvelukyky Espoo, Tapiolan koulu Joulukuu 2013.
Hampuri, Saksa. 2 3 4 5 6 7 8 Löytää suunta, joka mahdollistaa Lions Clubs Internationalin saavuttavan sen täyden potentiaalin kansainvälisenä.

Hampuri, Saksa Löytää suunta, joka mahdollistaa Lions Clubs Internationalin saavuttavan sen täyden potentiaalin kansainvälisenä.
Tietoturvallisuuden huonetaulu

Tietoturvallisuuden huonetaulu
F IN EL IB - KÄYTTÄJÄKYSELYN AINEISTON YLEISESITTELY - TUTKIMUSLAITOKSET FinELib toteutti syys-lokakuussa 2011 tutkijoiden elektronisten julkaisujen käyttöä.

F IN EL IB - KÄYTTÄJÄKYSELYN AINEISTON YLEISESITTELY - TUTKIMUSLAITOKSET FinELib toteutti syys-lokakuussa 2011 tutkijoiden elektronisten julkaisujen käyttöä.
Case: UNIC-Services Oy. UNIC-Services Oy  Perustettu 1993, perustaja Saara Remes- Ulkunniemi  Yritys tarjoaa koulutuspaveluita eri puolilla Suomea 

Case: UNIC-Services Oy. UNIC-Services Oy  Perustettu 1993, perustaja Saara Remes- Ulkunniemi  Yritys tarjoaa koulutuspaveluita eri puolilla Suomea 
Topirkka.fi portaali http://www.topirkka.fi.

Topirkka.fi portaali
1 Heli Lepomäki 24.2.2010. Yritysten ja muiden organisaatioiden käyttöön sähköinen työpöytä on jo leviämässä, koska niiden toiminta ja asiakaspalvelu.

1 Heli Lepomäki Yritysten ja muiden organisaatioiden käyttöön sähköinen työpöytä on jo leviämässä, koska niiden toiminta ja asiakaspalvelu.
Hyvä Hallintotapa Kiinteistöalan muutos Yhteiset toimintatavat

Hyvä Hallintotapa Kiinteistöalan muutos Yhteiset toimintatavat
Suunnitelma ohjelmiston testaukseen

Suunnitelma ohjelmiston testaukseen
JTC 1 - kuulumiset SFS IT-standardisoinnin vuosiseminaari 12.12.2013 Saana Seppänen.

JTC 1 - kuulumiset SFS IT-standardisoinnin vuosiseminaari Saana Seppänen.
Ankkuri -malli ja sen levittäminen

Ankkuri -malli ja sen levittäminen
Tietoturvakoulutus Tietojenkäsittelyn koulutus-ohjelmassa

Tietoturvakoulutus Tietojenkäsittelyn koulutus-ohjelmassa
Valvoja: Prof. Riku Jäntti Ohjaaja: FM, MBA Tapio Heinäaro

Valvoja: Prof. Riku Jäntti Ohjaaja: FM, MBA Tapio Heinäaro
Laaja-alaista ja systemaattista vaarojen tunnistamista ja niiden aiheuttamien riskien suuruuden sekä merkityksen arvioimista. Ennakoivaa työsuojelua -

Laaja-alaista ja systemaattista vaarojen tunnistamista ja niiden aiheuttamien riskien suuruuden sekä merkityksen arvioimista. Ennakoivaa työsuojelua -
Metropolian tietoturvapolitiikka Tai miltä se voisi näyttää.

Metropolian tietoturvapolitiikka Tai miltä se voisi näyttää.
Perusopetuksen huoltajat 2014 Generated on 17.02.2014 11:04.

Perusopetuksen huoltajat 2014 Generated on :04.
Tietokannat II Lasse Bergroth Turun yliopisto, IT-laitos Kevät 2013

Tietokannat II Lasse Bergroth Turun yliopisto, IT-laitos Kevät 2013
Ohjaustarvearvio ja ohjaustarve kartta/ Ryhmänohjaajan näkökulma

Ohjaustarvearvio ja ohjaustarve kartta/ Ryhmänohjaajan näkökulma

Samankaltaiset esitykset

Iklan oleh Google