1 / 42

Tietoturva 3 op

Tietoturva 3 op . Engl. Data security, Information security, Computer security. Web: ta.ramk.fi/~jouko.teeriaho Linkki: tietoturva. jouko.teeriaho@ramk.fi. Kurssin tavoitteet.

stacey
Download Presentation

Tietoturva 3 op

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Tietoturva 3 op Engl. Data security, Information security, Computer security Web: ta.ramk.fi/~jouko.teeriaho Linkki: tietoturva jouko.teeriaho@ramk.fi

  2. Kurssin tavoitteet Tavoitteena on saada yleiskuva tietoturvasta ja sen osa-alueista yksittäisen käyttäjän (jonkin verran), että yritysten tietoturvan näkökulmasta. Kurssilla laajennetaan tietoturvan näkökulmaa: Tietoturvassa ei ole kyse pelkästään tietoverkon suojaamisesta viruksia ja tunkeutumisia vastaan, vaan kokonaisuudesta johon kuuluu yrityksen tietoturvapolitiikka, henkilöstön kouluttaminen tietoturvakysymyksiin, sekä tietoturvan huomioiminen jokapäiväisessä toiminnassa toimitilojen suunnittelusta paperijätteen käsittelyyn.

  3. Arviointi • Tentti 50% • Ryhmätyöt 50% (palautus ryhmissä Optimaan) HYL, tyydyttävä 1-2 , Hyvä 3-4 , Kiitettävä 5

  4. Luentojen teemat : • 1. Johdanto, tiedon käsitteet ja tiedon merkitys yrityksille • Tietoturvan osa-alueet ja tietoturvan palvelut • Hallinnollinen tietoturvallisuus • Tietoaineistoturvallisuus • 4. Toimitilaturvallisuus • 5. henkilöstöturvallisuus • Laitteistoturvallisuus • Ohjelmistoturvallisuus • 8. Tietoliikenneturvallisuus • 9. Käyttötoimintojen turvallisuus • 10. Tietosuojalainsäädäntö • Tekninen tietoturva - salausmenetelmät • Tekninen tietoturva - salausmenetelmät • Tekninen tietoturva - salausmenetelmät

  5. Kirjallisuutta: Paavilainen: Tietoturva Kivimäki: Windows tietoturva Kerttula Esa: Tietoverkkojen tietoturva Petteri Järvinen: Tietoturva ja yksityisyys Allen: CERT verkkotietoturvan hallinta Ruohonen: Tietoturva IT Press: Tietoturvasertifikaatti Shon Harris: CISSP Certification Web: www.cert.fi ( tietoturvaviraston sivut ) www.tietoturva.fi (tietoturva ry:n sivut) www.tietoturvaopas.fi (kotikäyttäjälle suositeltava opas)

  6. Tietoturvasta ammatiksi? • Tietoturvaosaajista on kasvavaa kysyntää , onhan ennustettu , että internetin ongelmat voivat kaataa koko verkon lähivuosina • Perustiedot tietoturvasta on hyvä olla kaikilla työntekijöillä esim. ITC – alan yrityksissä • On olemassa kansainvälisiä tietoturvasertifikaatti –tutkintoja, jotka ovat näyttötutkintotyyppisiä. Tenttejä järjestetään Helsingissä useita vuodessa • Tutkintoja on kahta tasoa: • CISSP- tentissä 250 monivalintatehtävää • SSCP - tentissä 125 monivalintatehtävää kirjallisuus IT Press: Tietoturvasertifikaatti

  7. Tietoturvan ammattilaiseksikouluttautuminen CISSP (Certified Information Systems Security Professional) ammattitaitosertifikaatti on laadittu (ISC)2 organisaation toimesta. Sertifikaattiin liittyviksi tietoturvallisuusalan osa-alueiksi on määritelty kymmenen eri aihepiiriä. 1. Pääsyoikeuksien hallinta (Access Control Systems & Methodology)2. Järjestelmäkehitys (Applications & Systems Development)3. Jatkuvuussuunnittelu (Business Continuity Planning)4. Salakirjoitusmenetelmät (Cryptography)5. Lait, tutkinta ja etiikka (Law, Investigation & Ethics)6. Toiminnan turvallisuus (Operations Security)7. Fyysinen turvallisuus (Physical Security)8. Turvallisuusarkkitehtuuri ja -mallit (Security Architecture & Models)9. Tietoturvallisuuden johtaminen (Security Management Practices)10. Tieto- ja teleliikenneverkkojen turvallisuus (Telecommunications, Network & Internet Security)CISSP näyttökokeen läpäisyn edellytys on että kokelas saa riittävän hyvän suorituksen useissa näistä tietoturvallisuuden aihepiireissä.Tarkemmat tiedot CISSP sertifikaatista löydät www.isc2.org verkkosivuilta. Näyttökokeessa (Helsingissä) 250 monivalintatehtävää. Hyviä valmennusoppaita on olemassa

  8. Tiedon käsite Data – information – Knowledge - Wisdom

  9. Tiedon käsitteet: 1) Data Data = jalostamatonta raakatietoa, tiedon raaka-ainetta päivän TV-ohjelmat aikataulut dollarin kurssi

  10. Tiedon käsitteet: 2) Informaatio Data muuttuu informaatioksi, kun siihen sisältyy viesti , merkityksiä, käyttöarvoa engl. information

  11. Tiedon käsitteet: 3) Tieto Tieto = sisäistettyä informaatiota esim. kirjan sisältö, kun joku on sen omaksunut engl. knowledge

  12. Tiedon käsitteet: 4) Tietämys - tietämys on jo hyvin jalostunut tiedon muoto: se on osaamista (”knowhow”) jollain alalla, tietämys on tiedon summa, jollain kokeneella insinöörillä, liikemiehellä voi olla korvaamatonta tietämystä, jota ei voi edes panna paperille tai siirtää eteenpäin - opittu tieto ja hiljainen tieto (henkilön arvot ja kokemukset) ovat siinä yhdistyneenä engl. wisdom

  13. Tiedon merkitys tuotannon tekijänä

  14. Tuotannontekijät klassisen taloustieteen mukaan työ pääoma capital labour

  15. Tuotannontekijät massatuotannon aikakautena työ raaka-aineet pääoma raw materials Koneet laitteet machinery

  16. Tuotannontekijät informaatioyhteiskunnassa knowledge työ TIETO raaka-aineet pääoma Koneet laitteet Kilpailukyvyn kannalta yhä tärkeämmäksi on tullut teknologisen osaamisen taso

  17. Tuotannontekijöiden painotus riippuu toimialasta: Esim. sahateollisuudessa korostuvat raaka-aineet, ohjelmistotuotannossa tieto

  18. Tietojen jakautuminen yrityksissä Virallinen tieto (tilinpäätös, vuosikertomus) Asiakas-tiedot Henkilöstön osaaminen Organisaatioon liittyvä tieto

  19. Tiedon erityisominaisuudet sen suojaamisen kannalta 1) Tieto on aineeton olio. Miten havaitaan sen varastaminen tai laiton kopiointi ? Miten suojata olio jota ei ole fyysisesti olemassa ? 2) Miten estää tiedon luvaton kopiointi ja muokkaus ?

  20. 3) Miten mitata varastetun tiedon rahallinen arvo ? 4) Miten jakaa tietoa yrityksessä mahdollisimman monelle niin ettei se joudu ulkopuolisten käsiin ?

  21. Tietoresurssin omistusoikeudesta • Tieto on sekä resurssi , että yrityksen varallisuutta • Työnantajan tarjoamissa puitteissa luotu tai hankittu tieto ontyönantajan omistamaa • Työnantaja päättää, mitä tietoa voi tuoda julkisuuteen • Työntekijöiden osaamisen (tietämyksen) omistusoikeus on hankalampi määrittää Usein tiedolla on yrityksessä käyttöarvoa silloin, kun se on vain ko. yrityksen hallussa. Se menettää arvonsa tultuaan julkiseksi. Julkisen tiedon ominaisuus on se, että sen arvo ei muutu, vaikka se olisi kaikkien käytettävissä.

  22. Tietoturvan merkitys yritystoiminnalle

  23. Highlights of the "2002 Computer Crime and Security Survey"(USA) 1. 90 % vastaajista (etupäässä suuryrityksiä ja valtion laitoksia) havaitsi tietoturvaongelmia viimeisten 12 kk aikana. 2. 80 % kärsi niistä johtuvia taloudellisia menetyksiä. 3. 44 % halusi/kykeni arvioimaan menetyksiä rahallisesti. He ilmoittivat suuruudeksi 455 000 000 $. - Tietovarkaudet 170 000 000 $ - Talouspetokset 115 000 000 $ 4. 74% ilmoitti Internet – yhteyksiensä olevan jatkuvan hyökkäilyn kohteena 5. 34 % oli tehnyt rikosilmoituksia asiasta 6. 40 % havaitsi tunkeutumisyrityksiä ulkopuolelta 7. 40 % havaitsi palvelunestohyökkäyksiä

  24. 78 % havaitsi työntekijöidensä väärinkäyttävän sähköpostia+Internettiä 85 % havaitsi tietokoneviruksia. 98 % :lla vastanneista oli omat web - sivut 52 % kävivät verkkokauppaa sivustoillaan 38 % kärsi luvattomasta tunkeutumisesta. 21 % ei osannut sanoa, esiintyikö tätä heidän yrityksessään. 70 % hyökkäyksen kohteeksi joutuneista ilmoitti vandalismista. 55 % ilmoitti palvelunestohyökkäyksestä 12 % ilmoitti transaktiotietojen katoamisesta 6 % raportoi talouspetoksista Johtopäätös: Tietoturvarikkeet ovat hyvin yleisiä. Niistä koituu suuria taloudellisia tappioita. * katso myös www.cert.fi

  25. Tietoturvallisuuden merkitys PK - yrityksille • Lähde: PK -yritysten tietoturvaopas) • Tietotuvallisuudella on nopeasti kasvava merkitys PK -yrityksille • Yrityksen päätöksenteko perustuu oikea-aikaiseen oikeaan tietoon • Kilpailijat ja yrityksen perustamista suunnittelevat ovat kiinnostuneet samasta tiedosta • Tietovuotojen oikeuskäsittely on ollut yritysten kannalta ongelmallista, ellei se ole etukäteen huolehtinut tietoturvasta • Kysymys ei ole vain omasta, vaan asiakkaiden ja yhteistyökumppaneiden tietoturvasta • Yrityksen on • 1) annettava henkilöstölle selkeät ohjeet • 2) selkeästi määriteltävä, mikä on salaista tietoa • 3) arvioitava yrityssalaisuuksien rahallinen arvo etukäteen

  26. Esimerkkejä tyypillisistä oikeustapauksista 1. Yrityksen työntekijä irtisanoutui ja meni kilpailijan palvelukseen. Tätä ennen hän oli kopioinut kustannuslaskelmia, toimintasuunnitelmia ja kone- ja laitepiirustuksia. Tuomio: yrityssalaisuuden rikkominen, kilpailijalle yrityssalaisuuden väärinkäyttö 2. Henkilö irtisanoutui ja perusti itse saman alan yrityksen. Tätä ennen hän oli kopioinut yrityksen asiakasrekisterin. Tuomio: yrityssalaisuuden rikkominen + vahingonkorvaukset 3. Eräässä elektroniikkateollisuuden alihankintaketjussa lopputuotteen valmistava yritys sai haltuunsa alihankkijan valmistaman komponentin piirustukset toiselta ketjun alihankintayritykseltä. Tarkoitus oli alkaa valmistamaa itse ko. komponenttia alihankinnan sijasta. Tuomio: lopputuotteen valmistaja tuomittiin yritysvakoilusta, alihankkija 2 liikesalaisuuden rikkomisesta. 4. Keskusvalvomon tietokoneeseen tunkeutunut virus aiheutti tuotantolaitoksessa tuotannonkeskeytyksen, joka maksoi satoja tuhansia markkoja.

