Hyvään luottamuksellisuuteen pääseminen edellyttää kolmea asiaa



Samankaltaiset tiedostot
Ti Tietoturvan Perusteet : Politiikka

1. Tietokonejärjestelmien turvauhat

Tietoturvan Perusteet Yksittäisen tietokoneen turva

Yritysturvallisuuden perusteet

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

Laatua ja tehoa toimintaan

T Yritysturvallisuuden seminaari

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

IT-palvelujen ka yttö sa a nnö t

Turun ammattikorkeakoulu (5) Tietojärjestelmien käyttösäännöt

sekä yksittäistä atk-laitetta tai -laitteistoa että niiden muodostamaa kokonaisuutta

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

PK-yrityksen tietoturvasuunnitelman laatiminen

Yritysturvallisuuden perusteet

Tietoturvapolitiikka turvallisuuden perusta

TIETOTURVAN PERUSTEET

Salassa pidettävien tietojen ja asiakirjojen turvaluokittelu

Varmaa ja vaivatonta

Tietoaineistojen luokittelu ja käsittely HVK:ssa ja PTS:ssä

Yritysturvallisuuden perusteet

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano

Politiikka: Tietosuoja Sivu 1/5

Päivitetty TIETOVERKON JA TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Public. Kumppanuusforum Yksityinen terveydenhuolto EU:n yleinen tietosuoja-asetus / General Data Protection Regulation (GDPR) Perjantai 24.

eresepti- ja KANTA-hankkeissa

TIETOTURVAPOLITIIKKA

Unix-perusteet. Tiedosto-oikeudet

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure

T Yritysturvallisuuden seminaari

SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ

HELIA 1 (11) Outi Virkki Tiedonhallinta

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Arvoa tuottava IPR-salkku ei synny sattumalta

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Tilastolain muutoksen vaikutukset aineistojen tutkimuskäyttöön. Seminaari

Ohjelmistotekniikan menetelmät, luokkamallin laatiminen

Standardi IEC Ohjelmisto

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta


Vihdin kunnan tietoturvapolitiikka

Kyberturvallisuus. Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö

VM 5/01/ Valtiovarainministeriö Hallinnon kehittämisosasto. Ministeriöille, virastoille ja laitoksille 1 LÄHTÖKOHDAT

Määrittelyvaihe. Projektinhallinta

HAAGA-HELIA Heti-09 1 (14) ICT05: Tiedonhallinta ja Tietokannnat O.Virkki Transaktionkäsittely

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

7 Vapaus. 7.1 Vapauden määritelmä

Digikoulu Pilviteknologiat - Tunti 1001: Tiedon varastointi Amazon Simple Storage Service (Amazon S3) palveluun

Suomen kulttuurilaitokset

Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö

HELIA 1 (8) Outi Virkki Tietokantasuunnittelu

TIETOTURVA- POLITIIKKA

KY TOMMI: toimintajärjestelmä energia-alalle. Energiapäivät, Tampere ( )

Lausunto Linjausten tulisi perustua pilvipalvelujen käyttöön liittyvään yleiseen riskiarvioon

TIETOKANTOJEN PERUSTEET OSIO 14 MARKKU SUNI

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Vahva vs heikko tunnistaminen

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

HELIA 1 (14) Outi Virkki Tiedonhallinta

Tietoturvaa verkkotunnusvälittäjille

Johdatus rakenteisiin dokumentteihin

IISALMEN KAUPUNKI KIINTEISTÖJEN KAMERAVALVONTA Matti Rönkkö tekninen isännöitsijä Iisalmen kaupunki / tilapalvelu

HELIA 1 (15) Outi Virkki Tietokantasuunnittelu

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Pilvipalveluiden arvioinnin haasteet

Kymenlaakson Kyläportaali

Tietoturvapäivä

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

Tietosuoja Copyright (c) 2005 ACE LAW Offices

Tietokannan tietoturva. Heli Helskyaho Tietoturva-aamupäivä, Oracle House

J. Virtamo Jonoteoria / Prioriteettijonot 1

Grillikuume Weber-kilpailu 2015

Ohjelmoinnin perusteet Y Python

Henkilötietoja sisältävän datan säilytyksen ja käsittelyn tekniset ratkaisut

Tietosuojatyöryhmä. Työryhmän 23 päivänä helmikuuta 1999 hyväksymä. suositus 1/99

TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Auditointi. Teemupekka Virtanen

Pikaopas. Tietoturva, GDPR ja NIS. Version 3.0

Johdanto. Rough Sets. Peruskäsitteitä

Tutkimus web-palveluista (1996)

TIETOKANTOJEN PERUSTEET MARKKU SUNI

REKISTERISELOSTE Henkilötietolaki (523/99) 10

J. Virtamo Jonoteoria / Prioriteettijonot 1

- ai miten niin?

