Tietoturvastandardit
Suomen Standardisoimisliitto SFS on Suomen standardisoinnin keskusjärjestö.
Sen jäseniä ovat Suomen valtio ja joitakin suomalaisia elinkeinoelämän järjestöjä.
SFS toimii ISOn (International Organization for Standardization) ja CENin (Eu-ropean Committee for Standardization) jäsenenä. CEN on eurooppalainen ja ISO kansainvälinen standardisoimisjärjestö. ISO on luonut tietoturvastandardeja, joi-den tavoitteena on tietoturvasuunnittelun jäsentäminen ja organisointi. Standardit asettavat vaatimukset tietoturvasuunnittelun menettelytavoille. Ne sisältävät sel-keän mallin tietoturvasuunnittelun dokumentoinnin rakenteelle, mihin tarkoituk-seen ne ovat erityisen hyödyllisiä. Tietoturvastandardit eivät aseta vaatimuksia tietoturvan tasolle ja sisällölle. Tietoturvastandardit ovat kansainvälisiä ja kansal-lisia. (Hakala ym. 2006: 46; Suomen Standardisoimisliitto 2011a; International Organization for Standardization 2009.) Laaksosen ja muiden (2006: 86) mukaan ISO:n tietoturvastandardit ovat tarkoitettu ja suunniteltu erityisesti yksityisen sek-torin käyttöön, mutta ne soveltuvat myös julkiselle sektorille.
ISOn keskeisiä tietoturvatekniikoiden standardisointialueita ovat muun muassa tietoturvan hallintajärjestelmät, suositukset, digitaalinen allekirjoitus, pääsynval-vonta, salaustekniikat ja tietoturvan arviointiperusteet (Suomen Standardisoimis-liitto 2011b). Voimassa olevia (tilanne 21.9.2011) tietoturvatekniikan standardeja (IT Security techniques, JTC 1/SC 27) on 96 kappaletta (International Organizati-on for StandardizatiOrganizati-on 2011b).
Tietoturvatekniikoiden standardeista tämän tutkimuksen kannalta keskeisimmät ovat Tietoturvan arviointia käsittelevät standardit ISO/IEC 15408 Evaluation cri-teria for IT security ja ISO/IEC 18045 Methodology for IT security evaluation sekä Tietoturvan hallintajärjestelmien standardit, jotka julkaistaan ISO/IEC 27000 -sarjassa. ISO/IEC 15408 -standardi on julkaistu 3 osassa vuosina 2008 ja 2009.
ISO/IEC 18045 -standardi on julkaistu vuonna 2008. ISO on julkaissut ISO/IEC 27000 -sarjaan viime vuosina useita uusia tietoturvastandardeja. Uusimmat ISO/IEC 27000 -sarjan standardit ovat (tilanne 21.9.2011):
- ISO/IEC 27005 Tietoturvariskien hallinta (julkaistu 19.5.2011)
- ISO/IEC 27031 Guidelines for information and communication technolo-gy readiness for business continuity (julkaistu 1.3.2011)
- ISO/IEC 27003 Tietoturvallisuuden hallintajärjestelmän toteuttamisohjeita (vuodelta 2010)
- ISO/IEC 27000 Tietoturvallisuuden hallintajärjestelmät. Yleiskatsaus ja sanasto (vuodelta 2009)
- ISO/IEC 27004 Tietoturvallisuuden hallinta. Mittaaminen (vuodelta 2009). (Suomen Standardisoimisliitto 2011c; International Organization for Standardization 2011a.)
Keskeisimpiä tietoturvastandardeja ovat pitkään olleet tietoturvan hallintaa käsit-televät standardit ISO/IEC 27002 ja ISO/IEC 27001. ISO/IEC 27002 -standardin uusin päivitetty versio on julkaistu vuonna 2005. Standardi tunnettiin vuoteen 2007 asti ISO/IEC 17799 -standardina. ISO/IEC 27001 -standardin uusin päivitet-ty versio on julkaistu vuonna 2006. Molempien standardien hankkiminen tulee suositeltavaksi, jos yrityksessä tehdään suuria tietoturvahankkeita. (Hakala ym.
2006: 46; Suomen Standardisoimisliitto 2011a; Suomen Standardisoimisliitto 2007; International Organization for Standardization 2009.)
BS 7799 -standardia on pidetty yhtenä tunnetuimmista tietoturvastandardeista. Se on englantilainen standardi, joka ei ole enää niin merkittävä, koska ISO:n stan-dardien ISO/IEC 27002 ja ISO/IEC 27001 voidaan katsoa korvanneen sen ja tie-toturvasertifiointi tehdään niiden pohjalta. (Laaksonen 2006: 85, 88; Suomen Standardisoimisliitto 2007.)
