Enterprise Security Architecture. Luvut T Yritysturvallisuuden seminaari Mats Malmstén

Enterprise Security Architecture Luvut 13-14 T-110.5690 Yritysturvallisuuden seminaari Mats Malmstén

Luku 13: Component Security Architecture Standardien hyöty ASN.1 ja XML muiden standardien pohjana Suurimmat standardisointijärjestöt Useimmiten käytetyt komponentit turvallisuusjärjestelmissä XML pohjaisia turvallisuus standardeja Protokollien paikka protokollapinossa

Detailed Data Structures Komponenttien yhteensopivuus Yhteensopivat rajapinnat Yhteensopivat viestit

Detailed Data Structures Abstract Syntax Notation (ASN.1) Kuvailtu ISO/IEC 8824 Sovellustason protokollien data rakenteiden määrittelemiseen Valmiit data tyypit (BIT STRING, BOOLEAN, CHARACTER STRING jne.) Valmiit tyypit ajalle (UTCTime, GeneralizedTime) Struktuuri tyyppejä - Voidaan rakentaa uusia tyyppejä yhdistelmällä muita tyyppejä (CHOICE, SEQUENCE, SET)

Detailed Data Structures ASN.1 jatkuu Hierarkkinen tyyppien määrittäminen Esim. ClientServerProtocol ::= CHOICE { clientrequest [0] ClientRequest serverresponse [1] ServerResponse } ClientRequest ::= SEQUENCE { reqrefnumber [0] INTEGER clientname [1] IA5String reqtime [2] UTCTime clientpayoad [3] ClientPayload }

Detailed Data Structures ASN.1 jatkuu Objektitunnisteet Kokonaislukulista joka määrittelee objektin paikan hierarkkisessa puurakenteessa 0 ITU 0 Standard Root 1 ISO 2 Member Country RSADSI 2 Joint-ISO-ITU 840 113549 US 2 Digest Algorithms 5 MD5 OBJECT ID {1, 2, 840, 113549, 2, 5} Binäärienkoodaussäännöt (BER, DER)

Detailed Data Structures Extensible Markup Language(XML) Metakieli jonka avulla määritellään dokumenttien sisältö Esim. <Account> <ID>001</ID> <Balance>3,020.22</Balance> <Active>1</Active> </Account> Dokumentit ovat täysin vapaasti määriteltävissä

Detailed Data Structures XML jatkuu XML on uusi sukupolvi EDI:stä (electronic data interchange) Paljon voimakkaampi kuin vanhempi EDI Tarvitsee sisäänrakennetut turvallisuusmekanismit jotta sitä voidaan käyttää kaupalliseen tarkoitukseen Confidentiality, integrity, authenticity, nonrepudiation, authorization, accountability jne. Valmiita turvallisuusstandardeja on jo olemassa

Detailed Data Structures ASN.1 - XML suhde Eivät kilpaile toistensa kanssa Soveltuvat eri asioihin ASN.1 määrittelee kommunikaatioprotokollia XML enkoodaa dokumenttien vaihtoa XML:llä laajemmat käyttömahdollisuudet ASN.1 tehokkaampi, käytetään missä tehokkuus on ehdotonta ASN.1 struktuureita voidaan ottaa mukaan XML dokumenttiin (esim. X.509 sertifikaatit)

Detailed Data Structures Tavallisia turvallisuus datastruktuureja Digitaaliset allekirjoitukset Digitaaliset sertifikaatit Sertifikaattien hallintaprotokollat Aikaprotokollat Autentikointivaihteet Turvallisuustoimintatapa dokumentit standardi struktuureilla (XML) XML antaa mahdollisuuden luoda monimutkaisia dokumentteja jotka voidaan lukea koneellisesti

Security Standards Standardit helpottavat komponenttien integroimista järjestelmiin Paljon eri standardeja ja lisää tulee kokoajan Ei järkeä tehdä kattava lista standardeista

Security Standards Suurimmat standardisointijärjestöt International Organisation for Standards (ISO) Maailmanlaajuinen standardisointijärjestö johon kuuluu organisaatioita yli 140 maasta Ei-valtiollinen organisaatio joka perustettiin 1947 Edistää kansainvälisen palveluiden ja tuotteiden vaihtamisen standardointia Paljon standardeja (tieto)turvallisuuteen liittyen

Security Standards International Electrotechnical Commission (IEC) Johtava maailmanlaajuinen organisaatio joka julkaisee standardeja sähköisiin, elektronisiin ja vastaaviin teknologioihin Edistää kansainvälistä yhteistyötä kaikkien sähköisten ja elektronisten asioiden kysymyksissä Yhteisiä standardeja ISO:n kanssa jos liikutaan samalla alueella

Security Standards Internet Engineering Task Force (IETF) Määrittelee standardeja Internetiä varten Vapaa kaikille kiinnostuneille Paljon turvallisuuteen liittyviä standardeja (19 työryhmää) Muodostaa RFC dokumentteja (Internet standardeja)

Security Standards Common Criteria Tehtävänä kansainvälisen turvallisuusevaluaation harmonisoiminen Tuo Pohjoisamerikan- ja Euroopan evaluontikriteeriat lähemmäksi toisiaan