Riskiperusteisen Vaikuttamisen Prosessi. Maaliskuu 2015

Vaaran ja riskin arviointi. Toimintojen allokointi ja SIL määritys. IEC osa 1 kohta 7.4 ja 7.6. Tapio Nordbo Enprima Oy 9/2004

Menetelmäraportti - Konfiguraationhallinta

ADMIN. Käyttöopas 08Q4

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Tutkimuslaitosseminaari

Osallistumisaika alkaa ja päättyy Päättymisajan jälkeen vastaanotettuja vastauksia ei oteta huomioon.

Lexian tietosuojaseminaari Dont Mess With My Data! Askelmerkit tästä eteenpäin Saara Ryhtä, Counsel

Transkriptio:

1 2. Tiedon luottamuksellisuus ja eheys Tiedosta on tullut keskeinen pääoma, kustannusten aiheuttaja ja ratkaiseva resurssi. Tiedosta on tullut teollisuutta, joka valmistaa yhteiskunnalle keskeisiä tuotantoresursseja. Peter Drucker Vain ne yritykset selviävät, jotka johtavat tieto tärkeimpänä resurssinaan ja pitävät sitä varallisuutenaan. John Diebold Luottamuksellisuus ( confidentially) 1. Tiedot ovat vain niihin oikeutettujen henkilöiden ja organisaatioiden saatavilla eikä niitä paljasteta muille 2. Mikäli tiedot paljastuvat, on niiden luottamuksellisuus menetetty 3. Luottamuksellisuudella on erittäin suuri merkitys lähes kaikilla elämän alueilla. Jopa laissa määritelty, rikkomisesta seuraa rangaistus. (rikoslain 30 luku 11, henkilörekisterilaki 6 4 momentti) Hyvään luottamuksellisuuteen pääseminen edellyttää kolmea asiaa 1. Tiedot on luokiteltava niiden luottamuksellisuuden mukaisesti 2. Tiedon käyttäjät on pystyttävä tunnistamaan ja todentamaan 3. On oltava säännöt, joiden mukaan tietoa voidaan luovuttaa Jotta vaatimukset täyttämiseksi tiedot on luokiteltava luokkiin, aivan kuten käyttäjät on luokiteltava erilaisiin tiedonkäyttöoikeudet omaaviin käyttäjäryhmiin.

2 Tietoaineiston luokitus Tietoaineisto luokitellaan tiedon arkaluontoisuuden ja käytettävyysvaatimusten mukaisesti erilaisiin turvaluokkiin Mitä arkaluonteisempaa tieto on, sen korkeampi on turvaluokka eli sen pienempi on sen julkistamismahdollisuus Esim. valtionhallinnossa luokittamisen perusjako aihealueittain on 1. Valtion turvallisuus 2. Kansainväliset suhteet 3. Finanssi-, raha- ja valuuttapolitiikka 4. Rikosten ehkäiseminen ja syytteeseen saattaminen 5. Julkinen talous 6. Yksityinen talous 7. Yksityisyyden suoja 8. Muu tärkeä yleinen ja yksityinen etu Kaikissa eri aihealueissa käytetään tietoja, joiden sisältämät tiedot ovat luottamuksellisuuden kannalta erilaisia. Tallenteet jaotellaan yleensä tallenteiden sisältämien tietojen mukaan tietoturvaluokkiin 1. Julkisiin 2. Tietoturvaluokiteltuihin eli luottamuksellisiin 3. Salaisiin 4. Erittäin salaisiin

