Upload
sfsedu
View
441
Download
7
Embed Size (px)
Citation preview
Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät.
ISO/IEC 27000 -standardiperheKalvosarja oppilaitoksille
Suomen Standardisoimisliitto SFS ry2015
5.10.2015| 1
Tervetuloa luentoaineiston käyttäjäksi! Aineisto on suunnattu ammattikorkeakoulujen ja yliopistojen opettajille ja opiskelijoille. Kalvosarja esittelee tietoturvallisuuden hallintajärjestelmästandardiperheen ISO/IEC 27000, sen käyttömahdollisuuksia ja yhteyksiä muihin alan keskeisiin julkaisuihin. Tavoitteena on tukea standardiperheen sisällyttämistä tietoturvallisuuden hallintajärjestelmiä käsitteleviin opetussuunnitelmiin ja kurssien sisältöön.
Tässä kalvosarjassa ei käsitellä kaikkia perheen standardeja yksityiskohtaisesti, vaan yleisen johdanto-osan jälkeen esitellään joidenkin standardien keskeiset sisällöt ja pääkohdat
Kalvosarja on tuotettu SFS:n projektirahoituksella.
27.8.2012 | 2
Opetuskokonaisuus
• Opetuskokonaisuus on kaksi 45 min oppituntia• Kalvot soveltuvat 27K-standardisarjan esittelyyn
ainakin tietotekniikkaan, tietojenkäsittelytieteisiin, tietoturvaan, johtamiseen ja standardisointiin liittyvillä syventävillä kursseilla yliopistoissa ja ammattikorkeakouluissa.
5.10.2015 | 3
Aineiston käyttö ja tekijänoikeudet
• Tämän luentoaineiston tekijänoikeudet omistaa Suomen Standardisoimisliitto SFS ry.
• Esitystä saa vapaasti käyttää opetustarkoituksiin ja sitä saa tarvittaessa muokata. Aineistoa lainattaessa lähde tulee mainita.
• Aineiston käyttö kaupallisiin tarkoituksiin on kielletty.• Tämä materiaali on päivitetty viimeksi 5.10.2015.
5.10.2015 | 4
Sisältö
• Opetuskokonaisuus• Turvallisuuden kokonaisuus• Tietoturvallisuuden hallinta ja siihen liittyvät termit
– Tietoturvallisuuden hallintajärjestelmä• ISO/IEC 27000 -standardiperhe
– Historia, standardit ja viitekehys• Tietoturvauhkat• Standardit ja lainsäädäntö• Lisätietoa ISO/IEC 27001- ja 27005 -standardeista• Kokemuksia ja hyötyjä standardien käytöstä
5.10.2015 | 5
Turvallisuuden kokonaisuus
5.10.2015 | 6
Tietoturvallisuuden hallintajärjestelmän tarve
• Kaikentyyppiset ja -kokoiset organisaatiot– keräävät, käsittelevät, säilyttävät ja välittävät suuria
määriä informaatiota,– pitävät informaatiota sekä siihen liittyviä prosesseja,
järjestelmiä, verkkoja ja ihmisiä tärkeinä turvattavina kohteina, joiden avulla organisaation tavoitteet saavutetaan,
– kohtaavat monia erilaisia riskejä, jotka voivat vaikuttaa turvattavien kohteiden toimintaan, ja
– muokkaavat riskejä toteuttamalla tietoturvamekanismeja.
5.10.2015 | 7
Tietoturvallisuuden hallintajärjestelmä
• on osa yleistä hallintajärjestelmää, joka liiketoimintariskien arviointiin perustuen luodaan ja toteutetaan.
• käytetään, valvotaan, katselmoidaan, ylläpidetään ja parannetaan tavoitteena parempi tietoturvallisuus.
• helpottaa yritysjohdon tietoturvatyön organisointia.• tulisi kattaa kaikki tietoturvan johtamisessa,
hallinnoimisessa ja valvonnassa tarvittavat menettelyt ja toimenpiteet.
• ei ole yksittäinen dokumentti, vaan moniosainen prosessi, jota on kehitettävä jatkuvasti.
• osia ovat mm. riskianalyysi, tietoturvapolitiikka, tietoturva-, jatkuvuus- ja toipumissuunnitelmat.
5.10.2015 | 8
27000-standardiperhe
• ISO/IEC 27000 viittaa kasvavaan ISO/IEC-
standardiperheeseen, jonka yhteinen otsikko on
"Informaatioteknologia. Turvallisuus.
Tietoturvallisuuden hallintajärjestelmät".
• Tarjoaa suosituksia tietoturvallisuuden hallintaan,
riskeihin ja kontrollointiin tietoturvallisuuden
hallintajärjestelmissä.
• Myös muut 27-alkuiset tietoturvallisuuteen liittyvät
standardit lasketaan toisinaan perheeseen kuuluvaksi.
5.10.2015 | 9
27000-standardiperheen historia ja kehittyminen
• Englannin aloite– 1992: Code of Practice for Information Security
Management (hallituksen opaste)– 1995: Muutetaan BSI standardiksi BS 7799– 1999: Sertifiointi alkaa täysimääräisenä
• 2000: ISO/IEC 17799 ISO/IEC 27002:2005• 2002: BS7799-2 Information Security Management
Specification ISO/IEC 27001:2005• 2013: 27001 ja 27002:n päivitetyt versiot• 2014: 27000 päivitetty versio
5.10.2015 | 10
27000-standardiperhe…
• Informaatioteknologia – Turvallisuustekniikat - Tietoturvallisuuden hallintajärjestelmät
• 27000:2015 - Yleiskatsaus ja sanasto - Overview and vocabulary
• 27001:2013 - Vaatimukset - Requirements• 27002:2013 - Tietoturvallisuuden hallintakeinojen
menettelyohjeet - Code of practice for information security controls
• 27003:2010 - Tietoturvallisuuden hallintajärjestelmän toteuttamisohjeita - Information security management system implementation guidance
• 27004:2009 - Mittaaminen - Measurement• 27005:2011 - Tietoturvariskien hallinta - Information
security risk management
5.10.2015 | 11Suomennos saatavilla
…27000-standardiperhe…
• 27006:2011 - Requirements for bodies providing audit and certification of information security management systems
• 27007:2011 - Tietoturvallisuuden hallintajärjestelmien auditointiohjeet - Guidelines for information security management systems auditing
• 27008:2011 - Guidelines for auditors on information security controls
5.10.2015 | 12
…27000-standardiperhe…
• 27009 Sector-specific application of ISO/IEC 27001 - Requirements
• 27010:2012 - Information security management for inter-sector and inter-organizational communications
• 27011:2008 - Information security management guidelines for telecommunications organizations based on ISO/IEC 27002
• 27013:2012 - Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1
• 27014:2013 - Governance of information security• 27015:2012 - Information security management
guidelines for financial services• 27016:2014 - Organizational economics
5.10.2015 | 13
…27000-standardiperhe…
• 27018:2014 - Menettelyohjeet henkilötietojen suojaamiseen henkilötietoja käsittelevissä julkisissa pilvipalveluissa - Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
• 27019:2013 Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry
• 27023:2015 Mapping the revised editions of ISO/IEC 27001 and ISO/IEC 27002
• 27031:2011 - Guidelines for information and communication technology readiness for business continuity
5.10.2015 | 14
…27000-standardiperhe…
• 27032:2012 - Guidelines for cybersecurity • 27033 - Network security
– 27033-1:2015 Part 1: Overview and concepts– 27033-2:2012 Part 2: Guidelines for the design and
implementation of network security– 27033-3:2010 Part 3: Reference networking scenarios
-- Threats, design techniques and control issues– 27033-4:2014 Part 4: Securing communications
between networks using security gateways– 27033-5:2013 Part 5: Securing communications across
networks using Virtual Private Networks (VPNs)– 27033-6 Part 6: Securing wireless IP network access
5.10.2015 | 15
…27000-standardiperhe…
• 27034 – Application security– 27034-1:2011 Part 1: Overview and concepts– 27034-2:2015 Part 2: Organization normative framework– 27034-3 Part 3: Application security management process– 27034-4 Part 4: Application security validation– 27034-5 Part 5: Protocols and application security controls
data structure– 27034-5-1 Part 5-1: Protocols and application security
controls data structure -- XML schemas– 27034-6 Part 6: Security guidance for specific applications– 27034-7 Part 7: Application security assurance prediction
5.10.2015 | 16
…27000-standardiperhe…
• 27035:2011 - Information security incident management– 27035-1 Part 1: Principles of incident management– 27035-2 Part 2: Guidelines to plan and prepare for
incident response– 27035-3 Part 3: Guidelines for CSIRT operations
• 27036 Information security for supplier relationships– 27036-1:2014 Part 1: Overview and concepts– 27036-2:2014 Part 2: Requirements– 27036-3:2013 Part 3: Guidelines for information and
communication technology supply chain security– 27036-4 Part 4: Guidelines for security of Cloud services
5.10.2015 | 17
…27000-standardiperhe…
• 27037:2012 - Guidelines for identification, collection, acquisition and preservation of digital evidence
• 27038:2014 - Specification for digital redaction• 27039:2015 - Selection, deployment and operations of
intrusion detection systems (IDPS)• 27040:2015 - Storage security• 27041:2015 - Guidance on assuring suitability and
adequacy of incident investigative method• 27042:2015 - Guidelines for the analysis and interpretation
of digital evidence• 27043:2015 - Incident investigation principles and
processes• 27799:2008 - Health Informatics: Information security
management in health using ISO/IEC 27002
5.10.2015 | 18
…27000-standardiperhe
• 27044 - Guidelines for Security Information and Event Management (SIEM)
• 27050-1 - Electronic discovery - Part 1: Overview and concepts
• 27799:2008 - Health Informatics: Information security management in health using ISO/IEC 27002
5.10.2015 | 19
27000 standardien luokittelu
03.05.23 | 20
Terminologia
Yleisetvaatimukset
Yleisetohjeet
Sektorikohtaisetohjeet
Hallintakeinojenohjeet
27000Yleiskatsaus ja sanasto
27001Vaatimukset
27006Sertifiointielinten vaatimukset
27002Menettelyohjeet
27003Toteuttamisohjeet
27004Mittaukset
27005Riskienhallinta
27007Auditointiohjeet
TR 27008 27013
27014 TR 27016
27010Viestintä
27011Tietoliikenne
TR 27015Rahoitus
27017Pilvipalvelut
27018Henkilötiedot pilvipalveluissa
TR 27019Energia
27799Terveydenhuolto
2703X2703X2703X2703X2703X2704X
27000 standardien väliset suhteet
03.05.23 | 21
Terminologia
Yleisetvaatimukset
Yleisetohjeet
Sektorikohtaisetohjeet
Hallintakeinojenohjeet
27000Yleiskatsaus ja sanasto
27001Vaatimukset
27006Sertifiointielinten vaatimukset
27002Menettelyohjeet
27003Toteuttamisohjeet
27004Mittaukset
27005Riskienhallinta
27007Auditointiohjeet
27011Tietoliikenne
27799Terveydenhuolto
27034Sovelluskehitys
Selite Velvoittavastandardi
(vaatimukset)
Opastavastandardi(ohjeet)
Standardit ja lainsäädäntö
• Standardisoimislaki• Sertifiointilaitoksia koskeva lainsäädäntö• Yhteissääntely• Kansallinen turvallisuusauditointikriteeristö (KATAKRI)
– Päätavoitteena yhtenäistää viranomaistoimintoja silloin, kun viranomainen toteuttaa kohteen turvallisuustason auditoinnin yrityksessä tai muussa yhteisössä.
– Sisältää paljon viittauksia ISO/IEC 27000 standardeihin• Valtionhallinnon tietoturvallisuuden johtoryhmä (VAHTI)
– Tavoitteena on parantaa valtionhallinnon toimintoja kehittämällä tietoturvallisuutta sekä edistää tietoturvallisuuden saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta.
5.10.2015 | 22
ISO/IEC 27000:2014”Yleiskatsaus ja sanasto”
• Sisältää ISO/IEC 27000 -perheen– yleiskatsauksen ja esittelyn, – käyttämien termien määritelmät ja niiden luokitukset.
• Määrittelee yleiset vaatimukset– tietoturvallisuuden hallintajärjestelmän luomiselle,– toteuttamiselle,– käyttämisellä,– valvonnalle,– katselmoinnille,– ylläpidolle ja– parantamiselle.
5.10.2015 | 23
Keskeisiä käsitteitä 27000 1/2
• Pääsynvalvonta• Tilivelvollisuus• Turvattava kohde• Hyökkäys• Todennus• Aitous• Saatavuus• Toiminnan jatkuvuus• Luottamuksellisuus• Turvamekanismi• Valvontatavoite• Korjaava toimenpide• Vaikuttavuus
• Tehokkuus• Tapahtuma• Ohje• (Haitta)vaikutus• Tieto-omaisuus• Tietoturvallisuus• Tietoturvatapahtuma• Tietoturvahäiriö• Tietoturvahäiriöiden
hallinta• Tietoturvallisuuden
hallintajärjestelmä (ISMS)
5.10.2015 | 24
Keskeisiä käsitteitä 27000 2/2
• Tietoturvariski• Eheys• Johtamisjärjestelmä• Kiistämättömyys• Politiikka• Ehkäisevä toimenpide• Menettely• Prosessi• Tallenne• Luotettavuus• Riski• Riskin hyväksyntä
• Riskianalyysi• Riskien arviointi• Riskeistä viestintä• Riskikriteerit• Riskin suuruuden
arviointi• Riskien arvottaminen• Riskien hallinta• Riskien käsittely• Soveltamissuunnitelma
(SoA)• Uhka• Haavoittuvuus
5.10.2015 | 25
ISO Online Browsing PlatformISO:n käyttämien määritelmien hakeminen
03.05.23 | 26
https://www.iso.org/obp/ui
Tietoturvallisuusuhkia
• Haittaohjelmat• Verkkohyökkäykset• Verkkosovellus- ja
injektiohyökkäykset• Bottiverkot• Palvelunesto-
hyökkäykset• Roskaposti• Tietojen kalastelu• Exploit kit –
hyökkäysohjelmistot• Tietomurrot
• Fyysinen vanhinko, varkaus tai häviäminen
• Sisäiset uhat• Tietovuodot• Identiteettivarkaudet ja –
petokset• Kybertiedustelu• Kiristysohjelmistot
(Ransomware, Rogueware, Scareware)
Lähte: ENISA Threat Landscape 20145.10.2015 | 27
ISO/IEC 27001 ”Vaatimukset”
• Tavoitteena linjata tietoturvallisuuden hallinta toiminnan määräystenmukaisuuden ja riskien vähennystavoitteiden kanssa
• Tarkoituksena suojella luottamuksellisuutta, eheyttä ja saatavuutta (CIA-malli)
• On hallinnointistandardi eikä tekninen standardi– Ei kuvaa teknisesti ISMS-järjestelmien yksityiskohtia
• Keskittyy tietotekniikan lisäksi myös liiketoimintaprosesseihin
• Keskittyy löytämään, hallinnoimaan ja vähentämään tärkeään tietoon liittyviä riskejä– Tieto voi tai voi olla liittymättä tietotekniikkaan tai voi tai
voi olla olematta digitaalisessa muodossa
5.10.2015 | 28
27001: Termit ja määritelmät
• Suojattava kohde• Käytettävyys• Luottamuksellisuus• Tietoturvallisuus• Tietoturvatapahtuma• Tietoturvahäiriö• Eheys• Jäännösriski
• Riskin hyväksyntä• Riskianalyysi• Riskien arviointi• Riskien vaikutuksen
arviointi• Riskien hallinta• Riskien käsittely• Soveltamissuunnitelma
(SoA)
5.10.2015 | 29
27001: Vaiheet
• Tietoturvallisuuden hallintajärjestelmän luominen ja johtaminen– Luominen– Toteuttaminen ja käyttäminen– Valvominen ja katselmointi– Ylläpitäminen ja parantaminen
5.10.2015 | 30
PDCA-malli(Plan-Do-Check-Act) oli mukana versiossa 2005, mutta on poistettu 2013 versiosta
27001 sisältö (1/2)
• Organisaatio ja toimintaympäristö– Hallintaympäristön kokonaisuuden ymmärtäminen– Sidosryhmien tarpeiden ymmärtäminen– Hallintajärjestelmän sovellusalan määrittämien
• Johtaminen– Johtajuus ja johdon sitoutuminen– Tietoturvapolitiikka– Roolit, velvollisuudet ja oikeudet
• Suunnittelu– Riskien ja mahdollisuuksien käsittely– Tietoturvatavoitteet ja tarvittavien toimien suunnittelu– Suunnittelun ja päätösten dokumentointi
03.05.23 | 31
27001 sisältö (2/2)
• Tukitoiminnot– Resurssit– Pätevyys– Tietoisuus– Viestintä– Dokumentointi
• Toiminta– Suunnittelu ja ohjaus– Tietoturvariskien
arviointi ja käsittely
• Suorituskyvyn arviointi– Seuranta, mittaus,
analysointi ja arviointi– Sisäinen auditointi– Johdon katselmus
• Parantaminen– Poikkeamat ja
korjaavat toimenpiteet– Jatkuva parantaminen
03.05.23 | 32
27001 vaatii, että hallinto
• tarkastelee organisaation tietoturvallisuusriskejä järjestelmällisesti, ottaen huomioon uhkat, haavoittuvuudet ja vaikutukset
• suunnittelee ja toteuttaa yhdenmukaiset ja kattavat tietoturvallisuuskontrollit ja riskien käsittelyohjeet (suite), jotta riskit, joita on mahdoton hyväksyä, saadaan käsiteltyä (address), ja
• omaksuu ylikaartuvan (overarching) hallintoprosessin varmistaakseen tietoturvallisuuskontrollien jatkuvuuden tulevaisuudessa.
5.10.2015 | 33
27001:n käyttö
• Käytetään yhdessä ISO/IEC 27002:n kanssa– ISO/IEC 27001 liite A sisältää listan hallintatavoitteista
ja -keinoista– ISO/IEC 27002 sisältää tarkemmat kuvaukset
hallintakeinoista• 27001 antaa vaatimuksia tietoturvallisuuden
hallintajärjestelmän– sisäiseen auditointiin,– johdon katselmointiin, ja– parantamiseen
27.8.2012 | 34
Hallintatavoitteiden jaottelu
• 14 pääkohtaa– Tietoturvapolitiikat– Tietoturvallisuuden
organisointi– Henkilöstöturvallisuus– Suojattavan
omaisuuden hallinta– Pääsynhallinta– Salaus– Fyysinen turvallisuus ja
ympäristön turvallisuus
– Käyttöturvallisuus– Viestintäturvallisuus– Järjestelmien hankkiminen,
kehittäminen ja ylläpito– Suhteet toimittajiin– Tietoturvahäiriöiden hallinta– Liiketoiminnan jatkuvuuden
hallintaan liittyviä tietoturvanäkökohtia
– Vaatimustenmukaisuus
03.05.23 | 35
Hallintakeinot
• Yhteensä 35 pääturvallisuus-luokkaa pääkohtien alla– Hallintatavoite– Yksi tai useampi hallintakeinon tavoitteen
saavuttamiseksi• Yhteensä 114 hallintakeinoa
– Kuvaus– Toteuttamisohjeet– Lisätiedot
• Hallintakeinoista käytetään englanninkielistä nimeä (security) control, joka toisinaan suomennetaan (turvallisuus-)kontrolli tai vastatoimenpide
03.05.23 | 36
Hallintatavoitteet ja –keinot - esimerkki
• Esimerkki: A.9 Pääsynhallinta– A.9.1 Pääsynhallinnan liiketoiminnalliset vaatimukset
• Tavoite: hallita pääsyä tietoon ja tietojenkäsittelypalveluihin.