Security Standards American National Standards Institute (ANSI) Yksityinen organisaatio joka koordinoi ja ylläpitää yhdysvaltojen vapaaehtoista standardisointi ja yhdenmukaisuus järjestelmää Tehtävänä edesauttaa yhdysvaltojen globaalia kilpailukykyä ja elämänlaatua Turvallisuuteen liittyvät standardisarjat X3 Information Processing Systems X9 Financial Services

Security Standards British Standards Institute (BSI) Brittien kansallinen standardisointijärjestö Tärkein kontribuutio tietoturvallisuudelle on BS7799: A Code of practice for Information Security Management Nykyään myös ISO/IEC 17799 BS15000: IT Service Management on toinen tärkeä standardi Tulossa PAS 56: Guide to Business Continuity Management

Security Standards International Telecommunications Union (ITU) Kansainvälisiä telekommunikaatiostandardeja YK:n alainen Monet ITU:n standardeista löytyy CCITT:n ja CCIR:n alta

Security Standards Institute of Electrical and Electronics Engineering (IEEE) Johtava auktoriteetti m.m. seuraavilla aloilla: tietotekniikka, biotekniikka, telekommunikaatio, sähkötekniikka kuluttajaelektroniikka Monet IEEE standardit otettu mukaan ISO/IEC standardeiksi, erityisesti verkkostandardit

Security Standards Information Systems Audit and Control Association (ISACA) Globaali johtaja IT hallinnassa, IT ohjauksessa ja IT vakuutuksessa Focus IT hallinassa CobiT (Control Objectives for Information Related Technology) tärkeä standardi

Security Standards Object Management Group (OMG) Standardeja objektipohjaisiin arkkitehtuureihin Standardeja: CORBA (Common Object Request Broker Architecture), UML, XMI, MOF Erityisen kiinnostava tietoturva arkkitehtuureihin liittyen on CORBA CSI (Common Secure Inter- Operability) v2 protokolla

Security Standards Organization for Advancement of Structured Information Standards (OASIS) Ei kaupallinen globaali yhtymä joka ajaa ebusiness standardien kehittämistä ja konvergenssia Tuottaa m.m. web service, XML, turvallisuus, transaktio standardeja YK:n tukema Tärkein XML:n kehittäjä

Security Standards The World Wide Web Consortium (W3C) Kehittää standardeja jolla webistä saataisiin irti täysi potentiaali Tärkeä maali yhteentoimivuus

Security Standards Organization for Economic Co-operation and Development (OECD) Maailman ekonomian kehittäminen Tuottaa turvallisuus ohjeita Guidelines for Security of Information Systems and Networks: Towards a Culture of Security

Security Standards US Federal Goverment Yhdysvaltojen valtion standardeja Standardeja valtion järjestelmien rakentamiseen Voivat olla hyödyllisiä myös yrityksissä Erityinen osa USA:n puolustusvoiminen standardit

Security Standards Standards Australia (SAA) / Standards New Zealand (SNZ) Australian ja Uuden-Seelannin standardeja Hyödyllisiä standardeja tietoturvallisuuden hallitsemiseen ja riskien hallintaan

Security Standards Japanese Industrial Standards Committee (JISC) Monen japanilaisen standardikomitean yhtymä Kehittää standardeja japanin teollisuutta varten JIS: Japanese Industrial Standards

Security Standards European Computer Manufacturer Association (ECMA) Monen valmistajan yhtymä Kehittää kansainvälisiä standardeja ja raportteja ICT järjestelmien standardoimiseen Edesauttaa standardien oikeaa käyttöä Vaikuttamalla ympäristöihin joissa niitä käytetää Sesame oli tärkeä projekti joka kehitti arkkitehtuurin keskitetylle autentikointi palvelulle

Security Standards European Telecommunications Standards Institute (ETSI) Kehittää eurooppalaisia telekommunikaatio standardeja Monipuolinen jäsenkanta Suuryrityksiä Valtion organisaatioita Edistää elektronisen kaupan käyttöä

Security Standards Wi-Fi Alliance Luotu varmistamaan langattomien verkkojen yhteensopivuus (IEEE 802.11 standardien mukaiset) Trusted Computing Group (TCG) Edistää avoimia standardeja luotettujenjärjestelmien luomiselle Määränpäänä parempi turvallisuus datan säilyttämiseen ja verkkokaupankäyntiin samalla kuin suojataan yksityisyyttä ja yksilön oikeuksia

Security Standards International Security Forum (ISF) Käytännön tutkimusta tietoturvallisuuteen Kattavimmat raportit maailmassa tietoriskien hallinnasta

Security Standards Valmistajien standardit Monet valmistajien omista standardeista hyödyllisiä Usein kehitetty koska standardisointijärjestöt ovat niin hitaita Public Key Cryptography Standards (PKCS) - RSA Security Secure Socket Layer - Netscape

Security Standards Sisäiset turvallisuusstandardit Muiden standardien lisäksi tarvitaan myös yrityksen sisäisiä standardeja Edistää yhdenmukaisuutta ja hyviä tapoja yrityksen sisällä Esim. Järjestelmä standardeja, salaus standardeja, salasanan hallinta standardeja, fyysisen turvallisuuden standardeja jne.

Security Products and Tools Antaa korkeantason kuvauksen turvallisuustuotteista ja niiden tavallisista toiminnoista

Security Products and Tools Component Type Component Type Component Type Component Type Component Type Anti-piracy tools Content filtering for web browsing File encryption products Role-based access control solutions Vulnerability scanning tools Anti-theft devices Cryptographic hardware Firewalls Secure middleware products Wireless security products Anti-virus scanners Cryptographic software tool-kits Intrusion detection systems Security auditing tools Biometric devices Data back-up management systems LAN security products Security shells Boot-protection software Directory products Operating platforms Single-sign-on authentication service solutions Business continuity planning and disaster recovery planning tools Document safes Personal authentication tokens and devices Smart cards CCTV monitoring E-mail encryption and authentication products Physical security alarms Software license management tools Computer forensics tools Enterprise security management tools PKI software Uninterruptible power supplies Content filtering for e- mail Fault-tolerant computing solutions Risk assessment tools VPN products

Identities, Functions Actions and ACLs Tärkeimmät toiminnalliset turvallisuusprotokollat ja niiden käyttö Fokus web palveluiden ympärillä (Web Service)

Identities, Functions Actions and ACLs Web palvelut Modulaariset komponentti toiminnot jotka voidaan yhdistää web sovellukseksi Web Service Any platform Any language Request Message Response Message Contract Exchange (XML) Listener Business Facade Web Service Interface Middleware Data Business Logic

Identities, Functions Actions and ACLs Palvelun käyttäjä voi olla kirjoitettu millä kiellä tahansa Kuuntelija (Listener) vain vastaanottaa ja lähettää XML viestejä (geneerinen) Fasadi tulkkaa pyynnöt XML <-> sisäiset viestit (spesifinen) Web palvelun toteuttamiseen tarvitaan Standardisoitu tapa esittää data (XML) Yhtenäinen, laajennettava viestimuoto (SOAP) Yhtenäinen, laajennettava palvelun kuvaus kieli (WSDL) Tapa jolla löytää palvelut tietyllä sivustolla (Disco) Tapa löytää palveluntarjoajat (UDDI)

Identities, Functions Actions and ACLs XML Schema Määrittelee yhtenäiset säännöt kieliopille ja prosessoinnille XML:ssä XML:n struktuurin, sisällön, syntaksin ja semantiikan Mahdollistaa ihmisten laatimien sääntöjen tulkkaamisen koneella

Identities, Functions Actions and ACLs Simple Objects Access Protocol (SOAP) Peer-to-peer viestinvaihto protokolla Tilaton, yksisuuntainen ja yksinkertainen Viestit kaksiosaisia: Header + Body Viestit välitetään SOAP solmujen kautta

Identities, Functions Actions and ACLs Web palveluiden turvallisuus ja luottamus Standardit nopeasti muuttuva alue XML Encryption Avoin standardi joka määrittää miten XML:n avulla voidaan esittää salattua dataa XML Signature Avoin standardi joka määrittää miten luoda XML pohjainen digitaalinen allekirjoitus

Identities, Functions Actions and ACLs SOAP Extensions: Digital Signature Avoin standardi miten allekirjoittaa SOAP viestejä XML Key Management Yhdistää PKI:n ja digitaaliset sertifikaatit XML sovelluksiin Security Service Markup Language (S2ML) Mahdollistaa yhteentoimivat turvalliset ebusiness transaktiot XML:n kautta

Identities, Functions Actions and ACLs S2ML jatkuu Välittää autentikointi, autorisointi ja käyttäjätietoja Trust assertions laajennus sertifikaatteihin Mahdollistaa luotettujen esitysten teon mistä tahansa tiedosta Suunniteltu auttamaan luottamus palvelujen toteuttamisessa Esimerkki palveluita: Payment Gateway service ja Authentication service

Identities, Functions Actions and ACLs Security Assertions Markup Language (SAML) Suunniteltu erityisesti security assertioneiden tekemiseen Se antaa rungon turvallisuusinformaation välittämiseen yrityspartnereiden välillä Internetin välityksellä Tarkoitettu toimivaksi olemassa olevien protokollien kanssa

Identities, Functions Actions and ACLs Web Services Security Language (WS-Security) Perustuu XML salaukseen ja allekirjoitukseen Kehittää SOAP:ia metodeilla jolla suojataan luottamuksellisuutta ja integriteettiä Kevyempi kuin SAML

Identities, Functions Actions and ACLs extensible Access Control Markup Language (XACML) Kuvailee tietojärjestelmän pääsyhallintaa Antaa mahdollisuuden yhdistää yksittäiset säännöt ja toimintatavat jaetuista entiteeteistä extensible Business Reporting Language (XBRL) Standardisoitu rajapinta automaattiselle business ja finanssitiedon siirrolle

Identities, Functions Actions and ACLs XML hyödyt Mahdollistaa kansainvälisen alustariippumattoman julkaisun Säästää rahaa; halpoja työkaluja, vähemmän koulutusta Lisää luotettavuutta Rohkaisee teollisuuden käyttää alustariippumattomia protokollia Mahdollistaa datan uusiokäytön myöhemmin

Identities, Functions Actions and ACLs XML turvallisuusongelmat Ajettavan koodin lisääminen XML dokumentteihin Allekirjoitetaan kaikki dokumentit jotta huomataan muutokset XML:n kulkeminen palomuurien läpi hallittava XML palomuurit Korkeamman tason filtteröintiä kuin perinteinen palomuuri Filtteröinti XML viestien sisällön perusteella

Processes, Nodes, Addresses and Protocols Turvallisuuteen liittyvien protokollien esittely Niiden paikka protokollapinossa

Processes, Nodes, Addresses and Protocols Protokollapino Protokollien paikka pinossa Business Applications Message Security (SAML, S2ML, WS-Security, XACML, SOAP Extensions) Object Security (CORBA, JAVA) XML Digital Signatures, XML Encryption, XML Key Management S-HHTP HTTP FTP SMTP SSL & TLS TCP/UDP IPSec IP Sub-network

Processes, Nodes, Addresses and Protocols Hypertext Transfer Protocol (HTTP) Käytetään kommunikaatiossa web asiakkaan ja palvelimen välillä Onnistunut koska se on yksinkertainen ja mahdollistaa suuren asiakaskannan Perustana koko web maailmalle ja alustanan kaikille sovellustason protokollille

Processes, Nodes, Addresses and Protocols Secure HTTP (S-HTTP) Muutettu versio HTTP protokollasta Sisältää monia mekanismeja luotettavuuden, autentikoinnin ja eheyden varmistamiseksi S-HTTP sisäistää HTTP viestit eri tavalla HTTPS HTTP viestien lähettäminen SSL tai TLS salauksen yli

Processes, Nodes, Addresses and Protocols SSL ja TSL Netscape loi SSL (Secure Socket Layer) protokollan (patentoitu) TLS (Transport Layer Security) on IETF:n vastine Takaa ainoastaan että data on salattu pisteen A ja B:n välillä.

Processes, Nodes, Addresses and Protocols IPSec Ryhmä standardeja jotka kuvaavat miten krytpologinen turvallisuus integroidaan IP tasoon. Voidaan ajaa joko kuljetus tai tunneli moodissa Kuljetus salaa vain sisällön Tunneli piilottaa myös osoitteet Ei pakollista salausalgoritmia Usein käytetään MD-5 tai SHA salausta

Processes, Nodes, Addresses and Protocols IPSec jatkuu Hyvä VPN tunneleihin Ei takaa sovelluksen luotettavuutta Takaa vain verkkoturvallisuuden DNSec Mahdollistaa DNS viestien autentikoimisen Ei tue DNS viestien salausta

Processes, Nodes, Addresses and Protocols Simple Authentication and Security Layer (SASL) Kuvattu RFC 2222 Joustava turvallisuusprotokolla joka tuo autentikointi mahdollisuuden yhteyksiä tukeville protokollille

Security Step-Timing and Sequencing Riippuu paljon laitteiston suorituskyvystä Eri komponenttien synkronoiminen

Component Security Service Yhteenveto Tärkeimmät asiat yhteensopivuus ja yhdenmukaisuus komponenttien välillä Protokollat toimivat viestinvälittäjinä komponenttien välillä Uusia standardeja julkaistaan kokoajan

Luku 14: Security Policy Management Turvallisuuden menettelytapojen looginen malli turvallisuusvaatimuksille riskien lievennykseen Turvallisuuden menettelytavan käyttäminen vahvan turvallisuuskulttuurin luomiseen Miten käyttää riskien arviointia menettelytavan tason määrittämiseen

Security Policy Management Kompleksisuus ja rakeisuus vastaan tehokkuus Miten luoda hierarkkinen toimintatapa-arkkitehtuuri SABSA tasojen mukaan Miten luoda organisaation struktuuri joka tukee toimintatavan luomista, toteuttamista ja hallintaa Miten hallita toimintatapaa ulkoistuksen kanssa Ei seuraa tarkasti SABSA mallin soluja

Security Policy Turvallisuustoimintatapojen tarkoitus Enemmän kuin paperi tai dokumentti jossain Jotain elävää joka kehittyy ajan myötä ja on osa yrityskulttuuria Kertoo mitä johto odottaa työntekijöiltä

Turvallisuustoimintatapa struktuuri Eri tapoja strukturoida toimintatapa Tärkein kysymys on: Mikä on toimintatavan tarkoitus? Kenen toimintoihin sen on tarkoitus vaikuttaa? Jos ryhmästä tulee liian iso kannattaa miettiä jos toimintatavan aluetta voi pienentää Toimitavan sisältö pitää olla tarkoituksenmukainen koko sen kohdeyleisölle

Toimintatavan hierarkia ja arkkitehtuuri Tarvitaan eri toimintatavat eri ihmisryhmille Korkeimman tason toimintatapa on kaikille mutta hyvin karkealla tasolla CEOn viesti yritykselle Tämän alle tarkempia toimintatapoja eri alaryhmille yrityksen sisällä Nämä antavat tarkempaa tietoa kohdennetusti

