Informaatioteknologia. Turvallisuus. Tietoturvallisuuden

hallintajärjestelmät.

ISO/IEC 27000 -standardiperheKalvosarja oppilaitoksille

Suomen Standardisoimisliitto SFS ry

2012

27.8.2012| 1

Tervetuloa luentoaineiston käyttäjäksi!

Tämän luentoaineiston ovat laatineet Teemu Väisänen VTT:ltä ja Juha Kreus Laurea ammattikorkeakoulusta. Kalvosarja on tuotettu SFS:n projektirahoituksella.

TTY:n Tietoturvallisuuden jatkokurssin tarpeisiin tiivisti J. Koskinen 29.11.2012. Yksi tiivistyksistä on lyhenne

TT = Tietoturva(llisuus)

27.8.2012 | 2

Tietoturvallisuuden hallintajärjestelmä

• on osa yleistä hallintajärjestelmää, joka luodaan ja toteutetaan liiketoimintariskien arviointiin perustuen ja jota käytetään, valvotaan, katselmoidaan, ylläpidetään ja parannetaan tavoitteena hyvä TT.

• Organisoi ja helpottaa yritysjohdon TT-työtä.• Hallintajärjestelmien tulisi kattaa kaikki tietoturvan

johtamisessa, hallinnoimisessa ja valvonnassa tarvittavat menettelyt ja toimenpiteet.

• ei ole yksittäinen dokumentti, vaan moniosainen prosessi, jota on kehitettävä jatkuvasti.

• Hallintajärjestelmän osia ovat mm. riskianalyysi, TT-politiikka sekä TT-, jatkuvuus- ja toipumissuunnitelmat.

27.8.2012 | 3

27000-standardiperhe

• ISO/IEC 27000 viittaa kasvavaan ISO/IEC-

standardiperheeseen, jonka yhteinen otsikko on

"Informaatioteknologia. Turvallisuus.

Tietoturvallisuuden hallintajärjestelmät".

• Tarjoaa suosituksia TT:n hallintaan, riskeihin ja

kontrollointiin TT:n hallintajärjestelmissä.

• Myös muut 27-alkuiset tietoturvallisuuteen liittyvät

standardit lasketaan toisinaan perheeseen kuuluvaksi.

27.8.2012 | 4

27000-standardiperheen historia ja kehittyminen

• Englannin aloite– 1992: Code of Practice for Information Security

Management (hallituksen opaste)– 1995: Muutetaan BSI standardiksi BS 7799– 1999: Sertifiointi alkaa täysimääräisenä

• 2000: ISO/IEC 17799 ISO/IEC 27002:2005• 2002: BS7799-2. Information Security Management

Specification ISO/IEC 27001:2005• 27000, 27001 ja 27002:n 2. painos valmisteilla• Uudet versiot vuoden 2013 aikana

27.8.2012 | 5

27000-standardiperhe…

• 27000: 2009 - Yleiskatsaus ja sanasto - Overview and vocabulary

• 27001: 2005 - Vaatimukset • 27002: 2005 - Tietoturvallisuuden hallintaa koskeva menettelyohje • 27003: 2010 - Tietoturvallisuuden hallintajärjestelmän toteuttamisohjeita

• 27004: 2009 - Mittaaminen

• 27005: 2011 - Tietoturvariskien hallinta• 27006: 2011 - Requirements for bodies providing audit and certification of

information security management systems

• 27007: 2011 - Guidelines for Information Security Management Systems Auditing

• 27008: 2011 - Guidelines for auditors on information security management systems controls

• 27010 : ?- Information security management for inter-sector and inter-organizational communications

• 27011: 2008 - Information security management guidelines for telecommunications organizations based on ISO/IEC 27002

27.8.2012 | 6

…27000-standardiperhe…

• 27013:? - Guidelines on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1

• 27014:? - Governance of information security

• 27015:? - Proposal on an Information security management guidelines for financial and insurance services

• 27016:? - Organizational economics

• 27017:? - Cloud computing security and privacy management system -- Security controls

• 27018:? - Code of practice for data protection controls for public cloud computing services

• 27031:2011 - Guidelines for information and communication technology readiness for business continuity

• 27032:? - Guidelines for cybersecurity • 27033:eri osia (1–7) - Network security

• 27034:eri osia (1–5) - Application security• 27035:2011 - Information security incident management• 27036:eri osia (1-3) - Information security for supplier relationships

27.8.2012 | 7

…27000-standardiperhe

• 27037:? - Guidelines for identification, collection, acquisition and preservation of digital evidence

• 27038:? - Specification for Digital Redaction • 27039:? - Selection, deployment and operations of intrusion detection

systems • 27040:? - Storage security

• 27041:? - Guidance on assuring suitability and adequacy of investigation methods

• 27042:? - Guidelines for the analysis and interpretation of digital evidence • 27043:? - Investigation principles and processes

• 27799:2008 - Health Informatics: Information security management in health using ISO/IEC 27002

27.8.2012 | 8

27000 viitekehys

27.8.2012 | 9

Standardit ja lainsäädäntö

• Standardisoimislaki• Sertifiointilaitoksia koskeva lainsäädäntö• Yhteissääntely• Kansallinen turvallisuusauditointikriteeristö (KATAKRI)

– Päätavoitteena yhtenäistää viranomaistoimintoja silloin, kun viranomainen toteuttaa kohteen turvallisuustason auditoinnin yrityksessä tai muussa yhteisössä.

• Valtionhallinnon tietoturvallisuuden johtoryhmä (VAHTI)– Tavoitteena on parantaa valtionhallinnon toimintoja

kehittämällä tietoturvallisuutta sekä edistää TT:n saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta.

27.8.2012 | 10

ISO/IEC 27000:2009”Yleiskatsaus ja sanasto”

• Sisältää koko ISO/IEC 27000 -perheen– yleiskatsauksen ja esittelyn, – perheessä käytettyjen termien määritelmät ja niiden

luokitukset ja– yleisiä vaatimuksia.

• Määrittelee yleiset vaatimukset– TT:n hallintajärjestelmän luomiselle,– toteuttamiselle,– käyttämisellä,– valvonnalle,– katselmoinnille,– ylläpidolle ja– parantamiselle.

27.8.2012 | 11

ISO/IEC 27001 ja 27005 -standardit

• Kaksi ehkä tärkeintä 27000-perheen standardia• Määrittävät TT:n hallintajärjestelmän vaatimukset

(27001) ja riskienhallinnan (27005).• TT:n hallintajärjestelmän käyttöönotto on

organisaation strateginen päätös.• Vuoteen 2009 mennessä yli 12000 organisaatiota oli

27001-sertifioitu.

27.8.2012 | 12

ISO/IEC 27001:2005”Vaatimukset”

• Tavoitteena linjata TT:n hallinta bisneksen määräystenmukaisuuden ja riskien vähennystavoitteiden kanssa

• Tarkoituksena suojella luottamuksellisuutta, eheyttä ja saatavuutta (CIA-malli)

• On hallinnointistandardi eikä tekninen standardi– Ei kuvaa teknisesti ISMS-järjestelmien yksityiskohtia

• Keskittyy tietotekniikan lisäksi myös bisnesprosesseihin

• Keskittyy löytämään, hallinnoimaan ja vähentämään tärkeään tietoon liittyviä riskejä– Tieto voi tai voi olla liittymättä tietotekniikkaan tai voi tai

voi olla olematta digitaalisessa muodossa

27.8.2012 | 13

PDCA-malli sovellettuna TT:n hallintajärjestelmän prosesseihin

27.8.2012 | 14

27001 vaatii, että hallinto

• tarkastelee organisaation TT-riskejä järjestelmällisesti, ottaen huomioon uhkat, haavoittuvuudet ja vaikutukset

• suunnittelee ja toteuttaa yhdenmukaiset ja kattavat TT-kontrollit ja riskien käsittelyohjeet

• omaksuu kattavan hallintoprosessin varmistaakseen TT-kontrollien jatkuvuuden tulevaisuudessa.

27.8.2012 | 15

27001:n käyttö

• Käytetään usein yhdessä ISO/IEC 27002:n kanssa• Liite A sisältää suppean listan ISO/IEC 27002:n TT-

kontrolleista• ISO/IEC 27002 tarjoaa ylimääräistä tietoa ja neuvoo

kontrollien toteutuksessa• 27001 antaa vaatimuksia TT:n hallintajärjestelmän

– sisäiseen auditointiin,– johdon katselmointiin, ja– parantamiseen

27.8.2012 | 16

27001:n liite A

• Liite A luettelee valvontatavoitteet ja turvamekanismit• Esim. A.10.5 Varmuuskopiointi

– Tavoite: Tietotekniikka- ja tietojenkäsittelypalveluiden eheyden ja käytettävyyden säilyttäminen.

• A.10.5.1: Tietojen varmuuskopiointi– Turvamekanismi: Tiedoista ja ohjelmistoista tulee ottaa

varmuuskopiot ja testata ne säännöllisesti sovittujen varmuuskopioperiaatteiden mukaisesti.