3 Eheys ( integrity ) 1. Tiedot ovat totuuden mukaisia 2. Tiedot eivät muutu tai tuhoudu laitteisto-, järjestelmävian tai inhimillisen toiminnan tms. vuoksi 3. Eheyden varmistaminen. Eheyden menettäminen käy helposti, mutta eheyden palauttaminen on käytännössä erittäin hankalaa Eheysvaatimuksesta seuraa muutamia lisäominaisuuksia 1. Tiedon alkuperäisyys, miten varmistua, että lähetty tieto on tullut sieltä mistä sen väitetään tulleen. 2. Tiedon koskemattomuus, miten varmistua, ettei tietoa ole missään vaiheessa muokattu tai muutettu. 3. Tiedon kiistämättömyys, miten varmistua, että tieto on juuri sitä mitä luullaan sen olevan. Esimerkkejä: Elektroninen kaupankäynti, pankkipalvelut ym. Minkälaisia eheysongelmia syntyy a) relaatiotietokantojen yhteydessä? b) hajautettujen tietokantojen yhteydessä?

4 Bell LaPadula -malli Kehitetty 1979 luvun alkupuolella MITRE nimisessä yrityksessä Tekijät: Elliott Bell ja Leonard LaPadula BLP malli perusta myöhemmille turvallisuusmalleille Luottamuksellisuus pääpainona Tasodiagrammit ( Level Diagrams), jotka muodostuvat useista vaakatason viivoista ja ympyröiden sekä neliöiden joukosta Viivat erottelevat eri turvallisuustasot; ylempi on korkeampi taso Ympyrät piirretään kuvaamaan subjekteja (=tiedon käyttäjiä) Neliöt piirretään kuvaamaan objekteja (=tietoja) Tunnilla piirretty kaaviokuva ja siihen subjektien ja objektien yhteydet!! Subjekti voi samalla tasolla olevia objekteja lukea ja kirjoittaa Subjekti voi kirjoittaa ylemmälle tasolle, mutta ei alemmalle Sääntönä NWD ( No Write Down ) Subjekti voi lukea alemmalta tasolta, mutta ei ylemmältä Sääntönä NRU ( No Read Up) Tranquility = Subjekteja ja objekteja ei voida luokitella uudelleen BLP malli on yksinkertainen

5 Biba malli Ken Biba MITREstä kehitti mallin 1970 luvun puolivälissä Biba malli oli ensimmäinen laatuaan, joka otti kantaa tiedon eheyteen tietokonejärjestelmässä. Tämä lähestymistapa perustuu hierarkkiseen eheystasojen hilaan BLP-mallissa kirjoittaminen ylöspäin saattaa aiheuttaa eheysongelmia; esimerkiksi siten, että alemman turvatason subjekti tuhoaa tai väärentää korkeamman turvatason objekteja Eheysmielessä olisi intuitiivisesti oikein vaatia, että kirjoittaminen ylöspäin olisi kielletty Samoin voidaan katsoa, että lukeminen alhaalta vaarantaa korkeamman turvatason objektien eheyden, mistä syystä myös alhaaltapäin lukeminen olisi kiellettyä Biban pakollinen eheysmalli vastaa BLP-mallia käännettynä. Sen perussäännöt ovat: No Read Down (NRD) ja No Write Up (NWU) Subjektin matalan veden merkki: jos subjekti lukee matalan eheystason objektin tietoja, subjektin oma eheystaso laskee luetun objektin tasolle Objektin matalan veden merkki: jos subjekti kirjoittaa korkeamman eheystason objektiin, objektin eheystaso laskee subjektin tasolle Biba ja BLP mallien yhdistäminen?

6 Clark Wilson eheysmalli Vuonna 1987 David Clark MIT:stä ja David Wilson Ernst & Whinneystä julkaisivat uudentyyppisen eheysmallin CW malli perustuu tapaan, jolla kaupalliset organisaatiot käsittelevät ei automatisoituja paperidokumenttejaan Hyvin tunnettuja kirjanpitotapoja sovellettiin ATK:hon Tuloksena syntynyt malli on osoittautunut lupaavaksi kehitettäessä eheitä automatisoituja tietojärjestelmiä CW malli ilmaisee kokoelman sääntöjä, jotka koskevat tietyn tietokonejärjestelmän tai sovellutuksen käyttöä ja ylläpitoa Näiden sääntöjen tarkoituksena on taata tietty eheystaso määrätylle joukolle tietoja kyseisessä ympäristössä CW mallin säännöt esitetään ns. hyvin määriteltyjen tapahtumien muodossa, sääntöjä on 9 kpl

7 Käsitteitä Subject = tiedon käsittelijä, käyttäjän edustaja Object = tieto (data) järjestelmässä Security clearance = subjektin turvaluokitus Security classification = objektin turvaluokitus Turvaluokitus = käyttäjälle tai tiedolle määritelty turvaluokka ja - kategoriat, eli turvanimiö Turvaluokat Hierarkkinen Esimerkki: Suomessa käytetty paperidokumenttien luokitus Julkinen: kenen tahansa saatavilla Ei-julkinen: viranomainen voi antaa tai olla antamatta harkintansa mukaan ETS (Ei tietoja sivullisille): vrt. need-to-know periaate Salainen Henkilösalainen: vain nimettyjen henkilöiden tietoon Esimerkki. Oy Yritys Luottamuksellinen Luokittelematon Salainen

8 Turvakategoriat Epähierarkkinen Esimerkki: MN-Tieto Oy:ssä käytetyt turvakategoriat Yleinen (ei mihinkään tiettyyn kategoriaan kuuluva) Asiakaskohtainen (Asiakas A, Asiakas B jne., samat ihmiset eivät tee A:n ja B:n projekteja) Tuotekehitys Turvanimiöt Yhdistetään luokka ja kategoria Esimerkki: MN-Tieto Oy:ssä käytetty (Luokittelematon, Yleinen = 0). (Luottamuksellinen, Yleinen = 0) (Luokittelematon, Tuotekehitys), (Luottamuksellinen, Tuotekehitys) (Luottamuksellinen, Asiakas A), (Luottamuksellinen, Asiakas B), (Salainen, Asiakas A) Tiedon saantisäännöistä 1. Tietojen on oltava luokiteltuja 2. On oltava säännöt, jolla annetaan oikeus tiedon käyttöön.

9 Oikeus voidaan myöntää pysyvästi (sääntömatriisi) tai harkinnanvaraisesti (need to know) 3. On oltava menettelytapa, joka estää korkeamman turvaluokan tiedon viemisen alempaan turvaluokkaan. 4. Korkeimpiin turvaluokkiin kuuluvien tietojen käyttö on aina kirjattava. Turvapolitiikka Turvapolitiikka määrittelee tiedon saantioikeuksien säännöt suhteutettuna niitä tarvitseviin henkilöihin Määritellään siis kuka saa käyttöönsä mitäkin tietoja Yrityksen /organisaation johdon määrittelemä/hyväksymä joukko käsittelysääntöjä, TURVAKÄYTÄNTÖ 1. Parhaimmillaan formaalisti määritelty 2. Usein monimutkainen 3. Nykyään tyypillisesti epäformaali tai olematon Käytännössä vaatimuksena 1. Tunnistaminen, jonka mukaan jokainen tiedon saaja pitää pystyä tunnistaman ennen kuin hänelle voidaan luovuttaa arkaluonteisia tietoja 2. Säännöt, joilla tietoja luovutetaan. Tiedon saanti pitää perustua kullekin henkilölle myönnettyihin tiedonsaantioikeuksiin Pääsynvalvonta Pääsynvalvonta on tapa toteuttaa turvapolitiikkaa Turvapolitiikka on määrittely, ei toteutustapa Pääsynvalvontamatriisi (Tunnilla piirretty)

10 Perinteisten pääsynvalvontamekanismien perusmalli - Matriisi, jossa subjektit rivejä ja objektit sarakkeita - Kukin matriisin alkio kertoo mitä oikeuksia ko. rivin subjektilla on ko. sarakkeen objektiin Epäkäytännöllinen: - Keskitetty, vie paljon tilaa Perinteiset mekanismit Perustuvat ajattelultaan pääsymatriisiin - Suojaukset (permissions) - Pääsylistat (ACL) - Oikeudet (capabilities) Peruserona miten ja minne matriisin tieto säilötään Suojaukset (permissions) Tyypillinen monen käyttäjän järjestelmissä käytetty - Esim. Unix rwxrwxrwx -suojaus Subjektit jaettu joukkoihin Objektin yhteydessä kuvattu kunkin joukon jäsenten oikeudet Joukkojako dynaaminen, riippuu esim. tiedoston omistajasta

11 Palvelunesto Denial of service (DOS) Virgil GLIGOR Jotkin henkilöt ovat nimenomaan oikeutettu suorittamaan palvelun estäviä toimenpiteitä kuten tuhoamaan käyttäjätunnuksia ja irrottamaan järjestelmä verkosta. Määritelmän mukaan käyttäjät, joilla on korkea prioriteetti ovat oikeutettuja estämään palvelu matalamman prioriteetin käyttäjiltä. Maksimiodotusaika (Maximum Waiting Time, MWT). Käyttäjä tekee palvelupyynnön. Palvelu tulee antaa tietyn ajan puitteissa (MWT). Jos palvelua ei saatu MWT:n ajan kuluessa, on tapahtunut palvelunesto = palvelu, jota ei saatu ajoissa. Palvelunestovaatimus on voitu esittää temporaalilogiikan avulla Palvelunestomalli: - Subjekteilla on prioriteetit, joiden välillä on suuruusjärjestys - Palvelunesto = subjektille, jolla on oikeus palveluun, ei annettu palvelua MWT:n kuluessa - Jossain tapauksissa subjekti voi perustellusti estää palvelun toiselta, mikä voi olla sopimatonta toisessa yhteydessä - No Deny Up (NDU) sääntö. Piirrä tasodiagrammikuva! Millenin resurssienallokointimalli (RAM) Jonathan Millen Mitrestä on esittänyt resurssienallokointimallin ( Resource Allocation Model, RAM) joka antaa mahdollisuuden määritellä palveluestosäännöt ja politiikat yksityiskohtaisena resurssien allokointina tietokonejärjestelmässä.

12 Suojautuminen Safeguards and Countermeasures M. Casser: Tietokonejärjestelmän turvaaminen on perinteisesti ollut henkien taistelua; tunkeutuja yrittää löytää aukkoja, suunnittelija tukkia niitä T. Benzel: Kokemus on osoittanut, että turvallisuuden lisääminen ohjelmistoprojektin myöhäisessä vaiheessa johtaa järjestelmiin, jotka eivät kunnolla täytä turvallisuusvaatimuksia Kaksi peruslähestymistapaa: Suojaukset (Safeguards) - varautuminen ennen uhan toteutumista ( esim. hyökkäystä) Vastatoimet (Countermeasures) toimenpiteet, joihin ryhdytään uhan toteuduttua Amorosan mukaan termit sekoitetaan usein Suojaus = mekanismi tai proseduuri, joka on suunniteltu torjumaan uhan vaikutukset ennen kuin tämä toteutuu Vastatoimet = mekanismi tai proseduuri, joka on suunniteltu torjumaan uhan jatkuvat vaikutukset sen jälkeen kun tämä on toteutunut Suojauksesta: - Integroi suojaukset järjestelmään suunnitteluvaiheessa - Vältä katastrofit - Älä tuhlaa resursseja tarpeettomasti - Suojausten vaikutukset on vaikea käytännössä todeta

13 Vastatoimet: - Jos emme havaitse uhkien toteutuvan emme ryhdy toimenpiteisiin - Saatetaan välttää resurssien tuhlausta - Menestyksen mittaaminen on helpompaa kuin suojauksien - Uhkien annetaan toteutua lähestymistavan suurin miinus Esimerkki automaatti, joka ottaa vastaan rahaa ja antaa tilalle makeisia Miten hoidetaan homma? Yleisesti turvamekanismit - Auditointi ja tunkeutumisen havaitseminen - Tunnistus ja todennus - Salaus - Pakollinen ja kohdistuvapääsynvalvonta - Käyttöoikeudet - Turvaytimet - Konfiguraation hallinta - Formaali määrittely ja verifiointi Lisäykset järjestelmän elinkaareen liittyviin toimintoihin: - Dokumentointi - Tarkistukset - Jäljitettävyys - Työkalujen käyttö - Testaus Mitä asioita tulisi huomioida osana turvallisuuden hallintaa ennen suojausten ja vastatoimien valintaa?

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute