Standardit tietoturvan arviointimenetelmät Tietoturvaa teollisuusautomaatioon (TITAN) VTT Auditorio, Vuorimiehentie 5, Espoo, 9.11.2010 Jarkko Holappa
Tietoturvallisuuden arviointi osana tietoturvan hallintaa Plan Tavoitteet Resurssit Riskien hallinta Toiminnan kehittäminen mittarien ja auditointien ohjaamana Act Do Riskienhallinta kontrollit Osaaminen, koulutus Dokumentaation ylläpito Check Raportointi Auditointi Mittaaminen
Tietoturvallisuuden arvioinnin tavoitteita Vaa6mustenmukaisuuden todentaminen Kohde täy5ää sille asetetut vaa6mukset Asete5ujen standardien mukainen Luote5avuuden arvioin6 Ei krii9siä haavoi5uuksia Ennuste5avan toiminnan arvioin6 Tekee toimiessaan vain sille suunnitellut toiminnot Arvioinnin kohde
Erilaisia lähestymistapoja Tuotelähtöinen Arvioi teknisten tietoturvakontrollien riittävyyttä, -vaatimusten toteutusta. Tietoturvatestausmenetelmät Arvioi pääasiallisesti tuotteen kykyä vastata tietoturvauhkiin Prosessilähtöinen Arvioi prosessin kypsyyttä: dokumentaation tasoa toistettavuutta mitattavuutta jne. Organisaation tietoturvallisuuden hallintajärjestelmän auditointi Auditoinnit (sisäiset, ulkoiset), haastattelut
Arviointimenetemät ja lähestymistavat täydentävät toisiaan Miksi prosessinäkökulma? Teknisten kontrollien todentaminen ei kerro prosessien olemassaolosta ja toiminnan toistettavuudesta. Miksi tuotenäkökulma Prosessiauditointi ei kerro teknisten kontrollien riittävyttä ja oikeaa toimintaa.
Teoria (SLA:t, vaatimukset,..) ja käytäntö (toteutus) ei aina kohtaa 11/10/10 Nixu 2010 Lähde: Vaatimuksenmukaisuudenhallinta, Niki Klaus, Nixu Oy. Tietoturvatasot-aamiastilaisuus 14.9.2010
Oikeat menetelmät oikeaan paikkaan Kohde Tarkastuksen luonne Esimerkkejä suorite5avista ak7viteeteistä Tietojärjestelmä Laaja tarkastus, riskilähtöinen Riskianalyysi Arkkitehtuurin katselmoin6 Tietoturvan hallinnan prosessien arvioin6 Sovellustason tarkastus Alustatarkastus Sovellus (black box) Sovellus (white box) Verkko Alustat Sovellustason tarkastus: toiminnallisuus Sovellustason tarkastus: laatu, vaa6muksenmukaisuus Haavoi5uvuusskannaus Manuaaliset testausmenetelmät Hyväksikäy5ömenetelmien kehi5äminen Arkkitehtuurin katselmoin6 Lähdekoodin analysoin6 Verkon haavoi5uvuuksien arvioin6 Palvelimen tai työaseman käy5öjärjestelmätason konfiguraa6on arvioin6.
Tietoturvatarkastettu = tietoturvallinen? Järjestelmän, tuotteen tai prosessin tietoturvan tarkastaminen ei (löydöksistä riippumatta) takaa kohteen tietoturvallisuutta Tarkastus kertoo kohteen tarkastushetkellä olleen tilan, mutta jos löydöksiin ei reagoida, tilanne ei parane samat löydökset seuraavassa tarkastuksessa. Arvioinnin tulisi olla prosessi, joka liittyy muun toiminnan tietoturvan parantamiseen.
Jatkuva ylläpito säästää työtä 1. tarkastus 2. tarkastus 3. tarkastus Projek6 Jatkuva ylläpito 11/10/10 Nixu 2010 Lähde: Vaatimuksenmukaisuudenhallinta, Niki Klaus, Nixu Oy. Tietoturvatasot-aamiastilaisuus 14.9.2010
Yhteenveto Tietoturvallisuus muodostuu sekä teknisistä kontrolleista että toimintaa ohjaavista prosesseista. Kokonaiskuvan saamiseksi tietoturvallisuutta tulee arvioida sekä teknisten kontrollien riittävyyden, että prosessien kypsyyden näkökulmasta. Arvioinnin mittatikkuna voi olla standardi, asiakasvaatimukset, regulaattorin määräykset,uhkaanalyysin tulokset,.. Tietoturvan arvioinnilla ei paranneta tietoturvallisuuden tasoa, jos se ei ole osana muuta tietoturvallisuuden kehittämistä.
Kiitos! Nixu Oy PL 39 (Keilaranta 15) FI-02151 Espoo Finland Tiger Team -blogi: http://www.nixu.fi/blogi Puh +358 9 478 1011 Fax +358 9 478 1030