tietoturvallisuuden hallintajärjestelmän rakentaminen … · 2003. 5. 1. · poliisin...

JULKINEN ESITELMÄJULKINEN ESITELMÄPoliisin tietohallintokeskus 2.5.2002 Riskienhallintaan perustuva tietoturvallisuuden johtaminen A.Hallikainen, CISSP

Tietoturvallisuuden hallintajärjestelmän rakentaminen Riskienhallintaan perustuva tietoturvapolitiikka

Aaro Hallikainen, CISSPTietoturvapäällikköPoliisin tietohallintokeskus

Tietoverkkojen turvallisuusHelsingin yliopisto2.5.2003

2


Tietoturvallisuuden hallintajärjestelmä (TTHJ)

KoostuuTietovarantokirjanpito Liiketoiminnallisten vaikutusten analyysiYleinen koko organisaation tietohallintostrategia

TietoturvapolitiikkaTietoturvastandarditTietoturvallisuuteen liittyvät menettelyohjeet

KoulutusjärjestelmäRaportointijärjestelmäTarkastusjärjestelmä

3


Tietoturvapolitiikka (TTP)

SisältöKattavuusKorkean tason tietoturvaväittämät, strateginen tavoiteTilivelvollisuus

Politiikan voimaansaattamisen vastuujakoSeurausten kuvaus organisaatiolle, mitä johtuu jos ei noudateta

Ajantasalla pitäminenKuinka politiikka hyväksytään, arvioidaan ja ylläpidetään

PoikkeuksetKuinka ja mitä poikkeuksia voi anoa

4


TTP:n tarkennus

Muita tukevia politiikkoja tarpeen mukaan Tietoturvahankkeiden politiikka

Organisaation yleinen suunta tietojärjestelmä (TJ) töissä Muodostaa TJ palveluiden ryhmän organisaatioonJohtaa tietoturvatietoisuuteen liittyviä kampanjoita

Tietoverkkojen ja internetin käyttöpolitiikkasähköposti/samoilu/ftp/chat/irc/uutisryhmät

Tietoverkkojen turvallisuuspolitiikkaSalasanojen hallintapolitiikka Etäkäyttöpolitiikka Aineistojen turvaluokittelupolitiikka Järjestelmiin kirjautumis- ja liittymispolitiikka

Kuinka tietojärjestelmäpalveluihin pääsee käsiksi

5


Tietoturvastandardit

Asiakirjan sisältöKäyttötarkoitus ja kattavuusRoolit ja vastuutOhjeistus liittyen asianomaisiin politiikan kohtiin Perustaso standardit

Korkean tason väittämiä laite/ohjelmistoalustoista Teknologia standardit

Asennukset/Tarpeettomat palvelut Hallintamenettely standardit

Laitteen/Ohjelmiston kokoonpano ja jatkuva ylläpitoEsimerkki standardeja

Työaseman/Kannettavan/Kommunikaattorin asennusstandardiVerkkopalvelustandardi

6


Asiakirjan sisältöKäyttötarkoitus ja kattavuus Roolit ja vastuutKäyttöopastus

Vaiheittaiset toimenpideohjeet Kuinka käytän teknologiaa turvallisesti

OperointiohjePäivittäiset/Viikoittaiset/Kuukausittaiset toimenpiteet teknologian turvalliseen operoimiseen

Esimerkkejä toimenpideohjeistaTurvaluokitellut aineiston lähettäminen internetissä Kommunikaattorin käyttöohje Kuinka vastaan puhelintiedusteluun Toimiston turvallisuusohje

Tietoturvallisuuteen liittyvät menettelyohjeet

7


TTP:n perusta

TietovarantokirjanpitoMitä tietoja tulee suojata?

Liiketoiminnallisten seuraamusten analyysi Mitä heikkouksia on ja kuinka mahdollista että ne johtavat tietovahinkoon?

Yleinen tietohallintostrategia koko organisaatiolle Mikä on organisaation toiminnan tavoite ja kuinka tietoa käytetään tuon tavoitteen saavuttamiseen?Mitkä TJ:t TTP:n tulisi kattaa

8


TTP:n päivitystyö

Nimeä päivitystyölle päällikkö Tietoturvapäällikkö/Turvallisuuspäällikkö/Turvallisuusvastaava

Perusta avainhenkilöiden ydinryhmä Ylijohdon edustaja ylimmän johtajan tuellaTietohallinnon edustajaErikoisasiantuntijoita tarpeen mukaanPidä ydinryhmä pienenä

