Upload
others
View
6
Download
0
Embed Size (px)
Citation preview
JULKINEN ESITELMÄJULKINEN ESITELMÄPoliisin tietohallintokeskus 2.5.2002 Riskienhallintaan perustuva tietoturvallisuuden johtaminen A.Hallikainen, CISSP
Tietoturvallisuuden hallintajärjestelmän rakentaminen Riskienhallintaan perustuva tietoturvapolitiikka
Aaro Hallikainen, CISSPTietoturvapäällikköPoliisin tietohallintokeskus
Tietoverkkojen turvallisuusHelsingin yliopisto2.5.2003
2
JULKINEN ESITELMÄJULKINEN ESITELMÄPoliisin tietohallintokeskus 2.5.2002 Riskienhallintaan perustuva tietoturvallisuuden johtaminen A.Hallikainen, CISSP
Tietoturvallisuuden hallintajärjestelmä (TTHJ)
KoostuuTietovarantokirjanpito Liiketoiminnallisten vaikutusten analyysiYleinen koko organisaation tietohallintostrategia
TietoturvapolitiikkaTietoturvastandarditTietoturvallisuuteen liittyvät menettelyohjeet
KoulutusjärjestelmäRaportointijärjestelmäTarkastusjärjestelmä
3
JULKINEN ESITELMÄJULKINEN ESITELMÄPoliisin tietohallintokeskus 2.5.2002 Riskienhallintaan perustuva tietoturvallisuuden johtaminen A.Hallikainen, CISSP
Tietoturvapolitiikka (TTP)
SisältöKattavuusKorkean tason tietoturvaväittämät, strateginen tavoiteTilivelvollisuus
Politiikan voimaansaattamisen vastuujakoSeurausten kuvaus organisaatiolle, mitä johtuu jos ei noudateta
Ajantasalla pitäminenKuinka politiikka hyväksytään, arvioidaan ja ylläpidetään
PoikkeuksetKuinka ja mitä poikkeuksia voi anoa
4
JULKINEN ESITELMÄJULKINEN ESITELMÄPoliisin tietohallintokeskus 2.5.2002 Riskienhallintaan perustuva tietoturvallisuuden johtaminen A.Hallikainen, CISSP
TTP:n tarkennus
Muita tukevia politiikkoja tarpeen mukaan Tietoturvahankkeiden politiikka
Organisaation yleinen suunta tietojärjestelmä (TJ) töissä Muodostaa TJ palveluiden ryhmän organisaatioonJohtaa tietoturvatietoisuuteen liittyviä kampanjoita
Tietoverkkojen ja internetin käyttöpolitiikkasähköposti/samoilu/ftp/chat/irc/uutisryhmät
Tietoverkkojen turvallisuuspolitiikkaSalasanojen hallintapolitiikka Etäkäyttöpolitiikka Aineistojen turvaluokittelupolitiikka Järjestelmiin kirjautumis- ja liittymispolitiikka
Kuinka tietojärjestelmäpalveluihin pääsee käsiksi
5
JULKINEN ESITELMÄJULKINEN ESITELMÄPoliisin tietohallintokeskus 2.5.2002 Riskienhallintaan perustuva tietoturvallisuuden johtaminen A.Hallikainen, CISSP
Tietoturvastandardit
Asiakirjan sisältöKäyttötarkoitus ja kattavuusRoolit ja vastuutOhjeistus liittyen asianomaisiin politiikan kohtiin Perustaso standardit
Korkean tason väittämiä laite/ohjelmistoalustoista Teknologia standardit
Asennukset/Tarpeettomat palvelut Hallintamenettely standardit
Laitteen/Ohjelmiston kokoonpano ja jatkuva ylläpitoEsimerkki standardeja
Työaseman/Kannettavan/Kommunikaattorin asennusstandardiVerkkopalvelustandardi
6
JULKINEN ESITELMÄJULKINEN ESITELMÄPoliisin tietohallintokeskus 2.5.2002 Riskienhallintaan perustuva tietoturvallisuuden johtaminen A.Hallikainen, CISSP
Asiakirjan sisältöKäyttötarkoitus ja kattavuus Roolit ja vastuutKäyttöopastus
Vaiheittaiset toimenpideohjeet Kuinka käytän teknologiaa turvallisesti
OperointiohjePäivittäiset/Viikoittaiset/Kuukausittaiset toimenpiteet teknologian turvalliseen operoimiseen
Esimerkkejä toimenpideohjeistaTurvaluokitellut aineiston lähettäminen internetissä Kommunikaattorin käyttöohje Kuinka vastaan puhelintiedusteluun Toimiston turvallisuusohje
Tietoturvallisuuteen liittyvät menettelyohjeet
7
JULKINEN ESITELMÄJULKINEN ESITELMÄPoliisin tietohallintokeskus 2.5.2002 Riskienhallintaan perustuva tietoturvallisuuden johtaminen A.Hallikainen, CISSP
TTP:n perusta
TietovarantokirjanpitoMitä tietoja tulee suojata?
Liiketoiminnallisten seuraamusten analyysi Mitä heikkouksia on ja kuinka mahdollista että ne johtavat tietovahinkoon?
Yleinen tietohallintostrategia koko organisaatiolle Mikä on organisaation toiminnan tavoite ja kuinka tietoa käytetään tuon tavoitteen saavuttamiseen?Mitkä TJ:t TTP:n tulisi kattaa
8
JULKINEN ESITELMÄJULKINEN ESITELMÄPoliisin tietohallintokeskus 2.5.2002 Riskienhallintaan perustuva tietoturvallisuuden johtaminen A.Hallikainen, CISSP
TTP:n päivitystyö
Nimeä päivitystyölle päällikkö Tietoturvapäällikkö/Turvallisuuspäällikkö/Turvallisuusvastaava
Perusta avainhenkilöiden ydinryhmä Ylijohdon edustaja ylimmän johtajan tuellaTietohallinnon edustajaErikoisasiantuntijoita tarpeen mukaanPidä ydinryhmä pienenä
Kerää TTHJ:n asiakirjasarja ja raportitTee aikataulu ja ennakkomateriaali ydinryhmälle Kerää mukaan kaikkien organisaatiotasojen kommentit työn edetessäToimita päivitystyön tuotos ylijohdolle aikataulun mukaan Seuraa että ylijohto reagoi päivitystyön tuotokseen
9
JULKINEN ESITELMÄJULKINEN ESITELMÄPoliisin tietohallintokeskus 2.5.2002 Riskienhallintaan perustuva tietoturvallisuuden johtaminen A.Hallikainen, CISSP
Kuinka TTP saatetaan käyttöön
Koulutusjärjestelmä Koulutusmateriaalia erilaisille kohderyhmille Koulutustilaisuuksien ajoitus Kouluttajaketjut Sertifiointiohjelma erittäin tärkeille asiakokonaisuuksille
RaportointijärjestelmäTyhjän paperin -periaate lähtökohtana lisättynä muodollisella vahinko/kuukausi/kausiraportilla.
TarkastusjärjestelmäTarkastusryhmän rakentaminen Tavoitteet tarkastuksille TTP:sta ja strategioistaTilannekuvan/Arviointi-/ValvontatarkastuskäynnitTarkastuskertomukset kohteelle ja ylijohdolle
Tavoitteena tietoturvallisuuden kohentaminen
10
JULKINEN ESITELMÄJULKINEN ESITELMÄPoliisin tietohallintokeskus 2.5.2002 Riskienhallintaan perustuva tietoturvallisuuden johtaminen A.Hallikainen, CISSP
TTP:n arviointi
Sisäinen itsearviointi (first party auditing)Noudattaako TTP yleisiä hyviä tietoturvallisuuden menettelytapoja?Onko TTP ymmärrettävä?Onko TTP:n kattavuus mielekäs ja merkityksellinen organisaation strategian kannalta?Onko TTP toimitettu tiedoksi organisaatiossa tehokkaasti?Onko ylijohdon sitoutuminen TTP:aan selkeästi tuotu esille?Onko asetettu riittävät resurssit tietoturvatöitä varten ja riittävän pitkäksi aikaa?
Luotettujen partnereiden keskinäinen tarkastus (second party audits)Ulkopuolisen toimeenpanema tarkastus (third party auditing/sertifiointi).
11
JULKINEN ESITELMÄJULKINEN ESITELMÄPoliisin tietohallintokeskus 2.5.2002 Riskienhallintaan perustuva tietoturvallisuuden johtaminen A.Hallikainen, CISSP
Tietoturvatarkastukset ja TTP
Tilannekuvan tarkastuskäynnitMiten töitä tehdään tänään?Tavoitteena oppia ymmärtämään nykyisen toiminnan tietoturvallisuuden taso.
ArviointitarkastuskäynnitOnko ennalta ilmoitetut asiat tehty kuten TTP vaatii?Tarkastus suunnitellaan yhdessä kohteen johdon kanssa.Tarkastus tehdään ennakolta sovitusti.Kohdealueet ilmoitetaan riittävästi etukäteen.
ValvontatarkastuskäynnitEnnalta ilmoittamaton tarkastus.Tarkastus suunnitellaan yhdessä kohteen johdon tai muun tahon kanssa.
12
JULKINEN ESITELMÄJULKINEN ESITELMÄPoliisin tietohallintokeskus 2.5.2002 Riskienhallintaan perustuva tietoturvallisuuden johtaminen A.Hallikainen, CISSP
Tietoturvapolitiikan päivitysprojekti
Tietoturvapäällikön/Tietoturvaprojektipäällikön johtamana Perustuen sen hetkiseen TTP:aan ja uuteen tietohallintostrategiaanKäytetään organisaation johdon hyväksymää mallia tai menetelmääRiskianalyysi perustuen tutustumiskäynteihin, avainhenkilöiden haastatteluihin, tietovahinkoilmoituksiin, kausiraportteihin.Asiantuntijahaastatteluilla riskimetriikan järkevyystarkastus.
Ensimmäinen kommenttikierros pienryhmässä, jossa mukana ylijohdon edustajia.Toinen kommenttikierros turvallisuus- ja tietohallintopäälliköiden kesken, mukana ylijohtoa ja kentän edustajia mahdollisimman kattavasti.Kolmas kierros ylijohdon sisällä, tavoitteena ylijohdon sitoutumisen selkeä julkituonti ja asiakirjan hyväksyttävyys koko organisaatiossa.
13
JULKINEN ESITELMÄJULKINEN ESITELMÄPoliisin tietohallintokeskus 2.5.2002 Riskienhallintaan perustuva tietoturvallisuuden johtaminen A.Hallikainen, CISSP
Esimerkki: TTP:n päivitysprojektin aikataulu laajassa organisaatiossa
Sopivan TTP-mallin valinta
Tilannekuvan kartoitus
JOUTAM HEL MAA HUH TOU KES HEI ELO SYY LOK MAR
Riskianalyysi1. kierroksen TTP
2. kierroksen TTP3. kierroksen TTPVoimaan saattaminen
Ennakkotyö, kenttäkäynnit
14
JULKINEN ESITELMÄJULKINEN ESITELMÄPoliisin tietohallintokeskus 2.5.2002 Riskienhallintaan perustuva tietoturvallisuuden johtaminen A.Hallikainen, CISSP
Riskimetriikka
Tietovarantokartoituksen käyttö haavoittuvuuksien luokittelussa Välitöntä suojatoimea vaativa haavoittuvuus Vakava haavoittuvuus Merkittävä haavoittuvuus Lievä haavoittuvuus
Vaikutus liiketoimintaan5 - Vaikuttaa liiketoimintaan lamauttavasti1 - Haitta hyväksytään osaksi normaalia toimintaa0 - Ei arvioitu
Alttius tietyllä aikavälillä (esim. 1 vuosi)5 - Tapahtuu varmasti1 - Erittäin luultavaa että ei tapahdu0 - Ei arvioitu
Painoarvo, kun haavoittuvuus johtaa vahinkoonVaikutus liiketoimintaan X Alttius tarkastelu välillä (0 .. 25)
15
JULKINEN ESITELMÄJULKINEN ESITELMÄPoliisin tietohallintokeskus 2.5.2002 Riskienhallintaan perustuva tietoturvallisuuden johtaminen A.Hallikainen, CISSP
Riskien luokittelu
Alttius
B AVa
ikutta
vuus
D C
16
JULKINEN ESITELMÄJULKINEN ESITELMÄPoliisin tietohallintokeskus 2.5.2002 Riskienhallintaan perustuva tietoturvallisuuden johtaminen A.Hallikainen, CISSP
Riskien arviointi
ABCD
Lukumääräisesti kuinka paljontunnistetaan eriluokkiin kuuluviariskejä.
17
JULKINEN ESITELMÄJULKINEN ESITELMÄPoliisin tietohallintokeskus 2.5.2002 Riskienhallintaan perustuva tietoturvallisuuden johtaminen A.Hallikainen, CISSP
Riskien arviointi suojakeinojen valinnan jälkeen
ABCD
Tavoitteena on että suojakeinojenkäyttämisellä voidaan arvioidavähennettävän vakavimpiariskejä.
18
JULKINEN ESITELMÄJULKINEN ESITELMÄPoliisin tietohallintokeskus 2.5.2002 Riskienhallintaan perustuva tietoturvallisuuden johtaminen A.Hallikainen, CISSP
Normaalitoiminta
Tavoitteena on että suojakeinoja sovellettaessa mahdollisimman harvoin tapahtuu vakavia vahinkoja.
