Ti5313500 Tietoturvan Perusteet : Pekka Jäppinen 12. joulukuuta 2007 Pekka Jäppinen, Lappeenranta University of Technology: 12. joulukuuta 2007
Ohjeistus/säännöt henkilöstölle kuinka toimia Kertoo mitä suojataan ja miksi Määrittää prioriteetit eli mikä on toiminnan kannalta tärkeää ja mikä toissijaista Antaa turvallisuusosastolle /ylläpidolle pohjaa kieltämiselle. Estää turvallisuusosaston toimimisen perusteettomasti. Antaa loppukäyttäjille mahdollisuuden valvoa valvojaa Pekka Jäppinen, Lappeenranta University of Technology: 12. joulukuuta 2007 1/20
Ongelmia politiikan luonnissa Prioriteetti Aina ei ole aikaa selvittää sopiiko politiikan tiukennus bisneksen teolle. Liian löysän politiikan johdosta tietoturvariskit kasvavat Sisäinenpolitiikka Politiikan omistus ja määrittäminen eli miten hiekkalaatikolla leikitään. Dokumentin kirjoittaminen vaikeaa Pitää olla mahdollisimman täydellinen ja ehdottoman oikea Pekka Jäppinen, Lappeenranta University of Technology: 12. joulukuuta 2007 2/20
Pitää olla ymmärrettävä Pekka Jäppinen, Lappeenranta University of Technology: 12. joulukuuta 2007 3/20
Tietoturvapolitiikan asettaminen Tee pohjatyö eli selvitä mitä tietoa yrityksellä on ja kuinka tiedon pitää liikkua Kirjoita politiikka organisaatiolle Yleiset säännöt ei detalji tietoa, älä yritä tehdä täydellistä Ei yli 5 sivua ja tehty muutamassa päivässä rauhassa ja itse Etsi kolme henkeä jotka muodostavat tietoturvapolitiikka komitean Komitean jäsenet tekevät lisäys- ja muutosehdotuksia ja toimivat tuomareina Luo organisaation sisäinen verkkosivu, joka pitää sisällään politiikan. Pekka Jäppinen, Lappeenranta University of Technology: 12. joulukuuta 2007 4/20
Käsittele politiikka kuin lakia Noudattamaton politiikka on turha Politiikan rikkomuksesta täytyy olla seuraamuksia Anna kaikille madollisuus tehdä lisäys- ja muutosehdotuksia politiikkaan Pidä tietoturvapolitiikka kokous kerran vuodessa Kirjoitetaan politiikka uusiksi ja otetaan lisäykset osaksi kokonaisuutta Päivitetään verkkosivut Pekka Jäppinen, Lappeenranta University of Technology: 12. joulukuuta 2007 5/20
Esityö Selvitä mitä kaikkea tietoa yrityksellä on ja jaottele omiin ryhmiinsä niiden vaatiman turvallisuuden kannalta. Käy läpi yrityksen laitteisto jossa tietoa säilytetään ja käsitellään Tietokoneet, kirjoittimet, usb-kynät, cd-levyt, paperit Luokittele laitteisto sen mukaan minkä tasoista tietoa niillä käsitellään. Käy läpi tilat joissa tietoa säilytetään tai tuotetaan. Työhuoneet, palvelin tilat, kytkinkaapit, kahvihuoneet, kopiohuone jne. Pekka Jäppinen, Lappeenranta University of Technology: 12. joulukuuta 2007 6/20
Selvitä kuinka tietoa siirretään paikasta toiseen verkot, faksit puhelimet. Selvitä kenellä on tarve päästä tietoon käsiksi Johtaja, tutkija, sihteeri, talouspäällikkö, alihankkija Luokittele ihmiset Selvitä kenellä on tarve päästä eri tiloihin Tutkija, ylläpitäjä, siivooja, vartija jne. Täsmääkö tilan ja ihmisen luokittelu? Käy läpi nykyiset turvamenetelmät ja selvitä mitä ne suojaavat Palomuurit, IDS, kulun valvonta, pääsyn hallinta Pekka Jäppinen, Lappeenranta University of Technology: 12. joulukuuta 2007 7/20
