250 likes | 422 Views
Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät. ISO/IEC 27000 -standardiperhe Kalvosarja oppilaitoksille Suomen Standardisoimisliitto SFS ry 2012. Tervetuloa luentoaineiston käyttäjäksi!.
E N D
Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät. ISO/IEC 27000 -standardiperhe Kalvosarja oppilaitoksille Suomen Standardisoimisliitto SFS ry 2012
Tervetuloa luentoaineiston käyttäjäksi! Tämän luentoaineiston ovat laatineet Teemu Väisänen VTT:ltä ja Juha Kreus Laurea ammattikorkeakoulusta. Kalvosarja on tuotettu SFS:n projektirahoituksella. TTY:n Tietoturvallisuuden jatkokurssin tarpeisiin tiivisti J. Koskinen 29.11.2012. Yksi tiivistyksistä on lyhenne TT = Tietoturva(llisuus)
Tietoturvallisuuden hallintajärjestelmä • on osa yleistä hallintajärjestelmää, joka luodaan ja toteutetaan liiketoimintariskien arviointiin perustuen ja jota käytetään, valvotaan, katselmoidaan, ylläpidetään ja parannetaan tavoitteena hyvä TT. • Organisoi ja helpottaa yritysjohdon TT-työtä. • Hallintajärjestelmien tulisi kattaa kaikki tietoturvan johtamisessa, hallinnoimisessa ja valvonnassa tarvittavat menettelyt ja toimenpiteet. • ei ole yksittäinen dokumentti, vaan moniosainen prosessi, jota on kehitettävä jatkuvasti. • Hallintajärjestelmän osia ovat mm. riskianalyysi, TT-politiikka sekä TT-, jatkuvuus- ja toipumissuunnitelmat.
27000-standardiperhe • ISO/IEC 27000 viittaa kasvavaan ISO/IEC-standardiperheeseen, jonka yhteinen otsikko on "Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät". • Tarjoaa suosituksia TT:n hallintaan, riskeihin ja kontrollointiin TT:n hallintajärjestelmissä. • Myös muut 27-alkuiset tietoturvallisuuteen liittyvät standardit lasketaan toisinaan perheeseen kuuluvaksi.
27000-standardiperheen historia ja kehittyminen • Englannin aloite • 1992: Code of Practice for Information Security Management (hallituksen opaste) • 1995: Muutetaan BSI standardiksi BS 7799 • 1999: Sertifiointi alkaa täysimääräisenä • 2000: ISO/IEC 17799 ISO/IEC 27002:2005 • 2002: BS7799-2. Information Security Management Specification ISO/IEC 27001:2005 • 27000, 27001 ja 27002:n 2. painos valmisteilla • Uudet versiot vuoden 2013 aikana
27000-standardiperhe… • 27000: 2009 - Yleiskatsaus ja sanasto - Overview and vocabulary • 27001: 2005 - Vaatimukset • 27002: 2005 - Tietoturvallisuuden hallintaa koskeva menettelyohje • 27003: 2010 - Tietoturvallisuuden hallintajärjestelmän toteuttamisohjeita • 27004: 2009 - Mittaaminen • 27005: 2011 - Tietoturvariskien hallinta • 27006: 2011 - Requirements for bodies providing audit and certification of information security management systems • 27007: 2011 - Guidelines for Information Security Management Systems Auditing • 27008: 2011 - Guidelines for auditors on information security management systems controls • 27010 : ?- Information security management for inter-sector and inter-organizational communications • 27011: 2008 - Information security management guidelines for telecommunications organizations based on ISO/IEC 27002
…27000-standardiperhe… • 27013:? - Guidelines on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 • 27014:? - Governance of information security • 27015:? - Proposal on an Information security management guidelines for financial and insurance services • 27016:? - Organizational economics • 27017:? - Cloud computing security and privacy management system -- Security controls • 27018:? - Code of practice for data protection controls for public cloud computing services • 27031:2011 - Guidelines for information and communication technology readiness for business continuity • 27032:? - Guidelines for cybersecurity • 27033:eri osia(1–7) - Network security • 27034:eri osia(1–5) - Application security • 27035:2011 - Information security incident management • 27036:eri osia(1-3) - Information security for supplier relationships
…27000-standardiperhe • 27037:? - Guidelines for identification, collection, acquisition and preservation of digital evidence • 27038:? - Specification for Digital Redaction • 27039:? - Selection, deployment and operations of intrusion detection systems • 27040:? - Storage security • 27041:? - Guidance on assuring suitability and adequacy of investigation methods • 27042:? - Guidelines for the analysis and interpretation of digital evidence • 27043:? - Investigation principles and processes • 27799:2008 - Health Informatics: Information security management in health using ISO/IEC 27002
Standardit ja lainsäädäntö • Standardisoimislaki • Sertifiointilaitoksia koskeva lainsäädäntö • Yhteissääntely • Kansallinen turvallisuusauditointikriteeristö (KATAKRI) • Päätavoitteena yhtenäistää viranomaistoimintoja silloin, kun viranomainen toteuttaa kohteen turvallisuustason auditoinnin yrityksessä tai muussa yhteisössä. • Valtionhallinnon tietoturvallisuuden johtoryhmä (VAHTI) • Tavoitteena on parantaa valtionhallinnon toimintoja kehittämällä tietoturvallisuutta sekä edistää TT:n saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta.