  27. Mitä laki sanoo tietoturvallisuudesta? Työsopimuslaki kieltää työntekijää ilmaisemasta muille työnantajansa liike- ja ammattisalaisuuksia. Rikkeestä voidaan katkaista työsuhde. Yhteistoimintalaissa on myös määräyksiä, jotka kieltävät työntekijää paljastamasta ulkopuolisille työnantajan salaisiksi luokittelemia tietoja. Työnantajalla on puolestaan velvollisuus pitää salassa työntekijän terveydentilaa ja taloudellista asemaa koskevia tietoja. Rikoslaki määrittelee yrityssalaisuuskäsitteen ja salassapitovelvollisuudet, sekä niiden kriminalisoinnit. Jotta jokin tieto olisi yrityssalaisuus, on työnantajan se sellaiseksi luokiteltava ja ryhdyttävä suojaustoimenpiteisiin. Laissa vilpillisestä kilpailusta kosketellaan samaa asia laajentaen yrityssalaisuus koskemaan myös toimeksiantosuhteessa olevia – mm. alihankkijoita. Tietosuojalaki (laki henkilötietojen käsittelystä) määrää, mitä tietoja yksityishenkilöistä saa rekisteröidä ja miten tietoja tulee suojata. Julkisuuslaki koskee viranomaistoiminnan julkisuutta Sähköisen viestinnän tietoturvalaki 1.9.2004 käsittelee mm. henkilön paikantamista, telemarkkinointia,… Laki yksityisyyden suojasta työelämässä (9/2004) käsittelee mm. huumetestejä, työnantajan oikeutta avata työntekijän sähköpostia, kameravalvontaa,..

  28. Mitä yrityssalaisuusoikeudenkäynneistä on opittu ? • Jos yrityssalaisuuksia ei ole yksilöity (luokiteltu) ja niiden taloudellista arvoa määritelty ennen rikollista toimintaa, syyttäjä ei ole nostanut syytettä • Kriminalisoinnit työntekijöiden osalta ovat rajoittuneet palvelusaikaan. Johdon kohdalla salassapitovelvoitteen on katsottu sitovan pitempään. • Ilman määriteltyä taloudellista arvoa tieto ei voi olla yrityssalaisuus. • Yrityssalaisuusrikokset ovat asianomistajarikoksia. Ts. syyte nostetaan vain vahinkoa kärsineen yrityksen aloitteesta. (asioita pyritään sopimaan oikeussalin ulkopuolella)

  29. Tietoturvallisuuden määritelmä Tietoturvallisuus on tiedon kolmen ominaisuuden: • luottamuksellisuuden, • eheyden ja • käytettävyyden turvaamista

  30. Tietoturvan turvapalvelutIETF:n mukaan

  31. Internet Engineering Task Force (IETF)... ...on määritellyt kuusi turvapalvelua: • luottamuksellisuus (confidentiality), • eheys (integrity), • todennus (authentication), • kiistämättömyys (non-repudiation), • pääsynvalvonta (access control) ja • käytettävyys (availability).

  32. 1. Luottamuksellisuus (confidentiality) • Luottamuksellisuudella varmistetaan, että tiedot ovat vain niillä, joille tiedot on tarkoitettu. • Luottamuksellisuus suojaa yksityisyyttä ja tiedon omistusoikeutta. esim. sanomien ja tiedostojen salaus kryptaamalla.

