Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät.
This presentation is the property of its rightful owner.
Sponsored Links
1 / 25

Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät. PowerPoint PPT Presentation


  • 67 Views
  • Uploaded on
  • Presentation posted in: General

Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät. ISO/IEC 27000 -standardiperhe Kalvosarja oppilaitoksille Suomen Standardisoimisliitto SFS ry 2012. Tervetuloa luentoaineiston käyttäjäksi!.

Download Presentation

Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät.

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Informaatioteknologia turvallisuus tietoturvallisuuden hallintaj rjestelm t

Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät.

ISO/IEC 27000 -standardiperhe

Kalvosarja oppilaitoksille

Suomen Standardisoimisliitto SFS ry

2012


Tervetuloa luentoaineiston k ytt j ksi

Tervetuloa luentoaineiston käyttäjäksi!

Tämän luentoaineiston ovat laatineet Teemu Väisänen VTT:ltä ja Juha Kreus Laurea ammattikorkeakoulusta. Kalvosarja on tuotettu SFS:n projektirahoituksella.

TTY:n Tietoturvallisuuden jatkokurssin tarpeisiin tiivisti J. Koskinen 29.11.2012. Yksi tiivistyksistä on lyhenne

TT = Tietoturva(llisuus)


Tietoturvallisuuden hallintaj rjestelm

Tietoturvallisuuden hallintajärjestelmä

  • on osa yleistä hallintajärjestelmää, joka luodaan ja toteutetaan liiketoimintariskien arviointiin perustuen ja jota käytetään, valvotaan, katselmoidaan, ylläpidetään ja parannetaan tavoitteena hyvä TT.

  • Organisoi ja helpottaa yritysjohdon TT-työtä.

  • Hallintajärjestelmien tulisi kattaa kaikki tietoturvan johtamisessa, hallinnoimisessa ja valvonnassa tarvittavat menettelyt ja toimenpiteet.

  • ei ole yksittäinen dokumentti, vaan moniosainen prosessi, jota on kehitettävä jatkuvasti.

  • Hallintajärjestelmän osia ovat mm. riskianalyysi, TT-politiikka sekä TT-, jatkuvuus- ja toipumissuunnitelmat.


27000 standardiperhe

27000-standardiperhe

  • ISO/IEC 27000 viittaa kasvavaan ISO/IEC-standardiperheeseen, jonka yhteinen otsikko on "Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät".

  • Tarjoaa suosituksia TT:n hallintaan, riskeihin ja kontrollointiin TT:n hallintajärjestelmissä.

  • Myös muut 27-alkuiset tietoturvallisuuteen liittyvät standardit lasketaan toisinaan perheeseen kuuluvaksi.


27000 standardiperheen historia ja kehittyminen

27000-standardiperheen historia ja kehittyminen

  • Englannin aloite

    • 1992: Code of Practice for Information Security Management (hallituksen opaste)

    • 1995: Muutetaan BSI standardiksi BS 7799

    • 1999: Sertifiointi alkaa täysimääräisenä

  • 2000: ISO/IEC 17799  ISO/IEC 27002:2005

  • 2002: BS7799-2. Information Security Management Specification  ISO/IEC 27001:2005

  • 27000, 27001 ja 27002:n 2. painos valmisteilla

  • Uudet versiot vuoden 2013 aikana


27000 standardiperhe1

27000-standardiperhe…

  • 27000: 2009 - Yleiskatsaus ja sanasto - Overview and vocabulary

  • 27001: 2005 - Vaatimukset

  • 27002: 2005 - Tietoturvallisuuden hallintaa koskeva menettelyohje

  • 27003: 2010 - Tietoturvallisuuden hallintajärjestelmän toteuttamisohjeita

  • 27004: 2009 - Mittaaminen

  • 27005: 2011 - Tietoturvariskien hallinta

  • 27006: 2011 - Requirements for bodies providing audit and certification of information security management systems

  • 27007: 2011 - Guidelines for Information Security Management Systems Auditing

  • 27008: 2011 - Guidelines for auditors on information security management systems controls

  • 27010 : ?- Information security management for inter-sector and inter-organizational communications

  • 27011: 2008 - Information security management guidelines for telecommunications organizations based on ISO/IEC 27002


27000 standardiperhe2

…27000-standardiperhe…

  • 27013:? - Guidelines on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1

  • 27014:? - Governance of information security

  • 27015:? - Proposal on an Information security management guidelines for financial and insurance services

  • 27016:? - Organizational economics

  • 27017:? - Cloud computing security and privacy management system -- Security controls

  • 27018:? - Code of practice for data protection controls for public cloud computing services

  • 27031:2011 - Guidelines for information and communication technology readiness for business continuity

  • 27032:? - Guidelines for cybersecurity

  • 27033:eri osia(1–7) - Network security

  • 27034:eri osia(1–5) - Application security

  • 27035:2011 - Information security incident management

  • 27036:eri osia(1-3) - Information security for supplier relationships


27000 standardiperhe3

…27000-standardiperhe

  • 27037:? - Guidelines for identification, collection, acquisition and preservation of digital evidence