Analysoi nykyinen tilanne Onko selkeitä aukkoja (esim. siivoojalla pääsy erittäin salaisiin papereihin) Pekka Jäppinen, Lappeenranta University of Technology: 12. joulukuuta 2007 8/20
Tietoturvapolitiikan sisältö 1. Mitä suojataan? Määrittele suojaustasot perustuen esityöhön Esimerkiksi: Punainen: pitää sisällään erittäin luottamuksellista tietoa tai tuottaa toiminnalle kriittisen palvelun Keltainen: pitää sisällää arkaluontoista tietoa tai tuottaa tärkeän palvelun. Vihreä: voi hakea tietoa punaisilta tai keltaisilta koneilta, mutta ei itsessään pidä sisällään arkaluontoista tietoa Valkoinen: Ei pääse hakemaan tietoa punaisilta tai keltaisilta koneilta, ei voida käyttää kuitenkaan oman verkon ulkopuolelta Musta: ulkopuolelta käytettävissä. Ei yhteyksiä. Pekka Jäppinen, Lappeenranta University of Technology: 12. joulukuuta 2007 9/20
Kategoria Verkko Access Tarkistus Punainen Keltainen Vihreä Valkoinen Musta Punainen Punainen keltainen Punainen, keltainen vihreä Valkoinen Musta ja ja Punaisen turvallisuus luokituksen omistajat Yrityksen työntekijät Työntekijät ja luotetut alihankkijat Työntekijät ja alihankkijat Työntekijät, alihankkijat, yleisö Kuukausittain 4 kertaa vuo dessa Vuosittain Vuosittain Kuukausittain Pekka Jäppinen, Lappeenranta University of Technology: 12. joulukuuta 2007 10/20
Määritä prioriteetit toiminnalle (esim.) (a) Ihmisten turvallisuus (b) Lain mukaisuus (c) Yhtiön salaisuuksien säilyttäminen (d) Yhteistyökumppanien salaisuuksien säilyttäminen (e) Avoin ei salaisen tiedon levittäminen 2. Velvollisuudet / Oikeudet Määrittelee mitä velvollisuuksia ja oikeuksia eri ihmisillä on tietoturva asioissa. Yleiset Politiikan tunteminen Toiminnat perustuu politiikkaan Politiikan rikkomuksien ilmoittaminen Politiikassa olevien/aiheuttamien ongelmien ilmoittaminen. Pekka Jäppinen, Lappeenranta University of Technology: 12. joulukuuta 2007 11/20
Systeemin ylläpitäjä/operaattori Käyttäjien tietojenkäsittely luottamuksellisesti Ei autorisoimatonta luottamuksellisten tietojenkäsittelyä. Korvaus toimista, jotka ovat ylläpitäjän turvallisuusmenettelyohjeissa. Turvallisuusylläpitäjä Korkein eettinen johto Korvaus toimista, jotka ovat turvallisuusylläpitäjän menettelyohjeissa. Alihankkija Oikeis käyttää vain tiettyjä laitteita sovitulla tavalla Kirjallinen anomus etukäteen tehtävistä, jotka koskevat turvallisuutta Vierailija Ei pääsyä koneille ilman ilmoitusta turvallisuusosastolle etukäteen kirjallisesti. Pekka Jäppinen, Lappeenranta University of Technology: 12. joulukuuta 2007 12/20
3. Oikea käyttö Kuinka kukin saa ja ei saa käyttää verkkoa. Yleinen Työaikana yksityinen verkonkäyttö minimissä Verkonkäyttö kielletty ulkopuoliseen bisnekseen Pääsy internetpalveluihin yhtenäinen muun henkilöstö politiikan kanssa. Punaisia tietoja ei puhuta mustalla puhelimella. Systeemin ylläpitäjä Vastuullista toimintaa arkaluontoisen tiedon kanssa Kaikki erikoinen tiedonhaku liityttävä toimintaan Turvallisuus henkilökunta Vastuullista toimintaa arkaluontoisten tietojen kanssa Kaiken erikoisen tiedonhaun liityttävä yhtiön toimintaan tai turvallisuusteen Pekka Jäppinen, Lappeenranta University of Technology: 12. joulukuuta 2007 13/20