Kerää TTHJ:n asiakirjasarja ja raportitTee aikataulu ja ennakkomateriaali ydinryhmälle Kerää mukaan kaikkien organisaatiotasojen kommentit työn edetessäToimita päivitystyön tuotos ylijohdolle aikataulun mukaan Seuraa että ylijohto reagoi päivitystyön tuotokseen

9


Kuinka TTP saatetaan käyttöön

Koulutusjärjestelmä Koulutusmateriaalia erilaisille kohderyhmille Koulutustilaisuuksien ajoitus Kouluttajaketjut Sertifiointiohjelma erittäin tärkeille asiakokonaisuuksille

RaportointijärjestelmäTyhjän paperin -periaate lähtökohtana lisättynä muodollisella vahinko/kuukausi/kausiraportilla.

TarkastusjärjestelmäTarkastusryhmän rakentaminen Tavoitteet tarkastuksille TTP:sta ja strategioistaTilannekuvan/Arviointi-/ValvontatarkastuskäynnitTarkastuskertomukset kohteelle ja ylijohdolle

Tavoitteena tietoturvallisuuden kohentaminen

10


TTP:n arviointi

Sisäinen itsearviointi (first party auditing)Noudattaako TTP yleisiä hyviä tietoturvallisuuden menettelytapoja?Onko TTP ymmärrettävä?Onko TTP:n kattavuus mielekäs ja merkityksellinen organisaation strategian kannalta?Onko TTP toimitettu tiedoksi organisaatiossa tehokkaasti?Onko ylijohdon sitoutuminen TTP:aan selkeästi tuotu esille?Onko asetettu riittävät resurssit tietoturvatöitä varten ja riittävän pitkäksi aikaa?

Luotettujen partnereiden keskinäinen tarkastus (second party audits)Ulkopuolisen toimeenpanema tarkastus (third party auditing/sertifiointi).

11


Tietoturvatarkastukset ja TTP

Tilannekuvan tarkastuskäynnitMiten töitä tehdään tänään?Tavoitteena oppia ymmärtämään nykyisen toiminnan tietoturvallisuuden taso.

ArviointitarkastuskäynnitOnko ennalta ilmoitetut asiat tehty kuten TTP vaatii?Tarkastus suunnitellaan yhdessä kohteen johdon kanssa.Tarkastus tehdään ennakolta sovitusti.Kohdealueet ilmoitetaan riittävästi etukäteen.

ValvontatarkastuskäynnitEnnalta ilmoittamaton tarkastus.Tarkastus suunnitellaan yhdessä kohteen johdon tai muun tahon kanssa.

12


Tietoturvapolitiikan päivitysprojekti

Tietoturvapäällikön/Tietoturvaprojektipäällikön johtamana Perustuen sen hetkiseen TTP:aan ja uuteen tietohallintostrategiaanKäytetään organisaation johdon hyväksymää mallia tai menetelmääRiskianalyysi perustuen tutustumiskäynteihin, avainhenkilöiden haastatteluihin, tietovahinkoilmoituksiin, kausiraportteihin.Asiantuntijahaastatteluilla riskimetriikan järkevyystarkastus.

Ensimmäinen kommenttikierros pienryhmässä, jossa mukana ylijohdon edustajia.Toinen kommenttikierros turvallisuus- ja tietohallintopäälliköiden kesken, mukana ylijohtoa ja kentän edustajia mahdollisimman kattavasti.Kolmas kierros ylijohdon sisällä, tavoitteena ylijohdon sitoutumisen selkeä julkituonti ja asiakirjan hyväksyttävyys koko organisaatiossa.

13


Esimerkki: TTP:n päivitysprojektin aikataulu laajassa organisaatiossa

Sopivan TTP-mallin valinta

Tilannekuvan kartoitus

JOUTAM HEL MAA HUH TOU KES HEI ELO SYY LOK MAR

Riskianalyysi1. kierroksen TTP

2. kierroksen TTP3. kierroksen TTPVoimaan saattaminen

Ennakkotyö, kenttäkäynnit

14


Riskimetriikka

Tietovarantokartoituksen käyttö haavoittuvuuksien luokittelussa Välitöntä suojatoimea vaativa haavoittuvuus Vakava haavoittuvuus Merkittävä haavoittuvuus Lievä haavoittuvuus

Vaikutus liiketoimintaan5 - Vaikuttaa liiketoimintaan lamauttavasti1 - Haitta hyväksytään osaksi normaalia toimintaa0 - Ei arvioitu

Alttius tietyllä aikavälillä (esim. 1 vuosi)5 - Tapahtuu varmasti1 - Erittäin luultavaa että ei tapahdu0 - Ei arvioitu

Painoarvo, kun haavoittuvuus johtaa vahinkoonVaikutus liiketoimintaan X Alttius tarkastelu välillä (0 .. 25)

15


Riskien luokittelu

Alttius

B AVa

ikutta

vuus

D C

16


Riskien arviointi

ABCD

Lukumääräisesti kuinka paljontunnistetaan eriluokkiin kuuluviariskejä.