ISO/IEC 27002 -standardi on informaatioteknologiaa, turvallisuutta sekä tieto-turvan hallintaa koskeva yleinen menettelyohje. Sen avulla organisaatiossa pysty-tään kehittämään tehokkaita turvallisuusjohtamisen käytäntöjä sekä lisäämään luottamusta organisaatioiden väliseen liiketoimintaan. Standardi tunnettiin pit-kään nimellä ISO/IEC 17799, mutta standardin tunnus muutettiin vuonna 2007.
(Hakala ym. 2006: 46; Suomen Standardisoimisliitto 2007; Suomen Standardi-soimisliitto 2006.)
ISO/IEC 27002 on keskeisin tietoturvasuunnittelun sisältöä ohjaava standardi.
Siinä määritellään yrityksen tietoturvan suunnittelussa, ylläpidossa ja kehittämisessä huomioitavat osaalueet. ISO 27002/IEC standardi on luotu BS 7799 -standardin ensimmäisen osan pohjalta. ISO 27002/IEC on suunniteltu kaikenko-koisten yritysten käyttöön ja se huomioi OECD:n tietoturvaohjeistuksen. Se laa-dittiin ensimmäisen kerran vuonna 1992. Vuoden 2002 päivityksessä siihen lisät-tiin käsite tietoturvakulttuuri ja vuoden 2005 päivityksessä esiintyi ensimmäisen kerran aiheena tietoturvahäiriöiden hallinta. (Hakala ym. 2006: 46; Laaksonen 2006: 85–86, 88; Suomen Standardisoimisliitto 2007.)
ISO 27002/IEC sisältää yleisperiaatteet ja suuntaviivat tietoturvan hallitsemiselle.
Siinä kuvataan turvallisuuden parantamistoimien käynnistämis- ja toteutustapoja.
Lisäksi siinä kerrotaan turvallisuushallinnon ylläpito- ja kehitystapoja. Standardi painottuu menetelmiin ja turvallisuuden hallinnointiin. Siinä ei kuvata teknisiä ratkaisuja. Standardi ohjeistaa yrityksen turvallisuuskäytäntöjen ja standardien
laatimisen yleisellä tasolla. Se ei siis sisällä määräyksiä mitä käytäntöjen ja stan-dardien tulisi olla. ISO 27002/IEC -standardi voidaan nähdä työvälineenä, jolla voidaan arvioida yrityksen olemassa olevien tietoturvakäytäntöjen kattavuutta.
(Hakala ym. 2006: 47; Suomen Standardisoimisliitto 2007.)
ISO 27002/IEC -standardissa tietoturva jaetaan 11 klausuuliin. Jokaisessa klau-suulissa on 1–10 pääkategoriaa. Kussakin kategoriassa on määritelty tavoitteet ja ohjaustoiminnot tavoitteisiin pääsemiseksi. Lisäksi kussakin kategoriassa on ku-vattu toteutusohjeet sekä annettu lisätietoja. (Hakala ym. 2006: 47; Suomen Stan-dardisoimisliitto 2007.)
Hakalan ja muiden (2006: 47–48; Suomen Standardisoimisliitto 2007) mukaan ISO 27002/IEC -standardi ohjeistaa seuraavia asioita:
1. riskianalyysi sekä riskien arviointi ja käsittely: järjestelmällinen riskien kartoittaminen ja vaikutusten (myös taloudellisten) arviointi: varautumi-nen, pienentämivarautumi-nen, ehkäisy, siirtäminen ja hyväksyminen
2. turvallisuuspolitiikka: määrittely, sisältö ja levittäminen, korostetaan johdon sitoutumista sekä tiedon levittämistä koko yrityksessä ja sen sidos-ryhmille
3. tietoturvan organisointi: sisäinen ja ulkoinen organisointi erikseen, tieto-turva sisällytetään yrityksen kaikkiin toimintaprosesseihin, vastuuhenkilöt nimetään, toimintaa koordinoidaan ja tarkastellaan säännöllisesti
4. omaisuuden hallinta: omaisuutta on yrityksen arvokas omaisuus, joka voi olla aineellista tai aineetonta, omaisuuden inventointi, omistajan eli vas-tuuhenkilön nimeäminen, sallitun ja kielletyn käytön määrittely sekä tieto-jen luokittelujärjestelmän luominen
5. henkilöstöturvallisuus: johdon vastuu, työntekijöiden ja sidosryhmien roolien ja vastuiden määrittely, sopimukset, taustaselvitykset, kurinpito-toimet ja työsuhteen päättyminen
6. fyysinen ja ympäristöturvallisuus: kulun- ja käytönvalvonnan toteutta-minen, tietojenkäsittelytilojen määrittely ja suojaatoteutta-minen, laitteistojen ja kaapelointijärjestelmän suojaus, etätyöskentely sekä laitteistojen kierrätys ja hävittäminen
7. käytön hallinta: toimintatavat ja vastuut, käytön valvonnan menetelmät, tietojen varmistus, tietoliikenneturvallisuuden hallinta, tiedon välitys yri-tyksen ja sen sidosryhmien välillä, muutosten hallinta, tehtävien, kehityk-sen, testauksen ja tuotannon eriyttäminen, ulkoisten palveluiden hallinta, järjestelmien suunnittelu ja hyväksyttäminen, haittaohjelmilta suojautumi-nen, tietovälineiden käsittely, järjestelmädokumenttien turvallisuus ja säh-köinen kauppa
8. pääsyn valvonta: pääsynvalvontapolitiikka, pääsynvalvonnan hallinta, järjestelmien käyttäjien vastuut, verkon pääsynvalvonta, käyttöjärjestelmi-en, varusohjelmikäyttöjärjestelmi-en, sovellusten ja tietojen käytön rajoittaminen sekä mo-biilikäytön rajoitukset
9. tietojärjestelmien hankinta, kehittäminen ja ylläpito: turvallisuusvaa-timusten analysointi ja määrittely, eheyden varmistaminen, salausteknii-koiden käyttö, järjestelmätiedostojen turvallisuus, sovelluskehityksen ja tukiprosessien turvallisuus sekä tekninen haavoittuvuuden hallinta 10. tietoturvatapahtumien hallinta: tietoturvatapahtumien ja heikkouksien
raportointi, ei-toivottujen tapahtumien hallinta ja turvallisuuden paranta-minen
11. toiminnan jatkuvuuden hallinta: tietoturvan saaminen osaksi yrityksen yleistä jatkuvuuden hallintaa
12. yhteensopivuus: yhteensopivuus lainsäädännön ja sopimusten kanssa, standardien mukaisuus, yrityksen käytäntöjen vastaavuus, tekninen yh-teensopivuus ja auditointi.
ISO/IEC 27001 -standardi käsittelee informaatioteknologiaa, turvallisuusteknii-koita, tietoturvan hallintajärjestelmiä sekä yleiskatsauksen tietoturvastandardeihin ja sanaston. Sen tärkein tavoite on auttaa luomaan ja ylläpitämään jatkuvan paran-tamisen lähestymistapaa, johon pyritään käyttämällä tehokasta tietoturvan hallin-tajärjestelmää. (International Organization for Standardization 2009; Suomen Standardisoimisliitto 2006.)
Hakalan ja muiden (2006: 46, 49) mukaan ISO 27001/IEC -standardi kuvaa tieto-turvan hallintajärjestelmää, josta käytetään lyhennettä ISMS (Information Securi-ty Management System). BS 7799 -standardin toinen osa BS 7799-2 sisälsi ai-emmin ISO 27001/IEC -standardin sisällön. ISO 27001/IEC -standardin seuraa-minen edellyttää ISO 27002/IEC -standardia. ISO 27001/IEC on sitovampi kuin ISO 27002/IEC. ISO 27001/IEC antaa suuntaviivat tietoturvatoiminnalle. Sen perustana on tietoturvan hallintajärjestelmän kehittäminen prosessinomaisesti.
(Hakala ym. 2006: 46, 49; Laaksonen 2006: 88; Suomen Standardisoimisliitto 2007.)
ISO 27001/IEC -standardin klausuulien 4–8 asiat ovat:
4. tietoturvan hallintajärjestelmä: perustaminen, käyttöönotto ja käyttö, järjestelmän valvonta ja katselmointi sekä sen ylläpito ja kehittäminen, do-kumentointi ja dokumenttien hallinta
5. johdon vastuut: sitoutuminen, resurssien varmistaminen, lainsäädännön ja sopimusten vaikutusten arviointi, katselmointien järjestäminen ja sen
tu-loksiin reagointi, turvallisuustietoisuuden edistäminen sekä koulutuksen järjestäminen ja sen tulosten kirjaaminen
6. sisäinen tietoturvan hallintajärjestelmän auditointi
7. johdon katselmointi tietoturvan hallintajärjestelmään: vaadittavat läh-tötiedot ja syntyvät tulokset
8. tietoturvan hallintajärjestelmän kehittäminen: jatkuva kehittäminen sekä ehkäisevät ja korjaavat toimenpiteet.
Klausuulit sisältävät kohdat, jotka tulee sisältyä yrityksen tietoturvan hallintajär-jestelmään, mikäli se halutaan auditoida ja sertifioida. (Hakala ym. 2006: 49–50.)