SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Transkriptio

1 SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet Yleisesittely Julkaisutilaisuus Teknologiajohtaja Aki Siponen, Microsoft Oy

2 SFS-ISO/IEC 27002:2013 tietoturvallisuuden hallintakeinojen menettelyohjeet ISO/IEC standardiperhe ISO/IEC rooli Standardin tarkoitus Standardin rakenne Rakenteellinen uudistus Mitä uutta Keskeinen sisältö

3 ISO/IEC standardien perhe Terminologia Yleiset ohjeet Toimialaohjeet Hallintakeino-ohjeet Yleiskatsaus ja sanasto Menettelyohje TR Sertifioijille hallintakeinoista Organisaatioiden välinen viestintä ICT jatkuvuuden hallinnassa Toteutusohjeita ja integrointi Teletoimiala Kyberturvallisuus Yleiset vaatimukset Mittaukset Hallintaohje TR Finanssitoimiala Verkkoturvallisuus Vaatimukset Riskien hallinta TR Business case TS Pilvipalveluiden hallintakeinot Ohjelmistoturvallisuus Sertifiointielinten vaatimukset Auditointiohjeita Terveydenhuolto Turvallisuustapahtumien hallinta Digitaalinen forensiikka

4 Standardin tarkoitus Käytettäväksi standardiin ISO/IEC 27001[10] perustuvan tietoturvallisuuden hallintajärjestelmän toteuttamisprosessissa Ohjeistukseksi yleisesti hyväksyttyjä tietoturvallisuuden hallintakeinoja toteuttaville organisaatioille Käytettäväksi toimiala- tai organisaatiokohtaisten tietoturvallisuuden hallintaohjeiden kehittämisessä

5 Tavoitteet Maailma on verkottunut Tieto on suojattavaa omaisuutta Myös tietoon liittyvät prosessit, järjestelmät ja tietoverkot sekä henkilöt Tahalliset ja tahattomat uhkatekijät Tietoturvallisuus pienentää riskejä Suojaa organisaatiota uhkilta ja haavoittuvuuksilta Pienentää suojattavaan omaisuuteen kohdistuvia vaikutuksia Tietoturvallisuus saavutetaan toteuttamalla soveltuva hallintakeinojen järjestelmä

6 Tietoturvavaatimuksia tulee useista lähteistä Sosiokulttuurinen ympäristö Lait Asetukset Palvelutuottajat Viranomaisten vaatimukset Kumppanit Sopimukset Tietoturvavaatimukset Liiketoiminnan tavoitteet Liiketoimintastrategia Organisaatio Riskien arviointi Periaatteet Tiedon käsittely Tavoitteet Liiketoimintavaatimukset

7 Elinkaarinäkökulma tietoihin ja tietojärjestelmiin Tieto Tiedon luominen Tiedon säilyttäminen Tiedon käyttö Tiedon julkaisu ja jakelu Tiedon hävittäminen Tiedon arvo vaihtelee elinkaaren aikana Tietoturvallisuus tärkeää kaikissa elinkaaren vaiheissa Tietojärjestelmä Määrittely Suunnittelu Kehittäminen Testaus Käyttöönotto Käyttäminen ja ylläpitäminen Poistaminen käytöstä Tietoturvallisuus olisi otettava huomioon kaikissa vaiheissa Uusien järjestelmien kehittäminen ja olemassa oleviin järjestelmiin tehtävät muutokset tarjoavat organisaatioille mahdollisuuden päivittää ja parantaa turvallisuuden hallintakeinoja todellisten häiriöiden ja nykyisten ja ennakoitujen tietoturvariskien perusteella.

8 Mitä uutta Rakenne on muuttunut. ISO ja ISO uusien ja vanhojen versioiden vertailutaulukot ISO 27001: 2013 ISO 27001:2005 ISO 27002: 2005 ISO 27002:2013 ISO 27002: 2013 ISO 27002: Uusia hallintakeinoja (12 kpl) Hallintakeinojen sisältöön, toteutustapaan tai lisätietoihin on tullut muutoksia Hallintakeinoja poistettu (20 kpl)

9 Standardin rakenne Luku Pääkohta 5 Tietoturvapolitiikat 1 2 Pääturvallisuusluokkia Hallintakeinoja 6 Tietoturvallisuuden organisointi Henkilöstöturvallisuus Suojattavan omaisuuden hallinta Pääsynhallinta Salaus Fyysinen turvallisuus ja ympäristön turvallisuus Käyttöturvallisuus Viestintäturvallisuus Järjestelmien hankkiminen, kehittäminen ja ylläpito Suhteet toimittajiin Tietoturvahäiriöiden hallinta Liiketoiminnan jatkuvuuden hallintaan liittyviä tietoturvanäkökohtia Uusia Vaatimustenmukaisuus 2 8 Yhteensä

10 Pääkohdan rakenne Pääkohdassa yksi tai useampi pääturvallisuusluokka määrittelevät tavoitteen Pääturvallisuusluokassa yksi tai useampia hallintakeinoja toteutusohjeineen 5. Tietoturvapolitiikat 5.1 Johdon ohjaus tietoturvallisuutta koskevissa asioissa Tavoite: Tarjota johdon ohjausta ja tukea tietoturvallisuuden toteuttamiseen liiketoiminnallisten vaatimusten ja asiaankuuluvien lakien ja asetusten mukaisesti Tietoturvapolitiikat Hallintakeino: Tietoturvallisuudelle olisi määriteltävä joukko johdon hyväksymiä politiikkoja, jotka julkaistaan ja joista tiedotetaan henkilökunnalle Toteuttamisohjeet: Ylimmällä tasolla organisaation olisi määriteltävä "tietoturvapolitiikka", jonka johto Lisätiedot: Tietoturvallisuuden sisäisten politiikkojen tarpeellisuus vaihtelee organisaatioittain Tietoturvapolitiikkojen katselmointi Hallintakeino: Tietoturvapolitiikat olisi katselmoitava suunnitelluin aikavälein tai kun merkittäviä muutoksia tapahtuu, jotta varmistetaan Toteuttamisohjeet: Kullakin politiikalla olisi oltava omistaja, jolla on hyväksytty hallintavastuu kyseisen Lisätiedot:

11 Tärkeysjärjestys Kohdat eivät ole tärkeysjärjestyksessä Standardia soveltavan organisaation olisi tunnistettava Pätevät hallintakeinot Hallintakeinojen tärkeys Soveltaminen yksittäisiin liiketoimintaprosesseihin.

12 5 Tietoturvapolitiikat 5.1 Johdon ohjaus tietoturvallisuutta koskevissa asioissa Tavoite: tarjota johdon ohjausta ja tukea tietoturvallisuuden toteuttamiseen liiketoiminnallisten vaatimusten ja asiaankuuluvien lakien ja asetusten mukaisesti. Hallintakeinot Tietoturvapolitiikat Tietoturvallisuudelle olisi määriteltävä joukko johdon hyväksymiä politiikkoja, jotka julkaistaan ja joista tiedotetaan henkilökunnalle ja asiaankuuluville organisaation ulkopuolisille osapuolille Tietoturvapolitiikkojen katselmointi Tietoturvapolitiikat olisi katselmoitava suunnitelluin aikavälein tai kun merkittäviä muutoksia tapahtuu, jotta varmistetaan, että ne ovat edelleen soveltuvia, asianmukaisia ja vaikuttavia.