Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi Järjestelyihin liittyviä asioita Tilatkaa opetusmonisteet Oppimateriaali Ei kalvoja Kotisivu Päivittyy Kalvot 1
T-126.115 Special Course on Industrial IT Fault Tolerance for System's of the system. With examples of real system has brought fault tolerance not only as a theoretical research Survivability (3cr) P Lecture: Friday / 15 17, Innopoli 2, Room A 346, Introduction Meeting: 28/01/05 www.hut.fi/~hlenryco/course/t-126.115_(spring2005).html 2.Luento Johtaminen Turvallisuusjohtaminen ja turvallisuuden organisointi yrityksessä Turvallisuus yrityksen liiketoiminnan osana Turvallisuustoiminnan sisältö, tavoitteet ja organisointi Tiedottaminen 2
Turvallisuus keinona profiloitua Monet asiakkaat ovat valmiita ostamaan turvallista tuotetta ja myös maksamaan siitä Monet asiakkaat halauavat siirtää osan riskistä alihankkijalle ja edellyttävät tiettyä turvatasoa tai toimintavarmuutta Turvallisille tuotteille ja palveluille on olemassa omat markkinansa, jossa hinta ei välttämättä ole tärkein valintaperuste Turvallisuus ja tehokkuus Turvallisuuden tehtävänä on estää häiriöitä varsinaisessa toiminnassa Tehokas toiminta edellyttää häiriöttömyyttä Jos kaikki aika kuluu sotkujen siivoamisessa ei aikaa riitä varsinaiselle työlle 3
Turvallisuusjohtamisen malleja TT-Yritysturvallisuustoimisto Teollisuuden keskusliiton yritysturvallisuustoimisto on useita vuosia toiminut turvallisuustoiminnan edistäjänä teollisuudessa Valmistaa materiaalia ja järjestää koulutusta turvallisuuteen liittyen Perustuu Markku Pesosen väitöskirjaan yrityksen turvallisuusjärjestelyistä (1993) 4
Administrative Security Physical Secu rity Personel Security Transportation Security Fire Prevention Emergency Supply Information Security Risk Management Environm ental Protection Safety VAHTI Valtionhallinnon tietoturvallisuuden johtoryhmä on valtiovarainministeriön johdolla toimiva ryhmä, jossa on edustaja keskeisistä ministeriöistä ja laitoksista Ensimmäinen periaatepäätös tietoturvallisuudesta 1992 Useita ohjeita tietoturvallisuuteen liittyen 5
Confi de ntiali ty Integrity Availability ISO 17799 Alkujaan British Standard, nykyään kansainvälinen standardi Esittelee joukon kontrolleja, jotka on tuotava normaalien työprosessien osaksi Etuna standardinomaisuus Yhdenmukainen tapa Helppo tarkastaa 6
Tietoturvallisuus Tietoturvallisuuden tarkoituksena on taata liiketoiminnan jatkuminen ja minimoida liiketoiminnalle aiheutuvat vahingot estämällä ja minimoimalla turvallisuuteen liittyvien tapahtumien vaikutus Standardin rakenne Turvallisuuspolitiikka Turvallisuuden organisointi Tietoaineistojen luokitus ja valvonta Tietoturvallisuus henkilöstön kannalta Fyysinen turva ja turva ympäristöä vastaan Tietokoneiden ja tietoverkkojen hallinta Järjestelmään pääsyn valvonta Tietojenkäsittelyn kehittäminen ja ylläpito Liiketoiminnan jatkuvuuden suunnittelu Vaatimustenmukaisuus 7
Avaintoimenpiteet Tietoturvallisuuspolitiikan määrittelyasiakirja Tietoturvallisuutta koskevien vastuiden jako Tietoturvallisuuden koulutus ja harjoittelu Turvallisuuteen liittyvien tapahtumien raportointi Virustarkistukset Liiketoiminnan jatkuvuuden suunnitteluprosessi Tekijänoikeuden suojaamien ohjelmien kopioinnin valvominen Organisaatiota koskevien tallenteiden valvominen Tietosuoja Turvalllisuuspolitikan noudattaminen Muita ISO-standardeja ISO 15408 Common Criteria Tietojärjestelmien luokittelu ISO 21827 Security Engineering Capability Maturity Model Organisaation kyky toteuttaa tietoturvallisuuteen liittyviä prosesseja 8
Oma malli Kehitys aloitettiin osana puolustusvoimien turvallisuustoiminnan suunnittelua Pyrkii helpottamaan turvallisuustoiminnan organisointia Toi minna n turvallisuus Toim itilaturvallisuus Henkilöturvallisuus Tieto Henkilö Materia Maine Tietotekninen tur vallisuus 9
Suojattavat kohteet Erilaiset asiat, jotka ovat arvokkaita organisaatiolle Arvo voi perustua Rahallinen arvo Toiminnallinen arvo Mielikuva-arvo Omaisuus Arvo-omaisuus Rahallinen arvo Raha, arvopaperit, taide Kiinteistöt Toiminnallinen arvo (toimitilat) Rahallinen arvo (sijoitukset) Koneet ja laitteet Toiminnallinen arvo Varasto Toiminnallinen arvo 10
Tieto Välttämätöntä toiminnalle Raaka-aine Toimintatapa Rahallinen arvo Tiedon saamiseksi tehty työ Myytävä tieto Tiedon arvo määräytyy myös sen mukaan kuinka harva sen tuntee Henkilöt Ihmisissä yhdistyvät omaisuus ja tieto Käsipareja Tietovarastoja 11
