Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät. ISO/IEC 27000 -standardiperhe Kalvosarja oppilaitoksille Suomen Standardisoimisliitto SFS ry 2012 27.8.2012 1
Tervetuloa luentoaineiston käyttäjäksi! Tämän luentoaineiston ovat laatineet Teemu Väisänen VTT:ltä ja Juha Kreus Laurea ammattikorkeakoulusta. Kalvosarja on tuotettu SFS:n projektirahoituksella. TTY:n Tietoturvallisuuden jatkokurssin tarpeisiin tiivisti J. Koskinen 29.11.2012. Yksi tiivistyksistä on lyhenne TT = Tietoturva(llisuus) 27.8.2012 2
Tietoturvallisuuden hallintajärjestelmä on osa yleistä hallintajärjestelmää, joka luodaan ja toteutetaan liiketoimintariskien arviointiin perustuen ja jota käytetään, valvotaan, katselmoidaan, ylläpidetään ja parannetaan tavoitteena hyvä TT. Organisoi ja helpottaa yritysjohdon TT-työtä. Hallintajärjestelmien tulisi kattaa kaikki tietoturvan johtamisessa, hallinnoimisessa ja valvonnassa tarvittavat menettelyt ja toimenpiteet. ei ole yksittäinen dokumentti, vaan moniosainen prosessi, jota on kehitettävä jatkuvasti. Hallintajärjestelmän osia ovat mm. riskianalyysi, TTpolitiikka sekä TT-, jatkuvuus- ja toipumissuunnitelmat. 27.8.2012 3
27000-standardiperhe ISO/IEC 27000 viittaa kasvavaan ISO/IECstandardiperheeseen, jonka yhteinen otsikko on "Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät". Tarjoaa suosituksia TT:n hallintaan, riskeihin ja kontrollointiin TT:n hallintajärjestelmissä. Myös muut 27-alkuiset tietoturvallisuuteen liittyvät standardit lasketaan toisinaan perheeseen kuuluvaksi. 27.8.2012 4
27000-standardiperheen historia ja kehittyminen Englannin aloite 1992: Code of Practice for Information Security Management (hallituksen opaste) 1995: Muutetaan BSI standardiksi BS 7799 1999: Sertifiointi alkaa täysimääräisenä 2000: ISO/IEC 17799 ISO/IEC 27002:2005 2002: BS7799-2. Information Security Management Specification ISO/IEC 27001:2005 27000, 27001 ja 27002:n 2. painos valmisteilla Uudet versiot vuoden 2013 aikana 27.8.2012 5
27000-standardiperhe 27000: 2009 - Yleiskatsaus ja sanasto - Overview and vocabulary 27001: 2005 - Vaatimukset 27002: 2005 - Tietoturvallisuuden hallintaa koskeva menettelyohje 27003: 2010 - Tietoturvallisuuden hallintajärjestelmän toteuttamisohjeita 27004: 2009 - Mittaaminen 27005: 2011 - Tietoturvariskien hallinta 27006: 2011 - Requirements for bodies providing audit and certification of information security management systems 27007: 2011 - Guidelines for Information Security Management Systems Auditing 27008: 2011 - Guidelines for auditors on information security management systems controls 27010 :?- Information security management for inter-sector and interorganizational communications 27011: 2008 - Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 27.8.2012 6
27000-standardiperhe 27013:? - Guidelines on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 27014:? - Governance of information security 27015:? - Proposal on an Information security management guidelines for financial and insurance services 27016:? - Organizational economics 27017:? - Cloud computing security and privacy management system -- Security controls 27018:? - Code of practice for data protection controls for public cloud computing services 27031:2011 - Guidelines for information and communication technology readiness for business continuity 27032:? - Guidelines for cybersecurity 27033:eri osia (1 7) - Network security 27034:eri osia (1 5) - Application security 27035:2011 - Information security incident management 27036:eri osia (1-3) - Information security for supplier relationships 27.8.2012 7