  • 27038:? - Specification for Digital Redaction

  • 27039:? - Selection, deployment and operations of intrusion detection systems

  • 27040:? - Storage security

  • 27041:? - Guidance on assuring suitability and adequacy of investigation methods

  • 27042:? - Guidelines for the analysis and interpretation of digital evidence

  • 27043:? - Investigation principles and processes

  • 27799:2008 - Health Informatics: Information security management in health using ISO/IEC 27002


27000 viitekehys

27000 viitekehys


Standardit ja lains d nt

Standardit ja lainsäädäntö

  • Standardisoimislaki

  • Sertifiointilaitoksia koskeva lainsäädäntö

  • Yhteissääntely

  • Kansallinen turvallisuusauditointikriteeristö (KATAKRI)

    • Päätavoitteena yhtenäistää viranomaistoimintoja silloin, kun viranomainen toteuttaa kohteen turvallisuustason auditoinnin yrityksessä tai muussa yhteisössä.

  • Valtionhallinnon tietoturvallisuuden johtoryhmä (VAHTI)

    • Tavoitteena on parantaa valtionhallinnon toimintoja kehittämällä tietoturvallisuutta sekä edistää TT:n saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta.


Iso iec 27000 2009 yleiskatsaus ja sanasto

ISO/IEC 27000:2009”Yleiskatsaus ja sanasto”

  • Sisältää koko ISO/IEC 27000 -perheen

    • yleiskatsauksen ja esittelyn,

    • perheessä käytettyjen termien määritelmät ja niiden luokitukset ja

    • yleisiä vaatimuksia.

  • Määrittelee yleiset vaatimukset

    • TT:n hallintajärjestelmän luomiselle,

    • toteuttamiselle,

    • käyttämisellä,

    • valvonnalle,

    • katselmoinnille,

    • ylläpidolle ja

    • parantamiselle.


Iso iec 27001 ja 27005 standardit

ISO/IEC 27001 ja 27005 -standardit

  • Kaksi ehkä tärkeintä 27000-perheen standardia

  • Määrittävät TT:n hallintajärjestelmän vaatimukset (27001) ja riskienhallinnan (27005).

  • TT:n hallintajärjestelmän käyttöönotto on organisaation strateginen päätös.

  • Vuoteen 2009 mennessä yli 12000 organisaatiota oli 27001-sertifioitu.


Iso iec 27001 2005 vaatimukset

ISO/IEC 27001:2005”Vaatimukset”

  • Tavoitteena linjata TT:n hallinta bisneksen määräystenmukaisuuden ja riskien vähennystavoitteiden kanssa

  • Tarkoituksena suojella luottamuksellisuutta, eheyttä ja saatavuutta (CIA-malli)

  • On hallinnointistandardi eikä tekninen standardi

    • Ei kuvaa teknisesti ISMS-järjestelmien yksityiskohtia

  • Keskittyy tietotekniikan lisäksi myös bisnesprosesseihin

  • Keskittyy löytämään, hallinnoimaan ja vähentämään tärkeään tietoon liittyviä riskejä

    • Tieto voi tai voi olla liittymättä tietotekniikkaan tai voi tai voi olla olematta digitaalisessa muodossa


Pdca malli sovellettuna tt n hallintaj rjestelm n prosesseihin

PDCA-malli sovellettuna TT:n hallintajärjestelmän prosesseihin


27001 vaatii ett hallinto

27001 vaatii, että hallinto

  • tarkastelee organisaation TT-riskejä järjestelmällisesti, ottaen huomioon uhkat, haavoittuvuudet ja vaikutukset

  • suunnittelee ja toteuttaa yhdenmukaiset ja kattavat TT-kontrollit ja riskien käsittelyohjeet

  • omaksuu kattavan hallintoprosessin varmistaakseen TT-kontrollien jatkuvuuden tulevaisuudessa.


27001 n k ytt

27001:n käyttö

  • Käytetään usein yhdessä ISO/IEC 27002:n kanssa

  • Liite A sisältää suppean listan ISO/IEC 27002:n TT-kontrolleista

  • ISO/IEC 27002 tarjoaa ylimääräistä tietoa ja neuvoo kontrollien toteutuksessa

  • 27001 antaa vaatimuksia TT:n hallintajärjestelmän

    • sisäiseen auditointiin,

    • johdon katselmointiin, ja

    • parantamiseen


27001 n liite a

27001:n liite A

  • Liite A luettelee valvontatavoitteet ja turvamekanismit

  • Esim. A.10.5 Varmuuskopiointi

    • Tavoite: Tietotekniikka- ja tietojenkäsittelypalveluiden eheyden ja käytettävyyden säilyttäminen.

  • A.10.5.1: Tietojen varmuuskopiointi

    • Turvamekanismi: Tiedoista ja ohjelmistoista tulee ottaa varmuuskopiot ja testata ne säännöllisesti sovittujen varmuuskopioperiaatteiden mukaisesti.


27001 n liite a esimerkkej

27001:n liite A - esimerkkejä

  • A.10.10 Tarkkailu

    • Tavoite: Luvattomien tietojenkäsittelytoimintojen havaitseminen.

  • A.10.10.4: Pääkäyttäjä- ja operaattorilokit

    • Turvamekanismi: Järjestelmän pääkäyttäjien ja operaattoreiden toiminnot tulee kirjata.

  • A.10.10.6: Kellojen synkronointi

    • Turvamekanismi: Kaikkien samassa organisaatiossa tai turvallisuusalueella olevien olennaisten tietojenkäsittelyjärjestelmien kellot tulee synkronoida sovitun tarkan ajanlähteen kanssa.


Iso iec 27005 2011 tietoturvariskien hallinta

ISO/IEC 27005:2011:”Tietoturvariskien hallinta”

  • Sisältää ohjeita organisaation TT-riskien hallinnasta.

  • Tukee erityisesti ISO/IEC 27001 -standardin mukaisen tietoturvallisuuden hallintajärjestelmän vaatimuksia.

  • Ei esitä mitään tiettyä TT-riskien hallinnan menettelytapaa.

  • Sisältää jäsentyneen, järjestelmällisen ja tiukan riskien analysointiprosessin, jonka 5 askelman avulla voidaan tuottaa riskien käsittelysuunnitelma

  • Ensimmäinen versio julkaistu 2008, toinen 2011.

  • Suunnattu lähinnä organisaation TT-riskien hallinnasta vastaaville johtajille ja henkilöstölle.


27005 tietoturvariskien hallintaprosessi

27005: Tietoturvariskien hallintaprosessi

27.8.2012|20


27005 riskien k sittelytoiminta

27005: Riskien käsittelytoiminta


Esimerkki auditointiprosessista

Esimerkki auditointiprosessista

  • Vaihe 1. Tietoturvallisuuden hallintajärjestelmän alustava ja epävirallinen katselmointi

    • Keskeisten asiakirjojen olemassaolon ja kattavuuden tarkistamiseen (organisaation TT-politiikka, soveltamissuunnitelma, riskien käsittelysuunnitelma).

  • Vaihe 2. Yksityiskohtaisempi ja muodollisempi auditointi

    • TT:n hallintajärjestelmän testaus ISO/IEC 27001:n vaatimuksia vasten, sekä todisteiden keräys siitä, että johtamisjärjestelmä on suunniteltu ja toteutettu oikein ja on käytössä. Läpipääsy antaa sertifioinnin.

  • Vaihe 3. jatkokatselmoinnit ja auditoinnit

    • Säännöllinen uudelleenarviointi.


Standardin soveltaminen ja kokemuksia

Standardin soveltaminen ja kokemuksia*

  • Johdon todellinen sitouttaminen voi olla hankalaa

    • Johto voi lähteä innokkaana mukaan, koska heidän mielestään tietoturva on tärkeää, mutta siinä vaiheessa kun heidän pitää muuttaa omaa käytöstään, kohdataan hankaluuksia

    • Johto pitää pystyä sitouttamaan kunnolla ennen kuin standardeja aletaan viedä alemmille portaille

  • Kaikkien hallintotasojen kouluttaminen ja sitouttaminen on tärkeää

  • Yritys voi olla ennakoiva tietoturvan suhteen.

  • Suurilta ja kalliilta yllätyksiltä voidaan välttyä.

  • Jotkut 27K:n asiat eivät ole välttämättä kustannustehokkaita erityisesti pienille yrityksille.

    * Lea Viljanen


Tt standardin k yt n hy dyt

TT-standardin käytön hyödyt

  • ISO/IEC 27001:

    • Parempi kuva organisaatiossa itsestään.

      • Tietoturvaan liittyvän tiedon määrä ja ymmärrys sen tärkeydestä lisääntyy.

    • Vältetyt riskit vähentävät kuluja.

    • Organisaation operaatiot sujuvat sulavammin, koska vastuut ja businessprosessit on selvästi määritelty.

    • TT-valveutuneisuus paranee.

    • Asiakkaiden luottamus ja näkemys yrityksestä paranee.


Lis tietoa standardeista

Lisätietoa standardeista

  • ISO:n online browsing platform -palvelu

    • http://www.iso.org/obp/ui

  • 27K-standardiperheestä vastaa kansainvälinen ISO/IEC JTC 1/SC 27 -komitea, erityisesti sen työryhmä 1 (WG 1).

  • Suomessa SFS:n seurantaryhmä SR 307 Tietoturvatekniikat seuraa komitean ja sen työryhmien työtä ja lähettää kansallisia kannanottoja.

    • Puheenjohtaja: Reijo Savola (VTT)

    • Sihteeri: Juha Vartiainen (SFS)


  • Login