Auditoinnit ja sertifioinnit
Tietojärjestelmien ja tietoliikennejärjestelmien vaatimuksienmukaisuuden arvioinnit ja hyväksynnät Laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelmien tietoturvallisuuden arvioinnista (1406/2011) Viestintäviraston tehtävänä: 1) arvioida viranomaisen pyynnöstä tämän määräämisvallassa olevan tai hankittavaksi suunnitteleman tietojärjestelmän tai tietoliikennejärjestelyjen tietoturvallisuuden vaatimuksenmukaisuutta; 2) antaa tietojärjestelmälle tai tietoliikennejärjestelylle sen hyväksymistä osoittava todistus 8 :ssä säädetyllä tavalla; 3) tehdä valtiovarainministeriön pyynnöstä selvityksiä valtionhallinnon viranomaisen määräämisvallassa olevien tietojärjestelmien tai tietoliikennejärjestelyjen yleisestä tietoturvallisuuden tasosta. Aki Tauriainen, Johtava tarkastaja 4.10.2016 2
Muut Viestintäviraston arviointitoimintaan liittyvät lait Laki tietoturvallisuuden arviointilaitoksista (1405/2011) TUVE-laki (10/2015) Turvallisuusselvityslaki (726/2014)» Yritysturvallisuusselvitykset Aki Tauriainen, Johtava tarkastaja 4.10.2016 3
Tekniset tietoturvallisuusarvioinnit "Auditoinnit"
Osakokonaisuudet (mahdollinen tausta-aineisto) 1. Hallinnollinen tietoturvallisuus niiltä osin kuin tarkastettava oleva järjestelmä vaatii 2. Fyysinen turvallisuus niiltä osin kuin tarkastettavana oleva järjestelmä vaatii»ym. Kohteissa käytetään aina olemassa olevaa materiaalia jonka muut turvallisuusviranomaiset tai arviointilaitos(- et)on tuottanut (raportit)» Myös muiden tekemät arvioinnit huomioidaan Aki Tauriainen, Johtava tarkastaja 4.10.2016 5
Osakokonaisuudet 3. Dokumentaatioon tutustuminen ja mahdollisten kriittisten osien määrittäminen 4. Järjestelmäkonfiguraatioiden turvallisuuden tarkastelu (Nessus, omat skriptit) 5. Aktiivinen rajapintatarkastelu (Nmap, skriptit, HPing3...) 6. Sovellusturvallisuuden tarkastelut järjestelmätyypeittäin 7. Salausratkaisujen turvallisuuden tarkastaminen 8. Käytettävyystestaukset ja kuormitustestaukset (Korostuu järjestelmissä joissa on korkea käytettävyysvaatimus, fuzzaus) 9. Yhdyskäytäväratkaisujen turvallisuuden tarkastaminen 10. Hajasäteilysuojausten todentaminen (muut viranomaiset joko etukäteen tai jälkeenpäin) 11. Luvattomien teknisten laitteiden olemassaolon todentaminen (turvallisuusviranomaiset) 12. Saatujen tietojen analysointi ja raportointi Aki Tauriainen, Johtava tarkastaja 4.10.2016 6
Arviointiperusteita KATAKRI (Kansallinen turvallisuusauditointikriteeristö), versio 2015 julkaistu ja käytössä VAHTI-ohjeet Muut kansalliset ohjeet Uusi turvallisuusselvityslaki EU/NATO järjestelmäkohtaiset vaatimukset (SSRS:t) Aki Tauriainen, Johtava tarkastaja 4.10.2016 7
Auditoinnista sertifiointiin Aki Tauriainen, Johtava tarkastaja 4.10.2016 8
Auditoinnit (arvioinnit) Vaatimuksienmukaisuuksien arviointia voi tehdä:» Itsearvioimalla» Luotettu "kolmas osapuoli"» Hyväksytty arviointilaitos Hyväksytyt arviointilaitokset ja pätevyysalueet: https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvallisu udenarviointilaitokset/hyvaksytytarviointilaitokset.html» Viestintävirasto https://www.viestintavirasto.fi/attachments/viestintaviraston_ NCSA-toiminnon_suorittamat_tietoturvallisuustarkastukset.pdf Aki Tauriainen, Johtava tarkastaja 4.10.2016 9
Sertifioinnit (hyväksynnät) Lain 1406/2011 mukaisesti Viestintävirasto antaa tietojärjestelmälle tai tietoliikennejärjestelmälle todistuksen vaatimuksienmukaisuuden täyttymisestä» Edellyttäen, että järjestelmässä havaittujen poikkeamien jäännösriskit on tunnistettu ja hallinnassa Hyväksyntäpyyntölomake: https://www.viestintavirasto.fi/attachments/loma kkeet/ncsa-tarkastuspyyntolomake.doc Aki Tauriainen, Johtava tarkastaja 4.10.2016 10
Havaintoja tietojärjestelmien tarkastustoiminnasta Tietoturvan resursointi Ilman omaa asiantuntemusta on lähes mahdotonta huolehtia toiminnan turvallisuudesta ja pitää sitä yllä Ilman johdon tukea ei voi tehdä mitään Tietoturva ulkoistuksissa Ilman sopimusvelvoitteita ulkoistuskumppanit eivät välttämättä huomioi tietoturvaa riittävästi Esimerkiksi lokitietojen saaminen ja häiriöiden raportointi. Suojattavan kohteen määrittely Ilman selvää kohdetta työ epäonnistuu tai ainakin tulee paljon turhaa työtä Esimerkiksi mitä suojataan, kuinka paljon, kuka omistaa... Aki Tauriainen, Johtava tarkastaja 4.10.2016 11
Havaintoja tietojärjestelmien tarkastustoiminnasta Verkkorakenteiden järkevyys Suojattava kohteen riittävä eriyttäminen muista järjestelmistä. Huomioitava järjestelmän lisäksi taustajärjestelmät, levypalvelimet, keskitetty hallinto, tulostus... Seurattavuus ja seuranta Kuka teki mitä ja milloinkin. Esimerkiksi käytetäänkö henkilökohtaisia tunnuksia, lokitetaanko ja seurataanko lokeja, voidaanko poikkeamia havainnoida... Ajantasaiset tietoturvapäivitykset Päivittämättömyys suurimpia tietoturvauhkia Työasemat yleensä on päivitetty (pois lukien kolmannen osapuolen ohjelmistot) Palvelimissa ja palvelinsovelluksissa on korjattavaa Aki Tauriainen, Johtava tarkastaja 4.10.2016 12
Salaustuotteiden, järjestelmien ja verkkojen tarkastus ja hyväksyntä (NCSA) Kansallisen ja kansainvälisen luokitellun tiedon suojaaminen Yritysturvallisuuden parantaminen Tietoturvallisuuden arviointilaitosten valvonta Viennin edistäminen Aki Tauriainen, Johtava tarkastaja 4.10.2016 13
www.kyberturvallisuuskeskus.fi www.viestintävirasto.fi