HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki Tietoturva tiedon varastoinnissa 1
Sisällysluettelo Miksi Tietoturvaa? Tietoturva vrs. Tietosuoja Uhkia Tietoturvan osa-alueet Luottamuksellisuus Eheys Todennus Kiistämättömyys Pääsyn valvonta Käytettävyys Tiedon suojausmenetelmät Tekniset tietoturvaratkaisut Fyysiset tietoturvaratkaisut Tietoturvapolitiikka 2
Miksi tietoturvaa tarvitaan? Arvokas pääoma, tieto, vaatii suojelua Lainsäädännössä on määräyksiä tietoturvasta ja tietosuojasta Asiakkaat esittävät vaatimuksia tietoturvaan ja tietosuojaan liittyen Yrityksen maineen suojelemiseen Käyttökatkojen ehkäisy tuotannon aikana 3
Tietoturva vrs. tietosuoja Tietoturvalla tarkoitetaan niitä hallinnollisia ja teknisiä toimenpiteitä, joilla varmistetaan tiedon luottamuksellisuus ja eheys sekä järjestelmien käytettävyys Tietosuojalla tarkoitetaan henkilön yksityisyyden suojaamista henkilötietojen käsittelyssä henkilötiedot on suojattava oikeudettomalta tai henkilöä vahingoittavalta käytöltä 4
Uhkia Varkaudet Kavallukset Sabotaasit Oikeudeton tiedon käyttö, muuttaminen, tuhoaminen, varastaminen Tulvat Tulipalot Ukkonen Sähkökatkokset Muut luonnonmullistukset Virukset yms. Ohjelmointivirheet Käyttövirheet 5
Tietoturvan taso Siihen, millainen tietoturvan taso yrityksessä valitaan, vaikuttavat lainsäädäntö yrityksen omat intressit yrityssalaisuudet salassapito- ja vaitiolositoutumukset 6
Tietoturvan osa-alueet Tietoturvaan liittyy kuusi osa-aluetta 1. Luottamuksellisuus 2. Eheys 3. Todennus 4. Kiistämättömyys 5. Pääsynvalvonta 6. Käytettävyys 7
confidentiality 1. Luottamuksellisuus varmistetaan, että tiedot ovat vain niiden käytettävissä, joille ne on tarkoitettukin suojaa yksityisyyttä ja tiedon omistusoikeutta 8
integrity 2. Eheys tieto ei muutu siirrettäessä tai säilytettäessä eheyden varmistamiseen liittyy aina lähettäjän todennus eheys ja todennus yhdessä varmistavat, että tieto saapuu vastaanottajalla juuri siinä muodossa, missä se lähetettiin 9
authentication 3. Todennus varmistetaan, että osapuolet ovat niitä, joita sanovat olevansa esim. sähköisessä kaupankäynnissä ja viranomaispalveluissa on tärkeää tietää varmasti, kuka toinen osapuoli on todennus on tarpeen osapuolille tietolähteelle eli tiedon alkuperälle 10
4. Kiistämättömyys tarkoittaa, että lähettäjä ei voi kiistää lähettäneensä tietoa tai olleensa osallisena jossain tapahtumassa tietolähteen todennuksen vahva muoto toteutetaan sähköisellä allekirjoituksella ehdoton edellytys monille tietoverkossa toteutettaville palveluille 11
5. Pääsyn valvonta authorization, admission control käyttäjien pääsyä koneessa olevaan tietoon rajoitetaan ja valvotaan tarkistaa, onko osapuolella oikeus palvelun ja tiedon käyttöön tavoitteena osaltaan turvata tiedon luottamuksellisuus ja eheys turvaa osaltaan saatavuutta ehkäisten järjestelmään kohdistuvia hyökkäyksiä 12
6.Käyttettävyys availability (~saatavuus) tiedon tulee olla niiden käytettävissä, jotka sitä tarvitsevat ja joille se on tarkoitettu vaikeimmin toteutettava tietoturvan muoto 13
Luottamuksellisuus vrs. eheys Tiedon luottamuksellisuuden ja eheyden taso/tarve ovat toisistaan riippumattomia Tieto voi olla kaikille avointa ja julkista, mutta sen on oltava varmasti oikeaa Toisaalta taas voi olla hyvin luottamuksellista tietoa, jonka ei tarvitse olla täysin virheetöntä 14
Tietoturvan toteuttaminen Tietoturva toteutetaan tietoturvapolitiikan, ohjelman ja ohjeiden avulla kattavat sekä yleisen tietoturvallisuuden että tietoteknisen tietoturvallisuuden 15
Tiedon suojausmenetelmät Suojautumismenetelmät jakautuvat teknisiin, laitteistoihin ja ohjelmistoihin perustuviin tietoturvaratkaisuihin fyysisiin tietoturvaratkaisuihin hallinnollisiin eli toimintatapoihin perustuviin tietoturvaratkaisuihin 16
Tiedon suojausmenetelmät Hallinnollinen taso Oikeudeton käyttö Fyysinen taso Tekninen taso Tieto Tietovälinevarkaudet, Sabotaasit, Luonnon mullistukset Ohjelmointivirheet, Käyttövirheet, Rikollinen tiedon muuttaminen, tuhoaminen, varastaminen 17
Tekniset tietoturvaratkaisut 1/3 Perustuvat mm. 1. Salasanojen ja käyttäjätunnusten käyttöön valvotaan tietojärjestelmään pääsyä ja varmistetaan järjestelmässä olevan tiedon säilyminen luottamuksellisena ja eheänä ei vahva tietoturvaratkaisu -> salasanat helposti arvattavissa tai muuten saatavissa haltuun 2. Virheitä korjaaviin protokolliin varmistetaan tiedon eheys siirron aikana 18
Tekniset tietoturvaratkaisut 2/3 3. Automaattisiin virhetarkistuksiin pyritään estämään virusten pääsy tietojärjestelmiin ja organisaation sisäisiin verkkoihin 4. Palomuureihin erottavat yksityiset ja suojatut verkot avoimista verkoista rajoittavat verkkoliikennettä osoitteisiin perustuen tarjoaa rajallisen suojan liikenteen tunnistamiseen ja pääsynvalvontaan 19
Tekniset tietoturvaratkaisut 3/3 5. Kryptografisiin menetelmiin niillä voidaan varmistaa tiedon eheys, luottamuksellisuus, tietolähteen todentaminen ja kiistämättömyys voidaan käyttää myös pääsyn valvonnassa vahva tekninen tietoturva perustuu aina kryptografian käyttöön 20
Fyysiset tietoturvaratkaisut 1/2 Tarkoituksena estää mahdollisen tunkeutujan pääsy fyysisesti järjestelmään käsiksi Fyysisillä ratkaisuilla suojataan tietokoneet ja verkkoihin liittyvät laitteet Fyysiseen suojaukseen liittyy mm. seuraavia asioita kulunvalvonta laitteiden ja kaapeleiden sijoittaminen turvalliseen ja eristettyyn tilaan kaapeleiden suojaus salakuuntelun estämiseksi 21
Fyysiset tietoturvaratkaisut 2/2 Fyysiset tietoturvaratkaisut muodostavat tietoturvan perustan Ilman fyysisiä suojauksia tekniset tietoturvaratkaisut ovat tehottomia 22
Tietoturvapolitiikka Teknisillä ja fyysisillä tietoturvaratkaisuilla ei koskaan voida kokonaan taata tietoturvan toteutumista Keskeisessä asemassa ovat ihmiset ja heidän toimintatapansa Toimintatavat voidaan jakaa tietojärjestelmistä ja verkoista vastaavien toimintatapoihin käyttäjien toimintatapoihin 23
Tietojärjestelmistä ja verkoista vastaavat Huolehtivat tietoturvapolitiikan mukaisesti tietoturvan käytännön toteuttamisesta teknisten ja fyysisten tietoturvaratkaisujen toteuttaminen Tarkkailevat jatkuvasti järjestelmiä ja verkkoja sekä reagoivat poikkeaviin tilanteisiin Huolehtivat varmistuksista Ovat salassapitovelvollisia luottamuksellisten tietojen osalta Heidän tulee tietää tietosuojan vaatimukset 24
Käyttäjät Käyttävät toiminnassaan organisaatiossa sovittuja tietoturvamenetelmiä salasanojen ja käyttäjätunnusten pitäminen salassa tietoturvaratkaisuja ei ohiteta (esim. palomuurin ohitus) 25
Tietoturvariskit henkilöstön osalta Riskeiksi voivat osoittautua liian suuret käyttöoikeudet liian suuri asiantuntemus välinpitämätön asenne tietoturvaa kohtaan motivaation puute, tyytymättömyys työhön 26