27000-standardiperhe 27037:? - Guidelines for identification, collection, acquisition and preservation of digital evidence 27038:? - Specification for Digital Redaction 27039:? - Selection, deployment and operations of intrusion detection systems 27040:? - Storage security 27041:? - Guidance on assuring suitability and adequacy of investigation methods 27042:? - Guidelines for the analysis and interpretation of digital evidence 27043:? - Investigation principles and processes 27799:2008 - Health Informatics: Information security management in health using ISO/IEC 27002 27.8.2012 8
27000 viitekehys 27.8.2012 9
Standardit ja lainsäädäntö Standardisoimislaki Sertifiointilaitoksia koskeva lainsäädäntö Yhteissääntely Kansallinen turvallisuusauditointikriteeristö (KATAKRI) Päätavoitteena yhtenäistää viranomaistoimintoja silloin, kun viranomainen toteuttaa kohteen turvallisuustason auditoinnin yrityksessä tai muussa yhteisössä. Valtionhallinnon tietoturvallisuuden johtoryhmä (VAHTI) Tavoitteena on parantaa valtionhallinnon toimintoja kehittämällä tietoturvallisuutta sekä edistää TT:n saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta. 27.8.2012 10
ISO/IEC 27000:2009 Yleiskatsaus ja sanasto Sisältää koko ISO/IEC 27000 -perheen yleiskatsauksen ja esittelyn, perheessä käytettyjen termien määritelmät ja niiden luokitukset ja yleisiä vaatimuksia. Määrittelee yleiset vaatimukset TT:n hallintajärjestelmän luomiselle, toteuttamiselle, käyttämisellä, valvonnalle, katselmoinnille, ylläpidolle ja parantamiselle. 27.8.2012 11
ISO/IEC 27001 ja 27005 -standardit Kaksi ehkä tärkeintä 27000-perheen standardia Määrittävät TT:n hallintajärjestelmän vaatimukset (27001) ja riskienhallinnan (27005). TT:n hallintajärjestelmän käyttöönotto on organisaation strateginen päätös. Vuoteen 2009 mennessä yli 12000 organisaatiota oli 27001-sertifioitu. 27.8.2012 12
ISO/IEC 27001:2005 Vaatimukset Tavoitteena linjata TT:n hallinta bisneksen määräystenmukaisuuden ja riskien vähennystavoitteiden kanssa Tarkoituksena suojella luottamuksellisuutta, eheyttä ja saatavuutta (CIA-malli) On hallinnointistandardi eikä tekninen standardi Ei kuvaa teknisesti ISMS-järjestelmien yksityiskohtia Keskittyy tietotekniikan lisäksi myös bisnesprosesseihin Keskittyy löytämään, hallinnoimaan ja vähentämään tärkeään tietoon liittyviä riskejä Tieto voi tai voi olla liittymättä tietotekniikkaan tai voi tai voi olla olematta digitaalisessa muodossa 27.8.2012 13
PDCA-malli sovellettuna TT:n hallintajärjestelmän prosesseihin 27.8.2012 14
27001 vaatii, että hallinto tarkastelee organisaation TT-riskejä järjestelmällisesti, ottaen huomioon uhkat, haavoittuvuudet ja vaikutukset suunnittelee ja toteuttaa yhdenmukaiset ja kattavat TTkontrollit ja riskien käsittelyohjeet omaksuu kattavan hallintoprosessin varmistaakseen TT-kontrollien jatkuvuuden tulevaisuudessa. 27.8.2012 15
27001:n käyttö Käytetään usein yhdessä ISO/IEC 27002:n kanssa Liite A sisältää suppean listan ISO/IEC 27002:n TTkontrolleista ISO/IEC 27002 tarjoaa ylimääräistä tietoa ja neuvoo kontrollien toteutuksessa 27001 antaa vaatimuksia TT:n hallintajärjestelmän sisäiseen auditointiin, johdon katselmointiin, ja parantamiseen 27.8.2012 16