Maine Yrityksen toiminnan kannalta usein yhtä tärkeää kuin omaisuus ja tieto Vaikuttaa ihmisten ostopäätöksiin Vaikuttaa osakkeiden arvoon Pakolliset suojausmenetelmät Menetelmät, joiden täytyy olla olemassa kaikissa yrityksissä Perusta kaikille muille toimenpiteille 12
Turvallisuusjohtaminen Turvallisuuden yhdistäminen liiketoimintaan Liiketoiminnan suojaaminen Turvallisuustason valinta Riskianalyysi Turvallisuustoiminnan organisointi Luokittelu Etsitään toiminnan kannalta olennaiset asiat Todetaan, millä tavalla ne ovat arvokkaita Luottamuksellisuus eheys käytettävyys Päätetään, kuinka arvokkaita ne ovat jollakin asteikolla 13
Valinnaiset menetelmät Valinnaisilla menetelmillä rakennetaan varsinainen suojaus Menetelmistä valitaan tilanteeseen ja kohteeseen parhaiten sopivat On tärkeää pitää suojaus yhtä vahvana kaikkialla, vaikka menetelmät vaihtuisivatkin välillä Fyysinen turvallisuus Myös toimitilaturvallisuus tai tilaturvallisuus Luodaan erilaisia alueita, joille pääsyä rajoitetaan ulkopuolisilta Voidaan jakaa estämiseen, havaitsemiseen ja torjumiseen 14
Tietotekninen turvallisuus Luodaan erilaisia alueita, joille pääsyä rajoitetaan ulkopuolisilta Voidaan jakaa estämiseen, havaitsemiseen ja torjumiseen Henkilöstöturvallisuus Määrittelee, kuka on ulkopuolinen Varmistaa, että henkilökunnasta ei ole uhkaa Turvallinen työhönotto Turvallisuus osana kehitystä Turvallinen ulospotkiminen Varmistaa henkilökunnan pätevyyden ja osaamisen 15
Toiminnan turvallisuus Toiminnan laatu Varsinainen työ on suunniteltu niin, että se tehdään turvallisesti Resursseja on riittävästi Henkilöitä Aikaa Kunnolliset prosessit, joita pystytään valvomaan Turvallisuuden organisointi perinteisesti Yrityksissä on määräysten mukaan oltava joukko vastaavia henkilöitä Suojelujohtaja, valmiuspäällikkö, työsuojelupäällikkö,... Turvallisuustietoisessa yrityksessä on myös turvallisuuspäällikkö Turvallisuuspäällikkö tekee ohjeet turvallisuusasioissa (=ovien lukitseminen) ja valvoo niiden noudattamista 16
Tulos- ja turvallisuusjohtaminen Turvallisuus on osa normaalia johtamista Ylempi taso antaa tiettyjä turvallisuuteen liittyviä reunaehtoja ja alempi taso toimii niiden puitteissa Alempi taso voi itse päättää toimintansa edellyttävän joissakin asioissa korkeampia vaatimuksia kuin ylhäältä edellytetään 90 Get requirement from the upper level The mail service has to work Assign the requirements for the subprocesses 90 The Internetconnection has to work 90 The Intranetconnection has to work 45 Mail server A has to work 45 Mail server B has to work 90 The workstation has to work Send the requirements to the lower level 17
Oman mallin organisointi Turvallisuusjohtaminen on osa johdon työtä Johto asettaa vaatimukset vastaamaan likketoimintastrategiaa Henkilöstöturvallisuus on turvallista henkilöstöhallintoa Palkkaus, tuloskeskustelut ym. ovat normaaleja henkilöstöhallinnon prosesseja Fyysinen turvallisuus liittyy kiinteistöhallintoon Tietotekninen turvallisuus liittyy tietohallintoon Toiminnan turvallisuus on jokaisen esimiehen vastuulla Ulostaminen Jos vaadittavat turvallisuustasot ja reunaehdot on määritelty kunnolla organisaation sisällä, on myös toimintojen ulkoistaminen helppoa Turvallisuusteen liittyvät vaatimukset on kirjattava sopimuksiin Turvallisuudesta maksettava hinta on osa palvelun hintaa 18
Turvallisuustiedottaminen Kun jotain tapahtuu, tiedottaminen on osa tapahtuman käsittelyä Suunniteltaessa etukäteen toimenpiteitä on suunniteltava myös tiedotus Kuka tiedottaa Kuinka paljon kerrotaan Mitä pyydetään Tiedottamisen onnistuminen vaikuttaa Maineeseen Toiminnan jatkumiseen Tiedottamisen tavoitteet Osapuolet tietävät mitä on tapahtunut Osapuolet osaavat toimia oikein uudessa tilanteessa Luottamus säilyy 19
Tiedottamisen ongelmat Ei ole päätetty, kuka tiedottaa Useita ristiriitaisia viestejä Ketä uskotaan? Tiedottaja ei tiedä riittävästi Viesti on väärä tai epäuskottava Kerrotaan vääriä asioita Paljastuu huijaukseksi Selittelyä Yhteenveto Turvallisuuden avulla voidaan tehostaa tuotantoa ja profiloitua markkinoilla halutulla tavalla Turvallisuuden organisointiin on olemassa erilaisia tapoja ja malleja, organisointi on tehtävä organisaatiolle luonnollisella tavalla Tiedottaminen on suunniteltava osana turvallisuutta 20