Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Transkriptio

1 Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa Valtorin tietoturvaseminaari Pekka Ristimäki Johtava asiantuntija, CISM, CISSP, CRISC Valtori / Tietoturvapalvelut

2 Mikä on hallintajärjestelmä? Hallintajärjestelmä sisältää tietoturvallisuuden johtamiseen ja hallintaan liittyvän organisaatiorakenteen politiikat periaatteet suunnittelu- ja kehittämistoimenpiteet vastuut menettelytavat menetelmät prosessit mittarit resurssit 2

3 Mikä on hallintajärjestelmä? Tietoturvallisuuden hallinta perustuu valtionhallinnon tietoturvallisuudelle asettamiin vaatimuksiin sekä riskien tunnistamisesta lähtevään tietoturvallisuuden jatkuvaan kehittämiseen prosessimaisella toiminnalla. Tämän esityksen pohjana on Valtion IT-palvelukeskuksen tietoturvallisuuden hallintajärjestelmä, joka muodostaa myös kehitteillä olevan Valtorin hallintajärjestelmän rungon. Hallintajärjestelmä tukee Valtorin toiminnan häiriöttömyyttä, jatkuvuutta ja tavoitteiden saavuttamista. 3

4 Hallintajärjestelmän rakenne Ohjaavat tekijät Lait, asetukset, määräykset ja ohjeet Valtoriin strategia, tavoitteet ja tehtävät HALLINTAJÄRJESTELMÄ T i l a t Jatkuvien palvelujen tietoturvallisuuden hallinta Tietoturvapolitiikka Tietoriskien hallinnan politiikka Organisaation Jatkuvuuspolitiikka toiminta Vuosikello ja suojattavat kohteet Hankkeiden tietoturvallisuuden hallinta Kehityssuunnitelma Periaatteet Ohjeet, mallipohjat ja työkalut Prosessit Tietoturvallisuuden hallintajärjestelmän kehittäminen ja ylläpitäminen Tietoriskien hallinta Tietoturvapalvelujen tuottaminen Häiriötilanteiden hallinta I h m i s e t Tiedot ja tietojärjestelmät 4

5 Suojattavat kohteet ja niiden tärkeyden arviointi Suojattava kohde Tietojärjestelmät Tiedot Tilat Kohteen tärkeyden arviointi Kriittisyys/tärkeysluokittelu (työkalu tai manuaalinen arviointi) Mitä salassa pidettävää ja mihin suojaustasoon kuuluvaa tietoa meillä on? Missä tietojärjestelmissä ja tiloissa käsitellään? Missä muodossa (sähköinen, paperinen). Luokittelupäätös=> tietoaineiston käsittelyohjeet Tilojen luokittelu. Eri tyyppisiä tiloja, kuten konesalit, toimistotilat ja julkiset tilat => tilat luokiteltava eri turvallisuusvyöhykkeisiin mm. sen mukaan, minkä suojaustason tietoaineistoa kyseisessä tilassa käsitellään. Organisaation tärkeimmän suojattavan kohteen, eli henkilöstön suojaustapoja (henkilöstöturvallisuus): Työterveyspalvelut Turvallinen työympäristö Matkustusohjeet Vakuutukset jne. 5

6 Tietojärjestelmien tietoturvataso ja kriittisyysluokka ohjaavat resurssointia Vahti 2/2010 toimeenpano Palvelujen auditointiohje: Palvelun tärkeysluokitus Tietoturvatasot ICT-varautuminen Muut vaatimukset (esim. Tekninen auditointi hankkeen tietoturvavaatimukset) Elintärkeät ja Erittäin joka toinen vuosi joka toinen vuosi joka toinen vuosi joka toinen vuosi tärkeät Tärkeät joka kolmas vuosi joka kolmas vuosi joka kolmas vuosi joka kolmas vuosi Jonkin verran tärkeät Kilpailutusten yhteydessä Kilpailutusten yhteydessä Kilpailutusten yhteydessä Kilpailutusten yhteydessä Vähäinen merkitys Kilpailutusten yhteydessä Kilpailutusten yhteydessä Kilpailutusten yhteydessä Kilpailutusten yhteydessä 6