• A.9.1.1 Pääsynhallintapolitiikka– Pääsynhallinnan periaatteet on laadittava,
dokumentoitava ja katselmoitava liiketoiminnallisten vaatimusten ja tietoturvavaatimusten perusteella.
• A.9.1.2 Pääsy verkkoihin ja verkkopalveluihin– Käyttäjille on sallittava pääsy ainoastaan niihin
verkkoihin ja verkkopalveluihin, joihin heille on nimenomaisesti myönnetty pääsyoikeudet.
5.10.2015 | 37
Hallintatavoitteet ja –keinot - esimerkki
• A.9.2 Pääsyoikeuksien hallinta– Tavoite: varmistaa valtuutettujen käyttäjien pääsy järjestelmiin
ja palveluihin sekä estää luvaton pääsy niihin.– A.9.2.1 Käyttäjien rekisteröinti ja poistaminen
• Hallintakeino: On toteutettava muodollinen käyttäjien rekisteröinti- ja poistamisprosessi, jonka avulla pääsyoikeudet jaetaan.
– A.9.2.2 Pääsyoikeuksien jakaminen• Hallintakeino: On toteutettava muodollinen
pääsyoikeuksien jakoprosessi, jonka avulla kyetään antamaan tai kumoamaan pääsyoikeus minkä tahansa tyyppiseltä käyttäjältä mihin tahansa järjestelmään tai palveluun.
– …
5.10.2015 | 38
Hallintakeinoja…
Hallinnollisia• Tietoturvapolitiikat• Roolit ja vastuut• Yhteydet viranomaisiin• Tehtävien eriyttäminen• Tietoturvallisuus
projektienhallinnassa
Henkilöstöturvallisuus• Taustatarkistus• Työsopimuksen ehdot• Johdon vastuut• Tietoturvatietoisuus, -
opastus ja -koulutus
03.05.23 | 39
…Hallintakeinoja…
Tiedonhallinta• Tiedon luokittelu• Tiedon merkintä• Suojattavan omaisuuden
käsittely• Siirrettävien
tietovälineiden hallinta• Tietovälineiden
hävittäminen• Fyysisten tietovälineiden
siirtäminen
Pääsynhallinta• Pääsynhallintapolitiikka• Pääsy verkkoihin ja
verkkopalveluihin• Käyttäjien rekisteröinti ja
poistaminen• Käyttäjien
tunnistautumistietojen hallinta
• Pääsyoikeuksien uudelleenarviointi
03.05.23 | 40
…Hallintakeinoja..
Fyysinen turvallisuus• Fyysinen turva-alue• Kulunvalvonta• Toimistojen, tilojen ja
laitteistojen suojaus• Suojaus ulkoisia ja
ympäristön aiheuttamia uhkia vastaan
Viestintäturvallisuus• Verkon hallinta• Verkkopalvelujen
turvaaminen• Tiedonsiirtopolitiikat ja
–menettelyt• Sähköinen viestintä• Salassapito- ja
vaitiolositoumukset
03.05.23 | 41
…Hallintakeinoja…
Järjestelmien hankkiminen, kehittäminen ja ylläpito
• Tietoturvavaatimusten analysointi ja määrittely
• Turvallisen kehittämisen politiikka
• Turvallisen järjestelmä-suunnittelun periaatteet
• Turvallinen kehitysympäristö
• Järjestelmän turvallisuustestaus
Tietoturvahäiriöiden hallinta• Vastuut ja menettelyt• Tietoturvatapahtumien
raportointi• Tietoturvaheikkouksien
raportointi• Tietoturvahäiriöihin
vastaaminen• Tietoturvahäiriöistä
oppiminen
03.05.23 | 42
…Hallintakeinoja
Jatkuvuuden hallinta• Tietoturvallisuuden
jatkuvuuden suunnittelu
• Tietoturvallisuuden jatkuvuuden todentaminen, katselmointi ja arviointi
• Tietojenkäsittely-palvelujen saatavuus
Vaatimustenmukaisuus• Sovellettavien laki-
sääteisten ja sopimuk-sellisten vaatimusten yksilöiminen
• Immateriaalioikeudet• Tietosuoja ja henkilö-
tietojen suojaaminen• Tietoturvallisuuden
riippumaton katselmointi
03.05.23 | 43
…Hallintakeinoja..
Käyttöturvallisuus• Dokumentoidut
toimintaohjeet• Muutoksenhallinta• Kehitys-, testaus- ja
tuotanto ympäristöjen erottaminen
• Haittaohjelmilta suojautuminen
• Tietojen varmuuskopiointi
• Tapahtumien kirjaaminen
• Lokitietojen suojaaminen
• Teknisten haavoittuvuuksien hallinta
• Ohjelmien asentamisen rajoittaminen
03.05.23 | 44
ISO/IEC 27005:2011: ”Tietoturvariskien hallinta”
• Soveltuu käytettäväksi organisaatioissa, jotka haluavat hallinnoida riskejä, jotka voivat vaarantaa yrityksen tietoturvallisuuden.
• Tukee erityisesti ISO/IEC 27001 –standardin mukaisen tietoturvallisuuden hallintajärjestelmän vaatimuksia.
• Ei esitä tai suosittele mitään tiettyä tietoturvan riskien hallinnan menettelytapaa.
• Sisältää jäsentyneen, järjestelmällisen ja tiukan riskien analysointiprosessin, jonka 5 askelman avulla voidaan tuottaa riskien käsittelysuunnitelma
• Suunnattu lähinnä organisaation tietoturvariskien hallinnasta vastaaville johtajille ja henkilöstölle.
• Vaatii 27001 ja 27002 –standardit viiteasiakirjoiksi.
5.10.2015 | 45
27005: Riskien hallinnan termit
• Vaikuttavuus, vaikutusarvo– Välitön vaikutus– Myöhempi vaikutus
• Tietoturvariski• Riskin välttäminen• Riskeistä viestintä• Riskin suuruuden
arviointi
• Riskin tunnistus• Riskin pienentäminen• Riskin säilyttäminen• Riskin siirto
5.10.2015 | 46
27005:n sisältö
• kuvaus tietoturvariskien hallintaprosessista (Information Security Risk Management, ISRM).– riskien arviointi (Information Security Risk Assessment,
ISRA)– riskien käsittely (risk treatment)– riskien hyväksyntä (acceptance)– riskeistä viestiminen (communication)– Riskien tarkkailu (monitoring) ja katselmointi (review).
27.8.2012 | 47
27005: Tietoturvariskien hallintaprosessi
03.05.23 | 485.10.2015 | 48
27005: Riskien käsittelytoiminta
5.10.2015 | 49
27005: Riskien käsittely
• Käsittelyvaihtoehdot– Riskien pienentäminen– Riskin säilyttäminen– Riskin välttäminen– Riskin siirto
• Käsittelyvaihtoehtojen valintamenetelmät– Kustannuksien ja hyötyjen suhde– Riskien haitalliset seuraukset– Harvinaiset mutta vakavat riskit
5.10.2015 | 50
Auditointi
Sisäinen auditointi
Ulkoinen auditointi
Toimittajan auditointi Kolmannen osapuolen
suorittama auditointi
Kutsutaan toisinaan
ensimmäisen osapuolen
auditoinniksi
Kutsutaan toisinaan toisen
osapuolen auditoinniksi
Lakien tai viranomaisten
määräämiin tarkoituksiin tai
vastaaviin tarkoituksiin
Sertifiointiin (ks. myös
standardin ISO/IEC
17021:2011 vaatimukset)
5.10.2015 | 51
Esimerkki auditointiprosessista
• Vaihe 1. Tietoturvallisuuden hallintajärjestelmän alustava ja epävirallinen katselmointi– Keskeisten asiakirjojen olemassaolon ja kattavuuden
tarkistamiseen (organisaation tietoturvapolitiikka, soveltamissuunnitelma, riskien käsittelysuunnitelma).
• Vaihe 2. Yksityiskohtaisempi ja muodollisempi audiointi– Tietoturvallisuuden hallintajärjestelmän testaus ISO/IEC
27001:n vaatimuksia vasten, sekä todisteiden keräys siitä, että johtamisjärjestelmä on suunniteltu ja toteutettu oikein ja on käytössä. Läpipääsy antaa sertifioinnin.
• Vaihe 3. jatkokatselmoinnit ja auditoinnit– Säännöllinen uudelleenarviointi.
5.10.2015 | 52
ISO 27001 sertifioidut organisaatiot (1/2)
03.05.23 | 53
ISO 27001 sertifioidut organisaatiot (2/2)
03.05.23 | 54
Standardin soveltaminen ja kokemuksia*
• Johdon todellinen sitouttaminen voi olla hankalaa– Johto voi lähteä innokkaana mukaan, koska heidän mielestään
tietoturva on tärkeää, mutta siinä vaiheessa kun heidän pitää muuttaa omaa käytöstään, kohdataan hankaluuksia
– Johto pitää pystyä sitouttamaan kunnolla ennen kuin standardeja aletaan viedä alemmille portaille
• Kaikkien hallintotasojen kouluttaminen ja sitouttaminen on tärkeää
• Yritys voi olla ennakoiva tietoturvan suhteen.• Suurilta ja kalliilta yllätyksiltä voidaan välttyä.• Jotkut 27K:n asiat eivät ole välttämättä kustannustehokkaita
erityisesti pienille yrityksille.
* Lea Viljanen
5.10.2015 | 55
Standardin soveltaminen ja kokemuksia
• Lopputöitä:– Ilmari Luoma, ”
Tietoturvallisuusauditointi ISO 27000-viitekehyksessä”, 2015– Kirsi Kautola, ”Tietoturva- ja uhkakartoitus”, 2013– Mikko Nisonen, ”
Tietoturvallisuuden hallintajärjestelmä JYVSECTEC –hankkeeseen”, 2012
– Markus Kuivalainen, ”Valmistautuminen ISO/IEC 27001 standardin sertifiointiin”, 2011
– Matti Laakso, ”PK-yrityksen tietoturvasuunnitelman laatiminen”, 2010
– Simo Kemppainen, ”Tietoturvallisuuden sertifiointi ISO/IEC 27001 -tietoturvallisuusstandardilla”, 2009
5.10.2015 | 56
Tietoturvallisuusstandardin käytön hyödyt
• ISO/IEC 27001:– Parempi kuva organisaatiossa itsestään.
• Tietoturvaan liittyvän tiedon määrä ja ymmärrys sen tärkeydestä lisääntyy.
– Vältetyt riskit vähentävät kuluja.– Organisaation toiminnot sujuvat sulavammin, koska
vastuut ja prosessit on selvästi määritelty.– Tietoturvavalveutuneisuus paranee.– Yhteiset termit ja käytännöt helpottavat kommunikointia
muiden organisaatioiden kanssa.– Asiakkaiden luottamus ja näkemys yrityksestä paranee.
5.10.2015 | 57
ISO:n standardointiprosessi
03.05.23 | 58http://www.iso.org/iso/home/standards_development.htm
Jos ehdotushyväksytään
Jostekninenkomitea
hyväksyy työversion
Jos yhteisymmärryssaavutetaan
Jos standardihyväksytään
äänestyksessä
Lisätietoa standardeista
• ISO:n online browsing platform -palvelu– http://www.iso.org/obp/ui
• 27K-standardiperheestä vastaa kansainvälinen ISO/IEC JTC 1/SC 27 -komitea, erityisesti työryhmä 1 (WG 1).
• Suomen osalta SFS:n seurantaryhmä SR 307 Tietoturvatekniikat seuraa komitean ja sen työryhmien työtä ja lähettää kansallisia kannanottoja.– Puheenjohtaja: Reijo Savola (VTT)– Sihteeri: Saana Seppänen (SFS)
5.10.2015 | 59