  33. 2. Eheys (integrity) • Tiedon eheys tarkoittaa, että tieto ei ole muuttunut siirrettäessä eikä säilytettäessä. • Tiedon eheyden varmistamiseen liittyy aina lähettäjän todennus. • Eheys ja todennus yhdessä varmistavat, että lähetty tieto on vastaanottajan saavuttaessaan juuri siinä muodossa, missä se lähetettiin. • Eheyteen kuuluu myös tiedon oikeellisuus esim. tiivistefunktioiden käyttö, virheenkorjaavat tiedonsiirtojärjestelmät

  34. Eheys / julkisuus • Tiedon luottamuksellisuuden ja eheyden taso ja tarve ovat toisistaan riippumattomia. • Tieto voi olla kaikille avointa ja julkista, mutta sen on oltava varmasti oikeaa.

  35. Eheys / julkisuus • Esimerkiksi julkisesti välitetyn viranomaistiedotteen muuttuminen voi aiheuttaa merkittävää vahinkoa. • Toisaalta voi olla hyvin luottamuksellista tietoa, jonka ei kuitenkaan välttämättä tarvitse olla aivan virheetöntä.

  36. 3. Todennus (authentication) • Todennuksella varmistetaan, että osapuolet ovat niitä, joita sanovat olevansa. • Esimerkiksi sähköisessä kaupankäynnissä ja viranomaispalveluissa, sekä henkilöiden välisessä viestinnässä on usein tärkeää tietää varmasti, kuka toinen osapuoli on. • Tarvitaan osapuolen ja tietolähteen eli tiedon alkuperän todennusta. esim. sähköinen henkilökortti , pankkivarmenteiden käyttö

  37. 4. Kiistämättömyys (non-repudiation) • Kiistämättömyydellä tarkoitetaan, ettei tiedon lähettäjä voi kiistää lähettäneensä tietoa ja olleensa jossakin tapahtumassa osapuolena. • Kiistämättömyys on tietolähteen todennuksen vahva muoto ja se toteutetaan sähköisellä allekirjoituksella*. Kiistämättömyys on ehdoton edellytys monien palvelujen ja toimintojen toteuttamiselle tietoverkkojen kautta. * Digital Signature

  38. 5. Pääsynvalvonta (access control) • Pääsynvalvonnalla tarkoitetaan, että käyttäjien pääsyä koneessa olevaan tietoon rajoitetaan ja valvotaan. • Pääsyn valvonnalla tarkistetaan, onko osapuolella oikeus palvelun ja tiedon käyttöön. salasanat, toimitilojen pääsynvalvontajärjestelmät

  39. Pääsynvalvonnan tavoitteena on osaltaan turvata tiedon luottamuksellisuus ja eheys. • Pääsyn valvonta turvaa osaltaan myös tiedon saatavuutta ehkäisten järjestelmään kohdistuvia hyökkäyksiä.

  40. 6. Käytettävyys (availability) usein suomennetaan myös: ”KÄYTTÖVARMUUS” - esim. sitä, että yrityksen verkko ja ohjelmistot ovat ”ylhäällä” aamulla töihin tullessa • Käytettävyydellä tarkoitetaan, että tiedon tulee olla niiden käytettävissä, jotka sitä tarvitsevat ja joille se on tarkoitettu. • Tiedon käytettävyys on yksi vaikeimmin toteutettavista tietoturvan muodoista.

  41. Tietoturvan osa-alueet(tätä jaottelua käytetään Suomessa) • Hallinnollinen tietoturvallisuus • Tietoaineistoturvallisuus • Fyysinen turvallisuus (toimitilaturvallisuus) • Henkilöstöturvallisuus • Laitteistoturvallisuus • Ohjelmistoturvallisuus • Tietoliikenneturvallisuus • Käyttötoimintojen turvallisuus

  42. Tietoturva voidaan jakaa myös yleiseen tietoturvaan ja tekniseen tietoturvaan. • Yleinen tietoturva: • tietoturvasuunnitelma • henkilöstöturvallisuus • tietoaineistoturvallisuus • riskianalyysit • tietoturvakoulutus • toimitilaturvallisuus • . . . • Tekninen tietoturva: • salausmenetelmät • autentikointi • digitaalinen allekirjoitus • virustorjuntaohjelmat • palomuuriohjelmat • anti - spyware • videovalvonta …

More Related