Turvallisuustyökalujen käyttö ainoastaan yhtiöntoiminnan hyväksi Alihankkija Ei henkilökohtaista pääsyä järjestelmiin Verkon käyttö minimaalista ja ainoastaan hyvin perustellulla syyllä Vierailija Ei verkonkäyttöä ollenkaan 4. Seuraukset Määritellään, mitä seuraamuksia tulee rikkomuksista. Turvallisuuskomitea Toimii tuomarina rikkomuksista Rangaistukset Kriittinen rikkomus Pekka Jäppinen, Lappeenranta University of Technology: 12. joulukuuta 2007 14/20
Ehdotetaan erotettavaksi sekä mahdollisia syytteitä oikeudessa. Vakava rikkomus Ehdotetaan erotettavaksi sekä palkan alennusta Lievä Ehdotetaan palkan alennusta, määräaikaista palkatonta lomaa tai kirjallinen nuhtelu Pekka Jäppinen, Lappeenranta University of Technology: 12. joulukuuta 2007 15/20
Politiikan kirjoittaminen Pidä politiikka ymmärrettävänä Lukematon politiikka on turha On vaikea noudattaa politiikkaa jota ei ymmärrä Kun tiedetään mihin säännöt perustuvat, niitä noudatetaan paremmin Pidä politiikka relevanttina 300 sivun dokumenttia jossa on kaikki ei lue kukaan Eri ihmisille voi olla erilainen dokumentti, joka koskee vain heille oleellisia asioita tietoturva politiikasta. Tiedä mikä ei ole relevanttia Pekka Jäppinen, Lappeenranta University of Technology: 12. joulukuuta 2007 16/20
On asioita joita kaikkien ei tarvitse tietää Turvallisuusihmiset tarvitsevat enemmän tietoa kuin esimerkiksi sihteeri Dokumentti kannattaa jakaa kahteen osaan Yleinen osa Spesifinen osa riippuen tehtävästä Pekka Jäppinen, Lappeenranta University of Technology: 12. joulukuuta 2007 17/20
Politiikan käsittely Varmista että politiikka otetaan tosissaan. Politiikan lukemisen jälkeen pitää tietää että sen rikkomisesta tulee rangaistus Rikkojia pitää oikeasti rangaista politiikan mukaan Rangaistukset Iso tapaus on helpompi voittaa kun on monta pientä pohjana Turvallisuus tiimi toimii syyttäjänä ei tuomarina Päivitä politiikkaa Verkkokonfiguraatio muuttuu Pekka Jäppinen, Lappeenranta University of Technology: 12. joulukuuta 2007 18/20
Uusia koneita tulee vanhoja lähtee pois Päivittämätön politiikka menettää merkitystään Jaa tietoa niille jotka sitä tarvivat Älä virittele politiikkaa kesken kriisin vaan vasta sen jälkeen Rauhassa mietittäessä ei tule tehtyä hätiköityjä virheitä. Pekka Jäppinen, Lappeenranta University of Technology: 12. joulukuuta 2007 19/20
Teesit politiikasta Hyvä polittiikka nyt on parempi kuin loistava politiikka ensivuonna. Heikko politiikka joka on jaettu kaikille on parempi kuin vahva joka ei ole kellään. Yksinkertainen politiikka jonka kaikki ymmärtävät on parempi kuin monimutkainen ja hämmentävä jota kukaan ei viitsi lukea. joka muokkautuu ajan myötä on parempi kuin politiikka, joka muuttuu ajan myötä turhaksi. a määrittäessä on usein on parempi pyytää anteeksi kuin odottaa lupaa Pekka Jäppinen, Lappeenranta University of Technology: 12. joulukuuta 2007 20/20