ISO 27000 -standardiperhe

Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät.

ISO/IEC 27000 -standardiperheKalvosarja oppilaitoksille

Suomen Standardisoimisliitto SFS ry2015

5.10.2015| 1

Tervetuloa luentoaineiston käyttäjäksi! Aineisto on suunnattu ammattikorkeakoulujen ja yliopistojen opettajille ja opiskelijoille. Kalvosarja esittelee tietoturvallisuuden hallintajärjestelmästandardiperheen ISO/IEC 27000, sen käyttömahdollisuuksia ja yhteyksiä muihin alan keskeisiin julkaisuihin. Tavoitteena on tukea standardiperheen sisällyttämistä tietoturvallisuuden hallintajärjestelmiä käsitteleviin opetussuunnitelmiin ja kurssien sisältöön.

Tässä kalvosarjassa ei käsitellä kaikkia perheen standardeja yksityiskohtaisesti, vaan yleisen johdanto-osan jälkeen esitellään joidenkin standardien keskeiset sisällöt ja pääkohdat

Kalvosarja on tuotettu SFS:n projektirahoituksella.

27.8.2012 | 2

Opetuskokonaisuus

• Opetuskokonaisuus on kaksi 45 min oppituntia• Kalvot soveltuvat 27K-standardisarjan esittelyyn

ainakin tietotekniikkaan, tietojenkäsittelytieteisiin, tietoturvaan, johtamiseen ja standardisointiin liittyvillä syventävillä kursseilla yliopistoissa ja ammattikorkeakouluissa.

5.10.2015 | 3

Aineiston käyttö ja tekijänoikeudet

• Tämän luentoaineiston tekijänoikeudet omistaa Suomen Standardisoimisliitto SFS ry.

• Esitystä saa vapaasti käyttää opetustarkoituksiin ja sitä saa tarvittaessa muokata. Aineistoa lainattaessa lähde tulee mainita.

• Aineiston käyttö kaupallisiin tarkoituksiin on kielletty.• Tämä materiaali on päivitetty viimeksi 5.10.2015.

5.10.2015 | 4

Sisältö

• Opetuskokonaisuus• Turvallisuuden kokonaisuus• Tietoturvallisuuden hallinta ja siihen liittyvät termit

– Tietoturvallisuuden hallintajärjestelmä• ISO/IEC 27000 -standardiperhe

– Historia, standardit ja viitekehys• Tietoturvauhkat• Standardit ja lainsäädäntö• Lisätietoa ISO/IEC 27001- ja 27005 -standardeista• Kokemuksia ja hyötyjä standardien käytöstä

5.10.2015 | 5

Turvallisuuden kokonaisuus

5.10.2015 | 6

Tietoturvallisuuden hallintajärjestelmän tarve

• Kaikentyyppiset ja -kokoiset organisaatiot– keräävät, käsittelevät, säilyttävät ja välittävät suuria

määriä informaatiota,– pitävät informaatiota sekä siihen liittyviä prosesseja,

järjestelmiä, verkkoja ja ihmisiä tärkeinä turvattavina kohteina, joiden avulla organisaation tavoitteet saavutetaan,

– kohtaavat monia erilaisia riskejä, jotka voivat vaikuttaa turvattavien kohteiden toimintaan, ja

– muokkaavat riskejä toteuttamalla tietoturvamekanismeja.

5.10.2015 | 7

Tietoturvallisuuden hallintajärjestelmä

• on osa yleistä hallintajärjestelmää, joka liiketoimintariskien arviointiin perustuen luodaan ja toteutetaan.

• käytetään, valvotaan, katselmoidaan, ylläpidetään ja parannetaan tavoitteena parempi tietoturvallisuus.

• helpottaa yritysjohdon tietoturvatyön organisointia.• tulisi kattaa kaikki tietoturvan johtamisessa,

hallinnoimisessa ja valvonnassa tarvittavat menettelyt ja toimenpiteet.

• ei ole yksittäinen dokumentti, vaan moniosainen prosessi, jota on kehitettävä jatkuvasti.

• osia ovat mm. riskianalyysi, tietoturvapolitiikka, tietoturva-, jatkuvuus- ja toipumissuunnitelmat.

5.10.2015 | 8

27000-standardiperhe

• ISO/IEC 27000 viittaa kasvavaan ISO/IEC-

standardiperheeseen, jonka yhteinen otsikko on

"Informaatioteknologia. Turvallisuus.

Tietoturvallisuuden hallintajärjestelmät".

• Tarjoaa suosituksia tietoturvallisuuden hallintaan,

riskeihin ja kontrollointiin tietoturvallisuuden

hallintajärjestelmissä.

• Myös muut 27-alkuiset tietoturvallisuuteen liittyvät

standardit lasketaan toisinaan perheeseen kuuluvaksi.

5.10.2015 | 9

27000-standardiperheen historia ja kehittyminen

• Englannin aloite– 1992: Code of Practice for Information Security

Management (hallituksen opaste)– 1995: Muutetaan BSI standardiksi BS 7799– 1999: Sertifiointi alkaa täysimääräisenä

• 2000: ISO/IEC 17799 ISO/IEC 27002:2005• 2002: BS7799-2 Information Security Management

Specification ISO/IEC 27001:2005• 2013: 27001 ja 27002:n päivitetyt versiot• 2014: 27000 päivitetty versio

5.10.2015 | 10

27000-standardiperhe…

• Informaatioteknologia – Turvallisuustekniikat - Tietoturvallisuuden hallintajärjestelmät

• 27000:2015 - Yleiskatsaus ja sanasto - Overview and vocabulary

• 27001:2013 - Vaatimukset - Requirements• 27002:2013 - Tietoturvallisuuden hallintakeinojen

menettelyohjeet - Code of practice for information security controls

• 27003:2010 - Tietoturvallisuuden hallintajärjestelmän toteuttamisohjeita - Information security management system implementation guidance

• 27004:2009 - Mittaaminen - Measurement• 27005:2011 - Tietoturvariskien hallinta - Information

security risk management

5.10.2015 | 11Suomennos saatavilla

…27000-standardiperhe…

• 27006:2011 - Requirements for bodies providing audit and certification of information security management systems

• 27007:2011 - Tietoturvallisuuden hallintajärjestelmien auditointiohjeet - Guidelines for information security management systems auditing

• 27008:2011 - Guidelines for auditors on information security controls

5.10.2015 | 12


• 27009 Sector-specific application of ISO/IEC 27001 - Requirements

• 27010:2012 - Information security management for inter-sector and inter-organizational communications

• 27011:2008 - Information security management guidelines for telecommunications organizations based on ISO/IEC 27002

• 27013:2012 - Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1

• 27014:2013 - Governance of information security• 27015:2012 - Information security management

guidelines for financial services• 27016:2014 - Organizational economics

5.10.2015 | 13


• 27018:2014 - Menettelyohjeet henkilötietojen suojaamiseen henkilötietoja käsittelevissä julkisissa pilvipalveluissa - Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors

• 27019:2013 Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry

• 27023:2015 Mapping the revised editions of ISO/IEC 27001 and ISO/IEC 27002

• 27031:2011 - Guidelines for information and communication technology readiness for business continuity

5.10.2015 | 14


• 27032:2012 - Guidelines for cybersecurity • 27033 - Network security

– 27033-1:2015 Part 1: Overview and concepts– 27033-2:2012 Part 2: Guidelines for the design and

implementation of network security– 27033-3:2010 Part 3: Reference networking scenarios

-- Threats, design techniques and control issues– 27033-4:2014 Part 4: Securing communications

between networks using security gateways– 27033-5:2013 Part 5: Securing communications across

networks using Virtual Private Networks (VPNs)– 27033-6 Part 6: Securing wireless IP network access

5.10.2015 | 15


• 27034 – Application security– 27034-1:2011 Part 1: Overview and concepts– 27034-2:2015 Part 2: Organization normative framework– 27034-3 Part 3: Application security management process– 27034-4 Part 4: Application security validation– 27034-5 Part 5: Protocols and application security controls

data structure– 27034-5-1 Part 5-1: Protocols and application security

controls data structure -- XML schemas– 27034-6 Part 6: Security guidance for specific applications– 27034-7 Part 7: Application security assurance prediction

5.10.2015 | 16


• 27035:2011 - Information security incident management– 27035-1 Part 1: Principles of incident management– 27035-2 Part 2: Guidelines to plan and prepare for

incident response– 27035-3 Part 3: Guidelines for CSIRT operations

• 27036 Information security for supplier relationships– 27036-1:2014 Part 1: Overview and concepts– 27036-2:2014 Part 2: Requirements– 27036-3:2013 Part 3: Guidelines for information and

communication technology supply chain security– 27036-4 Part 4: Guidelines for security of Cloud services

5.10.2015 | 17


• 27037:2012 - Guidelines for identification, collection, acquisition and preservation of digital evidence

• 27038:2014 - Specification for digital redaction• 27039:2015 - Selection, deployment and operations of

intrusion detection systems (IDPS)• 27040:2015 - Storage security• 27041:2015 - Guidance on assuring suitability and

adequacy of incident investigative method• 27042:2015 - Guidelines for the analysis and interpretation

of digital evidence• 27043:2015 - Incident investigation principles and

processes• 27799:2008 - Health Informatics: Information security

management in health using ISO/IEC 27002

5.10.2015 | 18

…27000-standardiperhe

• 27044 - Guidelines for Security Information and Event Management (SIEM)

• 27050-1 - Electronic discovery - Part 1: Overview and concepts

• 27799:2008 - Health Informatics: Information security management in health using ISO/IEC 27002

5.10.2015 | 19

27000 standardien luokittelu

03.05.23 | 20

Terminologia

Yleisetvaatimukset

Yleisetohjeet

Sektorikohtaisetohjeet

Hallintakeinojenohjeet

27000Yleiskatsaus ja sanasto

27001Vaatimukset

27006Sertifiointielinten vaatimukset

27002Menettelyohjeet

27003Toteuttamisohjeet

27004Mittaukset

27005Riskienhallinta

27007Auditointiohjeet

TR 27008 27013

27014 TR 27016

27010Viestintä

27011Tietoliikenne

TR 27015Rahoitus

27017Pilvipalvelut

27018Henkilötiedot pilvipalveluissa

TR 27019Energia

27799Terveydenhuolto

2703X2703X2703X2703X2703X2704X

27000 standardien väliset suhteet

03.05.23 | 21

Terminologia

Yleisetvaatimukset

Yleisetohjeet

Sektorikohtaisetohjeet

Hallintakeinojenohjeet

27000Yleiskatsaus ja sanasto

27001Vaatimukset

27006Sertifiointielinten vaatimukset

27002Menettelyohjeet

27003Toteuttamisohjeet

27004Mittaukset

27005Riskienhallinta

27007Auditointiohjeet

27011Tietoliikenne

27799Terveydenhuolto

27034Sovelluskehitys

Selite Velvoittavastandardi

(vaatimukset)

Opastavastandardi(ohjeet)

Standardit ja lainsäädäntö

• Standardisoimislaki• Sertifiointilaitoksia koskeva lainsäädäntö• Yhteissääntely• Kansallinen turvallisuusauditointikriteeristö (KATAKRI)

– Päätavoitteena yhtenäistää viranomaistoimintoja silloin, kun viranomainen toteuttaa kohteen turvallisuustason auditoinnin yrityksessä tai muussa yhteisössä.

– Sisältää paljon viittauksia ISO/IEC 27000 standardeihin• Valtionhallinnon tietoturvallisuuden johtoryhmä (VAHTI)

– Tavoitteena on parantaa valtionhallinnon toimintoja kehittämällä tietoturvallisuutta sekä edistää tietoturvallisuuden saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta.

5.10.2015 | 22

ISO/IEC 27000:2014”Yleiskatsaus ja sanasto”

• Sisältää ISO/IEC 27000 -perheen– yleiskatsauksen ja esittelyn, – käyttämien termien määritelmät ja niiden luokitukset.

• Määrittelee yleiset vaatimukset– tietoturvallisuuden hallintajärjestelmän luomiselle,– toteuttamiselle,– käyttämisellä,– valvonnalle,– katselmoinnille,– ylläpidolle ja– parantamiselle.

5.10.2015 | 23

Keskeisiä käsitteitä 27000 1/2

• Pääsynvalvonta• Tilivelvollisuus• Turvattava kohde• Hyökkäys• Todennus• Aitous• Saatavuus• Toiminnan jatkuvuus• Luottamuksellisuus• Turvamekanismi• Valvontatavoite• Korjaava toimenpide• Vaikuttavuus

• Tehokkuus• Tapahtuma• Ohje• (Haitta)vaikutus• Tieto-omaisuus• Tietoturvallisuus• Tietoturvatapahtuma• Tietoturvahäiriö• Tietoturvahäiriöiden

hallinta• Tietoturvallisuuden

hallintajärjestelmä (ISMS)

5.10.2015 | 24

Keskeisiä käsitteitä 27000 2/2

• Tietoturvariski• Eheys• Johtamisjärjestelmä• Kiistämättömyys• Politiikka• Ehkäisevä toimenpide• Menettely• Prosessi• Tallenne• Luotettavuus• Riski• Riskin hyväksyntä

• Riskianalyysi• Riskien arviointi• Riskeistä viestintä• Riskikriteerit• Riskin suuruuden

arviointi• Riskien arvottaminen• Riskien hallinta• Riskien käsittely• Soveltamissuunnitelma

(SoA)• Uhka• Haavoittuvuus

5.10.2015 | 25

ISO Online Browsing PlatformISO:n käyttämien määritelmien hakeminen

03.05.23 | 26

https://www.iso.org/obp/ui

Tietoturvallisuusuhkia

• Haittaohjelmat• Verkkohyökkäykset• Verkkosovellus- ja

injektiohyökkäykset• Bottiverkot• Palvelunesto-

hyökkäykset• Roskaposti• Tietojen kalastelu• Exploit kit –

hyökkäysohjelmistot• Tietomurrot

• Fyysinen vanhinko, varkaus tai häviäminen

• Sisäiset uhat• Tietovuodot• Identiteettivarkaudet ja –

petokset• Kybertiedustelu• Kiristysohjelmistot

(Ransomware, Rogueware, Scareware)

Lähte: ENISA Threat Landscape 20145.10.2015 | 27

ISO/IEC 27001 ”Vaatimukset”

• Tavoitteena linjata tietoturvallisuuden hallinta toiminnan määräystenmukaisuuden ja riskien vähennystavoitteiden kanssa

• Tarkoituksena suojella luottamuksellisuutta, eheyttä ja saatavuutta (CIA-malli)

• On hallinnointistandardi eikä tekninen standardi– Ei kuvaa teknisesti ISMS-järjestelmien yksityiskohtia

• Keskittyy tietotekniikan lisäksi myös liiketoimintaprosesseihin

• Keskittyy löytämään, hallinnoimaan ja vähentämään tärkeään tietoon liittyviä riskejä– Tieto voi tai voi olla liittymättä tietotekniikkaan tai voi tai

voi olla olematta digitaalisessa muodossa

5.10.2015 | 28

27001: Termit ja määritelmät

• Suojattava kohde• Käytettävyys• Luottamuksellisuus• Tietoturvallisuus• Tietoturvatapahtuma• Tietoturvahäiriö• Eheys• Jäännösriski

• Riskin hyväksyntä• Riskianalyysi• Riskien arviointi• Riskien vaikutuksen

arviointi• Riskien hallinta• Riskien käsittely• Soveltamissuunnitelma

(SoA)

5.10.2015 | 29

27001: Vaiheet

• Tietoturvallisuuden hallintajärjestelmän luominen ja johtaminen– Luominen– Toteuttaminen ja käyttäminen– Valvominen ja katselmointi– Ylläpitäminen ja parantaminen