17


Riskien arviointi suojakeinojen valinnan jälkeen

ABCD

Tavoitteena on että suojakeinojenkäyttämisellä voidaan arvioidavähennettävän vakavimpiariskejä.

18


Normaalitoiminta

Tavoitteena on että suojakeinoja sovellettaessa mahdollisimman harvoin tapahtuu vakavia vahinkoja.

AlttiusE

B AVa

ikutta

vuus

D C

19


Jatkuva TTHJ:stä huolenpito

Tietoturvakoulutus, osana muuta organisaation koulutusohjelmaa

Tietoturvatarkastukset

TTP ja tietoturvaohjeiston toimitustyö

Tietoturvateknologia hankkeet, osana sopivia TJ hankkeitaTietoturvallisten työtapojen kehityshankkeet, osana laatuhankkeita

TAM HEL MAA HUH TOU KES HEI ELO SYY LOK MAR JOU

20


Kenelle tietoturvatyö kuuluu

Tietoturvapäällikkö

Tietohallintopäälliköt

Yksiköiden turvallisuuspäälliköt

Teknologia-asiantuntijat

Koko henkilöstöTietoturvatoimintaa tukevat ulkoiset toimijat

Tietoturvaprojektipäälliköt

Tietoturvateknologia-asiantuntijat

Laatupäällikkö

Organisaation ylijohto Liiketoimintayksiköiden johto

Yritysturvallisuuspäällikkö

21


Aikaa keskustelulle

Mistä tunnistetaan tarve organisaation tietoturvapolitiikan uudistamiseen?Mitä seuraa jos tietoturvapolitiikka päivitetään?

Onko haittoja jos ei sijoiteta voimavaroja tietoriskien analysointiin?Kuinka arvioida organisaation tietoturvallisuuden taso ja kuinka rakentaa tietoturvallisuuden tilannekuva?

Keitä tarvitaan yhteistyöhön?Kuinka johtaa tietoturvahanke?Mistä saadaan erikoisasiantuntijoita?

Kuinka organisaatio on varautunut vahinkoon - mukaan lukien tilannetiedottamisen hallitsemisen?

Turvallisuus on mielentila.

22


Luottamus syntyy yhteistyössä.

23


Are Hallikainen, FM, CISSP

Maisterintutkinto Helsingin yliopiston tietojenkäsittelytieteen laitoksesta 1995.Erilaisia tietojenkäsittelyn opetustehtäviä vuoteen 1995 saakka.1996-2001 Nokia Oyj:ssä tutkimus-, tuotekehitys- ja tietoturvatehtävissä.1999 CISSP (Certified Information System Security Professional, www.isc2.org) tietoturva-ammattisertifikaatti.Poliisin tietoturvapäälliköksi Pyryn päivänä 2001.Tietoturva Ry:n (www.tietoturva.org) hallituksessa CISSP-yhdyshenkilönä 2002-2003.BS 7799 Lead Auditor -kurssi 2002.WebSec 2003 konferenssin esitelmä Suomen poliisin tietoturvapolitiikan päivitysprojektista.Systeemiohjelmointia vuodesta 1981.

Artikkeleita verkossawww.poliisi.fi Ajankohtaista Poliisi-lehti

2003/2, Verkossa on reikä2002/5, Virukselle tulee hintaa2002/2, Varas ja virus vaanii tietokonettasi2002/1, PTHK aloittaa pian toiminnan Rovaniemellä

http://www.cs.helsinki.fi, Tietoturva-kurssi, toukokuu 2002 ja toukokuu 2003./u/karvi/hallikainen/index.html, Tietoturvahallinto ja -johtaminen/u/karvi/hallikainen/ssecmm.html, SSE-CMM (in English)

http://sokosti.urova.fi/home/mela/opetusmateriaalit/TTIE1317/index.htmlLapin yliopisto, Tietoverkkojen tietoturvallisuus, marraskuu 2002 ja huhtikuu 2003.

tietoturvallisuuden hallintajärjestelmän rakentaminen … · 2003. 5. 1. · poliisin...

Documents