SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques. Tietoturvallisuuden hallinta ISO/IEC Reijo Savola Johtava tutkija VTT

Transkriptio

1 SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques Tietoturvallisuuden hallinta ISO/IEC Reijo Savola Johtava tutkija VTT FORUM 2013,

2 SISÄLTÖ Työohjelma ja organisaatio ISO/IEC 27001:2005 ja ISO/IEC 27001:2013 Uudet suomeksi käännetyt standardit Ajankohtaista tieto- ja kyberturvasta Suomessa 2

3 TYÖOHJELMA Security and privacy Information security and privacy governance Economics of information security and privacy Information security management system (ISMS) requirements Management system methods and processes Security and privacy controls and services, codes of practice, frameworks (includes sector Specific issues: cloud,privacy, telecoms, energy, identity management) Cryptographic and security mechanisms and technologies Certification and auditing requirements and methods Security evaluation, testing, processes, methods and specification 3

4 ORGANISAATIO (ISO/IEC) ISO/IEC JTC 1/SC 27 IT Security Techniques pj. W. Fumy varapj: M. de Soete SC 27 Secretariat DIN K. Passia WG 1 Information security management Systems WG 2 Cryptography And security mechanisms WG 3 Security Evaluation, Testing and Specification WG 4 Security Controls and Services WG 5 Identity Management and Privacy Technologies kk. E. Hymphreys kk. T. Chikazawa kk. M. Bañón kk. J. Amsenga kk. K. Rannenberg Suomen seurantaryhmä pj. Reijo Savola siht. Saana Seppänen 4

5 ISO/IEC 27001:2005, Yleistä Information Security Management Systems Requirements Määrittelee miten otetaan käyttöön tietoturvanhallintajärjestelmä (ISMS = Information Security Management System) ISMS:n suunnittelu ja toteutus riippuu mm. liiketoiminta- ja tietoturvatavoitteista, tietoturvariskeistä, kontrollivaatimuksista, prosesseista ja organisaation koosta ja rakenteesta. Yksinkertainen tilanne vaatii yksinkertaisen ISMS:n. ISMS:n mahdollinen käyttöönotto on strateginen päätös. ISO/IEC vastaavuus voidaan auditoida ja sertifioida. ISMS luo luottamusta organisaation tietoturvanhallintaan yhteistyöverkostossa. 5

6 Uusi ISO/IEC 27001:2013 Information Security Management Systems Requirements Muutoksia Standardin rakenne vastaa muita ISO-julkaisuja Parempi kyky vastata identiteettivarkauksien, langattomien laitteiden ja muihin verkon haavoittuvuuksien aiheuttamiin uhkiin Tietoturvakontrollien määrää on vähennetty (liite Annex A) Aiemmin käytettyyn Plan-Do-Check-Act (PDCA) malliin ei viitata enää suoraan (mutta se on oletuksena) Organisaatioiden sidosryhmiä korostetaan Tietoturvallisuusriskien arviointimalli vastaa jatkossa ISO standardia Toimintaan poikkeamatilanteiden yhteydessä kiinnitetään huomiota ISMS:n tavoitteiden saavuttamista ja seurantaa korostetaan Useampaa hallintajärjestelmästandardia käyttävien organisaatioiden auditointi helpottuu 6

7 UUDET SUOMEKSI KÄÄNNETYT STANDARDIT 2013: 1. ISO/IEC 27005:2011 Information technology -- Security techniques -- Information security risk management 2. ISO/IEC 27007:2011 Information technology -- Security techniques -- Guidelines for information security management systems auditing 3. ISO/IEC 29100:2011 Information technology -- Security techniques -- Privacy framework SFS-ISO/IEC Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät julkaistu syksyllä 2012 (sis. ISO/IEC 27001, 17799, 27003, 27004, 27005). 7

8 SFS-ISO/IEC 27001:2013 Tietoturvastandardin ISO/IEC 27001:2013 suomennoksen ilmestymistä juhlistetaan aamukahvitilaisuudella torstaina Julkaisutilaisuudessa pääarvioija Jyrki Lahnalahti Inspecta Oy:stä esittelee uudistetun standardin ja käy läpi tämän ja vuonna 2005 julkaistun standardin eroja. Kuulet myös, miten tämä vaatimusstandardin uusi versio sopii yhteen muiden hallintajärjestelmästandardien kanssa (esim. ISO/IEC :2011 ja ISO 9001:2008). Aika: torstai klo Paikka: SFS:n kokouskeskus, Malminkatu 34 8

9 AJANKOHTAISTA TIETO- JA KYBERTURVASTA SUOMESSA Kansallinen kyberturvallisuusstrategia on julkaistu Tietoturva- ja kyberturvallisuusalalle on syntynyt paljon aktiviteettia, mm. FISC = Finnish Information Security Cluster, n. 50 alan toimijaa Valtionhallinnossa isoja projekteja (mm. tilannekuva) 9

10 TIETOTURVA JA KYBERTURVA? Tietoja käsitellään tietojärjestelmissä Kyberympäristö on yhdestä tai useasta tietojärjestelmästä muodostuva toimintaympäristö Esim. tehdas, sähköverkko, lentoliikenteen järjestelmät, metro, yms. Jos tietoturva pettää, seurauksena on, että kyberympäristö toimii toisin, kuin on tarkoitus, ja kriittisten järjestelmien kyberhyökkäykset voivat jopa lamauttaa yhteiskunnan toimivuuden. Riippuvuutemme kyberympäristöistä luo haasteita tietoturvanhallintaan. Tietoturvallisuus on hyvin tärkeä kyberturvallisuuden edellytys. Automaatioympäristö on esimerkki kyberympäristöstä. Juuri on ilmestynyt SFS-käsikirja (Automaatio Osa 3: Tietoturva) 10