Sertifioinnin rooli tietoturvallisuudessa. atbusiness tietoturvatorstai 18.9.2003. Client-server, n-tier, web-sovellus



Samankaltaiset tiedostot
Tietoturvallisuuden ja tietoturvaammattilaisen

Hyökkäysten havainnoinnin tulevaisuus?

Sisältö - pohdiskelua kysymyksiin

Miten PKI-projekti onnistuu? AtBusiness Tietoturvatorstai

On instrument costs in decentralized macroeconomic decision making (Helsingin Kauppakorkeakoulun julkaisuja ; D-31)

Käyttäjähallinta liiketoiminnan selkärankana. Ratkaisuna LDAP-hakemistot

On instrument costs in decentralized macroeconomic decision making (Helsingin Kauppakorkeakoulun julkaisuja ; D-31)

On instrument costs in decentralized macroeconomic decision making (Helsingin Kauppakorkeakoulun julkaisuja ; D-31)

Tutkimus web-palveluista (1996)

Uusi Ajatus Löytyy Luonnosta 4 (käsikirja) (Finnish Edition)

Verkkosovellusten tietoturvastrategia

atbusiness Tietoturvatorstai

Automaatiojärjestelmän hankinnassa huomioitavat tietoturva-asiat

Kysymys 5 Compared to the workload, the number of credits awarded was (1 credits equals 27 working hours): (4)

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Data Security 2003, Tieturi

Tietoturvakoulutus Tietojenkäsittelyn koulutusohjelmassa

Yritysturvallisuuden perusteet

Voice Over LTE (VoLTE) By Miikka Poikselkä;Harri Holma;Jukka Hongisto

F-SECURE TOTAL. Pysy turvassa verkossa. Suojaa yksityisyytesi. Tietoturva ja VPN kaikille laitteille. f-secure.com/total

Identiteetin merkitys seuraavan sukupolven tietoturva-arkkitehtuurissa. Janne Tägtström Security Systems Engineer

Kolmannen vuoden työssäoppiminen (10 ov)

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Seminaariaiheet. Tietoturvaseminaari, kevät 03 Lea Viljanen, Timo Karvi

TietoEnator Pilot. Ari Hirvonen. TietoEnator Oyj. Senior Consultant, Ph. D. (Economics) presentation TietoEnator 2003 Page 1

Tietoturvallisuuden johtaminen

Tietoturvallisuuden ajankohtaiset haasteet Mitä vaaditaan tietoturvaosaamiselta?

Tietoturvapäivä

Green Growth Sessio - Millaisilla kansainvälistymismalleilla kasvumarkkinoille?

Sähköisten palveluiden tietoturva Maksufoorumi, Suomen Pankki

VALVO JA VARAUDU PAHIMPAAN

Vertaispalaute. Vertaispalaute, /9

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

Lab SBS3.FARM_Hyper-V - Navigating a SharePoint site

IBM Iptorin pilven reunalla

Nuku hyvin, pieni susi -????????????,?????????????????. Kaksikielinen satukirja (suomi - venäjä) ( (Finnish Edition)

Järjestelmäarkkitehtuuri (TK081702) Järjestelmäarkkitehtuuri. Järjestelmäarkkitehtuuri

Information on preparing Presentation

Auditoinnit ja sertifioinnit

Travel General. General - Essentials. General - Conversation. Asking for help. Asking if a person speaks English

Moderni käyttäjähallinta oppilaitosympäristössä. Korkeakoulujen IT-päivät Petri Karppinen

SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques

Vesihuolto päivät #vesihuolto2018

SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques. Tietoturvallisuuden hallinta ISO/IEC Reijo Savola Johtava tutkija VTT

Yritysturvallisuuden johtamisen arviointi ja hallintamalli

PKI AtBusiness. Kokonaisprojektit Konsultointi CP/CPS Sovelluskehitys Mobile PKI RSA, Baltimore, iplanet, W2K Hakemistot

IBM IT Education Services - DB2 YTR - sertifioinnit

Other approaches to restrict multipliers

Strategiset kyvykkyydet kilpailukyvyn mahdollistajana Autokaupassa Paula Kilpinen, KTT, Tutkija, Aalto Biz Head of Solutions and Impact, Aalto EE

Suorituskyvyn varmistaminen sovelluskehityksen eri vaiheissa Paavo Häkkinen, Presales Teamleader Compuware Finland

IoT-platformien vertailu ja valinta erilaisiin sovelluksiin / Jarkko Paavola

TEEMME KYBERTURVASTA TOTTA

Miksi Suomi on Suomi (Finnish Edition)

Kuntasektorin yhteinen KA Käyttövaltuushallinnan (KVH)- viitearkkitehtuuri. Kurttu seminaari Heini Holopainen, Janne Ollenberg

Tietoturvapäivä. Tietoturva nyt ja tulevaisuudessa Mitä uusi tietosuoja-asetus tarkoittaa? Fiarone Oy

Yritysturvallisuuden perusteet

Tietoturvallisuuden hallinta: palautejärjestelmän vaatimukset ja toteutustavat. Diplomityöesitelmä Juha Kalander

Hankkeiden vaikuttavuus: Työkaluja hankesuunnittelun tueksi

Network to Get Work. Tehtäviä opiskelijoille Assignments for students.

Uusi Ajatus Löytyy Luonnosta 3 (Finnish Edition)

TEEMME KYBERTURVASTA TOTTA

Kattava tietoturva kerralla

SMART BUSINESS ARCHITECTURE

Tietosuojan ja tietoturvan kehittämisen avainpelurit organisaatiossa Pyry Heikkinen

Taloudelliset väärinkäytökset: kansainvälinen uhka liiketoiminnalle Whistleblowing

työssäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan

Kyberturvallisuus kiinteistöautomaatiossa

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Aalto-yliopiston laatujärjestelmä ja auditointi. Aalto-yliopisto Inkeri Ruuska, Head of Planning & Management Support

Data Quality Master Data Management

Turvaa langattomat laitteesi ja verkkosi. Harri Koskinen Rossum Oy

Visualisoi tapahtumat ja selvitä niiden kulku

WORKING WITH ELDERLY SUBJECTED TO VIOLENCE OR ABUSE

GDPR-projektien ja johtoryhmien kuulumisia GDPR-päivä / Helsinki EU General Data Protection Regulation (GDPR) Juha Sallinen / GDPR Tech

Microsoft-teollisuussertifikaatit Metropolian testauskeskuksessa

TIETOTURVAA TOTEUTTAMASSA

Luotettava identiteettien ja käyttövaltuuksien hallinta kyberturvallisuuden perustana. Sami Laaksonen, Propentus Oy

Tietojärjestelmien itsepuolustus Reaktiivisuudesta ennakointiin

Ohjelmistoarkkitehtuurit Kevät 2016 Johdantoa

MEETING PEOPLE COMMUNICATIVE QUESTIONS

Tietoturvan johtaminen suomalaisen liikkeenjohdon näkökulmasta

Käytön avoimuus ja datanhallintasuunnitelma. Open access and data policy. Teppo Häyrynen Tiedeasiantuntija / Science Adviser

PAS 55 sertifioitu omaisuuden hallinta. Kari Kuusela

TeliaSonera. Marko Koukka. IT viikon seminaari Identiteetin hallinta palveluna, Sonera Secure IDM

Käyttöjärjestelmät(CT50A2602)

Tietoturvakoulutus Turun ammattikorkeakoulun Tietojenkäsittelyn koulutusohjelmassa (AMK) ja DP in Business Information Systems issä (YAMK)

TIEKE Verkottaja Service Tools for electronic data interchange utilizers. Heikki Laaksamo

Sähköi sen pal l tietototurvatason arviointi

Miehittämätön meriliikenne

Oma sininen meresi (Finnish Edition)

SOA ja/tai tietoturva?

VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille

Ostamisen muutos muutti myynnin. Technopolis Business Breakfast

Valmiuspäällikkö Sakari Ahvenainen. Valmiusohje ja ajankohtaista varautumisesta. Helsingin TIVA ja joukkoviestintäpooli (JVP)

Tietoturvallinen liikkuva työ. Juha Tschokkinen

Standardisoitua toimintaa Veikkauksessa

ARVIOINTISUUNNITELMA Sivu 1/7

Tietoturva-alan ammattien vaatimukset

Asiakaspäivät 2018 Turvallisuus- ja riskienhallinta ohjelmalinjan avaus. Marko Ruotsala

Sosiaalisen median liiketoimintamallit ja käyttöön oton suunnitelma 9/23/2012

Transkriptio:

Sertifioinnin rooli tietoturvallisuudessa atbusiness tietoturvatorstai 18.9.2003 Jari.Pirhonen@atbusiness.com Tietoturvallisuuspäällikkö ja -konsultti, CISSP, CISA AtBusiness Communications Oyj www.atbusiness.com www.iki.fi/japi/ Copyright 2003 AtBusiness Communications Oyj. / Jari Pirhonen 15.9.2003 Page: 1 Maailma muuttuu 1970 1980 1990 2000 Sovellus Suurkonesovellus PC Client-server, n-tier, web-sovellus Web Services, multi-organization GUI ASCII-pääte Grafiikka, ikkunointi Erikokoiset näytöt, selainversiot, pluginit päätelaitteiden kirjo, vaihteleva verkon kapasiteetti, sovellusten välinen kommunikointi Tietoturva Hallinta helppoa ja keskitettyä, IBM RACF Käyttäjille valtaa ja vastuuta, virukset verkottuminen, palomuurit, VPN, client-sovellus epäluotettava, sovelluskäyttö rajoitettua, linnakemalli palvelut epäluotettavia, luottosuhteet palveluketjuissa, sovelluskäyttö aina ja kaikkialta, PKI + XML, torimalli, tietosuoja, imago ja strategia, sertifiointi Copyright 2003 AtBusiness Communications Oyj. / Jari Pirhonen 15.9.2003 Page: 2 1

Henkilölle - CISSP Certified Information Systems Security Professional Myöntäjä www.isc2.org Kirjallisen testin lisäksi vaaditaan 4 vuoden työkokemus, CISSP:n suositus ja sitoutuminen eettisiin sääntöihin Osoittaa sertifioidun omaavan laajan tietoturvaosaamisen 10 osa-aluetta: pääsynvalvonta, sovelluskehitys, jatkuvuussuunnittelu, salausmenetelmät, lait ja etiikka, fyysinen tietoturva, operatiivinen tietoturva, arkkitehtuurit, tietoverkot ja tietoturvan johtaminen Sertifikaatti vanhenee 3 vuodessa ylläpidettävä kouluttautumalla Suunnittelu- ja johtotason sertifikaatti Sertifiointi ei takaa tietyn tuotteen, tekniikan tai osa-alueen erityisosaamista Sertifioinnin tarkoitus vakuuttaa hyvästä ja laajasta tietoturvallisuuden perusosaamisesta ja ymmärryksestä Copyright 2003 AtBusiness Communications Oyj. / Jari Pirhonen 15.9.2003 Page: 3 Tuotteelle - CC Common Criteria for IT Security Evaluation, ISO 15408, http://csrc.ncsl.nist.gov/cc/, www.commoncriteria.org Standardi tapa esittää kohteen (TOE, Target of Evaluation) tietoturvallisuusvaatimukset yhteinen kieli Tuotteen toimittaja dokumentoi tietoturvallisuusvaatimukset (PP, Protection Profile) ja -toteutuksen (ST, Security Target) Evaluointilaboratorio evaluoi tuotteen toiminnallisuuden ja vakuuttavuuden määriteltyä vaatimustasoa vasten Sertifiointitasot EAL1 EAL7 (Evaluation Assurance Levels), kertovat, kuinka tuotetta on evaluoitu ja testattu EAL4: menetelmällisesti suunniteltu, testattu ja katselmoitu CC sertifioinnin tarkoitus vakuuttaa tuotteen tietoturvasuunnittelusta ja -toteutuksesta. Huomioitava kuitenkin paitsi sertifiointitaso, myös vaatimukset. Copyright 2003 AtBusiness Communications Oyj. / Jari Pirhonen 15.9.2003 Page: 4 2

Yritykselle BS7799 British Standard 7799, http://www.bsi-global.com/, ISO 17799, http://www.iso-17799.com/ Standardi kuvaa mitä pitäisi huomioida tietoturvallisuuden osalta, ei kerro miten toteutetaan Yritys tekee itse riskiarviointinsa ja päättää tietoturvallisuusvaatimuksista ja -toimenpiteistä SFS-Sertifiointi Oy arvioi pistokokein tietoturvallisuuden hyvyyttä ja yrityksen tietoturvallisuusvaatimusten toteutumista BS7799-sertifioinnin tarkoitus vakuuttaa organisaation tekevän tietoturvatyötä suunnitelmallisesti Sertifiointia pitäisi arvioida riskiarvioinnin kautta Copyright 2003 AtBusiness Communications Oyj. / Jari Pirhonen 15.9.2003 Page: 5 Yrityksen turvatason portaat 5. Ylivoimainen suojaustaso Turvallisuus on yrityksen kilpailutekijä 4. Edistyksellinen suojaustaso Turvallisuus on osa yrityskulttuuria 3. Perussuojaustaso Turvallisuus on osa toimintaprosesseja 2. Vähimmäissuojaustaso Johto sitoutuu turvallisuuden kehittämiseen 1. Lähtötaso Yritysjohto tiedostaa turvallisuuden merkityksen Juha E. Miettinen, Yritysturvallisuuden käsikirja Copyright 2003 AtBusiness Communications Oyj. / Jari Pirhonen 15.9.2003 Page: 6 3

Tietoturvan merkitys yritykselle suuri Luottamuksen ja turvallisuuden merkitys pieni Heikkous Ei kiinnosta Mahdollistaja Suojaava rajoitetut Tietoturvatoimet riskien minimoimiseksi kattavat Copyright 2003 AtBusiness Communications Oyj. / Jari Pirhonen 15.9.2003 Page: 7 Tie BS7799 sertifiointiin 1. Best practices 2. Uhka-analyysi ja tietoturvastrategia 3. Tietoturvallisuuden kehittäminen 4. BS7799 yhteensopivuuden varmistaminen 5. Sertifiointi Copyright 2003 AtBusiness Communications Oyj. / Jari Pirhonen 15.9.2003 Page: 8 4

Työkaluja RFC 2196 Site Security Handbook ISF Standard of Good Practice for Information Security COBIT GASSP (Generally Accepted System Security Principles) OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) NIST ASSET (Automated Security Self-Evaluation Tool) Valtionhallinnon suositukset (Vahti) Copyright 2003 AtBusiness Communications Oyj. / Jari Pirhonen 15.9.2003 Page: 9 Gartner: Top 10 tietoturvahaasteet 2003 Web Services WLAN Käyttäjätietojen hallinta ja provisiointi (Identity Mgmt) Hyökkäysten estojärjestelmät (IPS) Tapahtumien korrelointi: raportointi, monitorointi, hallinta Virukset, madot Pikaviestimet (Instant Messaging) Kansallinen tietoturvastrategia, lainsäädäntö (Homeland security) Taktinen tietoturva > tietoturva-arkkitehtuuri Tietopääoman suojaaminen (Intellectual Property) Transaktioiden luottamuksellisuus/auditointi Copyright 2003 AtBusiness Communications Oyj. / Jari Pirhonen 15.9.2003 Page: 10 5

Quality = Security We start confusing quality with elegance, brightness, weight, and other subjective things. Then even those get compared when we talk about good quality, bad quality, high and low quality, and all those things. So far today we've used the word quality fifteen or twenty times, and each meaning has been different. If we're going to have a quality improvement program, we have to agree on what the word means. We don't want an elegance improvement program, do we? -- Philip B. Crosby, Quality is Free Copyright 2003 AtBusiness Communications Oyj. / Jari Pirhonen 15.9.2003 Page: 11 6

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute