Yritysturvallisuuden perusteet



Samankaltaiset tiedostot
Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

Yritysturvallisuuden perusteet

Yleisötilaisuuden riskit ja vakuuttaminen. Luvat ja turvallisuus kuntoon infopäivä

Yritysturvallisuuden perusteet

SYSTEMAATTINEN RISKIANALYYSI YRITYKSEN TOIMINTAVARMUUDEN KEHITTÄMISEKSI

Turvallisuus prosessien suunnittelussa ja käyttöönotossa. 1. Luennon aiheesta yleistä 2. Putkisto- ja instrumentointikaavio 3. Poikkeamatarkastelu

Yritysturvallisuuden perusteet

Turvallisuuden bisnesmalli

Tämän kyselyn määritelmät on kuvattu sopimuksessa.

Yritysturvallisuuden perusteet

Riskinarviointi osana toiminnan suunnittelua

Uuden sairaalan kokonaisturvallisuus. Juhana Suurnäkki FM, CISM

Sisäänrakennettu tietosuoja ja ohjelmistokehitys

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Riskin arviointi. Peruskäsitteet- ja periaatteet. Standardissa IEC esitetyt menetelmät

Liite verkkopalveluehtoihin koskien sähköntuotannon verkkopalvelua Tvpe 11. Voimassa alkaen

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure

Pilvipalveluiden arvioinnin haasteet

ICT-yrityksen vastuuvakuutus Tiina Schaarschmidt-Pernaa

T Henkilöturvallisuus ja fyysinen turvallisuus, k-04

Simulation and modeling for quality and reliability (valmiin työn esittely) Aleksi Seppänen

Diplomityöseminaari Teknillinen Korkeakoulu

Turvallisuusjohtamisjärjestelmäyleistä

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

SISÄLTÖ. 1 RISKIENHALLINTA Yleistä Riskienhallinta Riskienhallinnan tehtävät ja vastuut Riskienarviointi...

Kyberturvallisuus kiinteistöautomaatiossa

Harri Koskenranta

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

PK-yrityksen tietoturvasuunnitelman laatiminen

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa

Yritysturvallisuuden perusteet

OPAS KÄSINEIDEN VALINTAAN Viiltosuojaus

1. Tietokonejärjestelmien turvauhat

Käytettävyysanalyysi

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet

Riskienhallinnan perusteet

Turvallisuusseminaari Silja-Line

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

PCI DSS 3.0. Merkittävimmät muutokset Seppo Heikkinen, QSA Nixu

T Henkilöturvallisuus ja fyysinen turvallisuus, k-04

Agenda. Johdanto Säätäjiä. Mittaaminen. P-, I-,D-, PI-, PD-, ja PID-säätäjä Säätäjän valinta ja virittäminen

Käyttöasetus potilassiirtojen

ABB Drives and Controls, Koneenrakentajan ja laitetoimittajan yhteistoiminta toiminnallisen turvallisuuden varmistamisessa

Teollisuusautomaation standardit. Osio 5:

VAHTI-riskienhallintaohje. teoriasta käytäntöön

Toiminnallinen turvallisuus

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

T Yritysturvallisuuden

Hensel sähkönjakelujärjestelmät ja PaloTurva tuotteet

Älykkäät tietojärjestelmät - turvalliset sensorit osana potilaan hoitoa

Johdantoluento. Ohjelmien ylläpito

Paloturvallisuuden varmistaminen sosiaali- ja terveysalalla ja tuetussa asumisessa Tapaturmien ehkäisyn yksikkö

Yritysturvallisuuden perusteet

Maastoreittien turvallisuus kuluttajaturvallisuuslain kannalta

Prioriteetti I, II tai III. Vastuuhenkilö: Menettely: Aikataulu:

LÄÄKINTÄLAITTEEN VASTAANOTTOTARKASTUS

Auditointi. Teemupekka Virtanen

Lausunto Linjausten tulisi perustua pilvipalvelujen käyttöön liittyvään yleiseen riskiarvioon

Liittymät Euroclear Finlandin järjestelmiin, tietoliikenne ja osapuolen järjestelmät Toimitusjohtajan päätös

Vaivattomasti parasta tietoturvaa

Onnettomuuksista oppiminen tutkinnan näkökulmasta

Riskienarvioinnin perusteet ja tavoitteet

Onnettomuuksista oppiminen ja turvallisuuden parantaminen

Compaqin takuu Presario-tuotteille

Toimilohkojen turvallisuus tulevaisuudessa

TIETOTURVA- POLITIIKKA

RenOvi KÄYTTÖOHJE. Oy Lifa Air Ltd Hämeentie 105 A, FIN Helsinki, Finland Tel Fax

POTENTIAALISTEN ONGELMIEN ANALYYSI

Turvallisuusvyöhykeperiaate T /Koskenranta 4

Vesihuolto päivät #vesihuolto2018

Laadun ja turvallisuuden kehittäminen vaaratapahtumista oppimalla

Ti Tietoturvan Perusteet : Politiikka

Suomen avoimien tietojärjestelmien keskus COSS ry

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET SIIKAJO- EN KUNNASSA JA KUNTAKONSERNISSA

Lapset puheeksi -menetelmä

ISO Standardisarja Eräitä ulottuvuuksia Kari Komonen

AEO-Toimijapäivä. Toimitusketjujen uhkien analysointi ja riskienhallinta yhteistyössä sopimuskumppanien kanssa

Valvottu ilmoituksensiirto

HELIA 1 (8) Outi Virkki Tietokantasuunnittelu

on oikeus lunastaa Vuokrauskohde omistukseensa. Normaalitapauksessa

ITK130 Ohjelmistojen luonne

Terveydenhuollon laitteet ja tarvikkeet

ATEX-foorumi valistaa ja kouluttaa. STAHA-yhdistyksen ATEX-työryhmän kokous Kiilto Oy Pirjo I. Korhonen

Turvallisuus on muutakin kuin paloturvallisuutta / Joona Vuorenpää, Viljami Vuorela, Tuomo Karppinen

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Tietojärjestelmän osat

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

T Henkilöturvallisuus ja fyysinen turvallisuus, k-04

Turvallisuustutkinnan havainnot ja suositukset

Vikasietoisuus ja luotettavuus

RISKIEN HALLINTA. Timo Malin VAMK

Ohjelmistotuotteen hallinnasta

Transkriptio:

Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 4.Luento Riskienhallinta osana turvallisuutta Riskianalyysimenetelmiä 1

Näkökulmia turvallisuuteen Vaatimusten täyttäminen Oman toiminnan tehokkuus Brandin kehittäminen ja ylläpito Turvallisuus oman toiminnan kehittäjänä Turvallisuuden tehtävänä on häiriöiden estäminen Optimointiongelma Vahinko määritettävissä Turvallisuuden kulut määritettävissä Insinöörimäinen näkökulma 2

Motivaatio Turvallisuus on häiriöiden estämistä Turvallisuus on kulujen pienentämistä Turvallisuus on laiskuutta Turvallisuustyötä tehdään oman edun takia Vakuuttaminen Vakuuttaminen on tapa siirtää osa riskistä vakuuttajalle Vakuuttaminen perustuu todennäköisyysmatematiikkaan Jos keskimäärin tapahtuu auto-onnettomuus 0,01% todennäköisyydellä vuodessa, ei yksittäinen ihminen tiedä osuuko se hänelle Jos vakuutusyhtiöllä on 100000 asiakasta 100 joutuu auto-onnettomuuteen Vakuutusyhtiö laskee odotettavissa olevat korvaukset ja laskuttaa ne asiakkailta 3

Vakuutuslajit Yleensä vain puhtaat riskit ovat vakuutettavia, ei spekulatiiviset Vahinko Eläke Itseen kohdistuva toiselle aiheutettu Pakollinen vapaaehtoinen Ihminen omaisuus toiminta - vastuu Paikalliset ja yleiset uhat Riskiä ja sen seurauksiaarviotaessa on otettava huomioon kehen se kohdistuu Kaikkii osapuoliin kohdistuva uhka ei heikennä omaa suhteellista asemaa markkinoilla Kukaan muukaan ei pysty parempaan Enemmän ymmärrystä Jos vahinko kohdistuu vain omaan yritykseen menetetään asemia kilpailijoille 4

Järjestelmille asetettavat vaatimukset Laatu Toiminnalliset vaatimukset Ympäristö n turvallisuu s Luotettavuusvaatimukset Su orituskykyvaatimukset Turvallisuusvaatimukset Termejä Uhka (threat) on jokin haitallinen tapahtuma, joka saattaa tapahtua. Uhan numeerinen arvo on todennäköisyys. Haavoittuvuus (vulnerability) on järjestelmässä oleva heikkous, joka lisää tapahtuman todennäköisyyttä tai kasvattaa sen aiheuttamia vahinkoja. Riski (risk) on vahingon odotusarvo. Se saadaan kertomalla todennäköisyys vahingon suuruudella. 5

Riski Uhka Haavoittuvuus Vahinko Riski Riskin poistaminen Riskin pienentäminen Riskin hyväksyminen Riskienhallinta R iskienhallinta Riskien arvionti Riskien torjunta - Uhka-analyysi - Seurausten määrittely - Suojaustason määrittely - Suojausmenetelmien valinta - Suojaukset - Suojausten ylläpito 6

Jatkuva parantaminen Riskien löytäminen ja arviointi Riskienhallintamenetelmät - Riskien välttäminen - Riskien pienentäminen - Riskien siirtäminen - Riskin hyväksyminen Seuraavat toimenpiteet - Valvonta - Oppiminen Turvallisuus tapahtuma Riskienhallinta prosessina Riskien määrittely Uhka-analyysi Estävät toimenpiteet Riskien arviointi Suojausmenetelmien valinta Jälkitoimenpiteet Valvonta Turvallisuus tapahtuma 7

Vaatimusten asettaminen Probability (T) 1 = 1/100 or seldom 2 = 1/30 year 3 = 1/10 year 4 = 1/3 year 5 = once a year or more often Loss of property ( O) 0 = 0,0-0,1 MFIM 1 = 0,1-0,5 MFIM 2 = 0,5-2 MFIM 3 = 2-5 MFIM 4 = 5-10 MFIM 5 = over 10 MFIM Loss of production (K) 0 = less than a week 1 = week 2 = month 3 = 1-3 months 4 = 3-12 months 5 = over 12 months R = T * (O + K) Concequences 1 2 3 4 5 1 1 2 3 4 5 2 2 4 6 8 10 3 3 6 9 12 15 4 4 8 12 16 20 5 5 10 15 20 25 Kysymyslistat Yksinkertainen riskianalyysimenetelmä Vastataan joukkoon kysymyksiä Vastauksista voidaan yksinkertaisesti johtaa analyysin tulos Menetelmän hyvyys riippuu kysymysten hyvyydestä ja niiden tulkinnasta 8

Kysymyslista Fyysinen suoja Ovatko konesalintilat omana palo -osastona ja varustettu automaattisin paloilmoitinlaittein Ovatko varmuuskopiot vähintään 2 tunnin paloluokitellussa kaapissa Tunnetaanko atk-tilojen vesivuotoriski ja onko suojaustoimenpiteet tehty Henkilökunta Onko henkilökunta tietoinen heiltä odotettavista tietoturvallisuustoimenpiteistä ja toiminnasta hätätilanteissa Onko olemassa ohjeet palkattavan atk-henkilöstön taustantarkistuksista Onko olemassa ohjelma uuden henkilökunnan tietoturvallisuuskoulutuksesta Valvontamenettelyt Onko määritelty, kenellä on pääsyoikeus tiedostoihin Onko olemassa pääsynvalvontaohjelmisto ja raportointi arkojen tiedostojen käytön valvontaan Onko pääsynvalvonta rakennettu hyväksytyn tietojen luokituksen perusteella Saadaanko atk-tiloihin tunkeutumisesta ilmoitus murtohälytysjärjestelmällä Onko avainhenkilöriskit kartoitettu ja sijaisuusjärjestelyt olemassa Identifioidaanko järjestelmään ja tiedostoihin pääsy yksilöllisellä tunnistuksella PTS: Tietojenkäsittelyn turvaaminen ja valmiussuunnittelu Vikapuut Fault Tree analysis (FTA) Mahdolliset korkeimman tason viat löydettävä muilla menetelmillä Mahdolliset syyt korkeamman tason vikaan analysoidaan ja liitetään puuhun, kunnes päädytään ensisijaisiin tapahtumiin Käytetään lähinnä olemassaolevien järjestelmien arviointiin 9

Vikapuu Potilaalle määrätään väärä hoito Kriittinen raja ylitetään mutta tilannetta ei korjata ajoissa Havaintotiheys on liian harva Olennaisia tietoja ei raportoida Hoitaja on syöttänyt väärät ohjeet Tietokone ei lue tietoja Tietokone ei hälytä Hoitaja ei reagoi tietoihin Hoitaja ei huomaa tietoja Vika sensorissa Tapahtumapuu Event tree analysis (ETA) Kehitetty edelleen vikapuista 10

Tapahtumapuu Putkirikko Sähkönsyöttö Hätäjäähdytys Uraanin poisto Suojarakennuksen kesto Toimii Toimii 1-P5 P1 Toimii 1-P4 Ei toimi P5 P1 * P5 1-P3 Ei toimi Toimii 1-P5 P1 * P4 Käynnistävä tapahtuma P1 Toimii 1-P2 Ei toimi P2 Ei toimi P3 P4 Toimii 1-P4 Ei toimi P4 Ei toimi P5 P1 * P4 * P5 P1 * P3 P1 * P3 * P4 P1 * P2 Syy-seuraus -analyysi Lähtökohtana kriittinen tapahtuma Määrittelee kriittisen tapahtuman seuraukset ja syyt, jotka johtavat niihin Useita vaihtoehtoisia seurauskaavioita voidaan yhdistää kuvaamaan eri mahdollisuuksia 11

Hazop Hazard and Operability analysis Useita vaiheita Suunnitellun toiminnan määrittely Mahdolliset poikkeamat suunnitellusta Poikkeamien aiheuttajien määrittely Poikkeamien seuraukset Pohdittavia toimintoja Ei toimi, enemmän, vähemmän, osittain, käänteisesti, yllätys Liittymäanalyysi Tutkii komponenttien välisiä yhteyksiä ja suhteita Tarkastelussa mahdollisia ongelmia Ei vastetta, vähentynyt, väärä (laillinen), liian suuri, virheellinen (laiton) vaste ja sivuvaikutukset 12

FMEA Failure Modes and Affects Analysis Yksittäisten laitteiden tai kytkentöjen arviointiin A Critical Failure probability Failure mode % Failures by mode Effects critical B Effects noncritical A 1E10-3 Open 90 X Short 5 1E10-5 B 1E10-3 Other Open 5 90 1E10-5 X Short 5 1E10-5 Other 5 1E10-5 Tilakoneanalyysi Järjestelmä koostuu tiloista ja niiden välisistä siirtymistä Vaaralliset tilat on löydettävä Vaarallisiin tiloihin johtavat siirtymät on estettävä Sellaisenaan soveltuu pieniin järjestelmiin Suuremmissa järjestelmissä on käytettävä loogisia pseudotiloja, joiden avulla eri tilojen määrä saadaan pidettyä riittävän pienenä 13

Tietotekniikassa huomioitava Laitteisto Viat aiheutuvat heikkouksista suunnittelussa, tuotannossa ja ylläpidossa Viat aiheutuvat kulumisesta tai fysikaalisista ilmiöistä. Ilmiö on usein havaittavissa ennen vikaa Luotettavuutta voidaan parantaa ennaltaehkäisevällä huollolla Luotettavuus muuttuu ajan mukaan Komponenttien vikatiheyttä voidaan ennustaa Osien rajapinnat ovat näkyviä Luotettavuus riippuu fyysisistä olosuhteista Luotettavuutta voidaan parantaa monistamalla Ohjelmisto Viat aiheutuvat ensisijaisesti heikkouksista suunnittelussa. Korjauksilla estetään vikojen näkyminen Kulumista ei tapahdu. Yleensä vikaa ei havaita etukäteen. Ennaltaehkäisevä huolto ei ole mahdollista Aika ei vaikuta. Vika ilmenee, kun suoritetaan viallinen osa koodia Komponenttien vikatiheyttä ei voida ennustaa Osien rajapinnat ovat kuvitteellisia Ulkoiset olosuhteet eivät vaikuta Luotettavuutta parannetaan erilaisuudella Standardien käyttö Standardin tarkoituksena on helpottaa elämää ja alentaa kustannuksia Tilaaja voi yksittäisten vaatimusten sijasta vaatia tietyn standardin noudattamista Toimittajan ei tarvitse räätälöidä tuotetta kunkin asiakkaan vaatimusten mukaiseksi Toimittaja voi sertifioida tuotteensa kerran eikä vaatimusten täyttämistä tarvitse erikseen todistaa joka asiakkaalle Tilaajan ei tarvitse itse verifioida tuotetta 14

Standardit turvallisuudessa Viranomaisten vaatimuksia Esim. palo-ovet Vakuutusyhtiön ehtoja Lukot Hyviä toimintatapoja ISO 17799 Valmiita ratkaisuja EAS Yhteenveto Riskienhallinta on johdon työväline Riskienhallintaan kuuluu Uhkien löytäminen Riskien arviointi Riskin ehkäisy, pienentäminen ja siirtäminen Riskin ottaminen 15

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute