Post on 16-Feb-2018
Informaatioteknologia.
Turvallisuus.
Tietoturvallisuuden
hallintajärjestelmät.
ISO/IEC 27000 -standardiperhe Kalvosarja oppilaitoksille
Suomen Standardisoimisliitto SFS ry
2012 27.8.2012| 1
Tervetuloa luentoaineiston käyttäjäksi!
Tämän luentoaineiston ovat laatineet Teemu Väisänen
VTT:ltä ja Juha Kreus Laurea ammattikorkeakoulusta.
Kalvosarja on tuotettu SFS:n projektirahoituksella.
TTY:n Tietoturvallisuuden jatkokurssin tarpeisiin tiivisti J.
Koskinen 29.11.2012. Yksi tiivistyksistä on lyhenne
TT = Tietoturva(llisuus)
27.8.2012 | 2
Tietoturvallisuuden hallintajärjestelmä
• on osa yleistä hallintajärjestelmää, joka luodaan ja
toteutetaan liiketoimintariskien arviointiin perustuen ja
jota käytetään, valvotaan, katselmoidaan, ylläpidetään
ja parannetaan tavoitteena hyvä TT.
• Organisoi ja helpottaa yritysjohdon TT-työtä.
• Hallintajärjestelmien tulisi kattaa kaikki tietoturvan
johtamisessa, hallinnoimisessa ja valvonnassa
tarvittavat menettelyt ja toimenpiteet.
• ei ole yksittäinen dokumentti, vaan moniosainen
prosessi, jota on kehitettävä jatkuvasti.
• Hallintajärjestelmän osia ovat mm. riskianalyysi, TT-
politiikka sekä TT-, jatkuvuus- ja toipumissuunnitelmat.
27.8.2012 | 3
27000-standardiperhe
• ISO/IEC 27000 viittaa kasvavaan ISO/IEC-
standardiperheeseen, jonka yhteinen otsikko on
"Informaatioteknologia. Turvallisuus.
Tietoturvallisuuden hallintajärjestelmät".
• Tarjoaa suosituksia TT:n hallintaan, riskeihin ja
kontrollointiin TT:n hallintajärjestelmissä.
• Myös muut 27-alkuiset tietoturvallisuuteen liittyvät
standardit lasketaan toisinaan perheeseen kuuluvaksi.
27.8.2012 | 4
27000-standardiperheen historia ja
kehittyminen
• Englannin aloite
– 1992: Code of Practice for Information Security
Management (hallituksen opaste)
– 1995: Muutetaan BSI standardiksi BS 7799
– 1999: Sertifiointi alkaa täysimääräisenä
• 2000: ISO/IEC 17799 ISO/IEC 27002:2005
• 2002: BS7799-2. Information Security Management
Specification ISO/IEC 27001:2005
• 27000, 27001 ja 27002:n 2. painos valmisteilla
• Uudet versiot vuoden 2013 aikana
27.8.2012 | 5
27000-standardiperhe…
• 27000: 2009 - Yleiskatsaus ja sanasto - Overview and vocabulary
• 27001: 2005 - Vaatimukset
• 27002: 2005 - Tietoturvallisuuden hallintaa koskeva menettelyohje
• 27003: 2010 - Tietoturvallisuuden hallintajärjestelmän toteuttamisohjeita
• 27004: 2009 - Mittaaminen
• 27005: 2011 - Tietoturvariskien hallinta
• 27006: 2011 - Requirements for bodies providing audit and certification of
information security management systems
• 27007: 2011 - Guidelines for Information Security Management Systems
Auditing
• 27008: 2011 - Guidelines for auditors on information security management
systems controls
• 27010 : ?- Information security management for inter-sector and inter-
organizational communications
• 27011: 2008 - Information security management guidelines for
telecommunications organizations based on ISO/IEC 27002
27.8.2012 | 6
…27000-standardiperhe…
• 27013:? - Guidelines on the integrated implementation of ISO/IEC 27001 and
ISO/IEC 20000-1
• 27014:? - Governance of information security
• 27015:? - Proposal on an Information security management guidelines for
financial and insurance services
• 27016:? - Organizational economics
• 27017:? - Cloud computing security and privacy management system --
Security controls
• 27018:? - Code of practice for data protection controls for public cloud computing services
• 27031:2011 - Guidelines for information and communication technology
readiness for business continuity
• 27032:? - Guidelines for cybersecurity
• 27033:eri osia (1–7) - Network security
• 27034:eri osia (1–5) - Application security
• 27035:2011 - Information security incident management
• 27036:eri osia (1-3) - Information security for supplier relationships
27.8.2012 | 7
…27000-standardiperhe
• 27037:? - Guidelines for identification, collection, acquisition and preservation
of digital evidence
• 27038:? - Specification for Digital Redaction
• 27039:? - Selection, deployment and operations of intrusion detection
systems
• 27040:? - Storage security
• 27041:? - Guidance on assuring suitability and adequacy of investigation
methods
• 27042:? - Guidelines for the analysis and interpretation of digital evidence
• 27043:? - Investigation principles and processes
• 27799:2008 - Health Informatics: Information security management in health
using ISO/IEC 27002
27.8.2012 | 8
27000 viitekehys
27.8.2012 | 9
Standardit ja lainsäädäntö
• Standardisoimislaki
• Sertifiointilaitoksia koskeva lainsäädäntö
• Yhteissääntely
• Kansallinen turvallisuusauditointikriteeristö (KATAKRI)
– Päätavoitteena yhtenäistää viranomaistoimintoja silloin,
kun viranomainen toteuttaa kohteen turvallisuustason
auditoinnin yrityksessä tai muussa yhteisössä.