27001:n liite A Liite A luettelee valvontatavoitteet ja turvamekanismit Esim. A.10.5 Varmuuskopiointi Tavoite: Tietotekniikka- ja tietojenkäsittelypalveluiden eheyden ja käytettävyyden säilyttäminen. A.10.5.1: Tietojen varmuuskopiointi Turvamekanismi: Tiedoista ja ohjelmistoista tulee ottaa varmuuskopiot ja testata ne säännöllisesti sovittujen varmuuskopioperiaatteiden mukaisesti. 27.8.2012 17
27001:n liite A - esimerkkejä A.10.10 Tarkkailu Tavoite: Luvattomien tietojenkäsittelytoimintojen havaitseminen. A.10.10.4: Pääkäyttäjä- ja operaattorilokit Turvamekanismi: Järjestelmän pääkäyttäjien ja operaattoreiden toiminnot tulee kirjata. A.10.10.6: Kellojen synkronointi Turvamekanismi: Kaikkien samassa organisaatiossa tai turvallisuusalueella olevien olennaisten tietojenkäsittelyjärjestelmien kellot tulee synkronoida sovitun tarkan ajanlähteen kanssa. 27.8.2012 18
ISO/IEC 27005:2011: Tietoturvariskien hallinta Sisältää ohjeita organisaation TT-riskien hallinnasta. Tukee erityisesti ISO/IEC 27001 -standardin mukaisen tietoturvallisuuden hallintajärjestelmän vaatimuksia. Ei esitä mitään tiettyä TT-riskien hallinnan menettelytapaa. Sisältää jäsentyneen, järjestelmällisen ja tiukan riskien analysointiprosessin, jonka 5 askelman avulla voidaan tuottaa riskien käsittelysuunnitelma Ensimmäinen versio julkaistu 2008, toinen 2011. Suunnattu lähinnä organisaation TT-riskien hallinnasta vastaaville johtajille ja henkilöstölle. 27.8.2012 19
27005: Tietoturvariskien hallintaprosessi 29.11.2012 20 27.8.2012 20
27005: Riskien käsittelytoiminta 27.8.2012 21
Esimerkki auditointiprosessista Vaihe 1. Tietoturvallisuuden hallintajärjestelmän alustava ja epävirallinen katselmointi Keskeisten asiakirjojen olemassaolon ja kattavuuden tarkistamiseen (organisaation TT-politiikka, soveltamissuunnitelma, riskien käsittelysuunnitelma). Vaihe 2. Yksityiskohtaisempi ja muodollisempi auditointi TT:n hallintajärjestelmän testaus ISO/IEC 27001:n vaatimuksia vasten, sekä todisteiden keräys siitä, että johtamisjärjestelmä on suunniteltu ja toteutettu oikein ja on käytössä. Läpipääsy antaa sertifioinnin. Vaihe 3. jatkokatselmoinnit ja auditoinnit Säännöllinen uudelleenarviointi. 27.8.2012 22
Standardin soveltaminen ja kokemuksia* Johdon todellinen sitouttaminen voi olla hankalaa Johto voi lähteä innokkaana mukaan, koska heidän mielestään tietoturva on tärkeää, mutta siinä vaiheessa kun heidän pitää muuttaa omaa käytöstään, kohdataan hankaluuksia Johto pitää pystyä sitouttamaan kunnolla ennen kuin standardeja aletaan viedä alemmille portaille Kaikkien hallintotasojen kouluttaminen ja sitouttaminen on tärkeää Yritys voi olla ennakoiva tietoturvan suhteen. Suurilta ja kalliilta yllätyksiltä voidaan välttyä. Jotkut 27K:n asiat eivät ole välttämättä kustannustehokkaita erityisesti pienille yrityksille. * Lea Viljanen 27.8.2012 23
TT-standardin käytön hyödyt ISO/IEC 27001: Parempi kuva organisaatiossa itsestään. Tietoturvaan liittyvän tiedon määrä ja ymmärrys sen tärkeydestä lisääntyy. Vältetyt riskit vähentävät kuluja. Organisaation operaatiot sujuvat sulavammin, koska vastuut ja businessprosessit on selvästi määritelty. TT-valveutuneisuus paranee. Asiakkaiden luottamus ja näkemys yrityksestä paranee. 27.8.2012 24
Lisätietoa standardeista ISO:n online browsing platform -palvelu http://www.iso.org/obp/ui 27K-standardiperheestä vastaa kansainvälinen ISO/IEC JTC 1/SC 27 -komitea, erityisesti sen työryhmä 1 (WG 1). Suomessa SFS:n seurantaryhmä SR 307 Tietoturvatekniikat seuraa komitean ja sen työryhmien työtä ja lähettää kansallisia kannanottoja. Puheenjohtaja: Reijo Savola (VTT) Sihteeri: Juha Vartiainen (SFS) 27.8.2012 25