Sähköisen palvelun l tietototurvatason arviointi Kirsi Janhunen
Arviointia tehdään monesta syystä Itsearviointi Sisäinen arviointi Sisäinen tarkastus Vertaisarviointi Ulkoinen arviointi Lähtökohtana usein vaatimustenmukaisuus
Ennen arviointia tulisi tunnistaa Keskeisimmät ympäristöön kohdistuvat riskit ja niiden perusteella kustannustehokkaimmat turvakontrollit Ympäristön keskeiset ja kriittiset komponentit Palveluun kohdistuvat vaatimukset (salassapito, käytettävyys, eheys, kiistämättömyys, todennettavuus) Palvelun kriittiset riippuvuudet Sopimukset Palvelutuottajat Keskeiset dokumentit, ohjeet ja linjaukset Keskeisimmät ympäristöön kohdistuvat vaatimukset
Milloin arviointi olisi parasta tehdä Osa arvioinnista jollakin tasolla tulisi tehdä reilusti ennen käyttöönottoa Käyttöönoton aikaan Keskeisten muutosten kohdalla Vakavien puutteiden korjaus käyttöönottovaiheessa on usein kallista Vakavien puutteiden korjaus käyttöönottovaiheessa on usein kallista, sen vuoksi kannattaa panostaa varhaiseen vaikuttamiseen
Mihin nähden arviointia tehdään Arviointi koostuu kokonaistarkastelusta, jonka osana on usein tarkastus, katselmointi, ti auditointi i ti tai useampia Arviointi tehdään usein johonkin vaatimuslähteeseen, viitekehykseen, sopimukseen, sitoumukseen tai ohjeisiin nähden
Viitekehyksiä Valtionhallinnon yhteinen arviointikehikko VAHTI 2/2010 Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta VAHTI 3/2010 Sisäverkko-ohje VAHTI 3/2011 Valtion ICT-hankintojen tietoturvaohje VAHTI 3/2012 Teknisen ympäristön tietoturvataso-ohjeohje VAHTI 1/2013 Sovelluskehityksen tietoturvaohje VAHTI 5/2013 Päätelaitteiden tietoturvaohje KATAKRI ITAF A Professional Practises Framework for IS Audit/Assurance www.isaca.org COBIT SFS-ISO/IEC 27001 Tietoturvallisuuden hallintajärjestelmät
Suunnittelu Toteutus Raportointi Seuranta Auditoinnin tyypillinen kulku Ks. ISO 19011 ja ISO 27007
Arvioinnin sisältö, esimerkki Palvelulle asetetut tietoturvatavoitteet Yleiset toteutusperiaatteet Sopimussuhteet Tietoliikenneturvallisuus (dokumentointi, arkkitehtuuri, segmentointi, kaapelointi, rakenteet, tietoliikennelaitteet, tekniset kontrollit ja salaus, yhteyksien hallinta, testaus ja valvonta) Laitteiden turvallisuus (laitteistokirjanpito, omistajuus, sähkönsyöttö, käyttöolosuhteet, asennukset, laitehallinta, huolto ja kunnossapito, elinkaaren hallinta) Ohjelmistoturvallisuus (versionhallinta, päivitykset, lisensointi, muutokset, varmistusmenettelyt) Haittaohjelmien torjunta, tietoturvahaavoittuvuuksien hallinta Lokimenettelyt, toipumissuunnittelu, varajärjestelmät Tuotanto- ja kehitysympäristöjen eriyttäminen Käyttöoikeuksien käsittely, hallinta, roolit ja autentikointitapa järjestelmissä Vaarallisten työyhdistelmien välttäminen Järjestelmäkohtainen tietoturvaohjeistus Sallitut käyttötavat Ylläpito, tuki ja palveluvasteet Henkilöstön saatavuus, hälytys- ja varallaolotoiminta
Tietoturvallisuuteen liittyvää lainsäädäntöä valtionhallinnossa Laki viranomaisten i toiminnan i julkisuudesta 621/1999 ja asetus viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta 1020/1999 Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa 681/2010 Laki kansainvälisistä tietoturvallisuusvelvoitteista 588/2004
Tietoturvallisuuden arviointia koskeva lainsäädäntö valtionhallinnossa Laki viranomaisten i tietojärjestelmien t j t i ja tietoliikennejärjestelyjen arvioinnista 1406/2011 Laki tietoturvallisuuden arviointilaitoksista 1405/2011 Turvallisuusselvityslaki 726/2014
KATAKRI uudistuksessa Kansallinen turvallisuusauditointikriteeristö Osa-alueita uudistettu Turvallisuustasot poistettu Tiloihin aluejako Tietoihin ja niiden käsittelyyn suojaustasot aso (ST IV-III)