SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques. Tietoturvallisuuden hallinta ISO/IEC 27000. Reijo Savola Johtava tutkija VTT

Samankaltaiset tiedostot
SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques

SFS:n IT-standardisoinnin vuosiseminaari

Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät. ISO/IEC standardiperhe

Uusi SFS-ISO/IEC 27001:2013. Jyrki Lahnalahti Versio 1.0

Ilmoittaudu nyt! Biometriikkaseminaari

Standardisoinnin edut

Älä anna tietosuoja-asetuksen turruttaa Sertifioinnilla kilpailuetua - Inspectan tietopäivä

SFS-ISO/IEC (2013): palvelunhallintajärjestelmän vaatimukset Standardin julkaisutilaisuus Jyrki Lahnalahti Versio 1.

Tietoturvallisuuden mittaamisen standardi suomeksi

Johtamisen standardit mitä ja miksi

SFS-ISO/IEC (2014): Ohjeistusta palvelunhallintajärjestelmien toteuttamiseen Standardin julkaisutilaisuus

ISO/IEC nyt ja tulevaisuudessa: kehityksen keskeisiä suuntaviivoja Palvelunhallinta digitalisaation pyörteissä seminaari

ISO uudistuu mikä muuttuu? TERVETULOA!

SFS - ISO Standardisarja omaisuuden hallinnalle Risto Pulkkanen

Terveydenhuollon tietotekniikka. Seminaari

Seminaari IT-hallinnan parhaista käytännöistä

SFS-EN ISO (2014): Yhteiskunnan turvallisuus. Liiketoiminnan jatkuvuuden hallintajärjestelmät. Vaatimukset SFS-seminaari

Pilveä standardisoidaan monessa ryhmässä

Elina Huttunen IT-standardisoinnin uusi asiantuntija

Tunnelmia IT-standardisoinnin jouluglögeiltä

JTC1 SC7 kuulumiset: Keskeiset työkohteet ja tulokset. SFS:n IT-seminaari Risto Nevalainen, Senior Advisor FiSMA

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Kyberturvallisuus kiinteistöautomaatiossa

VALVO JA VARAUDU PAHIMPAAN

SFS hakee asiantuntijaa IT-standardisointitiimiin

Standardisarja IEC Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

Standardisoitua toimintaa Veikkauksessa

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Merkistöstandardi päivitetty. Uutiskirjeen sisältö. Merkistöstandardi päivitetty. Anturiverkkokokous Helsingissä elokuussa

SC7 WG 6, 7, 10, 24 ja 25 kokoukset, marraskuu Keskeiset työkohteet ja tulokset

Tietosuojavaltuutetun esittelypuheenvuoro

IEC Sähköisten/eletronisten/ohjelmoitavien elektronisten turvallisuuteen liittyvien järjestelmien toiminnallinen turvallisuus

Kyberturvaaja-hanke - Tietoturvakoulutusta yrityksille / Jarkko Paavola

SC7 WG 4, 6, 7, 10, 20 ja 25, SWG5 kokoukset, marraskuu Keskeiset työkohteet ja tulokset

Yritysturvallisuuden johtamisen viitekehys Kiwa Rima

Tietoturvastandardoinnin verkoston käynnistys

Yritysturvallisuuden johtamisen arviointi

Ohjelma Tilaisuuden avaus Susanna Vahtila, SFS Standardisointijärjestelmä; CEN, ISO ja SFS Antti Karppinen, SFS

Sähköi sen pal l tietototurvatason arviointi

Tietoturvallisuuden johtaminen

Smart cities - nyt ja huomenna

Tietojenkäsittelytieteiden koulutusohjelma. Tietojenkäsittelytieteiden laitos Department of Information Processing Science

Tietoturvakoulutus Turun ammattikorkeakoulun Tietojenkäsittelyn koulutusohjelmassa (AMK) ja DP in Business Information Systems issä (YAMK)

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Massadatan standardisointi. Jari Salo

Tietoturvallisuus yhteiskunnan, yritysten ja yksityishenkilöiden kannalta

Espoon kaupunki Pöytäkirja 96. Valtuusto Sivu 1 / Valtuustokysymys kyberturvallisuuden järjestämisestä ja uhkiin varautumisesta

- Yleistä. - EA ad-hoc group - FINAS S21/ Keskustelua

Yritysturvallisuuden johtamisen arviointi

Ubicom tulosseminaari

Tiia Tuomi. Kiwa Inspecta Kiwa Inspecta

TietoEnator Pilot. Ari Hirvonen. TietoEnator Oyj. Senior Consultant, Ph. D. (Economics) presentation TietoEnator 2003 Page 1

Automaatiojärjestelmän hankinnassa huomioitavat tietoturva-asiat

SC7 Interim, Hoboken, USA WG 7 ja 10 kokoukset, marraskuu Keskeiset työkohteet ja tulokset. Timo Varkoi, Senior Advisor FiSMA

Sulautettu tietotekniikka Ubiquitous Real World Real Time for First Lives

Sähköiseen säilytykseen liittyvät organisaation auditoinnit

Tietoturvan ja -etosuojan suhde sovelluskehityksessä. An6 Vähä- Sipilä Tietoturva ry SFS:n seminaari

Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke

YHTEISKUNNAN TURVALLISUUDEN STANDARDOINTI. Pertti Woitsch

Riskienhallinta prosessina ja käytännössä Sertifioinnilla kilpailuetua - Inspectan tietopäivä Jyrki Lahnalahti, tuotepäällikkö

TIETOPAKETTI EI -KYBERIHMISILLE

Vesihuolto päivät #vesihuolto2018

AKKREDITOITU TESTAUSLABORATORIO ACCREDITED TESTING LABORATORY

Enterprise Architecture TJTSE Yrityksen kokonaisarkkitehtuuri

AKKREDITOITU TESTAUSLABORATORIO ACCREDITED TESTING LABORATORY WE CERTIFICATION OY OPERATOR LABORATORY

TIETOLIIKENNEVERKKOJEN OPISKELU TTY:llä

Standardit tietoturvan arviointimenetelmät

SFS/SR315 Tekoäly Tekoälyn standardisointi

VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille

Uutiskirjeen sisältö. Seminaari ohjelmistokehityksen ja ITpalvelutuotannon. Keskustelutilaisuus julkisen hallinnon standardisalkusta

OHSAS vs. ISO mikä muuttuu?

IT-standardisoinnin henkilöstö keväällä

SFS:n IT-standardisoinnin tilannekatsaus

Kasvua ja kilpailukykyä standardeilla. Riskit hallintaan SFS-ISO 31000

Lausuntopyyntöluettelo HUOM. Komiteoiden ja seurantaryhmien kokoonpanot on esitetty SESKOn komitealuettelossa

Luotettava identiteettien ja käyttövaltuuksien hallinta kyberturvallisuuden perustana. Sami Laaksonen, Propentus Oy

Kansainvälisen ISO/IEC sertifioinnin toteuttaminen CSC:llä

PCI DSS 3.0. Merkittävimmät muutokset Seppo Heikkinen, QSA Nixu

ISSRC Information Systems Security Research Center. University of Oulu, Department of Information Processing Science T.Wiander, M.

Tietosuojan ja tietoturvan kehittämisen avainpelurit organisaatiossa Pyry Heikkinen

Erkki Antila Teknillinen tiedekunta

Espoon kaupunkikonsernin tietoturvapolitiikka

Yritysturvallisuuden johtamisen arviointi ja hallintamalli

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

<raikasta digitaalista ajattelua>

Aalto-yliopiston laatujärjestelmä ja auditointi. Aalto-yliopisto Inkeri Ruuska, Head of Planning & Management Support

Standardit IEC (perustandardi) ja IEC (prosessit)

Kyberturvallisuus edellyttää johtajuutta Salo CyberTalks,

Varmaa ja vaivatonta viestintää

IT-standardisointia ihmisten ja yritysten hyödyksi

Tietoturvallisuuden ja tietoturvaammattilaisen

Uuden sairaalan kokonaisturvallisuus. Juhana Suurnäkki FM, CISM

YRITTÄJÄKYSELY 2017 TUTKIMUSRAPORTTI: TIETOTURVA

Älykkäät sähköverkot puuttuuko vielä jotakin? Jukka Tuukkanen. Joulukuu Siemens Osakeyhtiö

Globaalien toimintaympäristöjen käytettävyyden turvaaminen

Standardisointiasetus 1025/2012 Artikla 3 Kansallinen työohjelma

Seminaariaiheet. Tietoturvaseminaari, kevät 03 Lea Viljanen, Timo Karvi

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa

Kyberturvallisuus on digitalisaation edellytys ja mahdollistaja - miksi ja miten?

Johtamisen standardien uudistamisen tavoitteet. Leena Saulo, Neste Oyj TK105 laadunhallintakomitea pj

Transkriptio:

SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques Tietoturvallisuuden hallinta ISO/IEC 27000 Reijo Savola Johtava tutkija VTT FORUM 2013, 30.10.2013

SISÄLTÖ Työohjelma ja organisaatio ISO/IEC 27001:2005 ja ISO/IEC 27001:2013 Uudet suomeksi käännetyt standardit Ajankohtaista tieto- ja kyberturvasta Suomessa 2

TYÖOHJELMA Security and privacy Information security and privacy governance Economics of information security and privacy Information security management system (ISMS) requirements Management system methods and processes Security and privacy controls and services, codes of practice, frameworks (includes sector Specific issues: cloud,privacy, telecoms, energy, identity management) Cryptographic and security mechanisms and technologies Certification and auditing requirements and methods Security evaluation, testing, processes, methods and specification 3

ORGANISAATIO (ISO/IEC) ISO/IEC JTC 1/SC 27 IT Security Techniques pj. W. Fumy varapj: M. de Soete SC 27 Secretariat DIN K. Passia WG 1 Information security management Systems WG 2 Cryptography And security mechanisms WG 3 Security Evaluation, Testing and Specification WG 4 Security Controls and Services WG 5 Identity Management and Privacy Technologies kk. E. Hymphreys kk. T. Chikazawa kk. M. Bañón kk. J. Amsenga kk. K. Rannenberg Suomen seurantaryhmä pj. Reijo Savola siht. Saana Seppänen 4

ISO/IEC 27001:2005, Yleistä Information Security Management Systems Requirements Määrittelee miten otetaan käyttöön tietoturvanhallintajärjestelmä (ISMS = Information Security Management System) ISMS:n suunnittelu ja toteutus riippuu mm. liiketoiminta- ja tietoturvatavoitteista, tietoturvariskeistä, kontrollivaatimuksista, prosesseista ja organisaation koosta ja rakenteesta. Yksinkertainen tilanne vaatii yksinkertaisen ISMS:n. ISMS:n mahdollinen käyttöönotto on strateginen päätös. ISO/IEC 27001 vastaavuus voidaan auditoida ja sertifioida. ISMS luo luottamusta organisaation tietoturvanhallintaan yhteistyöverkostossa. 5

Uusi ISO/IEC 27001:2013 Information Security Management Systems Requirements Muutoksia Standardin rakenne vastaa muita ISO-julkaisuja Parempi kyky vastata identiteettivarkauksien, langattomien laitteiden ja muihin verkon haavoittuvuuksien aiheuttamiin uhkiin Tietoturvakontrollien määrää on vähennetty (liite Annex A) Aiemmin käytettyyn Plan-Do-Check-Act (PDCA) malliin ei viitata enää suoraan (mutta se on oletuksena) Organisaatioiden sidosryhmiä korostetaan Tietoturvallisuusriskien arviointimalli vastaa jatkossa ISO 31000 standardia Toimintaan poikkeamatilanteiden yhteydessä kiinnitetään huomiota ISMS:n tavoitteiden saavuttamista ja seurantaa korostetaan Useampaa hallintajärjestelmästandardia käyttävien organisaatioiden auditointi helpottuu 6

UUDET SUOMEKSI KÄÄNNETYT STANDARDIT 2013: 1. ISO/IEC 27005:2011 Information technology -- Security techniques -- Information security risk management 2. ISO/IEC 27007:2011 Information technology -- Security techniques -- Guidelines for information security management systems auditing 3. ISO/IEC 29100:2011 Information technology -- Security techniques -- Privacy framework SFS-ISO/IEC 27000 Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät julkaistu syksyllä 2012 (sis. ISO/IEC 27001, 17799, 27003, 27004, 27005). 7

SFS-ISO/IEC 27001:2013 Tietoturvastandardin ISO/IEC 27001:2013 suomennoksen ilmestymistä juhlistetaan aamukahvitilaisuudella torstaina 5.12.2013. Julkaisutilaisuudessa pääarvioija Jyrki Lahnalahti Inspecta Oy:stä esittelee uudistetun standardin ja käy läpi tämän ja vuonna 2005 julkaistun standardin eroja. Kuulet myös, miten tämä vaatimusstandardin uusi versio sopii yhteen muiden hallintajärjestelmästandardien kanssa (esim. ISO/IEC 20000-1:2011 ja ISO 9001:2008). Aika: torstai 5.12.2013 klo 8.30 10.00 Paikka: SFS:n kokouskeskus, Malminkatu 34 8

AJANKOHTAISTA TIETO- JA KYBERTURVASTA SUOMESSA Kansallinen kyberturvallisuusstrategia on julkaistu Tietoturva- ja kyberturvallisuusalalle on syntynyt paljon aktiviteettia, mm. FISC = Finnish Information Security Cluster, n. 50 alan toimijaa Valtionhallinnossa isoja projekteja (mm. tilannekuva) 9

TIETOTURVA JA KYBERTURVA? Tietoja käsitellään tietojärjestelmissä Kyberympäristö on yhdestä tai useasta tietojärjestelmästä muodostuva toimintaympäristö Esim. tehdas, sähköverkko, lentoliikenteen järjestelmät, metro, yms. Jos tietoturva pettää, seurauksena on, että kyberympäristö toimii toisin, kuin on tarkoitus, ja kriittisten järjestelmien kyberhyökkäykset voivat jopa lamauttaa yhteiskunnan toimivuuden. Riippuvuutemme kyberympäristöistä luo haasteita tietoturvanhallintaan. Tietoturvallisuus on hyvin tärkeä kyberturvallisuuden edellytys. Automaatioympäristö on esimerkki kyberympäristöstä. Juuri on ilmestynyt SFS-käsikirja 631-3 (Automaatio Osa 3: Tietoturva) 10

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute