ISO/IEC 27000
ISO/IEC 27000 on tietoturvallisuuden standardiperhe joista 2700X standardit keskittyvät yleisiin vaatimuksiin ja ohjeisiin:
27001:2013 - Tietoturvallisuuden hallintajärjestelmän kehys.
27002:2013 - Tietoturvallisuuden hallintakeinojen menettelyohjeet.
27003:2010 - Tietoturvallisuuden hallintajärjestelmän toteuttamisohjeita.
27004:2009 - Mittaukset.
27005:2011 - Ohjeistus tietoturvariskien hallintaan (ISO 31000 on kokonaisriskien hallintaan luotu standardi)
ISO/IEC 27001
ISO/IEC 27001 on standardi tietoturvallisuuden hallintaan organisaatiossa. ISO 27001 standardi toimii kehyksenä organisaatioille joiden tavoitteena
on kehittää, toteuttaa, käyttää, valvoa, katselmoida, ylläpitää ja parantaa tietoturvallisuuden hallintajärjestelmää ISMS:a
(Information Security Management System). Sisäiset ja ulkoiset asiakkaat ja sidosryhmät voivat käyttää standardia
arvioidessaan organisaation tietoturvaa ja tietoturvakäytäntöjä. ISO 27001 standardin käyttöönotto on strateginen päätös ja yritysjohdon sitoutuminen on
oleellinen osa tietoturvallisuuden hallintajärjestelmää luodessa.
ISMS-järjestelmän toteuttamiseen ja käyttöön vaikuttaa organisaation tarpeet, tavoitteet, tietoturvavaatimukset, organisaation käyttämät prosessit, organisaation koko ja rakenne.
Oletuksena pidetään, että kaikki nämä tekijät tulevat muuttumat ajan myötä.
ISMS tarkoituksena on luoda riskinhallintaprosessi joka suojaa yrityksen tietojen luottamuksellisuuden, eheyden, käytettävyyden ja kiistämättömyyden sekä antaa varmuuden että yrityksen
riskienhallinta on asianmukaisesti toteutettu. Luottamuksellisuus tarkoittaa, että tietoon pääsee käsiksi ainoastaan siihen oikeutetut tahot. Eheys on tiedon ja järjestelmien virheettömyyden
varmistamista. Käytettävyys tarkoittaa, että tieto on aina tarvittaessa saatavilla. Kiistämättömyys tarkoittaa, että tiedon oikeellisuus voidaan osoittaa.
Huomattavaa on, että ISMS ei ole kertaluontoinen projekti, vaan prosessi joka kehittyy jatkuvasti yrityksen toiminnan ajan.
Sisäiset auditoinnit luovat lähtökohdat muutoksille, korjaaville ja ennalta ehkäiseville toimenpiteille. Auditoinneissa tarkastellaan toimintatapoja,
päämääriä, liiketoiminnan vaatimuksia ja varmistetaan yhteensopivuus standardin kanssa. Auditoinneissa käydään myös läpi riskinhallinnan menetelmät ja niiden toteutuminen.
Nämä toimenpiteet antavat johdolle arvion turvamekanismien toiminnasta.
Organisaatio ja rajojen määrittely
Tietoturvallisuuden hallintajärjestelmää luodessa on oleellista ymmärtää organisaation rakenne sekä sisäiset ja ulkoiset tekijät joilla on oleellinen vaikutus tietoturvallisuuden
hallintajärjestelmän kautta luotavaan lopputulokseen. Ulkoisten ja sisäisten tekijöiden tunnistamisen ja ymmärtämisen tarkoituksena on määrittää
tietoturvallisuuden hallintajärjestelmän rajat ja sovellettavuus sen laajuuden määrittämiseksi. Laajuuden määrittämiseksi tulee myös ymmärtää organisaation rajapinnat ja riippuvuudet
organisaation suorittamien toimintojen välillä ja muiden organisaatioiden suorittamat toiminnot.
Sisäisten ja ulkoisten tekijöiden määrittelyyn perehdytään tarkemmin ISO 31000 riskienhallinta standardissa:
Ulkoisten ja sisäisten tekijöiden tunnistaminen ja ymmärtäminen ja mikä vaikutus näillä organisaation riskienhallintaan ja tavoitteiden saavuttamiseen.
Ympäristön, keskeisten ulkoisten tekijöiden, ulkoisten sidosryhmien vaikutus organisaation tavoitteisiin. Sisäisten sidosryhmien, hallintorakenteen,
kyvykkyyksien, kulttuurin, standardien ja sopimusten ymmärtäminen. Organisaation tulee määritellä myös tietoturvallisuuden hallintajärjestelmän asiaankuuluvat asianomaiset osapuolet ja näiden vaatimukset ISMS:n suhteen.
Nämä voivat sisältää asianomaisten osapuolten oikeudelliset ja lainsäädännölliset vaatimukset ja sopimusvelvoitteet. Hyvin usein tämä tarkoittaa viranomaistahoja ja
kansallisia lakeja.
Johtajuus ja sitoutuminen
Johdon vastuulla on, että organisaatiolla on tietoturvapolitiikka ja tietoturvan tavoitteet toteutuvat organisaation strategisen suunnan kanssa. Varmistaa tietoturvallisuuden hallintajärjestelmän vaatimusten integrointi organisaation prosesseihin. Johdon tulee osoittaa sitoutuminen varaamalla vaadittavat resurssit, varmistamalla henkilökunnan riittävä koulutus ja tietoisuus. Tietoturvallisuuden merkitys tulee varmistaa organisaation joka päiväisessä toiminnassa.
Tietoturvapolitiikka
Organisaation ylimmän johdon tulee luoda yrityksen tietoturvapolitiikka jonka tarkoituksena on kuvata ja määritellä organisaation kannalta oleelliset
tietoturvakäytännöt. Tietoturvapolitiikka toimii yrityksen tietoturvatavoitteiden kehyksenä ja tukena, ja sen tarkoituksena varmistaa, että lakien, asetusten ja
liiketoiminnan vaatimat tietoturvallisuusperiaatteet toteutuvat organisaatiossa. Tietoturvapolitiikan tulee sisältää sitoutumisen tietoturvallisuuden
hallintajärjestelmän jatkuvaan parantamiseen.
Tietoturvapolitiikka tulee olla dokumentoituna ja viestitettynä organisaatiolle ja tarvittaessa eri sidosryhmille.
Ylimmän johdon on varmistettava, että tietoturvallisuuteen liittyvät roolit ja vastuut osoitetaan ja ilmoitetaan.
Vastuut tulee määritellä selkeästi ja hallinnan tulee olla koordinoitua. Määrätyillä rooleilla varmistetaan kommunikointi sidosryhmille ja viranomaisille sekä
varmistetaan että ISMP toiminnasta raportoidaan ylimmälle johdolle.
Tehtävien ja vastuiden määrittämisellä varmistetaan myös tietojenkäsittelyn turvallisuus ulkoisten sidosryhmien käsitellessä, hallinnoidessa ja nähdessä organisaation tietoja.
Henkilöstöturvallisuudessa roolit, vastuut ja velvoitteet kirjataan sopimuksin. Henkilöstön kanssa kirjattavia sopimuksia voi olla esimerkiksi työsopimus,
salassapitosopimus ja kilpailukieltosopimus. Ennen työsuhteen alkua voidaan tehdä erimuotoisia turvallisuusselvityksiä työkuvan näin vaatiessa.
Sidosryhmien välisissä sopimuksissa tulee olla määriteltynä seuraamukset mahdollisista tietoturvarikkomuksista.
Roolien jakaminen vähentää riskiä, että järjestelmiä väärinkäytettäisiin sattumalta tai tahallisesti. Tämän vuoksi tulisikin huolehtia, että yksittäinen henkilö ei pääse käsiksi,
eikä pysty muokkaamaan tai käyttämään tietoa tai järjestelmää ilman valtuutusta tai havaitsemista. Pienessä organisaatiossa roolien jakaminen voi olla vaikea toteuttaa, mutta
roolien jaossa tulisi pyrkiä niin pitkälle kuin mahdollista. Roolien jakamisen ollessa haastavaa, organisaation tulisi panostaa tapahtumien valvontaan,
tapahtumaketjujen havainnointiin ja johdon suorittamaan valvontaan.
Riskien arviointi ja käsittely
Tietoturvallisuuden hallintajärjestelmää suunniteltaessa organisaation tulee ottaa huomioon ulkoisten ja sisäisten tekijöiden vaikutukset ja vaatimukset sekä
näiden vaikutus riskeihin ja mahdollisuuksiin. Organisaation tulee varmistaa, että ISMS mahdollistaa halutun lopputuloksen; ehkäisee tai vähentää ei toivottuja vaikutuksia.
Organisaation on määriteltävä tietoturvariskien arviointiprosessi ja sovellettava sitä määritettäessä ja ylläpidettäessä tietoturvakriteereitä.
Ennen kuin riskejä voi käsitellä, tulee ne tunnistaa, analysoida ja arvioida. Kaikkia riskejä ei voida kokonaan poistaa,
eikä jokaiselle yksittäiselle riskille ole käytönnöllistä luoda suojaa, mutta on mahdollista luoda tehokas turva suurimmalle osalle
riskejä, käsittelemällä niitä tietyllä tasolla.
Johdon tulee määritellä hyväksyttävät riskitasot ja riskien arviointiprosessi tulisi suunnitella toimimaan samassa linjassa organisaation
kokonaisriskienhallintakehyksen kanssa jos tällainen on olemassa. Riskiarviossa tulee tunnistaa riskit jotka ovat ISMS:n rajoissa ja
jotka kohdistuvat kohteen luottamuksellisuuteen, eheyteen ja käytettävyyteen sekä näiden riskien omistajat.
Oleellista on, että tietoturvariskien arvioinnit tuottavat johdonmukaisia, päteviä ja vertailukelpoisia tuloksia.
Tunnistettujen riskien mahdolliset vaikutukset ja toteutuminen tulee analysoida ja riski tulee käsitellä määriteltyjen tietoturvakriteerien mukaisesti.
Riskien käsittelyä varten organisaation tulee luoda riskien käsittelyprosessi. Prosessissa tulee käyttää tietoturvariskien arvionnin tuloksia ja määritellä tarvittavat suojamekanismit
(tietoturvallisuuskontrollit) joilla riskeihin vastataan.
Soveltamissuunnitelmaan (Statement of Applicability) tulee kuvata organisaation riskienhallinnan toimenpiteet, valvontatavoitteet ja suojamekanismit. SoA:ssa
tulee määritellä ja perustella ne suojamekanismit jotka sisällytetty ja ne jotka on jätetty soveltamissuunnitelman ulkopuolelle.
Suojamekanismillä tarkoitetaan vastatoimea, jolla hallitaan riskejä.
Riskinhallintaa voidaan soveltaan yrityksen käytäntöihin, ohjeistuksiin, prosesseihin, tai organisaatiorakenteisiin, ja nämä riskit voivat olla laatuaan
teknisiä, hallinnollisia tai oikeudellisia. Soveltamissuunnitelmassa määritellään suojattavat kohteet ja riskien käsittely yhdistettynä käytettyihin
turvamekanismeihin ja mittareihin.
Riskien käsittely jakaantuu neljään osaan: Riskien poisto, riskien vähentäminen hyväksyttälle tasolle, riskien sietäminen tai
riskien ulkoistaminen sopimuksilla, vaakuutuksilla tai ulkopuolisella organisaatiolla. Riskit tulee luokitella sen mukaan kuinka kriittisiä ne ovat organisaation tavoitteiden ja
toimintojen kannalta. Luokittelu voi olla luottamuksellisuuteen sekä lakien ja asetusten vaatimuksiin perustuvaa.
Johdon katselmus
Yrityksen johdon tulee suorittaa ainakin kerran vuodessa katselmus tietoturvallisuuden hallintajärjestelmälle. Katselmuksessa hallintajärjestelmä arvioidaan kokonaisuudessaan. Katselmuksissa käydään läpi tietoturva-auditointien ja tehokkuusmittauksien tulokset, saadut palautteet ja ehdotukset, muutokset jotka voivat vaikuttaa tietoturvaan, edellisten katselmusten tulokset, viranomaisten antamat ehdotukset, tietoturvahäiriöt ja tietoturvan yleiset trendit. Katselmuksista on ylläpidettävä kattavaa dokumentaatiota ja katselmuksien tulosten perusteella johto tekee mahdolliset muutos- ja kehityspäätökset.
Kehitys - Poikkeamat ja korjaus
Jos ilmenee poikkeama, tulee organisaation reagoida siihen kontrolloimalla ja korjaamalla poikkeama sekä vastata seuraamuksista. Organisaation tulee arvioida tarve toimenpiteelle, jolla poikkeaman syy poistetaan, niin ettei se ilmene uudelleen tai samantapaiset poikkeaman eivät esiinny muualla. Toimenpide tulee tarvittaessa ottaa käyttöön ja toimenpiteen vaikutukset tulee katselmoida. Poikkeavuuksista tulee pitää dokumentaatiota, josta selviää mitä on tapahtunut, miten siihen vastattiin ja mikä oli lopputulos. Organisaation on jatkuvasti parannettava tietoturvallisuuden hallintajärjestelmän soveltuvuutta, riittävyyttä ja tehokkuutta.
Annex A suojamekanismit (tietoturvallisuuskontrollit)
Annex A sisältää 14 suojamekanismien yläluokkaa ja yhteensä suojamekanismeja on 114. Usein ISO 27001 ymmärretään IT-tietoturvastandardina, mutta kuten suojamekanismit osoittavat, standardi pyrkii kattamaan tietoturvan kokonaisuudessaan.
A.5 Information security policies | Suojamekanismi miten tietoturvallisuussäännöt tulee kirjoittaa ja arvioida. |
A.6 Organization of information security | Suojamekanismi miten vastuut tulee määritellä. Esim. viestintävastuu viranomaisille ja sidosryhmille. Sisältää myös mobiililaitteiden ja etätyöskentelyn suojamekanismit. |
A.7 Human resources security | Suojamekanismit liittyen työsuhteisiin ja alihankkijoihin, ennen työsuhteen alkua, sen aikana ja sen päättymisen jälkeen. |
A.8 Asset management | Suojamekanismit omaisuuden (Asset - Mikä tahansa resurssi tai kyvykkyys.) inventaarioon ja hyväksyttävään käyttöön. Tiedon luokkiteluun ja medioiden käsittelyyn. |
A.9 Access control | Suojamekanismit pääsynhallintaan, käyttöoikeuksien hallintaan, järjestelmien ja sovellusten käytön valvontaan ja käyttäjien velvollisuuksiin. |
A.10 Cryptography | Suojamekanismit liittyen salaukseen ja salausavaimien hallintaan. |
A.11 Physical and environmental security | Suojamekanismit liittyen tiloihin ja ympäristöön, laiteturvallisuuteen ja turvalliseen hävittämiseen. |
A.12 Operational security | Suojamekanismeja liittyen IT-tuotantoon. Varmuuskopiot, valvonta, asennus, muutos- ja kapasiteettihallinta jne. |
A.13 Communications security | Suojamekanismit liittyen verkkoturvallisuuteen, verkkopalveluihin, tiedonsiirtoon, viestintään jne. |
A.14 System acquisition, development and maintenance | Suojamekanismit liittyen turvallisuusvaatimuksiin ja turvallisuuteen kehitys- ja tukiprosesseissa. |
A.15 Supplier relationships | Suojamekanismit liittyen toimittajien sopimuksiin ja valvontaan. |
A.16 Information security incident management | Suojamekanismit liittyen tietoturvatapahtumien ja haavoittuvuuksien raportointiin, velvollisuuksien määrittelyyn, vastatoimiin ja todisteiden keräämiseen. |
A.17 Information security aspects of business continuity management | Suojamekanismit liittyen liiketoiminnan jatkuvuuden suunnitteluun, toimintatapoihin, varmistamiseen ja arviointiin ja IT redudanssiin. |
A.18 Compliance | Suojamekanismit sovellettavien lakien ja määräysten tunnistamiseen sekä näiden soveltaminen immateriaalioikeuksien ja henkilökohtaisten tietojen suojaamiseen. Sisältää myös suojamekanismit tietoturvallisuuden arviointiin. |
ISO 27001 haasteet
Haasteita standardissa tuo oikean tasapainon löytäminen niin, että organisaation tietoturva lisääntyy käytännössä, eikä toimenpiteet aiheuta vain turhaa raportointia tai kumileimaisin-ilmiötä ja että kustannukset pysyvät siedettävinä. ISMS:n rajoja määriteltäessä voi tulla houkutuksesi rajata tiettyä organisaation osia ISMS:n ulkopuolelle. Tällaisessa tapauksessa ongelmaksi muodostuu, että näitä organisaation osia tulee kohdella ulkoisina sidosryhminä ja hallinnasta voi tulla haasteellista. Jos yritys päättää ulkoistaa IT-palvelunsa, standardin mukaan tämä ei poista yrityksen vastuuta tietoturvasta ja ulkoistamisen johdosta palvelun tuottajalle tulee määritellä suojattavat kohteet palvelusopimuksessa (SLA) ja palveluntarjoaa tulee valvoa. Asiaa auttaa jos ulkoistuspalvelua tarjoava yritys on auditoitu ISO 27001 -standardilla. Sisäinen auditointi vs. sertifikaattiauditointi. Sisäinen auditointi kertoo kuinka tehokkaasti ISMS toimii: Organisaation tietoturvatarpeet suhtautettuna standardiin; ja sitä onko ISMS tehokkaasti toteutettu ja ylläpidetty. Sertifikaattiauditointi testaa kuinka ISMS vastaa organisaation omiin määrityksiin kun niitä verrataan standardin vaatimuksiin.