27.8.2012 | 17

27001:n liite A - esimerkkejä

• A.10.10 Tarkkailu– Tavoite: Luvattomien tietojenkäsittelytoimintojen

havaitseminen.• A.10.10.4: Pääkäyttäjä- ja operaattorilokit

– Turvamekanismi: Järjestelmän pääkäyttäjien ja operaattoreiden toiminnot tulee kirjata.

• A.10.10.6: Kellojen synkronointi– Turvamekanismi: Kaikkien samassa organisaatiossa tai

turvallisuusalueella olevien olennaisten tietojenkäsittelyjärjestelmien kellot tulee synkronoida sovitun tarkan ajanlähteen kanssa.

27.8.2012 | 18

ISO/IEC 27005:2011:”Tietoturvariskien hallinta”

• Sisältää ohjeita organisaation TT-riskien hallinnasta.• Tukee erityisesti ISO/IEC 27001 -standardin mukaisen

tietoturvallisuuden hallintajärjestelmän vaatimuksia.• Ei esitä mitään tiettyä TT-riskien hallinnan

menettelytapaa.• Sisältää jäsentyneen, järjestelmällisen ja tiukan riskien

analysointiprosessin, jonka 5 askelman avulla voidaan tuottaa riskien käsittelysuunnitelma

• Ensimmäinen versio julkaistu 2008, toinen 2011.• Suunnattu lähinnä organisaation TT-riskien hallinnasta

vastaaville johtajille ja henkilöstölle.

27.8.2012 | 19

27005: Tietoturvariskien hallintaprosessi

21.04.23 | 2027.8.2012 | 20

27005: Riskien käsittelytoiminta

27.8.2012 | 21

Esimerkki auditointiprosessista

• Vaihe 1. Tietoturvallisuuden hallintajärjestelmän alustava ja epävirallinen katselmointi– Keskeisten asiakirjojen olemassaolon ja kattavuuden

tarkistamiseen (organisaation TT-politiikka, soveltamissuunnitelma, riskien käsittelysuunnitelma).

• Vaihe 2. Yksityiskohtaisempi ja muodollisempi auditointi– TT:n hallintajärjestelmän testaus ISO/IEC 27001:n

vaatimuksia vasten, sekä todisteiden keräys siitä, että johtamisjärjestelmä on suunniteltu ja toteutettu oikein ja on käytössä. Läpipääsy antaa sertifioinnin.

• Vaihe 3. jatkokatselmoinnit ja auditoinnit– Säännöllinen uudelleenarviointi.

27.8.2012 | 22

Standardin soveltaminen ja kokemuksia*

• Johdon todellinen sitouttaminen voi olla hankalaa– Johto voi lähteä innokkaana mukaan, koska heidän

mielestään tietoturva on tärkeää, mutta siinä vaiheessa kun heidän pitää muuttaa omaa käytöstään, kohdataan hankaluuksia

– Johto pitää pystyä sitouttamaan kunnolla ennen kuin standardeja aletaan viedä alemmille portaille

• Kaikkien hallintotasojen kouluttaminen ja sitouttaminen on tärkeää

• Yritys voi olla ennakoiva tietoturvan suhteen.• Suurilta ja kalliilta yllätyksiltä voidaan välttyä.• Jotkut 27K:n asiat eivät ole välttämättä kustannustehokkaita

erityisesti pienille yrityksille.

* Lea Viljanen

27.8.2012 | 23

TT-standardin käytön hyödyt

• ISO/IEC 27001:– Parempi kuva organisaatiossa itsestään.

• Tietoturvaan liittyvän tiedon määrä ja ymmärrys sen tärkeydestä lisääntyy.

– Vältetyt riskit vähentävät kuluja.– Organisaation operaatiot sujuvat sulavammin, koska

vastuut ja businessprosessit on selvästi määritelty.– TT-valveutuneisuus paranee.– Asiakkaiden luottamus ja näkemys yrityksestä paranee.

27.8.2012 | 24

Lisätietoa standardeista

• ISO:n online browsing platform -palvelu– http://www.iso.org/obp/ui

• 27K-standardiperheestä vastaa kansainvälinen ISO/IEC JTC 1/SC 27 -komitea, erityisesti sen työryhmä 1 (WG 1).

• Suomessa SFS:n seurantaryhmä SR 307 Tietoturvatekniikat seuraa komitean ja sen työryhmien työtä ja lähettää kansallisia kannanottoja.– Puheenjohtaja: Reijo Savola (VTT)– Sihteeri: Juha Vartiainen (SFS)

27.8.2012 | 25