Toimintatavan hierarkia ja arkkitehtuuri Over-arching Business Operational Risk Management Policy Information Security Policy Physical Security Policy Business Continuity Policy CA and RA Security Policies Infrastructure Security Policies Anti-virus Policy Remote Access Policy Network Security Platform Security Acceptable Use Policy Line of Business Application Security Policies Application 1 Security Application 2 Security Application 3 Security Application 4 Security Application 5 Security Security Rules, Practices and Procedures Security Standards Implementation Guidelines Looginen Taso Fyysinen Taso Komponentti Taso Toiminnallinen Taso

Toimintatavan hierarkia ja arkkitehtuuri Ylin taso yhdistää kaikki yhteiset toiminnallisen riskien hallinnan teemat Asetukset ovat samoja kaikille yrityksen alueille Parempi kerätä tiedot yhteen paikkaan kuin että se levitettäisiin yksittäisiin toimintatapoihin Over-arching Business Operational Risk Management Policy Information Security Policy Infrastructure Security Policies Anti-virus Policy Remote Access Policy Network Security Platform Security Acceptable Use Policy Physical Security Policy CA and RA Security Policies Business Continuity Policy Line of Business Application Security Policies Application 1 Security Application 2 Security Application 3 Security Application 4 Security Application 5 Security Security Rules, Practices and Procedures Security Standards Implementation Guidelines

Toimintatavan hierarkia ja arkkitehtuuri Seuraavalla tasolla jaetaan toimintatavat vastaamaan mitä operatiivista riskiä ne vähentävät Tärkeimmät ovat tietoturvallisuus, fyysinen-turvallisuus ja jatkuvuuden varmistaminen Over-arching Business Operational Risk Management Policy Information Security Policy Infrastructure Security Policies Anti-virus Policy Remote Access Policy Network Security Platform Security Acceptable Use Policy Physical Security Policy CA and RA Security Policies Business Continuity Policy Line of Business Application Security Policies Application 1 Security Application 2 Security Application 3 Security Application 4 Security Application 5 Security Security Rules, Practices and Procedures Security Standards Implementation Guidelines

Toimintatavan hierarkia ja arkkitehtuuri Kolmas taso on sertifiointi ja rekisteröinti toimintatavat Nämä toimintatavat määrittävät miten turvallisuutta hoidetaan niissä osastoissa jotka vastaavat sertifikaateista ja rekisteröinnistä Over-arching Business Operational Risk Management Policy Information Security Policy Infrastructure Security Policies Anti-virus Policy Remote Access Policy Network Security Platform Security Acceptable Use Policy Physical Security Policy CA and RA Security Policies Business Continuity Policy Line of Business Application Security Policies Application 1 Security Application 2 Security Application 3 Security Application 4 Security Application 5 Security Security Rules, Practices and Procedures Security Standards Implementation Guidelines

Toimintatavan hierarkia ja arkkitehtuuri Neljäs taso käsittelee eri infrastruktuurien tai sovellusten toimintatapoja Näiden jako riippuu miten tarkkoja tai yleisiä toimintatapoja halutaan Over-arching Business Operational Risk Management Policy Information Security Policy Infrastructure Security Policies Anti-virus Policy Remote Access Policy Network Security Platform Security Acceptable Use Policy Physical Security Policy CA and RA Security Policies Business Continuity Policy Line of Business Application Security Policies Application 1 Security Application 2 Security Application 3 Security Application 4 Security Application 5 Security Security Rules, Practices and Procedures Security Standards Implementation Guidelines

Toimintatavan hierarkia ja arkkitehtuuri Viidennellä tasolla on tarvittavat säännöt ja proseduurit Nämä linjassa fyysiseen turvallisuuteen Over-arching Business Operational Risk Management Policy Information Security Policy Physical Security Policy CA and RA Security Policies Business Continuity Policy Infrastructure Security Policies Anti-virus Policy Remote Access Policy Network Security Platform Security Acceptable Use Policy Line of Business Application Security Policies Application 1 Security Application 2 Security Application 3 Security Application 4 Security Application 5 Security Security Rules, Practices and Procedures Security Standards Implementation Guidelines

Toimintatavan hierarkia ja arkkitehtuuri Kuudennella tasolla on tarvittavat standardit Nämä ovat linjassa komponentti tasoon Over-arching Business Operational Risk Management Policy Information Security Policy Physical Security Policy CA and RA Security Policies Business Continuity Policy Tähän kuuluvat niin ulkoiset kuin sisäisetkin standardit Infrastructure Security Policies Anti-virus Policy Remote Access Policy Network Security Platform Security Acceptable Use Policy Line of Business Application Security Policies Application 1 Security Application 2 Security Application 3 Security Application 4 Security Application 5 Security Security Rules, Practices and Procedures Security Standards Implementation Guidelines