ISO/IEC 27000:2009”Yleiskatsaus ja sanasto” • Sisältää koko ISO/IEC 27000 -perheen • yleiskatsauksen ja esittelyn, • perheessä käytettyjen termien määritelmät ja niiden luokitukset ja • yleisiä vaatimuksia. • Määrittelee yleiset vaatimukset • TT:n hallintajärjestelmän luomiselle, • toteuttamiselle, • käyttämisellä, • valvonnalle, • katselmoinnille, • ylläpidolle ja • parantamiselle.
ISO/IEC 27001 ja 27005 -standardit • Kaksi ehkä tärkeintä 27000-perheen standardia • Määrittävät TT:n hallintajärjestelmän vaatimukset (27001) ja riskienhallinnan (27005). • TT:n hallintajärjestelmän käyttöönotto on organisaation strateginen päätös. • Vuoteen 2009 mennessä yli 12000 organisaatiota oli 27001-sertifioitu.
ISO/IEC 27001:2005”Vaatimukset” • Tavoitteena linjata TT:n hallinta bisneksen määräystenmukaisuuden ja riskien vähennystavoitteiden kanssa • Tarkoituksena suojella luottamuksellisuutta, eheyttä ja saatavuutta (CIA-malli) • On hallinnointistandardi eikä tekninen standardi • Ei kuvaa teknisesti ISMS-järjestelmien yksityiskohtia • Keskittyy tietotekniikan lisäksi myös bisnesprosesseihin • Keskittyy löytämään, hallinnoimaan ja vähentämään tärkeään tietoon liittyviä riskejä • Tieto voi tai voi olla liittymättä tietotekniikkaan tai voi tai voi olla olematta digitaalisessa muodossa
PDCA-malli sovellettuna TT:n hallintajärjestelmän prosesseihin
27001 vaatii, että hallinto • tarkastelee organisaation TT-riskejä järjestelmällisesti, ottaen huomioon uhkat, haavoittuvuudet ja vaikutukset • suunnittelee ja toteuttaa yhdenmukaiset ja kattavat TT-kontrollit ja riskien käsittelyohjeet • omaksuu kattavan hallintoprosessin varmistaakseen TT-kontrollien jatkuvuuden tulevaisuudessa.
27001:n käyttö • Käytetään usein yhdessä ISO/IEC 27002:n kanssa • Liite A sisältää suppean listan ISO/IEC 27002:n TT-kontrolleista • ISO/IEC 27002 tarjoaa ylimääräistä tietoa ja neuvoo kontrollien toteutuksessa • 27001 antaa vaatimuksia TT:n hallintajärjestelmän • sisäiseen auditointiin, • johdon katselmointiin, ja • parantamiseen
27001:n liite A • Liite A luettelee valvontatavoitteet ja turvamekanismit • Esim. A.10.5 Varmuuskopiointi • Tavoite: Tietotekniikka- ja tietojenkäsittelypalveluiden eheyden ja käytettävyyden säilyttäminen. • A.10.5.1: Tietojen varmuuskopiointi • Turvamekanismi: Tiedoista ja ohjelmistoista tulee ottaa varmuuskopiot ja testata ne säännöllisesti sovittujen varmuuskopioperiaatteiden mukaisesti.
27001:n liite A - esimerkkejä • A.10.10 Tarkkailu • Tavoite: Luvattomien tietojenkäsittelytoimintojen havaitseminen. • A.10.10.4: Pääkäyttäjä- ja operaattorilokit • Turvamekanismi: Järjestelmän pääkäyttäjien ja operaattoreiden toiminnot tulee kirjata. • A.10.10.6: Kellojen synkronointi • Turvamekanismi: Kaikkien samassa organisaatiossa tai turvallisuusalueella olevien olennaisten tietojenkäsittelyjärjestelmien kellot tulee synkronoida sovitun tarkan ajanlähteen kanssa.
ISO/IEC 27005:2011:”Tietoturvariskien hallinta” • Sisältää ohjeita organisaation TT-riskien hallinnasta. • Tukee erityisesti ISO/IEC 27001 -standardin mukaisen tietoturvallisuuden hallintajärjestelmän vaatimuksia. • Ei esitä mitään tiettyä TT-riskien hallinnan menettelytapaa. • Sisältää jäsentyneen, järjestelmällisen ja tiukan riskien analysointiprosessin, jonka 5 askelman avulla voidaan tuottaa riskien käsittelysuunnitelma • Ensimmäinen versio julkaistu 2008, toinen 2011. • Suunnattu lähinnä organisaation TT-riskien hallinnasta vastaaville johtajille ja henkilöstölle.
27005: Tietoturvariskien hallintaprosessi 27.8.2012|20
Esimerkki auditointiprosessista • Vaihe 1. Tietoturvallisuuden hallintajärjestelmän alustava ja epävirallinen katselmointi • Keskeisten asiakirjojen olemassaolon ja kattavuuden tarkistamiseen (organisaation TT-politiikka, soveltamissuunnitelma, riskien käsittelysuunnitelma). • Vaihe 2. Yksityiskohtaisempi ja muodollisempi auditointi • TT:n hallintajärjestelmän testaus ISO/IEC 27001:n vaatimuksia vasten, sekä todisteiden keräys siitä, että johtamisjärjestelmä on suunniteltu ja toteutettu oikein ja on käytössä. Läpipääsy antaa sertifioinnin. • Vaihe 3. jatkokatselmoinnit ja auditoinnit • Säännöllinen uudelleenarviointi.
Standardin soveltaminen ja kokemuksia* • Johdon todellinen sitouttaminen voi olla hankalaa • Johto voi lähteä innokkaana mukaan, koska heidän mielestään tietoturva on tärkeää, mutta siinä vaiheessa kun heidän pitää muuttaa omaa käytöstään, kohdataan hankaluuksia • Johto pitää pystyä sitouttamaan kunnolla ennen kuin standardeja aletaan viedä alemmille portaille • Kaikkien hallintotasojen kouluttaminen ja sitouttaminen on tärkeää • Yritys voi olla ennakoiva tietoturvan suhteen. • Suurilta ja kalliilta yllätyksiltä voidaan välttyä. • Jotkut 27K:n asiat eivät ole välttämättä kustannustehokkaita erityisesti pienille yrityksille. * Lea Viljanen
TT-standardin käytön hyödyt • ISO/IEC 27001: • Parempi kuva organisaatiossa itsestään. • Tietoturvaan liittyvän tiedon määrä ja ymmärrys sen tärkeydestä lisääntyy. • Vältetyt riskit vähentävät kuluja. • Organisaation operaatiot sujuvat sulavammin, koska vastuut ja businessprosessit on selvästi määritelty. • TT-valveutuneisuus paranee. • Asiakkaiden luottamus ja näkemys yrityksestä paranee.
Lisätietoa standardeista • ISO:n online browsing platform -palvelu • http://www.iso.org/obp/ui • 27K-standardiperheestä vastaa kansainvälinen ISO/IEC JTC 1/SC 27 -komitea, erityisesti sen työryhmä 1 (WG 1). • Suomessa SFS:n seurantaryhmä SR 307 Tietoturvatekniikat seuraa komitean ja sen työryhmien työtä ja lähettää kansallisia kannanottoja. • Puheenjohtaja: Reijo Savola (VTT) • Sihteeri: Juha Vartiainen (SFS)