AlttiusE
B AVa
ikutta
vuus
D C
19
JULKINEN ESITELMÄJULKINEN ESITELMÄPoliisin tietohallintokeskus 2.5.2002 Riskienhallintaan perustuva tietoturvallisuuden johtaminen A.Hallikainen, CISSP
Jatkuva TTHJ:stä huolenpito
Tietoturvakoulutus, osana muuta organisaation koulutusohjelmaa
Tietoturvatarkastukset
TTP ja tietoturvaohjeiston toimitustyö
Tietoturvateknologia hankkeet, osana sopivia TJ hankkeitaTietoturvallisten työtapojen kehityshankkeet, osana laatuhankkeita
TAM HEL MAA HUH TOU KES HEI ELO SYY LOK MAR JOU
20
JULKINEN ESITELMÄJULKINEN ESITELMÄPoliisin tietohallintokeskus 2.5.2002 Riskienhallintaan perustuva tietoturvallisuuden johtaminen A.Hallikainen, CISSP
Kenelle tietoturvatyö kuuluu
Tietoturvapäällikkö
Tietohallintopäälliköt
Yksiköiden turvallisuuspäälliköt
Teknologia-asiantuntijat
Koko henkilöstöTietoturvatoimintaa tukevat ulkoiset toimijat
Tietoturvaprojektipäälliköt
Tietoturvateknologia-asiantuntijat
Laatupäällikkö
Organisaation ylijohto Liiketoimintayksiköiden johto
Yritysturvallisuuspäällikkö
21
JULKINEN ESITELMÄJULKINEN ESITELMÄPoliisin tietohallintokeskus 2.5.2002 Riskienhallintaan perustuva tietoturvallisuuden johtaminen A.Hallikainen, CISSP
Aikaa keskustelulle
Mistä tunnistetaan tarve organisaation tietoturvapolitiikan uudistamiseen?Mitä seuraa jos tietoturvapolitiikka päivitetään?
Onko haittoja jos ei sijoiteta voimavaroja tietoriskien analysointiin?Kuinka arvioida organisaation tietoturvallisuuden taso ja kuinka rakentaa tietoturvallisuuden tilannekuva?
Keitä tarvitaan yhteistyöhön?Kuinka johtaa tietoturvahanke?Mistä saadaan erikoisasiantuntijoita?
Kuinka organisaatio on varautunut vahinkoon - mukaan lukien tilannetiedottamisen hallitsemisen?
Turvallisuus on mielentila.
22
JULKINEN ESITELMÄJULKINEN ESITELMÄPoliisin tietohallintokeskus 2.5.2002 Riskienhallintaan perustuva tietoturvallisuuden johtaminen A.Hallikainen, CISSP
Luottamus syntyy yhteistyössä.
23
JULKINEN ESITELMÄJULKINEN ESITELMÄPoliisin tietohallintokeskus 2.5.2002 Riskienhallintaan perustuva tietoturvallisuuden johtaminen A.Hallikainen, CISSP
Are Hallikainen, FM, CISSP
Maisterintutkinto Helsingin yliopiston tietojenkäsittelytieteen laitoksesta 1995.Erilaisia tietojenkäsittelyn opetustehtäviä vuoteen 1995 saakka.1996-2001 Nokia Oyj:ssä tutkimus-, tuotekehitys- ja tietoturvatehtävissä.1999 CISSP (Certified Information System Security Professional, www.isc2.org) tietoturva-ammattisertifikaatti.Poliisin tietoturvapäälliköksi Pyryn päivänä 2001.Tietoturva Ry:n (www.tietoturva.org) hallituksessa CISSP-yhdyshenkilönä 2002-2003.BS 7799 Lead Auditor -kurssi 2002.WebSec 2003 konferenssin esitelmä Suomen poliisin tietoturvapolitiikan päivitysprojektista.Systeemiohjelmointia vuodesta 1981.
Artikkeleita verkossawww.poliisi.fi Ajankohtaista Poliisi-lehti
2003/2, Verkossa on reikä2002/5, Virukselle tulee hintaa2002/2, Varas ja virus vaanii tietokonettasi2002/1, PTHK aloittaa pian toiminnan Rovaniemellä
http://www.cs.helsinki.fi, Tietoturva-kurssi, toukokuu 2002 ja toukokuu 2003./u/karvi/hallikainen/index.html, Tietoturvahallinto ja -johtaminen/u/karvi/hallikainen/ssecmm.html, SSE-CMM (in English)
http://sokosti.urova.fi/home/mela/opetusmateriaalit/TTIE1317/index.htmlLapin yliopisto, Tietoverkkojen tietoturvallisuus, marraskuu 2002 ja huhtikuu 2003.