5.10.2015 | 30

PDCA-malli(Plan-Do-Check-Act) oli mukana versiossa 2005, mutta on poistettu 2013 versiosta

27001 sisältö (1/2)

• Organisaatio ja toimintaympäristö– Hallintaympäristön kokonaisuuden ymmärtäminen– Sidosryhmien tarpeiden ymmärtäminen– Hallintajärjestelmän sovellusalan määrittämien

• Johtaminen– Johtajuus ja johdon sitoutuminen– Tietoturvapolitiikka– Roolit, velvollisuudet ja oikeudet

• Suunnittelu– Riskien ja mahdollisuuksien käsittely– Tietoturvatavoitteet ja tarvittavien toimien suunnittelu– Suunnittelun ja päätösten dokumentointi

03.05.23 | 31

27001 sisältö (2/2)

• Tukitoiminnot– Resurssit– Pätevyys– Tietoisuus– Viestintä– Dokumentointi

• Toiminta– Suunnittelu ja ohjaus– Tietoturvariskien

arviointi ja käsittely

• Suorituskyvyn arviointi– Seuranta, mittaus,

analysointi ja arviointi– Sisäinen auditointi– Johdon katselmus

• Parantaminen– Poikkeamat ja

korjaavat toimenpiteet– Jatkuva parantaminen

03.05.23 | 32

27001 vaatii, että hallinto

• tarkastelee organisaation tietoturvallisuusriskejä järjestelmällisesti, ottaen huomioon uhkat, haavoittuvuudet ja vaikutukset

• suunnittelee ja toteuttaa yhdenmukaiset ja kattavat tietoturvallisuuskontrollit ja riskien käsittelyohjeet (suite), jotta riskit, joita on mahdoton hyväksyä, saadaan käsiteltyä (address), ja

• omaksuu ylikaartuvan (overarching) hallintoprosessin varmistaakseen tietoturvallisuuskontrollien jatkuvuuden tulevaisuudessa.

5.10.2015 | 33

27001:n käyttö

• Käytetään yhdessä ISO/IEC 27002:n kanssa– ISO/IEC 27001 liite A sisältää listan hallintatavoitteista

ja -keinoista– ISO/IEC 27002 sisältää tarkemmat kuvaukset

hallintakeinoista• 27001 antaa vaatimuksia tietoturvallisuuden

hallintajärjestelmän– sisäiseen auditointiin,– johdon katselmointiin, ja– parantamiseen

27.8.2012 | 34

Hallintatavoitteiden jaottelu

• 14 pääkohtaa– Tietoturvapolitiikat– Tietoturvallisuuden

organisointi– Henkilöstöturvallisuus– Suojattavan

omaisuuden hallinta– Pääsynhallinta– Salaus– Fyysinen turvallisuus ja

ympäristön turvallisuus

– Käyttöturvallisuus– Viestintäturvallisuus– Järjestelmien hankkiminen,

kehittäminen ja ylläpito– Suhteet toimittajiin– Tietoturvahäiriöiden hallinta– Liiketoiminnan jatkuvuuden

hallintaan liittyviä tietoturvanäkökohtia

– Vaatimustenmukaisuus

03.05.23 | 35

Hallintakeinot

• Yhteensä 35 pääturvallisuus-luokkaa pääkohtien alla– Hallintatavoite– Yksi tai useampi hallintakeinon tavoitteen

saavuttamiseksi• Yhteensä 114 hallintakeinoa

– Kuvaus– Toteuttamisohjeet– Lisätiedot

• Hallintakeinoista käytetään englanninkielistä nimeä (security) control, joka toisinaan suomennetaan (turvallisuus-)kontrolli tai vastatoimenpide

03.05.23 | 36

Hallintatavoitteet ja –keinot - esimerkki

• Esimerkki: A.9 Pääsynhallinta– A.9.1 Pääsynhallinnan liiketoiminnalliset vaatimukset

• Tavoite: hallita pääsyä tietoon ja tietojenkäsittelypalveluihin.

• A.9.1.1 Pääsynhallintapolitiikka– Pääsynhallinnan periaatteet on laadittava,

dokumentoitava ja katselmoitava liiketoiminnallisten vaatimusten ja tietoturvavaatimusten perusteella.

• A.9.1.2 Pääsy verkkoihin ja verkkopalveluihin– Käyttäjille on sallittava pääsy ainoastaan niihin

verkkoihin ja verkkopalveluihin, joihin heille on nimenomaisesti myönnetty pääsyoikeudet.

5.10.2015 | 37

Hallintatavoitteet ja –keinot - esimerkki

• A.9.2 Pääsyoikeuksien hallinta– Tavoite: varmistaa valtuutettujen käyttäjien pääsy järjestelmiin

ja palveluihin sekä estää luvaton pääsy niihin.– A.9.2.1 Käyttäjien rekisteröinti ja poistaminen

• Hallintakeino: On toteutettava muodollinen käyttäjien rekisteröinti- ja poistamisprosessi, jonka avulla pääsyoikeudet jaetaan.

– A.9.2.2 Pääsyoikeuksien jakaminen• Hallintakeino: On toteutettava muodollinen

pääsyoikeuksien jakoprosessi, jonka avulla kyetään antamaan tai kumoamaan pääsyoikeus minkä tahansa tyyppiseltä käyttäjältä mihin tahansa järjestelmään tai palveluun.

– …

5.10.2015 | 38

Hallintakeinoja…

Hallinnollisia• Tietoturvapolitiikat• Roolit ja vastuut• Yhteydet viranomaisiin• Tehtävien eriyttäminen• Tietoturvallisuus

projektienhallinnassa

Henkilöstöturvallisuus• Taustatarkistus• Työsopimuksen ehdot• Johdon vastuut• Tietoturvatietoisuus, -

opastus ja -koulutus

03.05.23 | 39

…Hallintakeinoja…

Tiedonhallinta• Tiedon luokittelu• Tiedon merkintä• Suojattavan omaisuuden

käsittely• Siirrettävien

tietovälineiden hallinta• Tietovälineiden

hävittäminen• Fyysisten tietovälineiden

siirtäminen

Pääsynhallinta• Pääsynhallintapolitiikka• Pääsy verkkoihin ja

verkkopalveluihin• Käyttäjien rekisteröinti ja

poistaminen• Käyttäjien

tunnistautumistietojen hallinta

• Pääsyoikeuksien uudelleenarviointi

03.05.23 | 40

…Hallintakeinoja..

Fyysinen turvallisuus• Fyysinen turva-alue• Kulunvalvonta• Toimistojen, tilojen ja

laitteistojen suojaus• Suojaus ulkoisia ja

ympäristön aiheuttamia uhkia vastaan

Viestintäturvallisuus• Verkon hallinta• Verkkopalvelujen

turvaaminen• Tiedonsiirtopolitiikat ja

–menettelyt• Sähköinen viestintä• Salassapito- ja

vaitiolositoumukset

03.05.23 | 41

…Hallintakeinoja…

Järjestelmien hankkiminen, kehittäminen ja ylläpito

• Tietoturvavaatimusten analysointi ja määrittely

• Turvallisen kehittämisen politiikka

• Turvallisen järjestelmä-suunnittelun periaatteet

• Turvallinen kehitysympäristö

• Järjestelmän turvallisuustestaus

Tietoturvahäiriöiden hallinta• Vastuut ja menettelyt• Tietoturvatapahtumien

raportointi• Tietoturvaheikkouksien

raportointi• Tietoturvahäiriöihin

vastaaminen• Tietoturvahäiriöistä

oppiminen

03.05.23 | 42

…Hallintakeinoja

Jatkuvuuden hallinta• Tietoturvallisuuden

jatkuvuuden suunnittelu

• Tietoturvallisuuden jatkuvuuden todentaminen, katselmointi ja arviointi

• Tietojenkäsittely-palvelujen saatavuus

Vaatimustenmukaisuus• Sovellettavien laki-

sääteisten ja sopimuk-sellisten vaatimusten yksilöiminen

• Immateriaalioikeudet• Tietosuoja ja henkilö-

tietojen suojaaminen• Tietoturvallisuuden

riippumaton katselmointi

03.05.23 | 43

…Hallintakeinoja..

Käyttöturvallisuus• Dokumentoidut

toimintaohjeet• Muutoksenhallinta• Kehitys-, testaus- ja

tuotanto ympäristöjen erottaminen

• Haittaohjelmilta suojautuminen

• Tietojen varmuuskopiointi

• Tapahtumien kirjaaminen

• Lokitietojen suojaaminen

• Teknisten haavoittuvuuksien hallinta

• Ohjelmien asentamisen rajoittaminen

03.05.23 | 44

ISO/IEC 27005:2011: ”Tietoturvariskien hallinta”

• Soveltuu käytettäväksi organisaatioissa, jotka haluavat hallinnoida riskejä, jotka voivat vaarantaa yrityksen tietoturvallisuuden.

• Tukee erityisesti ISO/IEC 27001 –standardin mukaisen tietoturvallisuuden hallintajärjestelmän vaatimuksia.

• Ei esitä tai suosittele mitään tiettyä tietoturvan riskien hallinnan menettelytapaa.

• Sisältää jäsentyneen, järjestelmällisen ja tiukan riskien analysointiprosessin, jonka 5 askelman avulla voidaan tuottaa riskien käsittelysuunnitelma

• Suunnattu lähinnä organisaation tietoturvariskien hallinnasta vastaaville johtajille ja henkilöstölle.

• Vaatii 27001 ja 27002 –standardit viiteasiakirjoiksi.

5.10.2015 | 45

27005: Riskien hallinnan termit

• Vaikuttavuus, vaikutusarvo– Välitön vaikutus– Myöhempi vaikutus

• Tietoturvariski• Riskin välttäminen• Riskeistä viestintä• Riskin suuruuden

arviointi

• Riskin tunnistus• Riskin pienentäminen• Riskin säilyttäminen• Riskin siirto

5.10.2015 | 46

27005:n sisältö

• kuvaus tietoturvariskien hallintaprosessista (Information Security Risk Management, ISRM).– riskien arviointi (Information Security Risk Assessment,

ISRA)– riskien käsittely (risk treatment)– riskien hyväksyntä (acceptance)– riskeistä viestiminen (communication)– Riskien tarkkailu (monitoring) ja katselmointi (review).

27.8.2012 | 47

27005: Tietoturvariskien hallintaprosessi

03.05.23 | 485.10.2015 | 48

27005: Riskien käsittelytoiminta

5.10.2015 | 49

27005: Riskien käsittely

• Käsittelyvaihtoehdot– Riskien pienentäminen– Riskin säilyttäminen– Riskin välttäminen– Riskin siirto

• Käsittelyvaihtoehtojen valintamenetelmät– Kustannuksien ja hyötyjen suhde– Riskien haitalliset seuraukset– Harvinaiset mutta vakavat riskit

5.10.2015 | 50

Auditointi

Sisäinen auditointi

Ulkoinen auditointi

Toimittajan auditointi Kolmannen osapuolen

suorittama auditointi

Kutsutaan toisinaan

ensimmäisen osapuolen

auditoinniksi

Kutsutaan toisinaan toisen

osapuolen auditoinniksi

Lakien tai viranomaisten

määräämiin tarkoituksiin tai

vastaaviin tarkoituksiin

Sertifiointiin (ks. myös

standardin ISO/IEC

17021:2011 vaatimukset)

5.10.2015 | 51

Esimerkki auditointiprosessista

• Vaihe 1. Tietoturvallisuuden hallintajärjestelmän alustava ja epävirallinen katselmointi– Keskeisten asiakirjojen olemassaolon ja kattavuuden

tarkistamiseen (organisaation tietoturvapolitiikka, soveltamissuunnitelma, riskien käsittelysuunnitelma).

• Vaihe 2. Yksityiskohtaisempi ja muodollisempi audiointi– Tietoturvallisuuden hallintajärjestelmän testaus ISO/IEC

27001:n vaatimuksia vasten, sekä todisteiden keräys siitä, että johtamisjärjestelmä on suunniteltu ja toteutettu oikein ja on käytössä. Läpipääsy antaa sertifioinnin.

• Vaihe 3. jatkokatselmoinnit ja auditoinnit– Säännöllinen uudelleenarviointi.

5.10.2015 | 52

ISO 27001 sertifioidut organisaatiot (1/2)

03.05.23 | 53

ISO 27001 sertifioidut organisaatiot (2/2)

03.05.23 | 54

Standardin soveltaminen ja kokemuksia*

• Johdon todellinen sitouttaminen voi olla hankalaa– Johto voi lähteä innokkaana mukaan, koska heidän mielestään

tietoturva on tärkeää, mutta siinä vaiheessa kun heidän pitää muuttaa omaa käytöstään, kohdataan hankaluuksia

– Johto pitää pystyä sitouttamaan kunnolla ennen kuin standardeja aletaan viedä alemmille portaille

• Kaikkien hallintotasojen kouluttaminen ja sitouttaminen on tärkeää

• Yritys voi olla ennakoiva tietoturvan suhteen.• Suurilta ja kalliilta yllätyksiltä voidaan välttyä.• Jotkut 27K:n asiat eivät ole välttämättä kustannustehokkaita

erityisesti pienille yrityksille.

* Lea Viljanen

5.10.2015 | 55

Standardin soveltaminen ja kokemuksia

• Lopputöitä:– Ilmari Luoma, ”

Tietoturvallisuusauditointi ISO 27000-viitekehyksessä”, 2015– Kirsi Kautola, ”Tietoturva- ja uhkakartoitus”, 2013– Mikko Nisonen, ”

Tietoturvallisuuden hallintajärjestelmä JYVSECTEC –hankkeeseen”, 2012

– Markus Kuivalainen, ”Valmistautuminen ISO/IEC 27001 standardin sertifiointiin”, 2011

– Matti Laakso, ”PK-yrityksen tietoturvasuunnitelman laatiminen”, 2010

– Simo Kemppainen, ”Tietoturvallisuuden sertifiointi ISO/IEC 27001 -tietoturvallisuusstandardilla”, 2009

5.10.2015 | 56

http://urn.fi/URN:NBN:fi:amk-2015060211853








Tietoturvallisuusstandardin käytön hyödyt

• ISO/IEC 27001:– Parempi kuva organisaatiossa itsestään.

• Tietoturvaan liittyvän tiedon määrä ja ymmärrys sen tärkeydestä lisääntyy.

– Vältetyt riskit vähentävät kuluja.– Organisaation toiminnot sujuvat sulavammin, koska

vastuut ja prosessit on selvästi määritelty.– Tietoturvavalveutuneisuus paranee.– Yhteiset termit ja käytännöt helpottavat kommunikointia

muiden organisaatioiden kanssa.– Asiakkaiden luottamus ja näkemys yrityksestä paranee.

5.10.2015 | 57

ISO:n standardointiprosessi

03.05.23 | 58http://www.iso.org/iso/home/standards_development.htm

Jos ehdotushyväksytään

Jostekninenkomitea

hyväksyy työversion

Jos yhteisymmärryssaavutetaan

Jos standardihyväksytään

äänestyksessä

Lisätietoa standardeista

• ISO:n online browsing platform -palvelu– http://www.iso.org/obp/ui

• 27K-standardiperheestä vastaa kansainvälinen ISO/IEC JTC 1/SC 27 -komitea, erityisesti työryhmä 1 (WG 1).

• Suomen osalta SFS:n seurantaryhmä SR 307 Tietoturvatekniikat seuraa komitean ja sen työryhmien työtä ja lähettää kansallisia kannanottoja.– Puheenjohtaja: Reijo Savola (VTT)– Sihteeri: Saana Seppänen (SFS)

5.10.2015 | 59

http://www.iso.org/obp/ui

Education

ISO 27000 -standardiperhe