7 Politiikat, vuosikello ja kehityssuunnitelma Politiikan nimi Kuvaus Kohde Tietoturvapolitiikka Jatkuvuuspolitiikka Tietoriskien hallinnan politiikka Vuosikello Kehityssuunnitelma * Palveluille on oma vuosikello Linjaa tietoturvallisuuden hallintaan liittyvät tavoitteet, periaatteet, organisoinnin ja vastuut. Kuvaa jatkuvuudenhallinnan periaatteet, tavoitteet ja vastuut. Politiikka täydentää tietoturvapolitiikkaa. Määrittelee tietoriskien hallinnan viitekehyksen ja tietoriskien hallinnan politiikan. Organisaatiotasoinen tietoturvallisuuden vuosikello * Syksyllä seuraavalle vuodelle tehtävä toimintasuunnitelma, jonka TIO hyväksyy Henkilöstö Johto, palvelujen ja prosessien omistajat, palveluvastaavat Johto, palvelujen ja prosessien omistajat, palveluvastaavat Sisäinen tietoturvallisuus (STT), Tietoturvallisuuden ohjausryhmä (TIO) Sisäinen tietoturvallisuus, palvelut, toiminnot ja yksiköt, joille tehtäviä määritelty 7

8 Palvelut - Vuosikello Organisaatiotason toimenpiteet Lokajoulukuu Tammimaaliskuu Huhtikesäkuu Heinäsyyskuu Sopimuskatselmointi, katselmointi ja päivitys Vuosikellon päivitys seuraavalle vuodelle Toimenpiteiden seuranta ja raportointi Lokajoulukuu Tammimaaliskuu Palvelun riskien arviointi Palvelun auditointisuunnitelman katselmointi ja päivitys Toipumissuunnitelman katselmointi ja päivitys Toimenpiteiden seuranta ja raportointi Tietoturvallisuuden vastuunjakotaulukko katselmointi ja päivitys Palvelun perustiedot ja kuvaukset, katselmointi ja päivitys Toimenpiteiden seuranta ja raportointi Huhtikesäkuu Heinäsyyskuu Tietoturvapoikkeamien hallinta ja raportointi (Häiriöviestintäsuunnitelman katselmointi ja päivitys) Toimenpiteiden seuranta ja raportointi 8

9 Palvelut - Toimenpidelista Riskianalyysit Auditoinnit Vuosikello Kehitysideat 9

10 Prosessit Prosessi Jatkuvien palvelujen tietoturvallisuuden hallinta Hankkeiden tietoturvallisuuden hallinta Tietoturvallisuuden hallintajärjestelmän kehittäminen ja ylläpitäminen Tietoriskien hallinta Tietoturvapalvelujen tuottaminen Pohjautuu vuosikelloon Kuvaus Varmistaa, että hankinnan kohde täyttää tietoturvallisuuteen liittyvät vaatimukset ennen tuotantoon siirtämistä. Varmistaa että Valtorin Tietoturvallisuuden hallintajärjestelmää (politiikat, ohjeet, prosessit) ylläpidetään systemaattisesti Prosessi kattaa tietoriskien arvioinnin prosesseissa sekä palveluissa, jotka osaltaan vastaavat myös toimittaja-tason ja teknologioita koskevasta riskien arvioinnista. Tuottaa tietoturvallisuuteen liittyviä palveluita Valtorin asiakkaille; asiantuntijapalvelut, tietoturvapäällikköpalvelu, sähköiset palvelut 10

11 Periaatteet Periaatteen nimi Lokienhallinnan periaate Käyttövaltuuksien hallinnan periaate Tietoturvapäivitysten asennusperiaate Varmistusten hallinnan periaate Kuvaus Määrittelee periaatteet joiden mukaan palveluissa käsitellään lokitietoja. Määrittelee vaatimukset, joiden mukaan palveluissa hallinnoidaan tunnuksia, ryhmiä ja käyttövaltuuksia, sekä määrittelee vähimmäisvaatimukset kirjautumiselle ja käytettäville salasanoille. Määrittelee palveluissa noudatettavat tietoturvapäivitysten asennusperiaatteet. Määrittelee periaatteet joiden mukaan tuottamissa, omistamissa ja käyttämissä palveluissa tulee suorittaa varmuuskopiointi sekä palautukset. 11

12 Hallintajärjestelmän dokumentit ylläpito organisaatiotason vastuulla (keskeisiä esimerkkejä) Politiikat ( 3 kpl) Prosessit (5 kpl) Periaatteet (4 kpl) Organisaatiotason vuosikello Kehityssuunnitelma Suojattavat kohteet ja tärkeysluokitus Luokitellun tiedon käsittelyohjeet Tietoturvallisuuskoulutuksen suunnitelmat 12

13 Hallintajärjestelmän dokumentit ylläpito palvelun vastuulla Palvelun riskianalyysi Palveluiden ja järjestelmien perustietojen kuvaus Toipumissuunnitelma Häiriöviestintäsuunnitelma Auditointisuunnitelma Vastuunjakotaulukko Toimittajan tietoturvallisuuden toteutuksen seuranta Sopimusten ja turvaselvitysten ajantasaisuuskatselmointi Tietoturvallisuuden vuosikellon päivitys 13

14 Hallintajärjestelmän kuvaustapoja on monia 14

15 Pekka Ristimäki Puh