informaatioteknologia. turvallisuus. tietoturvallisuuden ... · pdf fileiso/iec 27000...

25
Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät. ISO/IEC 27000 -standardiperhe Kalvosarja oppilaitoksille Suomen Standardisoimisliitto SFS ry 2012 27.8.2012| 1

Upload: lynhan

Post on 16-Feb-2018

219 views

Category:

Documents


2 download

TRANSCRIPT

Page 1: Informaatioteknologia. Turvallisuus. Tietoturvallisuuden ... · PDF fileISO/IEC 27000 -standardiperhe ... • 27031:2011 - Guidelines for information and communication technology readiness

Informaatioteknologia.

Turvallisuus.

Tietoturvallisuuden

hallintajärjestelmät.

ISO/IEC 27000 -standardiperhe Kalvosarja oppilaitoksille

Suomen Standardisoimisliitto SFS ry

2012 27.8.2012| 1

Page 2: Informaatioteknologia. Turvallisuus. Tietoturvallisuuden ... · PDF fileISO/IEC 27000 -standardiperhe ... • 27031:2011 - Guidelines for information and communication technology readiness

Tervetuloa luentoaineiston käyttäjäksi!

Tämän luentoaineiston ovat laatineet Teemu Väisänen

VTT:ltä ja Juha Kreus Laurea ammattikorkeakoulusta.

Kalvosarja on tuotettu SFS:n projektirahoituksella.

TTY:n Tietoturvallisuuden jatkokurssin tarpeisiin tiivisti J.

Koskinen 29.11.2012. Yksi tiivistyksistä on lyhenne

TT = Tietoturva(llisuus)

27.8.2012 | 2

Page 3: Informaatioteknologia. Turvallisuus. Tietoturvallisuuden ... · PDF fileISO/IEC 27000 -standardiperhe ... • 27031:2011 - Guidelines for information and communication technology readiness

Tietoturvallisuuden hallintajärjestelmä

• on osa yleistä hallintajärjestelmää, joka luodaan ja

toteutetaan liiketoimintariskien arviointiin perustuen ja

jota käytetään, valvotaan, katselmoidaan, ylläpidetään

ja parannetaan tavoitteena hyvä TT.

• Organisoi ja helpottaa yritysjohdon TT-työtä.

• Hallintajärjestelmien tulisi kattaa kaikki tietoturvan

johtamisessa, hallinnoimisessa ja valvonnassa

tarvittavat menettelyt ja toimenpiteet.

• ei ole yksittäinen dokumentti, vaan moniosainen

prosessi, jota on kehitettävä jatkuvasti.

• Hallintajärjestelmän osia ovat mm. riskianalyysi, TT-

politiikka sekä TT-, jatkuvuus- ja toipumissuunnitelmat.

27.8.2012 | 3

Page 4: Informaatioteknologia. Turvallisuus. Tietoturvallisuuden ... · PDF fileISO/IEC 27000 -standardiperhe ... • 27031:2011 - Guidelines for information and communication technology readiness

27000-standardiperhe

• ISO/IEC 27000 viittaa kasvavaan ISO/IEC-

standardiperheeseen, jonka yhteinen otsikko on

"Informaatioteknologia. Turvallisuus.

Tietoturvallisuuden hallintajärjestelmät".

• Tarjoaa suosituksia TT:n hallintaan, riskeihin ja

kontrollointiin TT:n hallintajärjestelmissä.

• Myös muut 27-alkuiset tietoturvallisuuteen liittyvät

standardit lasketaan toisinaan perheeseen kuuluvaksi.

27.8.2012 | 4

Page 5: Informaatioteknologia. Turvallisuus. Tietoturvallisuuden ... · PDF fileISO/IEC 27000 -standardiperhe ... • 27031:2011 - Guidelines for information and communication technology readiness

27000-standardiperheen historia ja

kehittyminen

• Englannin aloite

– 1992: Code of Practice for Information Security

Management (hallituksen opaste)

– 1995: Muutetaan BSI standardiksi BS 7799

– 1999: Sertifiointi alkaa täysimääräisenä

• 2000: ISO/IEC 17799 ISO/IEC 27002:2005

• 2002: BS7799-2. Information Security Management

Specification ISO/IEC 27001:2005

• 27000, 27001 ja 27002:n 2. painos valmisteilla

• Uudet versiot vuoden 2013 aikana

27.8.2012 | 5

Page 6: Informaatioteknologia. Turvallisuus. Tietoturvallisuuden ... · PDF fileISO/IEC 27000 -standardiperhe ... • 27031:2011 - Guidelines for information and communication technology readiness

27000-standardiperhe…

• 27000: 2009 - Yleiskatsaus ja sanasto - Overview and vocabulary

• 27001: 2005 - Vaatimukset

• 27002: 2005 - Tietoturvallisuuden hallintaa koskeva menettelyohje

• 27003: 2010 - Tietoturvallisuuden hallintajärjestelmän toteuttamisohjeita

• 27004: 2009 - Mittaaminen

• 27005: 2011 - Tietoturvariskien hallinta

• 27006: 2011 - Requirements for bodies providing audit and certification of

information security management systems

• 27007: 2011 - Guidelines for Information Security Management Systems

Auditing

• 27008: 2011 - Guidelines for auditors on information security management

systems controls

• 27010 : ?- Information security management for inter-sector and inter-

organizational communications

• 27011: 2008 - Information security management guidelines for

telecommunications organizations based on ISO/IEC 27002

27.8.2012 | 6

Page 7: Informaatioteknologia. Turvallisuus. Tietoturvallisuuden ... · PDF fileISO/IEC 27000 -standardiperhe ... • 27031:2011 - Guidelines for information and communication technology readiness

…27000-standardiperhe…

• 27013:? - Guidelines on the integrated implementation of ISO/IEC 27001 and

ISO/IEC 20000-1

• 27014:? - Governance of information security

• 27015:? - Proposal on an Information security management guidelines for

financial and insurance services

• 27016:? - Organizational economics

• 27017:? - Cloud computing security and privacy management system --

Security controls

• 27018:? - Code of practice for data protection controls for public cloud computing services

• 27031:2011 - Guidelines for information and communication technology

readiness for business continuity

• 27032:? - Guidelines for cybersecurity

• 27033:eri osia (1–7) - Network security

• 27034:eri osia (1–5) - Application security

• 27035:2011 - Information security incident management

• 27036:eri osia (1-3) - Information security for supplier relationships

27.8.2012 | 7

Page 8: Informaatioteknologia. Turvallisuus. Tietoturvallisuuden ... · PDF fileISO/IEC 27000 -standardiperhe ... • 27031:2011 - Guidelines for information and communication technology readiness

…27000-standardiperhe

• 27037:? - Guidelines for identification, collection, acquisition and preservation

of digital evidence

• 27038:? - Specification for Digital Redaction

• 27039:? - Selection, deployment and operations of intrusion detection

systems

• 27040:? - Storage security

• 27041:? - Guidance on assuring suitability and adequacy of investigation

methods

• 27042:? - Guidelines for the analysis and interpretation of digital evidence

• 27043:? - Investigation principles and processes

• 27799:2008 - Health Informatics: Information security management in health

using ISO/IEC 27002

27.8.2012 | 8

Page 9: Informaatioteknologia. Turvallisuus. Tietoturvallisuuden ... · PDF fileISO/IEC 27000 -standardiperhe ... • 27031:2011 - Guidelines for information and communication technology readiness

27000 viitekehys

27.8.2012 | 9

Page 10: Informaatioteknologia. Turvallisuus. Tietoturvallisuuden ... · PDF fileISO/IEC 27000 -standardiperhe ... • 27031:2011 - Guidelines for information and communication technology readiness

Standardit ja lainsäädäntö

• Standardisoimislaki

• Sertifiointilaitoksia koskeva lainsäädäntö

• Yhteissääntely

• Kansallinen turvallisuusauditointikriteeristö (KATAKRI)

– Päätavoitteena yhtenäistää viranomaistoimintoja silloin,

kun viranomainen toteuttaa kohteen turvallisuustason

auditoinnin yrityksessä tai muussa yhteisössä.