Toimintatavan hierarkia ja arkkitehtuuri Viimeisellä tasolla on mahdollista liittää tarvittavia dokumentteja jotka kuvaavat miten jokin osa implementoidaan Tämä taso on usein hyvin niukka koska kaikkialla ei tarvita tällaisia dokumentteja Over-arching Business Operational Risk Management Policy Information Security Policy Infrastructure Security Policies Anti-virus Policy Remote Access Policy Network Security Platform Security Acceptable Use Policy Physical Security Policy CA and RA Security Policies Business Continuity Policy Line of Business Application Security Policies Application 1 Security Application 2 Security Application 3 Security Application 4 Security Application 5 Security Security Rules, Practices and Procedures Security Standards Implementation Guidelines

Yrityksen Turvallisuustoimintatapa Korkeimman tason toimintatavan pitäisi viestiä yrityksen johdon sitoutuminen yrityksen turvallisuuteen Sen pitäisi tulla ylimmältä johdolta Vaati paljon työtä saada hyväksyntä niin korkealta johdossa Toimitapa pitäisi perustua tarpeeseen hallita yrityksen riskejä Turvallisuuden ja riskien hallinnan tarve pitäisi olla sidoksissa yrityksen yleisiin tavoitteisiin Sen pitää olla vahva toimeksianto joka ohjaa yritystä kaikilla tasoilla

Yrityksen Turvallisuustoimitatapa Sen tulisi delegoida vastuuta alemmille tasoille Se voi vastuutta ja antaa omistusta Se voi ottaa kantaa lakeihin Sen tulee sisältää tapa miten turvallisuus välikohtaukset raportoidaan Sen tulisi mainita tarve koulutukseen ja että tarvitaan keskus mistä saa apua turvallisuuteen liittyvissä asioissa Sen tulisi viitata toisiin dokumentteihin missä on

Toimintatapa periatteet On erilaisia periaatteita minkä mukaan voi muodostaa toimintatapoja Niitä ei kannata seurata sokeasti Nämä ovat Least privilege principle Accountability principle Minimum dependence on secrecy principle Control automation principle

Toimintatapa periatteet Resiliency principle Defense in depth principle Approved exception principle Secure emergency override principle Auditability principle

Tiedon luokitus Yksi tapa tehdä turvallisuus toimintatapoja on luokitella tiedot eri ryhmiin joilla jokaisella on oma toimintatapansa Yleisin tapa luokitella on kuinka salainen jokin tieto on top secret, secret, confidential, restricted Kaikki objektit kuuluvat johonkin ryhmään tai eivät ole luokitellut Järjestelmissä jossa on monta tasoa voidaan käyttää esim. Bell-LaPadula mallia tiedon suojaukseen. Tietoa ei voi lukea ylemmältä tasolta eikä kirjoittaa alemmalle tasolle

Tiedon luokitus Eheyteen voidaan käyttää Biba mallia joka on käännetty Bell-LaPadula. Ei voida kirjoittaa ylemmälle tasolle eikä lukea alemmalta tasolta Monimutkaiset luokitukset voivat haitata työskentelyä koska niitä on vaikea hallita Jos otetaan mukaan vielä saatavuus niin monimutkaisuus lisääntyy entisestään Ongelmia tuottaa myös se millä kriteerillä tieto saa minkäkin luokituksen ja se että jokaisen tulee tietää miten käsitellään tietyn luokituksen tietoa

Tiedon luokitus Oma ongelmansa on vielä tiedon kerääntyminen ylemmille tasoille Asioita joita kannattaa ajatella jos aikoo käyttää tiedonluokitusta Tarvitaanko me todella sitä? Mitä arvoa se tuo ja mihin hintaan? Miten se toimii käytännössä? Paljonko koulutusta tarvitaan? Voidaanko se tehdä yksinkertaisemmaksi? Käytetäänkö sitä oikeasti? Pitäisikö miettiä toista ratkaisua?

Järjestelmien luokitus Parempi tapa kuin tiedon luokitus Määritellään riski taso järjestelmille ja sovelluksille high, medium, low Detaljeja saadaan jakamalla vielä esim. luottamuksellisuus, eheys ja saatavuus riskeihin Näin voidaan sitten helposti päätellä mitä toimintatapoja tarvitaan jollekin järjestelmälle

Järjestelmien luokitus Edut Yhdenmukainen tapa määrittää toimintatapa monelle järjestelmälle isossakin yrityksessä Rajattu määrä toimintatapoja Varmistaa että turvataso on vastaavat oletettua riskiä Järjestelmien tarkastus on helpompaa

CA ja RA turvallisuustoimintatavat Certification authorities / Registration authorities Erityisesti suunnitellut toimitavat autorisoinnin hallintaan Kattavat: Prosessit jolla rekisteröidään entiteetit ja annetaan niille sertifikaatit CA ja RA ICT järjestelmien hallinta Voimassaoloaika kaikille avaimille Sertifikaattien peruutuslistojen voimassaoloja

Certificate Policy (CA) Nimetty sarja sääntöjä jotka kertovat sertifikaatin käyttökelpoisuuden tiettyyn ryhmään tai sovellukseen jolla on tietty vaatimus (PKIX määritys) Viesti sertifikaatin käyttäjälle on että sertifikaatissa oleva julkinen avain kuuluu sertifikaatin subjektille

Certificate Practices Statement (CPS) CA:n julistus sen yksityiskohtaisista toimintatavoista joita käytetään kun rekisteröidään sertifikaatin subjekti ja annetaan sertifikaatti subjektille Mahdollistaa sertifikaatin käyttäjälle tavan arvioida minkä tasoinen vakuus voidaan assosioida transaktioon joka on varmistettu sertifikaatilla Osa sitovaa sopimusta tai sopimus itsessään Voi olla vaikea saavuttaa

Application System Security Policies Kun käytössä on järjestelmien luokitus niin jokaiselle riski ja attribuutti tasolle tarvitaan oma toimintatapa Low Risk Medium Risk High Risk Confidentiality Policy 1 Policy 2 Policy 3 Integrity Policy 4 Policy 5 Policy 6 Available Policy 7 Policy 8 Policy 9

Application System Security Policies Pieni määrä toimintatapoja voidaan käyttää suureen määrään järjestelmiä Toimintatavat voidaan myös määrittää linjakohtaisesti jolloin saadaan kolme toimintatapaa jokaista linjaa kohden Low Risk Medium Risk High Risk Line 1 Line 2 Line 3 Policy 1 Policy 2 Policy 3 Policy 4 Policy 5 Policy 6 Policy 7 Policy 8 Policy 9 Line 4 Policy 10 Policy 11 Policy 12

Application System Security Policies Asiat joita pitää kattaa järjestelmä toimintatavassa ovat Autorisointi Autentikointi Pääsynhallinta Auditointi Ylläpito Sovellus-Sovellus kommunnikointi

Platform Security Policies Alusta on yhdistetty rauta ja käyttöjärjestelmä (esim. i386 ja Linux) Käyttöjärjestelmällä iso vaikutus toimintatapaan Voi olla suuri määrä eri alustoja Huonoa ICT hallintaa Alustat pitää yhdistää suurimmiksi ryhmiksi jotka ovat kohtalaisen samanlaiset Ryhmien koko ja jaon rakeisuudella on iso vaikutus kustannuksiin

Platform Security Policies Tärkeimmät tarpeet jotka vaikuttavat alustojen toimintatapoihin: Vähentää haavoittuvuuksia tietojärjestelmissä Eristää tuotanto järjestelmät testi ja kehitys ympäristöistä Tarjota ja ylläpitää korkean luottamuksen ympäristöä kriittisille sovelluksille Tarjota turvallinen tiedonsäilytys

Network Security Policies Yksi toimintatapa joka kattaa koko yritysverkon Pienempiä toimintatapoja jotka kattavan erityisen osan verkosta Eri toimintatavat VPN käyttöön Palomuurien toimintatavat jotka voidaan kääntää palomuurisäännöiksi

Muita infrastruktuuri toimintatapoja Virustorjuntaan Etäyhteyksille Hyväksytty käyttö Käyttäjän autentikointiin Datan hallintaan Hakemisto palvelujen turvallisuus

Turvallisuus organisaatio ja vastuut Turvallisuus on kaikkien vastuulla Tarvitaan kuitenkin tiettyjä vastuuhenkilöitä Hierarkkinen rakenne vastuulle Vastuu alkaa johtokunnasta ja puheenjohtajasta Vastuu osakkeenomistajille Seuraavana on toimitusjohtaja ja muut toimeenpanevat johtajat Panevat käytäntöön johtokunnalta saadut suunnat ja ottavat kokonais vastuun riskien hallinnasta Luovat rungon jonka ympärille rakentaa

Turvallisuusorganisaatio ja vastuut ISO/IEC 17799 suosittaa että joku ylemmistä johtajista ottaisi päävastuun tietoturvallisuudesta Näyttää että joku ylhäällä on kiinnostunut ja tekee päätöksiä Henkilön tulisi olla joku joka oikeasti on kiinnostunut yrityksen turvallisuudesta ja uskoo sen toimintaan ja joka pystyy viemään sitä eteenpäin Ei saa olla IT johtaja

Turvallisuus organisaatio ja vastuut Lisäksi ISO/IEC 17799 suosittelee että perustettaisiin Management steering group jossa keskusteltaisiin suurimmista turvallisuus strategioista Tällä ryhmällä tulee myös olla valtuudet oikeasti tehdä jotain Hyvä tapa on antaa niille valta tehdä budjetti päätöksiä Ryhmän puheenjohtajana tulisi olla johtaja joka on vastuussa turvallisuudesta

Turvallisuus organisaatio ja vastuut Yritykseen määritetään CISO, Chief Information Security Officer Tarkoituksena johtaa ja kehittää tietoturvallisuutta Titteli ei saa olla IT turvallisuus johtaja Ei ole vastuussa yrityksen tietoturvallisuudesta On ekspertti joka auttaa yrityksessä että voidaan saavuttaa haluttu tietoturvataso

Turvallisuus organisaatio ja vastuut Muita tärkeitä rooleja Security administrator User support Specific education, training and skills development Security audit System security administrator Contracts with third party organizations

Turvallisuus organisaatio ja vastuut Kaikkien sidosryhmien välille tarvitaan jonkinlainen yhteys Information Security Steering Group Tarkoituksena kommunikoida koko yhteisölle joka on kiinnostunut tietoturvallisuudesta CISOn alainen Tapaamiset hyvä hetki saada palautetta ja viestittää toimintatavoista

Turvallisuus organisaatio ja vastuut Company Chairman Company Board CEO Executive Management Team Director in Charge Information Security Management Steering Group CISO Information Security Liaison Group

Turvallisuus organisaatio ja vastuut Vastuut Hallitus Yrityksen hallitseminen Maalien ja odotusten asettaminen riskienhallintaan Executive Management Team Toimintatapojen hyväksyminen Budjetin hyväksyminen

Turvallisuus organisaatio ja vastuut Information Security Steering Group Katselmoida ja hyväksyy turvallisuus toimintatapoja Hyväksyä ja tukea aloitteita jotka kehittää tietoturvallisuutta, turvallisuuskulttuuria ja arkkitehtuuria Suunnitella budjettiesityksiä ja lähettää ne Executive Teamille Seurata suuria tietoturvallisuuteen liittyviä uhkia Hyväksyä tietoturva toimintatapoja ja prosesseja Edistää yrityksen tietoturvallisuus tuen näkyvyyttä Seurata ja katselmoida suuret tietoturva välikohtaukset

Turvallisuus organisaatio ja vastuut Information Security Liaison Group Luoda kommunikaatiokanava josta saada ideoita ja palautetta Luoda kanava jolla ohjata tieto uusista toimintatavoista eteenpäin Löytää ratkaisuja operatiivisiin ongelmiin tai nostaa tieto ylöspäin

Turvallisuus organisaatio ja vastuut Line management Omistaa yrityksen informaatio Autorisoida käyttäjät Taata toiminta yrityksen tietoturva toimitatapojen mukaisesti Nostaa tietoisuus tietoturva ongelmista ja vahvista turvallisuus kulttuuria

Security Culture Development Vahva turvallisuus kulttuuri on tärkeä Turvallisuus on kaikkien vastuulla Turvallisuus lähtee ylimmästä johdosta Jos he eivät ota asiaa vakavasti kukaan mukaan ei ota Ei riitä että toimintatavat ovat kirjattu ylös, kaikkien pitää tuntea ne ja käyttää niitä joka päiväisissä töissä Toimintatavat pitää kokoajan tuoda esille Kerta ei riitä; ihmiset unohtavat

Security Culture Development Voidaan ajaa turvallisuus kamppanja Markkinoidaan turvallisuutta yrityksen sisällä Muistutetaan kokoajan kampanjasta Johtajien täytyy näyttää esimerkkiä Kaikilla tasoilla Turva-asiat ei koskaan saa löystyä; vaikuttaa että ne eivät olisi tärkeät Ei syytetä ihmisiä, näin tapahtumat tulevat useimmin esille

Security Culture Development Joskus tarvitaan myös syytöksiä Jos tahallisesti tehnyt jotain väärin Tarvitaan kurinpito prosessi Pitää tukea ongelmien raportointia Ei kuitenkaan aina luotettava mitta Koulutus ja opastus tärkeitä Niin uusille kuin vanhoille työntekijöille

Outsourcing Strategy and Policy Management Ulkoistuksessa otettava huomioon Ulkoistetun palvelun turvallisuus Ulkoistetun informaation turvallisuus Operatiivisen turvallisuuden hallinnan ulkoistaminen

Outsourcing Strategy and Policy Management Usein ulkoistetaan ICT koska se ei ole osa yrityksen osaamista Turvallisuuteen tulee ottaa kantaa ulkoistuksen yhteydessä Nykyään ulkoistetaan myös paljon ei IT:hen liittyvää Paljon salaista tietoa siirtyy kolmansille osapuolille

Outsourcing Strategy and Policy Management Periaatteita jotka ohjaavat ulkoistetun palvelun turvallisuutta Ei saa ulkoistaa turvallisuustoimintatapojen suunnitteluun liittyviä toimintoja Sisäiset toimintatavat kelpaavat ylös ulkoistuksen yhteydessä Sopimuksessa tulee ottaa kantaa turvallisuuteen Sopimuksessa tulisi viitata tiettyyn turvallisuus prosessiin Molempien osapuolien turvallisuus organisaation tulisi olla esillä Tulisi sopia turvallisuustavoitteiden avulla mitä molempien mielestä on turvallinen ja mikä ei ole turvallinen Vastuut tulee kirjoittaa ylös selvästi Yritys riskien arviointi ja turvallisuus vaatimusten kirjaaminen tulisi jäädä yritykselle Turvallisuuden hallinta kannattaa ottaa esille sopimuksen teon alkuvaiheissa

Security Policy Management Yhteenveto: Turvallisuus toimintatavat ovat looginen esitys yrityksen vaatimuksista vähentää riskiä Paljon enemmän kuin vain dokumentti On olemassa perus periaatteita jotka auttavat toimintatapojen sisällön päättämisessä Tiedon luokitus on yksi tapa jota käytetään normaalisti valtioissa On olemassa parempia tapoja; käyttämällä yrityksen riskiarvioita pohjana Tarvitaan organisaatio joka ylläpitää yrityksen turvallisuutta ja toimintatapoja