• Valtionhallinnon tietoturvallisuuden johtoryhmä
(VAHTI)
– Tavoitteena on parantaa valtionhallinnon toimintoja
kehittämällä tietoturvallisuutta sekä edistää TT:n
saattamista kiinteäksi osaksi hallinnon toimintaa,
johtamista ja tulosohjausta.
27.8.2012 | 10
ISO/IEC 27000:2009
”Yleiskatsaus ja sanasto”
• Sisältää koko ISO/IEC 27000 -perheen
– yleiskatsauksen ja esittelyn,
– perheessä käytettyjen termien määritelmät ja niiden
luokitukset ja
– yleisiä vaatimuksia.
• Määrittelee yleiset vaatimukset
– TT:n hallintajärjestelmän luomiselle,
– toteuttamiselle,
– käyttämisellä,
– valvonnalle,
– katselmoinnille,
– ylläpidolle ja
– parantamiselle.
27.8.2012 | 11
ISO/IEC 27001 ja 27005 -standardit
• Kaksi ehkä tärkeintä 27000-perheen standardia
• Määrittävät TT:n hallintajärjestelmän vaatimukset
(27001) ja riskienhallinnan (27005).
• TT:n hallintajärjestelmän käyttöönotto on
organisaation strateginen päätös.
• Vuoteen 2009 mennessä yli 12000 organisaatiota oli
27001-sertifioitu.
27.8.2012 | 12
ISO/IEC 27001:2005
”Vaatimukset”
• Tavoitteena linjata TT:n hallinta bisneksen
määräystenmukaisuuden ja riskien
vähennystavoitteiden kanssa
• Tarkoituksena suojella luottamuksellisuutta, eheyttä ja
saatavuutta (CIA-malli)
• On hallinnointistandardi eikä tekninen standardi
– Ei kuvaa teknisesti ISMS-järjestelmien yksityiskohtia
• Keskittyy tietotekniikan lisäksi myös
bisnesprosesseihin
• Keskittyy löytämään, hallinnoimaan ja vähentämään
tärkeään tietoon liittyviä riskejä
– Tieto voi tai voi olla liittymättä tietotekniikkaan tai voi tai
voi olla olematta digitaalisessa muodossa
27.8.2012 | 13
PDCA-malli sovellettuna TT:n
hallintajärjestelmän prosesseihin
27.8.2012 | 14
27001 vaatii, että hallinto
• tarkastelee organisaation TT-riskejä järjestelmällisesti,
ottaen huomioon uhkat, haavoittuvuudet ja vaikutukset
• suunnittelee ja toteuttaa yhdenmukaiset ja kattavat TT-
kontrollit ja riskien käsittelyohjeet
• omaksuu kattavan hallintoprosessin varmistaakseen
TT-kontrollien jatkuvuuden tulevaisuudessa.
27.8.2012 | 15
27001:n käyttö
• Käytetään usein yhdessä ISO/IEC 27002:n kanssa
• Liite A sisältää suppean listan ISO/IEC 27002:n TT-
kontrolleista
• ISO/IEC 27002 tarjoaa ylimääräistä tietoa ja neuvoo
kontrollien toteutuksessa
• 27001 antaa vaatimuksia TT:n hallintajärjestelmän
– sisäiseen auditointiin,
– johdon katselmointiin, ja
– parantamiseen
27.8.2012 | 16
27001:n liite A
• Liite A luettelee valvontatavoitteet ja turvamekanismit
• Esim. A.10.5 Varmuuskopiointi
– Tavoite: Tietotekniikka- ja tietojenkäsittelypalveluiden
eheyden ja käytettävyyden säilyttäminen.
• A.10.5.1: Tietojen varmuuskopiointi
– Turvamekanismi: Tiedoista ja ohjelmistoista tulee ottaa
varmuuskopiot ja testata ne säännöllisesti sovittujen
varmuuskopioperiaatteiden mukaisesti.
27.8.2012 | 17
27001:n liite A - esimerkkejä
• A.10.10 Tarkkailu
– Tavoite: Luvattomien tietojenkäsittelytoimintojen
havaitseminen.
• A.10.10.4: Pääkäyttäjä- ja operaattorilokit
– Turvamekanismi: Järjestelmän pääkäyttäjien ja
operaattoreiden toiminnot tulee kirjata.
• A.10.10.6: Kellojen synkronointi
– Turvamekanismi: Kaikkien samassa organisaatiossa tai
turvallisuusalueella olevien olennaisten
tietojenkäsittelyjärjestelmien kellot tulee synkronoida
sovitun tarkan ajanlähteen kanssa.
27.8.2012 | 18
ISO/IEC 27005:2011:
”Tietoturvariskien hallinta”
• Sisältää ohjeita organisaation TT-riskien hallinnasta.
• Tukee erityisesti ISO/IEC 27001 -standardin mukaisen
tietoturvallisuuden hallintajärjestelmän vaatimuksia.
• Ei esitä mitään tiettyä TT-riskien hallinnan
menettelytapaa.
• Sisältää jäsentyneen, järjestelmällisen ja tiukan riskien
analysointiprosessin, jonka 5 askelman avulla voidaan
tuottaa riskien käsittelysuunnitelma
• Ensimmäinen versio julkaistu 2008, toinen 2011.
• Suunnattu lähinnä organisaation TT-riskien hallinnasta
vastaaville johtajille ja henkilöstölle.
27.8.2012 | 19
27005: Tietoturvariskien hallintaprosessi
29.11.2012 | 20 27.8.2012 | 20
27005: Riskien käsittelytoiminta
27.8.2012 | 21
Esimerkki auditointiprosessista
• Vaihe 1. Tietoturvallisuuden hallintajärjestelmän
alustava ja epävirallinen katselmointi
– Keskeisten asiakirjojen olemassaolon ja kattavuuden
tarkistamiseen (organisaation TT-politiikka,
soveltamissuunnitelma, riskien käsittelysuunnitelma).
• Vaihe 2. Yksityiskohtaisempi ja muodollisempi
auditointi
– TT:n hallintajärjestelmän testaus ISO/IEC 27001:n
vaatimuksia vasten, sekä todisteiden keräys siitä, että
johtamisjärjestelmä on suunniteltu ja toteutettu oikein ja
on käytössä. Läpipääsy antaa sertifioinnin.
• Vaihe 3. jatkokatselmoinnit ja auditoinnit
– Säännöllinen uudelleenarviointi.
27.8.2012 | 22
Standardin soveltaminen ja kokemuksia*
• Johdon todellinen sitouttaminen voi olla hankalaa
– Johto voi lähteä innokkaana mukaan, koska heidän
mielestään tietoturva on tärkeää, mutta siinä vaiheessa
kun heidän pitää muuttaa omaa käytöstään, kohdataan
hankaluuksia
– Johto pitää pystyä sitouttamaan kunnolla ennen kuin
standardeja aletaan viedä alemmille portaille
• Kaikkien hallintotasojen kouluttaminen ja
sitouttaminen on tärkeää
• Yritys voi olla ennakoiva tietoturvan suhteen.
• Suurilta ja kalliilta yllätyksiltä voidaan välttyä.
• Jotkut 27K:n asiat eivät ole välttämättä
kustannustehokkaita erityisesti pienille yrityksille.
* Lea Viljanen
27.8.2012 | 23
TT-standardin käytön hyödyt
• ISO/IEC 27001:
– Parempi kuva organisaatiossa itsestään.
• Tietoturvaan liittyvän tiedon määrä ja ymmärrys sen
tärkeydestä lisääntyy.
– Vältetyt riskit vähentävät kuluja.
– Organisaation operaatiot sujuvat sulavammin, koska
vastuut ja businessprosessit on selvästi määritelty.
– TT-valveutuneisuus paranee.
– Asiakkaiden luottamus ja näkemys yrityksestä paranee.
27.8.2012 | 24
Lisätietoa standardeista
• ISO:n online browsing platform -palvelu
– http://www.iso.org/obp/ui
• 27K-standardiperheestä vastaa kansainvälinen ISO/IEC
JTC 1/SC 27 -komitea, erityisesti sen työryhmä 1 (WG 1).
• Suomessa SFS:n seurantaryhmä SR 307
Tietoturvatekniikat seuraa komitean ja sen
työryhmien työtä ja lähettää kansallisia kannanottoja.
– Puheenjohtaja: Reijo Savola (VTT)
– Sihteeri: Juha Vartiainen (SFS)
27.8.2012 | 25