OPPILAITOSPORTAALI SFSedu.fi -sivuilta löytyy valmiita kalvosarjoja opettajien ja opiskelijoiden käyttöön. Materiaalit sopivat sekä yliopistojen että ammattikorkeakoulujen.

Esitys aiheesta: "OPPILAITOSPORTAALI SFSedu.fi -sivuilta löytyy valmiita kalvosarjoja opettajien ja opiskelijoiden käyttöön. Materiaalit sopivat sekä yliopistojen että ammattikorkeakoulujen."— Esityksen transkriptio:

1 OPPILAITOSPORTAALI SFSedu.fi -sivuilta löytyy valmiita kalvosarjoja opettajien ja opiskelijoiden käyttöön. Materiaalit sopivat sekä yliopistojen että ammattikorkeakoulujen syventäville kursseille. Niiden myötä opiskelijat osaavat nykyistä paremmin käyttää standardeja siirtyessään työelämään. Tämä kalvosarja on yksi SFSedu.fi -sivuilla olevista kalvosarjoista.

2 ISO/IEC 27000 -standardiperhe
Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät. ISO/IEC standardiperhe Kalvosarja oppilaitoksille Suomen Standardisoimisliitto SFS ry 2015 Näiden kalvojen aiheena on ISO perhe, jonka yleisenä otsikkona on "Informaatioteknologia - Turvallisuus - Tietoturvallisuuden hallintajärjestelmät"

3 Tervetuloa luentoaineiston käyttäjäksi!
Aineisto on suunnattu ammattikorkeakoulujen ja yliopistojen opettajille ja opiskelijoille. Kalvosarja esittelee tietoturvallisuuden hallintajärjestelmästandardiperheen ISO/IEC 27000, sen käyttömahdollisuuksia ja yhteyksiä muihin alan keskeisiin julkaisuihin. Tavoitteena on tukea standardiperheen sisällyttämistä tietoturvallisuuden hallintajärjestelmiä käsitteleviin opetussuunnitelmiin ja kurssien sisältöön. Tässä kalvosarjassa ei käsitellä kaikkia perheen standardeja yksityiskohtaisesti, vaan yleisen johdanto-osan jälkeen esitellään joidenkin standardien keskeiset sisällöt ja pääkohdat Kalvosarja on tuotettu SFS:n projektirahoituksella.

4 Opetuskokonaisuus Opetuskokonaisuus on kaksi 45 min oppituntia
Kalvot soveltuvat 27K-standardisarjan esittelyyn ainakin tietotekniikkaan, tietojenkäsittelytieteisiin, tietoturvaan, johtamiseen ja standardisointiin liittyvillä syventävillä kursseilla yliopistoissa ja ammattikorkeakouluissa. Kalvot riittävät ainakin kahden 45-minuutin oppitunnin materiaaliksi Materiaalista voi tarvittaessa jättää vähemmälle käsittelylle esimerkiksi seuraavia osioita terminologia (kalvot 25-28, näistä voi teettää esimerkiksi harjoitustehtäviä OBP:n avulla) sektori- ja hallintakeinokohtaiset standardit (kalvot 14-20) hallintakeinojen läpikäynti (kalvot 40-45) Materiaalia on kuitenkin pidempiäkin opetussessioita varten, jos kaikki kalvoilla olevat asiat käy tarkasti läpi. Kalvot soveltuvat 27K –standardisarjan esittelyyn esim. tietotekniikkaan, tietojenkäsittelytieteisiin, tietoturvaan, johtamiseen ja standardisointiin liittyvillä syventävillä kursseilla yliopistoissa ja ammattikorkeakouluissa. Osa asioista sopii myös taloustietieteiden / liiketalouden kursseille. Useimpien kalvojen notes-osassa on lisää asiaa, jota opettajat voivat käyttää hyväksi opetussessioissa tai joista oppilaat voivat lukea lisää aiheista.

5 Aineiston käyttö ja tekijänoikeudet
Tämän luentoaineiston tekijänoikeudet omistaa Suomen Standardisoimisliitto SFS ry. Esitystä saa vapaasti käyttää opetustarkoituksiin ja sitä saa tarvittaessa muokata. Aineistoa lainattaessa lähde tulee mainita. Aineiston käyttö kaupallisiin tarkoituksiin on kielletty. Tämä materiaali on päivitetty viimeksi

6 Sisältö Opetuskokonaisuus Turvallisuuden kokonaisuus
Tietoturvallisuuden hallinta ja siihen liittyvät termit Tietoturvallisuuden hallintajärjestelmä ISO/IEC standardiperhe Historia, standardit ja viitekehys Tietoturvauhkat Standardit ja lainsäädäntö Lisätietoa ISO/IEC ja standardeista Kokemuksia ja hyötyjä standardien käytöstä Tällä kalvolla on kerrottu hieman kalvosarjan sisällöstä. Kalvoissa keskityttiin tietoturvallisuuden hallintaan liittyviin asioihin, termeihin ja ISO/IEC standardiperheen selitykseen keskittyen kahteen tärkeään standardiin: ja standardeihin.

7 Turvallisuuden kokonaisuus
Kuva esittää turvallisuuden kokonaisuuden, ja siitä nähdään, että tietoturvallisuus on yksi osa-alue turvallisuudessa. Viime vuosina on puhuttu enemmän kokonaisturvallisuudesta, joka sisältää turvallisuuden eri näkökulmat. ISO sarjassa standardeista osa menee myös kuvan muillekin osa-alueille (esimerkiksi toiminnan turvallisuus, toimitilaturvallisuus ja rikostorjunta) 27032: Guideline for cybersecurity 27033: Network security 27034: Application security 27037: Guidelines for identification, collection, acquisition and preservation of digital evidence

8 Tietoturvallisuuden hallintajärjestelmän tarve
Kaikentyyppiset ja -kokoiset organisaatiot keräävät, käsittelevät, säilyttävät ja välittävät suuria määriä informaatiota, pitävät informaatiota sekä siihen liittyviä prosesseja, järjestelmiä, verkkoja ja ihmisiä tärkeinä turvattavina kohteina, joiden avulla organisaation tavoitteet saavutetaan, kohtaavat monia erilaisia riskejä, jotka voivat vaikuttaa turvattavien kohteiden toimintaan, ja muokkaavat riskejä toteuttamalla tietoturvamekanismeja. Kalvolla esitetään ISO/IEC standardin 3. kappaleen ”Tietoturvallisuuden hallintajärjestelmät” johdanto. Tietoturvallisuuden merkitys organisaatioissa on merkittävä, tähän vaikuttaa mm. tietoturvauhat. Tietoa siirretään eri järjestelmien välillä, myös yritysten välillä. Tieto on usein yritysten tärkeintä omaisuutta. Lait antavat vaatimuksia tiedon (esim. asiakastietojen) säilytykseen.

9 Tietoturvallisuuden hallintajärjestelmä
on osa yleistä hallintajärjestelmää, joka liiketoimintariskien arviointiin perustuen luodaan ja toteutetaan. käytetään, valvotaan, katselmoidaan, ylläpidetään ja parannetaan tavoitteena parempi tietoturvallisuus. helpottaa yritysjohdon tietoturvatyön organisointia. tulisi kattaa kaikki tietoturvan johtamisessa, hallinnoimisessa ja valvonnassa tarvittavat menettelyt ja toimenpiteet. ei ole yksittäinen dokumentti, vaan moniosainen prosessi, jota on kehitettävä jatkuvasti. osia ovat mm. riskianalyysi, tietoturvapolitiikka, tietoturva-, jatkuvuus- ja toipumissuunnitelmat. Tämä kalvo esittelee yhden 27K-sarjan tärkeimmän käsitteen, tietoturvallisuuden hallintajärjestelmän. ISO/IEC perheen standardit eivät edellytä määrättyä tietoturvallisuuden hallintajärjestelmän rakennetta. Se kehottaa soveltajia luomaan omat mallinsa, joilla järjestelmät toteutetaan. Standardien logiikasta voidaan määritellä rakenne, jolla tietoturvallisuus voidaan parhaalla tavalla toteuttaa. Lähtökohtana ovat organisaation strategiset tavoitteet. Strategiset tavoitteet kuvataan tietoturvallisuuden hallinnan kannalta tietoturvallisuuspolitiikkana, riskienhallintapolitiikkana ja tietoturvallisuusorganisaationa. Kohteille (assets) määritellään tietoturvallisuusarkkitehtuuri, jossa kuvataan tietoturvallisuuden keskeiset rakenteelliset piirteet. Näiden määrittelyjen jälkeen määritellään teknologiat ja tietoturvallisuustavoitteet, joiden avulla arkkitehtuurin määrittelemät tekijät tulee toteuttaa. Käytännössä tietoturvallisuus realisoidaan prosesseissa, joissa organisaatio tai palvelu tuottaa toimintansa kannalta relevantit asiat sekä infrastruktuurissa, joka on edellisen edellytys. Edellisten tulee johtaa organisaation tietoturvallisuusosaamiseen. Toiminnan edellytyksenä on, että on määriteltynä prosessi, jolla tietoturvallisuutta arvioidaan ja tavoitteita asetetaan sekä toinen, jolla luodun järjestelmän tuloksia arvioidaan.

10 27000-standardiperhe ISO/IEC viittaa kasvavaan ISO/IEC-standardiperheeseen, jonka yhteinen otsikko on "Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät". Tarjoaa suosituksia tietoturvallisuuden hallintaan, riskeihin ja kontrollointiin tietoturvallisuuden hallintajärjestelmissä. Myös muut 27-alkuiset tietoturvallisuuteen liittyvät standardit lasketaan toisinaan perheeseen kuuluvaksi. Myös monet muut 27-alkuiset tietoturvallisuuteen liittyvät standardit voidaan laskea kuuluvaksi perheeseen. Standardi tarjoaa suosituksia tietoturvallisuuden hallintaan, riskeihin ja kontrollointiin tietoturvallisuuden hallintajärjestelmissä.

11 27000-standardiperheen historia ja kehittyminen
Englannin aloite 1992: Code of Practice for Information Security Management (hallituksen opaste) 1995: Muutetaan BSI standardiksi BS 7799 1999: Sertifiointi alkaa täysimääräisenä 2000: ISO/IEC  ISO/IEC 27002:2005 2002: BS Information Security Management Specification  ISO/IEC 27001:2005 2013: ja 27002:n päivitetyt versiot 2014: päivitetty versio BSI Group (BSI tai British Standards Institution) 27001 ja päivitetty 2013 27000 tulossa vielä uusi päivitys loppuvuodesta 2015

12 27000-standardiperhe… Informaatioteknologia – Turvallisuustekniikat - Tietoturvallisuuden hallintajärjestelmät 27000: Yleiskatsaus ja sanasto - Overview and vocabulary 27001: Vaatimukset - Requirements 27002: Tietoturvallisuuden hallintakeinojen menettelyohjeet - Code of practice for information security controls 27003: Tietoturvallisuuden hallintajärjestelmän toteuttamisohjeita - Information security management system implementation guidance 27004: Mittaaminen - Measurement 27005: Tietoturvariskien hallinta - Information security risk management Tämän ja seuraavien kalvojen standardien nimet on otettu ISO:n ja SFS:n sivuilta. Suomen lippu standardin nimen vieressä tarkoittaa, että standardi on suomennettu Kaikkien tämän kalvon standardien nimessä etuliite: Informaatioteknologia – Turvallisuustekniikat - Tietoturvallisuuden hallintajärjestelmät Standardit on jo suomennettu 27000 suomennos saatavilla vuoden 2010 versiosta, mutta 2015 version suomennos on tulossa vuoden 2015 aikana Standardiperheen standardit voi käydä nopeasti läpi keskittyen mielenkiintoisiin tai mainiten että tässä kalvosarjassa käsitellään tarkemmin 27001:stä ja 27005:sta, jotka on alleviivattu. Suomennos saatavilla

13 …27000-standardiperhe… 27006: Requirements for bodies providing audit and certification of information security management systems 27007: Tietoturvallisuuden hallintajärjestelmien auditointiohjeet - Guidelines for information security management systems auditing 27008: Guidelines for auditors on information security controls Standardit ovat suomennoksen alla Tällä kalvolla auditointiin liittyvät standardit 27006: vaatimukset auditointiorganisaatioille 27007: tietoturvallisuuden hallintajärjestelmän auditointiohje 27008: tietoturvakontrollien auditointiohje

14 …27000-standardiperhe… 27009 Sector-specific application of ISO/IEC Requirements 27010: Information security management for inter-sector and inter-organizational communications 27011: Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 27013: Guidance on the integrated implementation of ISO/IEC and ISO/IEC 27014: Governance of information security 27015: Information security management guidelines for financial services 27016: Organizational economics Standardit, joita ei ole vielä julkaistu, on kursivoitu. 27013 uusi versio viimeisessä äänestyksessä loppuvuodesta

15 …27000-standardiperhe… 27018: Menettelyohjeet henkilötietojen suojaamiseen henkilötietoja käsittelevissä julkisissa pilvipalveluissa - Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors 27019:2013 Information security management guidelines based on ISO/IEC for process control systems specific to the energy utility industry 27023:2015 Mapping the revised editions of ISO/IEC and ISO/IEC 27002 27031: Guidelines for information and communication technology readiness for business continuity

16 …27000-standardiperhe… 27032:2012 - Guidelines for cybersecurity
Network security :2015 Part 1: Overview and concepts :2012 Part 2: Guidelines for the design and implementation of network security :2010 Part 3: Reference networking scenarios -- Threats, design techniques and control issues :2014 Part 4: Securing communications between networks using security gateways :2013 Part 5: Securing communications across networks using Virtual Private Networks (VPNs) Part 6: Securing wireless IP network access Standardit, joita ei ole vielä julkaistu, on kursivoitu.

17 …27000-standardiperhe… 27034 – Application security
:2011 Part 1: Overview and concepts :2015 Part 2: Organization normative framework Part 3: Application security management process Part 4: Application security validation Part 5: Protocols and application security controls data structure Part 5-1: Protocols and application security controls data structure -- XML schemas Part 6: Security guidance for specific applications Part 7: Application security assurance prediction Standardit, joita ei ole vielä julkaistu, on kursivoitu.

18 …27000-standardiperhe… 27035: Information security incident management Part 1: Principles of incident management Part 2: Guidelines to plan and prepare for incident response Part 3: Guidelines for CSIRT operations 27036 Information security for supplier relationships :2014 Part 1: Overview and concepts :2014 Part 2: Requirements :2013 Part 3: Guidelines for information and communication technology supply chain security Part 4: Guidelines for security of Cloud services Standardit, joita ei ole vielä julkaistu, on kursivoitu. 27035 ”päästandardi” on siis julkaistu, mutta alaosia ei ole CSIRT Computer Security Incident Response Team 27036:lla taas ei ole ns päästandardia, vaan vain osat

19 …27000-standardiperhe… 27037: Guidelines for identification, collection, acquisition and preservation of digital evidence 27038: Specification for digital redaction 27039: Selection, deployment and operations of intrusion detection systems (IDPS) 27040: Storage security 27041: Guidance on assuring suitability and adequacy of incident investigative method 27042: Guidelines for the analysis and interpretation of digital evidence 27043: Incident investigation principles and processes 27799: Health Informatics: Information security management in health using ISO/IEC 27002 ISO/IEC 27038:2014 specifies characteristics of techniques for performing digital redaction on digital documents. It also specifies requirements for software redaction tools and methods of testing that digital redaction has been securely completed. ISO/IEC 27039:2015 provides guidelines to assist organizations in preparing to deploy intrusion detection and prevention systems (IDPS). In particular, it addresses the selection, deployment, and operations of IDPS. It also provides background information from which these guidelines are derived.

20 …27000-standardiperhe Guidelines for Security Information and Event Management (SIEM) Electronic discovery - Part 1: Overview and concepts 27799: Health Informatics: Information security management in health using ISO/IEC 27002 Standardit, joita ei ole vielä julkaistu, on kursivoitu. 27799 suomennos tulossa vuoden 2015 aikana

21 27000 standardien luokittelu
Yleiskatsaus ja sanasto Terminologia Yleiset vaatimukset 27001 Vaatimukset 27006 Sertifiointielinten vaatimukset 27002 Menettelyohjeet 27003 Toteuttamisohjeet 27004 Mittaukset Yleiset ohjeet 27005 Riskienhallinta 27007 Auditointiohjeet TR 27008 27013 27014 TR 27016 27010 Viestintä 27011 Tietoliikenne TR 27015 Rahoitus 27017 Pilvipalvelut Sektorikohtaiset ohjeet Kuvassa esitetään tietoturvallisuuden hallintajärjestelmästandardien luokittelu Tietoturvallisuuden hallintajärjestelmästandardien sarja koostuu toisiinsa liittyvistä standardeista, joista osa on julkaistu ja osa on valmisteilla. Tietoturvallisuuden hallintajärjestelmästandardien sarja liittyy moniin muihin ISO- ja ISO/IEC -standardeihin. Standardit luokitellaan tarkemmin johonkin seuraavista tyypeistä: yleiskatsauksen ja termit sisältävät standardit (27000) vaatimuksia määrittelevät standardit (27001, 27006, tulossa sektorikohtaisten ohjeiden vaatimukset) yleisiä ohjeita antavat standardit (27002, 27003, 27004, 27005, 27007, 27008, 27013, 27014, 27016) sektorikohtaisia ohjeita antavat standardit (27010, 27011, 27015, 27017, 27018, 27019, 27799) hallintakeinojen ohjeet (2703X ja 2704X –sarjat). Kuvassa vain numerolla mainitut TR 27008: Guidelines for auditors on information security controls 27013: Guidance on the integrated implementation of ISO/IEC and ISO/IEC ISO/IEC Service management 27014: Governance of information security TR 27016: Organizational economics TR = Techinical report eli informatiivinen raportti (ei siis ohjeellinen) An informative document containing information of a different kind from that normally published in a normative document. Kuvasta karkeampi versio löytyy standardista 27000 27018 Henkilötiedot pilvipalveluissa TR 27019 Energia 27799 Terveydenhuolto Hallintakeinojen ohjeet 2703X 2704X 2703X 2703X 2703X 2703X

22 27000 standardien väliset suhteet
Yleiskatsaus ja sanasto Terminologia Yleiset vaatimukset 27001 Vaatimukset 27006 Sertifiointielinten vaatimukset 27003 Toteuttamisohjeet 27002 Menettelyohjeet Yleiset ohjeet 27004 Mittaukset 27005 Riskienhallinta 27007 Auditointiohjeet Sektorikohtaiset ohjeet Selite Kuvassa esitetään tietoturvallisuuden hallintajärjestelmästandardien välisiä suhteita 27001 ja määrittävät vaatimuksia Muut standardit ja TR:t tukevat em standardeissa määriteltyjen vaatimusten toteuttamista Hallintakeinokohtaisissa ohjeissa viittauksia myös yleisiin ohjeisiin Esimerkiksi sovelluskehityksen tietoturva viittaa 27001, ja 27005 Velvoittava standardi (vaatimukset) 27011 Tietoliikenne 27799 Terveydenhuolto Opastava standardi (ohjeet) Hallintakeinojen ohjeet 27034 Sovelluskehitys

23 Standardit ja lainsäädäntö
Standardisoimislaki Sertifiointilaitoksia koskeva lainsäädäntö Yhteissääntely Kansallinen turvallisuusauditointikriteeristö (KATAKRI) Päätavoitteena yhtenäistää viranomaistoimintoja silloin, kun viranomainen toteuttaa kohteen turvallisuustason auditoinnin yrityksessä tai muussa yhteisössä. Sisältää paljon viittauksia ISO/IEC standardeihin Valtionhallinnon tietoturvallisuuden johtoryhmä (VAHTI) Tavoitteena on parantaa valtionhallinnon toimintoja kehittämällä tietoturvallisuutta sekä edistää tietoturvallisuuden saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta. Standardisoimislaki Sertifiointilaitokset Tietoturvallisuuden arviointilaitokset voivat käyttää hyväkseen FINAS-akkreditointipalvelua, mutta laitosten toiminta kokonaisuutena on vailla ulkopuolista valvontaa. Yritysturvallisuudella on kasvava merkitys muun ohella kansainvälisten hankintakilpailujen vuoksi sekä yritysten innovaatiotoiminnan ja muun toiminnan verkottuessa. Siten arviointilaitosten valvonta on myös yritysten intressissä. Arviointilaitoksia, jotka voisivat hakea ehdotettua Viestintäviraston hyväksyntää, on tällä hetkellä puolisenkymmentä. Lain tarkoitusta toteutetaan antamalla arviointilaitoksille mahdollisuus hakea toimintaansa varten Viestintäviraston hyväksyntä. Arviointitoiminnasta ei ehdotuksen mukaan tulisi luvan- tai ilmoituksenvaraista toimintaa, vaan hyväksynnän hakeminen olisi arviointilaitoksille mahdollisuus, ei velvoite Standardointiin ja sertifiointiin liittyy erilaisia lakeja, viranomaistoiminnan yhtenäistämiseen on tehty kriteeristö (KATAKRI), ja VAHTI on muodostettu parantamaan valtionhallinnon toimintoja. KATAKRI: -> etsi ”katakri” Katakri 3 (2015) sisältää viittauksia 27001, ja standardeihin, eriyisesti 27002:een ja sen kontrolleihin VAHTI:

24 ISO/IEC 27000:2014 ”Yleiskatsaus ja sanasto”
Sisältää ISO/IEC perheen yleiskatsauksen ja esittelyn, käyttämien termien määritelmät ja niiden luokitukset. Määrittelee yleiset vaatimukset tietoturvallisuuden hallintajärjestelmän luomiselle, toteuttamiselle, käyttämisellä, valvonnalle, katselmoinnille, ylläpidolle ja parantamiselle. ISO standardi kategorisoi muita –perheen standardeja eri ryhmiin ja antaa niiden yleiskuvauksen. Yleiskatsauksen ja termit esittävät standardit (27000) Vaatimuksia määrittelevät standardit (27001, 27006) Yleisiä ohjeita antavat standardit (27002, 27003, 27004, 27005, 27007) Sektorikohtaisia ohjeita antavat standardit (27011, 27799) Liitteessä A selitetään miten tietoturvallisuuden hallintajärjestelmästandardien sarjassa käytettäviä verbi-ilmauksia on tarkoitus tulkita joko vaatimuksiksi tai suosituksiksi: Vaatimus, suositus, lupa, mahdollisuus Liitteessä B on luokiteltu standardissa aiemmin määritellyt termit seuraaviin kategorioihin: tietoturvallisuuteen liittyvät termit, johtamiseen liittyvät termit, tietoturvariskeihin liittyvät termit ja dokumentointiin liittyvät termit. Seuraavilla kalvoilla tarkennetaan 27001:stä ja 27005:sta.

25 Keskeisiä käsitteitä 27000 1/2
Pääsynvalvonta Tilivelvollisuus Turvattava kohde Hyökkäys Todennus Aitous Saatavuus Toiminnan jatkuvuus Luottamuksellisuus Turvamekanismi Valvontatavoite Korjaava toimenpide Vaikuttavuus Tehokkuus Tapahtuma Ohje (Haitta)vaikutus Tieto-omaisuus Tietoturvallisuus Tietoturvatapahtuma Tietoturvahäiriö Tietoturvahäiriöiden hallinta Tietoturvallisuuden hallintajärjestelmä (ISMS) Kalvolla listatut keskeiset käsitteet voi käydä nopeasti läpi keskittyen esim. pariin kohtaan tai jättää vaikka kotitehtäviksi. Pääsynvalvonta Pääsyoikeuksien valvonta: keinot, joilla varmistetaan, että turvattaviin kohteisiin pääsevät vain valtuutetut tahot ja että pääsyä rajoitetaan liiketoiminta- ja turvallisuusvaatimusten perusteella Tilivelvollisuus Vastuullisuus: jonkin tahon vastuu sen omista teoista ja päätöksistä. Turvattava kohde Suojattava kohde: mikä tahansa, mikä on arvokas organisaatiolle. Esim. informaatio, ohjelmistot, fyysiset kohteet, palvelut, ihmiset ja maine. Hyökkäys Yritys tuhota, paljastaa tai varastaa turvattava kohde, muuttaa sitä, tehdä se toimimattomaksi, päästä siihen luvatta käsiksi tai käyttää sitä luvatta. Todennus Varmistuminen siitä, että jonkin tahon jokin ominaisuus on mitä sen väitetään olevan. Aitous Autenttisuus: tahon ominaisuus olla mitä se väittää olevansa. Saatavuus Ominaisuus, joka tarkoittaa kohteen olevan saatavilla ja käyttökelpoinen valtuutetun tahon niin vaatiessa. Toiminnan jatkuvuus Liiketoiminnan jatkuvuus: prosessit ja menettelyt, joilla varmistetaan liiketoiminnan jatkuminen. Luottamuksellisuus Ominaisuus, joka tarkoittaa, että tietoa ei anneta saataville tai paljasteta luvattomille henkilöille, tahoille tai prosesseille. Turvamekanismi Riskin hallitsemiseen käytettävät keinot, jotka voivat olla toimintaperiaatteita, menettelyjä, ohjeita, käytäntöjä tai organisaatirakenteita, joiden luonne voi olla havainnollinen, tekninen, johtamiseen liittyvä tai juridinen. Valvontatavoite Lausuma, joka kertoo, mitä turvamekanismien toteuttamisella on tarkoitus saavuttaa. Korjaava toimenpide Toimenpide, jonka tarkoituksena on poistaa havaitun poikkeaman tai muun ei-toivotun tilanteen syy. Vaikuttavuus Laajuus, jolla suunnitellut toimenpiteet toteutetaan ja jolla suunnitellut tulokset saavutetaan. Tehokkuus Saavutettujen tulosten ja käytettyjen resurssien suhde. Tapahtuma Tietyn olosuhdejoukon esiintyminen Ohje Suositus siitä, mitä toimenpiteitä odotetaan, jotta tavoite voidaan saavuttaa. (Haitta)vaikutus Haitallinen muutos liiketoimintatavoitteiden saavuttamisen tasossa. Tieto-omaisuus Tieto tai aineisto, joka on arvokas organisaatiolle. Tietoturvallisuus Informaation luottamuksellisuuden, eheyden ja saatavuuden säilyttäminen. Tähän voi sisältyä muitakin ominaisuuksia, kuten aitous, tilivelvollisuus, kiistämättömyys ja luotettavuus. Tietoturvatapahtuma Tunnistettu järjestelmän, palvelun tai verkon tila, joka viittaa mahdolliseen tietoturvallisuuteen liittyvän politiikan murtamiseen tai turvamekanismien pettämiseen, tai aikaisemmin tuntematon tilanne, jolla saattaa olla merkitystä turvallisuudelle. Tietoturvahäiriö Yksi tai useampi epätoivottu tai odottamaton tietoturvatapahtuma, joka merkittävällä todennäköisyydellä vaarantaa liiketoiminnot ja uhkaa tietoturvallisuutta. Tietoturvahäiriöiden hallinta Prosessit, joiden avulla voidaan havaita, raportoida ja arvioida tietoturvahäiriöt, reagoida niihin, käsitellä niitä ja oppia niistä. Tietoturvallisuuden hallintajärjestelmä (ISMS) Selitetty tarkemmin jo aiemmin. Liiketoimintariskien arviointiin perustuva yleisen johtamisjärjestelmän osa, jonka avulla luodaan, toteutetaan, käytetään, valvotaan, katselmoidaan, ylläpidetään ja parannetaan hyvää tietoturvallisuutta.

26 Keskeisiä käsitteitä 27000 2/2
Tietoturvariski Eheys Johtamisjärjestelmä Kiistämättömyys Politiikka Ehkäisevä toimenpide Menettely Prosessi Tallenne Luotettavuus Riski Riskin hyväksyntä Riskianalyysi Riskien arviointi Riskeistä viestintä Riskikriteerit Riskin suuruuden arviointi Riskien arvottaminen Riskien hallinta Riskien käsittely Soveltamissuunnitelma (SoA) Uhka Haavoittuvuus Kalvolla listatut keskeiset käsitteet voi käydä nopeasti läpi keskittyen esim. pariin kohtaan tai jättää vaikka kotitehtäviksi. Tietoturvariski Mahdollisuus, että uhka hyödyntää turvattavan kohteen tai turvattavien kohteiden ryhmän haavoittuvuutta ja siten aiheuttaa organisaatiolle haittaa Eheys Turvattavien kohteiden virheettömyys ja täydellisyys Johtamisjärjestelmä Politiikasta, menettelyistä, ohjeista ja niihin liittyvistä resursseista koostuvat puitteet, joiden avulla organisaation tavoitteet saavutetaan. Kiistämättömyys Kysy todistaa väitetyn tapahtuman tai toimenpiteen tapahtuminen ja sen tekijätahot, jotta voidaan ratkaista kiistat siitä, tapahtuiko tapahtuma tai toimenpide vai ei ja olivatko tietyt tahot osallisina tapahtumassa. Politiikka Johdon julkituoma yleinen tarkoitus ja suunta Ehkäisevä toimenpide Toimenpide, jonka tarkoituksena on poistaa mahdollisen poikkeaman tai muun mahdollisen ei-toivotun tilanteen syy Menettely Toiminnon tai prosessin määritelty suoritustapa Prosessi Sarja toisiinsa liittyviä tai vuorovaikutteisia toimintoja, jotka muuttavat syötteet tuotoksiksi. Tallenne Asiakirja, jossa esitetään saavutetut tulokset tai joka sisältää näytöt suoritetuista toimenpiteistä. Luotettavuus Ominaisuus, joka tarkoittaa aiotun käytöksen ja tulosten olevan yhdenmukaisia. Riski Tapahtuman todennäköisyyden ja sen seurauksen yhdistelmä Riskin hyväksyntä Päätös hyväksyä riskin ottaminen Riskianalyysi Systemaattinen tietojen käyttäminen riskien tunnistamiseen ja niiden vaikutuksen arviointiin Riskien arviointi Yleiskäsite prosessille, joka kattaa riskianalyysin ja riskien arvottamisen Riskeistä viestintä Riskiä koskevan tiedon vaihtaminen tai jakaminen päätöksentekijöiden ja muiden sidosryhmien kanssa Riskikriteerit Toimintaohjeet, joiden perusteella riskin merkittävyys arvioidaan Riskin suuruuden arviointi Toiminto, jossa riskin todennäköisyydelle ja seurauksille annetaan arvot Riskien arvottaminen Riskien vaikutuksen arviointi: prosessi, jossa tunnistettujen riskien vaikutusta verrataan annettuihin riskikriteereihin, jotta voidaan määrittää riskin merkityksellisyys Riskien hallinta Koordinoidut toimenpiteet, joilla johdetaan ja ohjataan organisaation riskien käsittelyä Riskien käsittely Prosessi, jossa valitaan ja toteutetaan riskejä muuttavia toimenpiteitä Soveltamissuunnitelma (SoA) Kirjallinen lausuma, joka kuvaa organisaation tietoturvallisuuden hallintajärjestelmän kannalta olennaiset ja siihen soveltuvat valvontatavoitteet ja turvamekanismit. Uhka Mahdollinen syy epätoivottuun tapahtumaan, josta voisi seurata haittaa järjestelmälle tai organisaatiolle Haavoittuvuus Turvattavan kohteen tai turvamekanismin heikkous, jota uhka voi käyttää hyväksi

27 ISO Online Browsing Platform ISO:n käyttämien määritelmien hakeminen
Valitse Terms & Definitions hakeaksesi määritelmiä Hakee kaikista standardeista Tuloksissa voi olla useita määritelmiä eri standardeista samalle termille

28 Tietoturvallisuusuhkia
Haittaohjelmat Verkkohyökkäykset Verkkosovellus- ja injektiohyökkäykset Bottiverkot Palvelunesto-hyökkäykset Roskaposti Tietojen kalastelu Exploit kit –hyökkäysohjelmistot Tietomurrot Fyysinen vanhinko, varkaus tai häviäminen Sisäiset uhat Tietovuodot Identiteettivarkaudet ja –petokset Kybertiedustelu Kiristysohjelmistot (Ransomware, Rogueware, Scareware) Lähteenä ENISA Threat Landscape 2014 Lähte: ENISA Threat Landscape 2014

29 ISO/IEC 27001 ”Vaatimukset”
Tavoitteena linjata tietoturvallisuuden hallinta toiminnan määräystenmukaisuuden ja riskien vähennystavoitteiden kanssa Tarkoituksena suojella luottamuksellisuutta, eheyttä ja saatavuutta (CIA-malli) On hallinnointistandardi eikä tekninen standardi Ei kuvaa teknisesti ISMS-järjestelmien yksityiskohtia Keskittyy tietotekniikan lisäksi myös liiketoimintaprosesseihin Keskittyy löytämään, hallinnoimaan ja vähentämään tärkeään tietoon liittyviä riskejä Tieto voi tai voi olla liittymättä tietotekniikkaan tai voi tai voi olla olematta digitaalisessa muodossa Tämä kalvo kertoo 27001:n perusteista. ISO/IEC on kansainvälinen standardi, joka määrittelee ne vaatimukset, jotka koskevat dokumentoidun tietoturvallisuuden hallintajärjestelmän luomista, toteuttamista, käyttämistä, valvontaa, katselmointia, ylläpitoa ja parantamista ottaen huomioon organisaation yleiset liiketoimintariskit. määrittelee vaatimukset turvamekanismien toteuttamista varten yksittäisen organisaation tai sen osien yksilöllisten tarpeiden mukaisesti. Tietoturvallisuuden hallintajärjestelmä luodaan takaamaan riittävien ja asianmukaisesti mitoitettujen turvamekanismien valinta. Niiden tulee suojata suojattavia kohteita ja luoda luottamusta sidosryhmille. 27001 on hyväksytty vuonna 2005. Se on korvannut BS :2002 -standardin tietoturvallisuuden hallintajärjestelmän sertifioinnin perustana. 27001 on vaatimusstandardi, joka perustuu ISO 17799:ssä (nykyisin ISO/IEC 27002) esitetyille hallintavaatimuksille (controls), jotka kuvaavat toimenpiteitä, joilla pyritään täyttämään hallintatavoitteita (control objectives) ISO määrittelee vaatimukset ja tavan, jolla vaatimukset toteutetaan.

30 27001: Termit ja määritelmät
Suojattava kohde Käytettävyys Luottamuksellisuus Tietoturvallisuus Tietoturvatapahtuma Tietoturvahäiriö Eheys Jäännösriski Riskin hyväksyntä Riskianalyysi Riskien arviointi Riskien vaikutuksen arviointi Riskien hallinta Riskien käsittely Soveltamissuunnitelma (SoA) Tällä kalvolla listataan 27001:n termejä ja määritelmiä. Nämä voi käydä nopeasti läpi keskittyen esim. pariin kohtaan tai jättää vaikka kotitehtäviksi. Suojattava kohde Mikä tahansa organisaatiolle arvokas (joskus käytetään termiä omaisuus, engl asset) Käytettävyys Ominaisuus olla saatavilla ja käyttökelpoinen valtuutetun tahon niin vaatiessa Luottamuksellisuus Ominaisuus, että tietoa ei anneta käytettäväksi tai paljasteta luvattomille henkilöille, tahoille tai prosesseille Tietoturvallisuus Tiedon luottamuksellisuuden, eheyden ja käytettävyyden säilyttäminen; lisäksi tähän voi sisältyä muita ominaisuuksia, kuten aitous, vastuullisuus, kiistämättömyys ja luotettavuus. Tietoturvatapahtuma Sellainen tunnistettu järjestelmän, palvelun tai verkon tila, joka viittaa mahdolliseen tietoturvapolitiikan murtamiseen tai turvatakuiden pettämiseen, tai aikaisemmin tuntematon tilanne, jolla saattaa olla merkitystä turvallisuudelle. Tietoturvahäiriö Yksi tai useampi epätoivottu tai odottamaton tietoturvatapahtuma, joka merkittävällä todennäköisyydellä vaarantaa liiketoiminnot ja uhkaa tietoturvallisuutta. Eheys Ominaisuus, että suojattavien kohteiden oikeellisuus ja täydellisyys suojataan. Jäännösriski Riskien käsittelyn jälkeen jäljellä oleva riski Riskin hyväksyntä Päätös hyväksyä riskin ottaminen Riskianalyysi Systemaattinen tietojen käyttäminen riskien tunnistamiseen ja niiden vaikutuksen arviointiin Riskien arviointi Yleiskäsite, joka kattaa riskianalyysin ja riskien vaikutuksen arvioinnin Riskien vaikutuksen arviointi Prosessi, jossa tunnistettujen riskien vaikutusta verrataan annettuihin kriteereihin tavoitteena riskin merkityksellisyyden arviointi. Riskien hallinta Koordinoidut toimenpiteet, joilla johdetaan ja ohjataan organisaation riskien käsittelyä Riskien käsittely Prosessi, jossa valitaan ja toteutetaan riskejä muuttavia toimenpiteitä Soveltamissuunnitelma (SoA) Dokumentti, joka kuvaa organisaation tietoturvallisuuden hallintajärjestelmän kannalta olennaiset ja siihen soveltuvat valvontatavoitteet ja turvamekanismit

31 27001: Vaiheet Tietoturvallisuuden hallintajärjestelmän luominen ja johtaminen Luominen Toteuttaminen ja käyttäminen Valvominen ja katselmointi Ylläpitäminen ja parantaminen PDCA-malli (Plan-Do-Check-Act) oli mukana versiossa 2005, mutta on poistettu 2013 versiosta Tällä kalvolla esitetään 27001:n vaiheet, miten tietoturvallisuuden hallintajärjestelmä luodaan ja miten sitä johdetaan. Vaiheet voi esittää hyvin monella eri tarkkuudella. Luominen: Organisaation tulee määritellä hallintajärjestelmän kattavuus ja rajat, tietoturvallisuuden hallintapolitiikka, organisaation riskien arvioinnin toimintatapa, tunnistaa riskit, analysoida ja arvioida riskien vaikutukset, tunnistaa ja arvioida riskien käsittelyn vaihtoehdot, valita valvontatavoitteet ja turvamekanismit riskien käsittelyyn, hankkia johdon hyväksyntä ehdotetuille jäännösriskeille, hankkia johdon valtuutus tietoturvallisuuden hallintajärjestelmän käyttöönotolle ja käytölle ja valmistella soveltamissuunnitelma (SoA) Toteuttaminen ja käyttäminen: Organisaation tulee määritellä riskien käsittelysuunnitelma, ottaa käyttöön riskien käsittelysuunnitelma, toteuttaa kohdassa ” valita valvontatavoitteet ja turvamekanismit riskien käsittelyyn” valitut turvamekanismit, joilla valvontatavoitteet saavutetaan, määritellä miten valittujen turvamekanismien ja turvamekanismiyhdistelmien tehokkuutta mitataan, määritellä miten näitä mittauksia käytetään turvamekanismien tehokkuuden arvioinnissa, toteuttaa koulutus- ja tietoisuusohjelmat, johtaa tietoturvallisuuden hallintajärjestelmän käyttötoimintoja, johtaa tietoturvallisuuden hallintajärjestelmän resursseja, ottaa käyttöön menettelytavat ja muut kontrollit, joiden avulla toteutetaan tietoturvatapahtumien viiveetön ja täsmällinen havaitseminen ja niihin reagointi, Valvominen ja katselmointi: Organisaation tulee Toteuttaa valvonta- ja katselmointimenettelyt ja muut kontrollit, Toteuttaa säännölliset tietoturvallisuuden hallintajärjestelmän tehokkuuden katselmoinnit, Mitata turvamekanismien tehokkuutta, Katselmoida riskien arviointi suunnitelluin väliajoin sekä katselmoida jäännösriski ja hyväksyttävän riskin taso ottaen huomioon eri muutokset Toteuttaa sisäisiä tietoturvallisuuden hallintajärjestelmän auditointeja säännöllisesti suunnitelman mukaan, Toteuttaa säännöllisesti tietoturvallisuuden hallintajärjestelmän johdon katselmus, Päivittää turvallisuussuunnitelmia siten, että niissä otetaan huomioon tarkkailu- ja katselmustoimintojen havainnot, Kirjata toimenpiteet ja tapahtumat, joilla saattaisi olla vaikutusta tietoturvajärjestelmän vaikuttavuuteen tai suorituskykyyn Ylläpitäminen ja parantaminen: Organisaation tulee säännöllisesti Toteuttaa tietoturvallisuuden hallintajärjestelmän tunnistetut parannustoimenpiteet, Suorittaa soveltuvat korjaavat ja ehkäisevät toimenpiteet ja soveltaa sekä oman että toisien organisaatioiden tietoturvakokemuksista opittuja asioita. Tiedottaa toimenpiteistä ja parannuksista kaikille sidosryhmille niin yksityiskohtaisesti, kuin tilanteeseen sopii, ja tarvittaessa sopia jatkotoimenpiteistä Varmistaa, että parannukset johtavat toivottuihin tavoitteisiin

32 27001 sisältö (1/2) Organisaatio ja toimintaympäristö
Hallintaympäristön kokonaisuuden ymmärtäminen Sidosryhmien tarpeiden ymmärtäminen Hallintajärjestelmän sovellusalan määrittämien Johtaminen Johtajuus ja johdon sitoutuminen Tietoturvapolitiikka Roolit, velvollisuudet ja oikeudet Suunnittelu Riskien ja mahdollisuuksien käsittely Tietoturvatavoitteet ja tarvittavien toimien suunnittelu Suunnittelun ja päätösten dokumentointi Organisaatio ja toimintaympäristö Hallintajärjestelmän kontekstin ymmärtäminen Hallintajärjestelmään vaikuttavien tekijöiden tunnistaminen Tavoitteiden määrittely Hallintajärjestelmän kohteen määrittely ja laajuus Johtaminen ja johtajuus Organisaation tavoitteet ja resurssit Yhteensopivuus organisaation strategiaan Tietoturvapolitiikka määrittää tietoturvatavoitteet tai antaa perustan tavoitteiden asettamiselle Tietoturvapolitiikka sisältää sitoutumisen tietoturvallisuuden hallintajärjestelmän parantamiseen Organisaation johto määrittelee vastuut ja valtuudet Suunnittelu Riskien arviointi (tunnistaminen, analysointi) ja käsittely Tietoturvatavoitteiden oltava tietoturvapolitiikan kanssa yhdenmukaisia Tietoturvatavoitteista on säilytettävä dokumentoitua tietoa Mitä, millä resursseilla, kuka/ketkä, milloin, miten arvioidaan

33 27001 sisältö (2/2) Tukitoiminnot Resurssit Pätevyys Tietoisuus
Viestintä Dokumentointi Toiminta Suunnittelu ja ohjaus Tietoturvariskien arviointi ja käsittely Suorituskyvyn arviointi Seuranta, mittaus, analysointi ja arviointi Sisäinen auditointi Johdon katselmus Parantaminen Poikkeamat ja korjaavat toimenpiteet Jatkuva parantaminen Tukitoiminnnot Riittävät resurssit Tarvittavan osaamisen varmistaminen Koko organisaation tulisi olla tietoinen tietoturvapolitiikasta Tietoturvallisuuden hallintajärjestelmästä tulee kommunikoida organisaatiolle Mitä, milloin, kenelle, kuka, mitkä viestintäprosessit on toteutettava Tietoturvallisuuden hallintajärjestelmä edellyttää tiedon dokumentointia Dokumentoidun tiedon luominen ja päivittämien (merkinnät, tallennusmuoto, hyväksyminen…) Dokumentoidun tiedon hallinta (saatavuus, suojaus) Toiminta Organisaation on suunniteltava sellaiset prosessit, joilla se saavuttaa asetetut tietoturvatavoitteet Toiminnasta on säilytettävä riittävästi dokumentoitua tietoa, että voidaan varmistua prosessit ovat toteutuneet suunnitellusti Tietoturvariskejä on arvioitava suunnitelluin aikavälein tai kun merkittäviä muutoksia ehdotetaan tai kun tällaisia muutoksia tapahtuu Tietoturvariskien käsittelystä on oltava dokumentoitua tietoa Suorituskyvyn arviointi Tietoturvallisuuden hallintajärjestelmän toimintaa on seurattava ja mitattava sekä analysoitava ja arvioitava mittaustuloksia Organisaation tulee määritellä milloin mitataan ja miten, ketkä toteuttavat, milloin ja miten analysoidaan mittaustuloksia, ketkä analysoivat ja arvioivat tulokset Organisaation tulee toteuttaa myös sisäisiä auditointeja tietoturvallisuuden hallintajärjestelmän arvioimiseksi Johdon katselmuksen tarkoituksena varmistaa, että tietoturvallisuuden hallintajärjestelmä on edelleen soveltuva, asianmukainen ja vaikuttava Parantaminen Vanhassa versiossa Plan-Do-Act-Check malli, ei mukana 2013 versiossa Poikkeamiin reagoidaan ja toteutetaan tarvittavat toimenpiteet Poikkeumien käsittelystä ja korjaavista toimenpiteistä on säilytettävä dokumentoitua tietoa Tietoturvallisuuden hallintamallia on parannettava jatkuvasti

34 27001 vaatii, että hallinto tarkastelee organisaation tietoturvallisuusriskejä järjestelmällisesti, ottaen huomioon uhkat, haavoittuvuudet ja vaikutukset suunnittelee ja toteuttaa yhdenmukaiset ja kattavat tietoturvallisuuskontrollit ja riskien käsittelyohjeet (suite), jotta riskit, joita on mahdoton hyväksyä, saadaan käsiteltyä (address), ja omaksuu ylikaartuvan (overarching) hallintoprosessin varmistaakseen tietoturvallisuuskontrollien jatkuvuuden tulevaisuudessa. Tämä kalvo kertoo siitä miten hallinnon pitäisi toimia, jotta 27001:sta voidaan käyttää.

35 27001:n käyttö Käytetään yhdessä ISO/IEC 27002:n kanssa
ISO/IEC liite A sisältää listan hallintatavoitteista ja -keinoista ISO/IEC sisältää tarkemmat kuvaukset hallintakeinoista 27001 antaa vaatimuksia tietoturvallisuuden hallintajärjestelmän sisäiseen auditointiin, johdon katselmointiin, ja parantamiseen Kalvo kertoo 27001:n käytöstä. Käytännössä 27001:n liitteen kontrollien kuvaukset löytyvät suoraan 27002:sta.

36 Hallintatavoitteiden jaottelu
14 pääkohtaa Tietoturvapolitiikat Tietoturvallisuuden organisointi Henkilöstöturvallisuus Suojattavan omaisuuden hallinta Pääsynhallinta Salaus Fyysinen turvallisuus ja ympäristön turvallisuus Käyttöturvallisuus Viestintäturvallisuus Järjestelmien hankkiminen, kehittäminen ja ylläpito Suhteet toimittajiin Tietoturvahäiriöiden hallinta Liiketoiminnan jatkuvuuden hallintaan liittyviä tietoturvanäkökohtia Vaatimustenmukaisuus

37 Hallintakeinot Yhteensä 35 pääturvallisuus-luokkaa pääkohtien alla
Hallintatavoite Yksi tai useampi hallintakeinon tavoitteen saavuttamiseksi Yhteensä 114 hallintakeinoa Kuvaus Toteuttamisohjeet Lisätiedot Hallintakeinoista käytetään englanninkielistä nimeä (security) control, joka toisinaan suomennetaan (turvallisuus-)kontrolli tai vastatoimenpide Jokaisella 35 pääturvallisuusluokalla on hallintatavoite Hallintatavoitteen saavuttamiseksi on määritelty vähintään yksi hallintakeino eli kontrolli. Useimmissa pääturvallisuusluokissa hallintakeinoja on useita

38 Hallintatavoitteet ja –keinot - esimerkki
Esimerkki: A.9 Pääsynhallinta A.9.1 Pääsynhallinnan liiketoiminnalliset vaatimukset Tavoite: hallita pääsyä tietoon ja tietojenkäsittelypalveluihin. A Pääsynhallintapolitiikka Pääsynhallinnan periaatteet on laadittava, dokumentoitava ja katselmoitava liiketoiminnallisten vaatimusten ja tietoturvavaatimusten perusteella. A Pääsy verkkoihin ja verkkopalveluihin Käyttäjille on sallittava pääsy ainoastaan niihin verkkoihin ja verkkopalveluihin, joihin heille on nimenomaisesti myönnetty pääsyoikeudet. Kalvo kertoo 27001:n liite A:sta, joka luettelee valvontatavoitteita ja turvamekanismeja. Esimerkkinä annetaan pääsynhallinta Pääkohta: Pääsynhallinta Pääturvallisuusluokka: Pääsynhallinnan liiketoiminnalliset vaatimukset Hallintakeinot: Pääsynhallintapolitiikka Pääsy verkkoihin ja verkkopalveluihin Esimerkkejä tulee tämän kalvon jälkeen lisää, ja niitä kaikkia ei ole pakko käydä tunnilla läpi. Huom. Liite A sisältää otsikkotason listan ISO/IEC 27002:n tietoturvallisuuskontrolleista. ISO/IEC tarjoaa ylimääräistä tietoa ja neuvoo kontrollien toteutuksessa.

39 Hallintatavoitteet ja –keinot - esimerkki
A.9.2 Pääsyoikeuksien hallinta Tavoite: varmistaa valtuutettujen käyttäjien pääsy järjestelmiin ja palveluihin sekä estää luvaton pääsy niihin. A Käyttäjien rekisteröinti ja poistaminen Hallintakeino: On toteutettava muodollinen käyttäjien rekisteröinti- ja poistamisprosessi, jonka avulla pääsyoikeudet jaetaan. A Pääsyoikeuksien jakaminen Hallintakeino: On toteutettava muodollinen pääsyoikeuksien jakoprosessi, jonka avulla kyetään antamaan tai kumoamaan pääsyoikeus minkä tahansa tyyppiseltä käyttäjältä mihin tahansa järjestelmään tai palveluun. … Pääsyoikeuksien hallinnan alla on yhteensä kuusi hallintakeinoa, kalvolla näkyvien lisäksi: A Ylläpito-oikeuksien hallinta A Käyttäjien tunnistautumistietojen hallinta A Pääsyoikeuksien uudelleenarviointi A Pääsyoikeuksien poistaminen tai muuttaminen

40 Hallintakeinoja… Hallinnollisia Henkilöstöturvallisuus
Tietoturvapolitiikat Roolit ja vastuut Yhteydet viranomaisiin Tehtävien eriyttäminen Tietoturvallisuus projektienhallinnassa Taustatarkistus Työsopimuksen ehdot Johdon vastuut Tietoturvatietoisuus, -opastus ja -koulutus Seuraavilla kalvoilla on esitelty esimerkin omaisesti joitakin hallintakeinoja. Lista ei ole kattava, eikä käsitä kaikkia pääluokkia tai hallintakeinoja.

41 …Hallintakeinoja… Tiedonhallinta Pääsynhallinta Tiedon luokittelu
Tiedon merkintä Suojattavan omaisuuden käsittely Siirrettävien tietovälineiden hallinta Tietovälineiden hävittäminen Fyysisten tietovälineiden siirtäminen Pääsynhallintapolitiikka Pääsy verkkoihin ja verkkopalveluihin Käyttäjien rekisteröinti ja poistaminen Käyttäjien tunnistautumistietojen hallinta Pääsyoikeuksien uudelleenarviointi

42 …Hallintakeinoja.. Fyysinen turvallisuus Viestintäturvallisuus
Fyysinen turva-alue Kulunvalvonta Toimistojen, tilojen ja laitteistojen suojaus Suojaus ulkoisia ja ympäristön aiheuttamia uhkia vastaan Verkon hallinta Verkkopalvelujen turvaaminen Tiedonsiirtopolitiikat ja –menettelyt Sähköinen viestintä Salassapito- ja vaitiolositoumukset

43 …Hallintakeinoja… Tietoturvahäiriöiden hallinta
Järjestelmien hankkiminen, kehittäminen ja ylläpito Tietoturvahäiriöiden hallinta Tietoturvavaatimusten analysointi ja määrittely Turvallisen kehittämisen politiikka Turvallisen järjestelmä-suunnittelun periaatteet Turvallinen kehitysympäristö Järjestelmän turvallisuustestaus Vastuut ja menettelyt Tietoturvatapahtumien raportointi Tietoturvaheikkouksien raportointi Tietoturvahäiriöihin vastaaminen Tietoturvahäiriöistä oppiminen

44 …Hallintakeinoja Jatkuvuuden hallinta Vaatimustenmukaisuus
Tietoturvallisuuden jatkuvuuden suunnittelu Tietoturvallisuuden jatkuvuuden todentaminen, katselmointi ja arviointi Tietojenkäsittely-palvelujen saatavuus Sovellettavien laki-sääteisten ja sopimuk-sellisten vaatimusten yksilöiminen Immateriaalioikeudet Tietosuoja ja henkilö-tietojen suojaaminen Tietoturvallisuuden riippumaton katselmointi

45 …Hallintakeinoja.. Käyttöturvallisuus Dokumentoidut toimintaohjeet
Muutoksenhallinta Kehitys-, testaus- ja tuotanto ympäristöjen erottaminen Haittaohjelmilta suojautuminen Tietojen varmuuskopiointi Tapahtumien kirjaaminen Lokitietojen suojaaminen Teknisten haavoittuvuuksien hallinta Ohjelmien asentamisen rajoittaminen

46 ISO/IEC 27005:2011: ”Tietoturvariskien hallinta”
Soveltuu käytettäväksi organisaatioissa, jotka haluavat hallinnoida riskejä, jotka voivat vaarantaa yrityksen tietoturvallisuuden. Tukee erityisesti ISO/IEC –standardin mukaisen tietoturvallisuuden hallintajärjestelmän vaatimuksia. Ei esitä tai suosittele mitään tiettyä tietoturvan riskien hallinnan menettelytapaa. Sisältää jäsentyneen, järjestelmällisen ja tiukan riskien analysointiprosessin, jonka 5 askelman avulla voidaan tuottaa riskien käsittelysuunnitelma Suunnattu lähinnä organisaation tietoturvariskien hallinnasta vastaaville johtajille ja henkilöstölle. Vaatii ja –standardit viiteasiakirjoiksi. Seuraavaksi siirrytään 27005:n esittelyyn. Ensimmäisellä kalvolla on yleistä esittelyä. ISO/IEC 27005 sisältää mukaisen riskienhallintaprosessin ohjeistuksen tarkastelee riskienhallintaa osana yleistä (liike)toimintariskien hallintaa

47 27005: Riskien hallinnan termit
Vaikuttavuus, vaikutusarvo Välitön vaikutus Myöhempi vaikutus Tietoturvariski Riskin välttäminen Riskeistä viestintä Riskin suuruuden arviointi Riskin tunnistus Riskin pienentäminen Riskin säilyttäminen Riskin siirto Tällä kalvolla kerrotaan 27005:ssa käytettyjä riskien hallinnan termejä. Osa termien määrittelystä löytyy itse standardista tai standardista. ISO Online Browsing Platformin avulla voi hakea määritelmät, jotka myös alla. Nämä voi käydä nopeasti läpi keskittyen esim. pariin kohtaan tai jättää kotitehtäviksi. Vaikuttavuus, vaikutusarvo Haitallinen muutos liiketoimintatavoitteiden saavuttamisen tasossa. Vaikuttavuuden katsotaan liittyvän joko välittömään (toiminnalliseen) vaikutukseen tai myöhempään (liiketoiminnalliseen) vaikutukseen, johon sisältyvät myös taloudelliset ja markkinoihin liittyvät seuraukset. Välittömät (toiminnalliset) vaikutukset ovat joko suoria tai epäsuoria. Tietoturvariski Mahdollisuus, että jokin uhka hyödyntää suojattavan kohteen tai suojattavien kohteiden ryhmän haavoittuvuutta ja siten aiheuttaa organisaatiolle haittaa. Riskien välttäminen Päätös pysytellä poissa riskitilanteesta tai toimenpide, jolla poistutaan riskitilanteesta. Riskeistä viestintä Riskiä koskevan tiedon vaihtaminen tai jakaminen päätöksentekijöiden ja muiden sidosryhmien kanssa. Riskin suuruuden arviointi Prosessi, jossa riskin todennäköisyydelle ja seurauksille annetaan arvot. Riskin tunnistus Prosessi, jossa etsitään, luetellaan ja kuvaillaan riskin osatekijät. Riskin pienentäminen Toimenpiteet, joilla pienennetään riskin todennäköisyyttä, siihen liittyviä haitallisia seurauksia tai molempia. Riskin säilyttäminen Tietystä riskistä aiheutuvan menetyksen taakan tai hyödyn saavuttamisen hyväksyminen Riskin siirto Riskiin liittyvän menetyksen tai saavutettavan hyödyn jakaminen toisen osapuolen kanssa

48 27005:n sisältö kuvaus tietoturvariskien hallintaprosessista (Information Security Risk Management, ISRM). riskien arviointi (Information Security Risk Assessment, ISRA) riskien käsittely (risk treatment) riskien hyväksyntä (acceptance) riskeistä viestiminen (communication) Riskien tarkkailu (monitoring) ja katselmointi (review). Tämä kalvo kertoo 27005:n sisällöstä. Nämä esitellään tarkemmin seuraavilla kalvoilla.

49 27005: Tietoturvariskien hallintaprosessi
Kuva esittää tietoturvallisuuden hallintaprosessin ja mistä se koostuu: arviointiympäristön määrittämisestä riskien arvioinnista riskien käsittelystä riskin hyväksynnästä riskeistä viestimisestä ja riskien tarkkailusta ja katselmoinnista Kuvassa esitetään myös kuinka riskien arviointi- ja käsittelytoiminnot voivat olla iteratiivisia tietoturvariskien hallintaprosessissa. Riskien iteratiivinen toimintamalli auttaa saavuttamaan tasapainon siten, että turvamekanismien tunnistamiseen käytetään mahdollisimman vähän aikaa mutta samalla varmistetaan suurten riskien asianmukainen arviointi. Arviointiympäristön määrittämisen jälkeen tehdään riskien arviointi, jonka jälkeen VOIDAAN siirtyä riskien käsittelyyn. Jos saatua tietoa ei ole riittävästi toimenpiteiden määrittämiseen tehokkaasti, riskien arviointi toistetaan muutetussa arviointiympäristössä. Riskien käsittelyn tehokkuus riippuu riskien arvioinnin tuloksista, esim. jäännösriskiä ei saada välttämättä heti hyväksyttävälle tasolle. Koko tietoturvariskien hallintaprosessin ajan on tärkeää viestiä riskeistä ja niiden käsittelystä asianosaisille johtajille ja suorittavalle henkilöstölle. | 49

50 27005: Riskien käsittelytoiminta
Kuvassa esitetään riskien käsittelytoimintaa edellisessä aikaisemmassa kuvassa esitetyn tietoturvariskien hallintaprosessin puitteissa. Ennen riskien vaikutuksen arviointia on pitänyt tehdä seuraavat toimenpiteet: Tietoturvariskien arvioinnin yleiskuvaus Riskianalyysi Riskin tunnistus Johdatus riskin tunnistukseen Suojattavien kohteiden tunnistaminen Uhkien tunnistus Käytössä olevien turvamekanismien tunnistus Haavoittuvuuksien tunnistaminen Seurausten tunnistus Riskien suuruuden arviointi Riskin suuruuden arviointimenettelyt Seurausten arviointi Häiriön todennäköisyyden arviointi Riskitason arviointi Riskien vaikutuksen arvioinnin jälkeen käytössä on luettelo riskeistä, jotka on asetettu tärkeysjärjestykseen riskien vaikutuksen arviointikriteerien perusteella ja suhteutettu kyseisiin riskeihin johtaviin häiriöskenaarioihin. Tietoturvariskien käsittelyssä käytetään lähtötietoina tuota luetteloa. Tämän jälkeen riskejä käsitellään valitsemalla riskien pienentämiseen, säilyttämiseen, välttämiseen tai siirtämiseen käytettävät turvamekanismit ja määrittelemällä riskien käsittelysuunnitelma. Toteuttamisohjeet: Riskien käsittelyyn on käytettävissä neljä vaihtoehtoa: riskin pienentäminen, riskin säilyttäminen, riskin välttäminen ja riskin siirtäminen. Ne eivät sulje pois toisiaan ja joskus voi olla merkittävää hyötyä yhdistellä vaihtoehtoja. Kun riskien käsittelysuunnitelma on määritelty, täytyy määrittää jäännösriskit. Tämä tarkoittaa riskien arvioinnin päivittämistä tai toistamista siten, että arvioinnissa otetaan huomioon ehdotettujen riskien käsittelytapojen odotetut vaikutukset. Tuloksena riskien käsittelyssä on riskien käsittelysuunnitelma ja jäännösrikit, joiden hyväksymisestä organisaation johtajien täytyy päättää.

51 27005: Riskien käsittely Käsittelyvaihtoehdot Riskien pienentäminen
Riskin säilyttäminen Riskin välttäminen Riskin siirto Käsittelyvaihtoehtojen valintamenetelmät Kustannuksien ja hyötyjen suhde Riskien haitalliset seuraukset Harvinaiset mutta vakavat riskit Kalvolla kerrotaan riskien käsittelyvaihtoehdoista ja valintamenetelmistä. Riskien käsittelyvaihtoehdot tulisi valita riskien arvioinnin tulosten, vaihtoehtojen toteuttamisen odotettavissa olevien kustannusten ja näistä vaihtoehdoista odotettavissa olevien hyötyjen perusteella. Vaihtoehdot, joilla on mahdollista pienentää riskejä merkittävästi suhteellisen alhaisin kustannuksin, tulisi toteuttaa. Jos riskitaso täyttää riskien hyväksymiskriteerit, muita hallintakeinoja ei tarvitse toteuttaa ja riski voidaan päättää säilyttää. Riskien haitalliset seuraukset tulisi saada niin vähäisiksi kuin on käytännössä mahdollista. Johtajien tulisi tarkastella myös harvinaisia mutta vakavia riskejä, jolloin saatetaan joutua toteuttamaan turvamekanismeja, jotka eivät ole perusteltuja pelkästään taloudellisin perustein.

52 Toimittajan auditointi Kolmannen osapuolen suorittama auditointi
Sisäinen auditointi Ulkoinen auditointi Toimittajan auditointi Kolmannen osapuolen suorittama auditointi Kutsutaan toisinaan ensimmäisen osapuolen auditoinniksi Kutsutaan toisinaan toisen osapuolen auditoinniksi Lakien tai viranomaisten määräämiin tarkoituksiin tai vastaaviin tarkoituksiin Sertifiointiin (ks. myös standardin ISO/IEC :2011 vaatimukset) HUOM: Toimittajan auditointi: Toimittaja ei auditoi vaan toimittaja auditoidaan.

53 Esimerkki auditointiprosessista
Vaihe 1. Tietoturvallisuuden hallintajärjestelmän alustava ja epävirallinen katselmointi Keskeisten asiakirjojen olemassaolon ja kattavuuden tarkistamiseen (organisaation tietoturvapolitiikka, soveltamissuunnitelma, riskien käsittelysuunnitelma). Vaihe 2. Yksityiskohtaisempi ja muodollisempi audiointi Tietoturvallisuuden hallintajärjestelmän testaus ISO/IEC 27001:n vaatimuksia vasten, sekä todisteiden keräys siitä, että johtamisjärjestelmä on suunniteltu ja toteutettu oikein ja on käytössä. Läpipääsy antaa sertifioinnin. Vaihe 3. jatkokatselmoinnit ja auditoinnit Säännöllinen uudelleenarviointi. Prosessi on kuvattuna –sivulla.

54 ISO 27001 sertifioidut organisaatiot (1/2)

55 ISO 27001 sertifioidut organisaatiot (2/2)

56 Standardin soveltaminen ja kokemuksia*
Johdon todellinen sitouttaminen voi olla hankalaa Johto voi lähteä innokkaana mukaan, koska heidän mielestään tietoturva on tärkeää, mutta siinä vaiheessa kun heidän pitää muuttaa omaa käytöstään, kohdataan hankaluuksia Johto pitää pystyä sitouttamaan kunnolla ennen kuin standardeja aletaan viedä alemmille portaille Kaikkien hallintotasojen kouluttaminen ja sitouttaminen on tärkeää Yritys voi olla ennakoiva tietoturvan suhteen. Suurilta ja kalliilta yllätyksiltä voidaan välttyä. Jotkut 27K:n asiat eivät ole välttämättä kustannustehokkaita erityisesti pienille yrityksille. * Lea Viljanen Kalvolla esitetään kokemuksia 27K-perheen standardien soveltamisesta.

57 Standardin soveltaminen ja kokemuksia
Lopputöitä: Ilmari Luoma, ”Tietoturvallisuusauditointi ISO viitekehyksessä”, 2015 Kirsi Kautola, ”Tietoturva- ja uhkakartoitus”, 2013 Mikko Nisonen, ”Tietoturvallisuuden hallintajärjestelmä JYVSECTEC –hankkeeseen”, 2012 Markus Kuivalainen, ”Valmistautuminen ISO/IEC standardin sertifiointiin”, 2011 Matti Laakso, ”PK-yrityksen tietoturvasuunnitelman laatiminen”, 2010 Simo Kemppainen, ”Tietoturvallisuuden sertifiointi ISO/IEC tietoturvallisuusstandardilla”, 2009

58 Tietoturvallisuusstandardin käytön hyödyt
ISO/IEC 27001: Parempi kuva organisaatiossa itsestään. Tietoturvaan liittyvän tiedon määrä ja ymmärrys sen tärkeydestä lisääntyy. Vältetyt riskit vähentävät kuluja. Organisaation toiminnot sujuvat sulavammin, koska vastuut ja prosessit on selvästi määritelty. Tietoturvavalveutuneisuus paranee. Yhteiset termit ja käytännöt helpottavat kommunikointia muiden organisaatioiden kanssa. Asiakkaiden luottamus ja näkemys yrityksestä paranee. Kalvolla listataan joitakin hyötyjä, joita 27001:n käytöllä voidaan saavuttaa.

59 ISO:n standardointiprosessi
Ehdotus ko. alueen tekniselle komitealla Asiantuntijoiden ryhmä valmistelee työversion Ensimmäinen työversio jaetaan tekniselle komitealle ja ISO:n sihteeristölle Työversio jaetaan kaikille kansallisille jäsenille kommentteja varten Äänestysversio lähetetään kansallisille jäsenille äänestystä varten Valmis standardi Jos ehdotus hyväksytään Jos tekninen komitea hyväksyy työversion Kalvolla animoituna päätöksen tekopisteet Kansallisena jäsenenä toimii suomessa SFS ja sen seurantaryhmä 307 Prosessin läpi meno kestää keskimäärin 42 kuukautta Äänestyskierroksiin varattava useita kuukausia aikaa Key principles in standard development 1. ISO standards respond to a need in the market 2. ISO standards are based on global expert opinion 3. ISO standards are developed through a multi-stakeholder process 4. ISO standards are based on a consensus Jos yhteisymmärrys saavutetaan Jos standardi hyväksytään äänestyksessä

60 Lisätietoa standardeista
ISO:n online browsing platform -palvelu 27K-standardiperheestä vastaa kansainvälinen ISO/IEC JTC 1/SC 27 -komitea, erityisesti työryhmä 1 (WG 1). Suomen osalta SFS:n seurantaryhmä SR 307 Tietoturvatekniikat seuraa komitean ja sen työryhmien työtä ja lähettää kansallisia kannanottoja. Puheenjohtaja: Reijo Savola (VTT) Sihteeri: Saana Seppänen (SFS)