• Valtionhallinnon tietoturvallisuuden johtoryhmä

(VAHTI)

– Tavoitteena on parantaa valtionhallinnon toimintoja

kehittämällä tietoturvallisuutta sekä edistää TT:n

saattamista kiinteäksi osaksi hallinnon toimintaa,

johtamista ja tulosohjausta.

27.8.2012 | 10

Page 11: Informaatioteknologia. Turvallisuus. Tietoturvallisuuden ... · PDF fileISO/IEC 27000 -standardiperhe ... • 27031:2011 - Guidelines for information and communication technology readiness

ISO/IEC 27000:2009

”Yleiskatsaus ja sanasto”

• Sisältää koko ISO/IEC 27000 -perheen

– yleiskatsauksen ja esittelyn,

– perheessä käytettyjen termien määritelmät ja niiden

luokitukset ja

– yleisiä vaatimuksia.

• Määrittelee yleiset vaatimukset

– TT:n hallintajärjestelmän luomiselle,

– toteuttamiselle,

– käyttämisellä,

– valvonnalle,

– katselmoinnille,

– ylläpidolle ja

– parantamiselle.

27.8.2012 | 11

Page 12: Informaatioteknologia. Turvallisuus. Tietoturvallisuuden ... · PDF fileISO/IEC 27000 -standardiperhe ... • 27031:2011 - Guidelines for information and communication technology readiness

ISO/IEC 27001 ja 27005 -standardit

• Kaksi ehkä tärkeintä 27000-perheen standardia

• Määrittävät TT:n hallintajärjestelmän vaatimukset

(27001) ja riskienhallinnan (27005).

• TT:n hallintajärjestelmän käyttöönotto on

organisaation strateginen päätös.

• Vuoteen 2009 mennessä yli 12000 organisaatiota oli

27001-sertifioitu.

27.8.2012 | 12

Page 13: Informaatioteknologia. Turvallisuus. Tietoturvallisuuden ... · PDF fileISO/IEC 27000 -standardiperhe ... • 27031:2011 - Guidelines for information and communication technology readiness

ISO/IEC 27001:2005

”Vaatimukset”

• Tavoitteena linjata TT:n hallinta bisneksen

määräystenmukaisuuden ja riskien

vähennystavoitteiden kanssa

• Tarkoituksena suojella luottamuksellisuutta, eheyttä ja

saatavuutta (CIA-malli)

• On hallinnointistandardi eikä tekninen standardi

– Ei kuvaa teknisesti ISMS-järjestelmien yksityiskohtia

• Keskittyy tietotekniikan lisäksi myös

bisnesprosesseihin

• Keskittyy löytämään, hallinnoimaan ja vähentämään

tärkeään tietoon liittyviä riskejä

– Tieto voi tai voi olla liittymättä tietotekniikkaan tai voi tai

voi olla olematta digitaalisessa muodossa

27.8.2012 | 13

Page 14: Informaatioteknologia. Turvallisuus. Tietoturvallisuuden ... · PDF fileISO/IEC 27000 -standardiperhe ... • 27031:2011 - Guidelines for information and communication technology readiness

PDCA-malli sovellettuna TT:n

hallintajärjestelmän prosesseihin

27.8.2012 | 14

Page 15: Informaatioteknologia. Turvallisuus. Tietoturvallisuuden ... · PDF fileISO/IEC 27000 -standardiperhe ... • 27031:2011 - Guidelines for information and communication technology readiness

27001 vaatii, että hallinto

• tarkastelee organisaation TT-riskejä järjestelmällisesti,

ottaen huomioon uhkat, haavoittuvuudet ja vaikutukset

• suunnittelee ja toteuttaa yhdenmukaiset ja kattavat TT-

kontrollit ja riskien käsittelyohjeet

• omaksuu kattavan hallintoprosessin varmistaakseen

TT-kontrollien jatkuvuuden tulevaisuudessa.

27.8.2012 | 15

Page 16: Informaatioteknologia. Turvallisuus. Tietoturvallisuuden ... · PDF fileISO/IEC 27000 -standardiperhe ... • 27031:2011 - Guidelines for information and communication technology readiness

27001:n käyttö

• Käytetään usein yhdessä ISO/IEC 27002:n kanssa

• Liite A sisältää suppean listan ISO/IEC 27002:n TT-

kontrolleista

• ISO/IEC 27002 tarjoaa ylimääräistä tietoa ja neuvoo

kontrollien toteutuksessa

• 27001 antaa vaatimuksia TT:n hallintajärjestelmän

– sisäiseen auditointiin,

– johdon katselmointiin, ja

– parantamiseen

27.8.2012 | 16

Page 17: Informaatioteknologia. Turvallisuus. Tietoturvallisuuden ... · PDF fileISO/IEC 27000 -standardiperhe ... • 27031:2011 - Guidelines for information and communication technology readiness

27001:n liite A

• Liite A luettelee valvontatavoitteet ja turvamekanismit

• Esim. A.10.5 Varmuuskopiointi

– Tavoite: Tietotekniikka- ja tietojenkäsittelypalveluiden

eheyden ja käytettävyyden säilyttäminen.

• A.10.5.1: Tietojen varmuuskopiointi

– Turvamekanismi: Tiedoista ja ohjelmistoista tulee ottaa

varmuuskopiot ja testata ne säännöllisesti sovittujen

varmuuskopioperiaatteiden mukaisesti.

27.8.2012 | 17

Page 18: Informaatioteknologia. Turvallisuus. Tietoturvallisuuden ... · PDF fileISO/IEC 27000 -standardiperhe ... • 27031:2011 - Guidelines for information and communication technology readiness

27001:n liite A - esimerkkejä

• A.10.10 Tarkkailu

– Tavoite: Luvattomien tietojenkäsittelytoimintojen

havaitseminen.

• A.10.10.4: Pääkäyttäjä- ja operaattorilokit

– Turvamekanismi: Järjestelmän pääkäyttäjien ja

operaattoreiden toiminnot tulee kirjata.

• A.10.10.6: Kellojen synkronointi

– Turvamekanismi: Kaikkien samassa organisaatiossa tai

turvallisuusalueella olevien olennaisten

tietojenkäsittelyjärjestelmien kellot tulee synkronoida

sovitun tarkan ajanlähteen kanssa.

27.8.2012 | 18

Page 19: Informaatioteknologia. Turvallisuus. Tietoturvallisuuden ... · PDF fileISO/IEC 27000 -standardiperhe ... • 27031:2011 - Guidelines for information and communication technology readiness

ISO/IEC 27005:2011:

”Tietoturvariskien hallinta”

• Sisältää ohjeita organisaation TT-riskien hallinnasta.

• Tukee erityisesti ISO/IEC 27001 -standardin mukaisen

tietoturvallisuuden hallintajärjestelmän vaatimuksia.

• Ei esitä mitään tiettyä TT-riskien hallinnan

menettelytapaa.

• Sisältää jäsentyneen, järjestelmällisen ja tiukan riskien

analysointiprosessin, jonka 5 askelman avulla voidaan

tuottaa riskien käsittelysuunnitelma

• Ensimmäinen versio julkaistu 2008, toinen 2011.

• Suunnattu lähinnä organisaation TT-riskien hallinnasta

vastaaville johtajille ja henkilöstölle.

27.8.2012 | 19

Page 20: Informaatioteknologia. Turvallisuus. Tietoturvallisuuden ... · PDF fileISO/IEC 27000 -standardiperhe ... • 27031:2011 - Guidelines for information and communication technology readiness

27005: Tietoturvariskien hallintaprosessi

29.11.2012 | 20 27.8.2012 | 20

Page 21: Informaatioteknologia. Turvallisuus. Tietoturvallisuuden ... · PDF fileISO/IEC 27000 -standardiperhe ... • 27031:2011 - Guidelines for information and communication technology readiness

27005: Riskien käsittelytoiminta

27.8.2012 | 21

Page 22: Informaatioteknologia. Turvallisuus. Tietoturvallisuuden ... · PDF fileISO/IEC 27000 -standardiperhe ... • 27031:2011 - Guidelines for information and communication technology readiness

Esimerkki auditointiprosessista

• Vaihe 1. Tietoturvallisuuden hallintajärjestelmän

alustava ja epävirallinen katselmointi

– Keskeisten asiakirjojen olemassaolon ja kattavuuden

tarkistamiseen (organisaation TT-politiikka,

soveltamissuunnitelma, riskien käsittelysuunnitelma).

• Vaihe 2. Yksityiskohtaisempi ja muodollisempi

auditointi

– TT:n hallintajärjestelmän testaus ISO/IEC 27001:n

vaatimuksia vasten, sekä todisteiden keräys siitä, että

johtamisjärjestelmä on suunniteltu ja toteutettu oikein ja

on käytössä. Läpipääsy antaa sertifioinnin.

• Vaihe 3. jatkokatselmoinnit ja auditoinnit

– Säännöllinen uudelleenarviointi.

27.8.2012 | 22

Page 23: Informaatioteknologia. Turvallisuus. Tietoturvallisuuden ... · PDF fileISO/IEC 27000 -standardiperhe ... • 27031:2011 - Guidelines for information and communication technology readiness

Standardin soveltaminen ja kokemuksia*

• Johdon todellinen sitouttaminen voi olla hankalaa

– Johto voi lähteä innokkaana mukaan, koska heidän

mielestään tietoturva on tärkeää, mutta siinä vaiheessa

kun heidän pitää muuttaa omaa käytöstään, kohdataan

hankaluuksia

– Johto pitää pystyä sitouttamaan kunnolla ennen kuin

standardeja aletaan viedä alemmille portaille

• Kaikkien hallintotasojen kouluttaminen ja

sitouttaminen on tärkeää

• Yritys voi olla ennakoiva tietoturvan suhteen.

• Suurilta ja kalliilta yllätyksiltä voidaan välttyä.

• Jotkut 27K:n asiat eivät ole välttämättä

kustannustehokkaita erityisesti pienille yrityksille.

* Lea Viljanen

27.8.2012 | 23

Page 24: Informaatioteknologia. Turvallisuus. Tietoturvallisuuden ... · PDF fileISO/IEC 27000 -standardiperhe ... • 27031:2011 - Guidelines for information and communication technology readiness

TT-standardin käytön hyödyt

• ISO/IEC 27001:

– Parempi kuva organisaatiossa itsestään.

• Tietoturvaan liittyvän tiedon määrä ja ymmärrys sen

tärkeydestä lisääntyy.

– Vältetyt riskit vähentävät kuluja.

– Organisaation operaatiot sujuvat sulavammin, koska

vastuut ja businessprosessit on selvästi määritelty.

– TT-valveutuneisuus paranee.

– Asiakkaiden luottamus ja näkemys yrityksestä paranee.

27.8.2012 | 24

Page 25: Informaatioteknologia. Turvallisuus. Tietoturvallisuuden ... · PDF fileISO/IEC 27000 -standardiperhe ... • 27031:2011 - Guidelines for information and communication technology readiness

Lisätietoa standardeista

• ISO:n online browsing platform -palvelu

– http://www.iso.org/obp/ui

• 27K-standardiperheestä vastaa kansainvälinen ISO/IEC

JTC 1/SC 27 -komitea, erityisesti sen työryhmä 1 (WG 1).

• Suomessa SFS:n seurantaryhmä SR 307

Tietoturvatekniikat seuraa komitean ja sen

työryhmien työtä ja lähettää kansallisia kannanottoja.

– Puheenjohtaja: Reijo Savola (VTT)

– Sihteeri: Juha Vartiainen (SFS)

27.8.2012 | 25