ISO/IEC 27000

ISO/IEC 27000 on tietoturvallisuuden standardiperhe joista 2700X standardit keskittyvät yleisiin vaatimuksiin ja ohjeisiin:

27001:2013 - Tietoturvallisuuden hallintajärjestelmän kehys.
27002:2013 - Tietoturvallisuuden hallintakeinojen menettelyohjeet.
27003:2010 - Tietoturvallisuuden hallintajärjestelmän toteuttamisohjeita.
27004:2009 - Mittaukset.
27005:2011 - Ohjeistus tietoturvariskien hallintaan (ISO 31000 on kokonaisriskien hallintaan luotu standardi)

ISO/IEC 27001

ISO/IEC 27001 on standardi tietoturvallisuuden hallintaan organisaatiossa. ISO 27001 standardi toimii kehyksenä organisaatioille joiden tavoitteena on kehittää, toteuttaa, käyttää, valvoa, katselmoida, ylläpitää ja parantaa tietoturvallisuuden hallintajärjestelmää ISMS:a (Information Security Management System). Sisäiset ja ulkoiset asiakkaat ja sidosryhmät voivat käyttää standardia arvioidessaan organisaation tietoturvaa ja tietoturvakäytäntöjä. ISO 27001 standardin käyttöönotto on strateginen päätös ja yritysjohdon sitoutuminen on oleellinen osa tietoturvallisuuden hallintajärjestelmää luodessa. ISMS-järjestelmän toteuttamiseen ja käyttöön vaikuttaa organisaation tarpeet, tavoitteet, tietoturvavaatimukset, organisaation käyttämät prosessit, organisaation koko ja rakenne. Oletuksena pidetään, että kaikki nämä tekijät tulevat muuttumat ajan myötä.

ISMS tarkoituksena on luoda riskinhallintaprosessi joka suojaa yrityksen tietojen luottamuksellisuuden, eheyden, käytettävyyden ja kiistämättömyyden sekä antaa varmuuden että yrityksen riskienhallinta on asianmukaisesti toteutettu. Luottamuksellisuus tarkoittaa, että tietoon pääsee käsiksi ainoastaan siihen oikeutetut tahot. Eheys on tiedon ja järjestelmien virheettömyyden varmistamista. Käytettävyys tarkoittaa, että tieto on aina tarvittaessa saatavilla. Kiistämättömyys tarkoittaa, että tiedon oikeellisuus voidaan osoittaa. Huomattavaa on, että ISMS ei ole kertaluontoinen projekti, vaan prosessi joka kehittyy jatkuvasti yrityksen toiminnan ajan.

Sisäiset auditoinnit luovat lähtökohdat muutoksille, korjaaville ja ennalta ehkäiseville toimenpiteille. Auditoinneissa tarkastellaan toimintatapoja, päämääriä, liiketoiminnan vaatimuksia ja varmistetaan yhteensopivuus standardin kanssa. Auditoinneissa käydään myös läpi riskinhallinnan menetelmät ja niiden toteutuminen. Nämä toimenpiteet antavat johdolle arvion turvamekanismien toiminnasta.

Organisaatio ja rajojen määrittely

Tietoturvallisuuden hallintajärjestelmää luodessa on oleellista ymmärtää organisaation rakenne sekä sisäiset ja ulkoiset tekijät joilla on oleellinen vaikutus tietoturvallisuuden hallintajärjestelmän kautta luotavaan lopputulokseen. Ulkoisten ja sisäisten tekijöiden tunnistamisen ja ymmärtämisen tarkoituksena on määrittää tietoturvallisuuden hallintajärjestelmän rajat ja sovellettavuus sen laajuuden määrittämiseksi. Laajuuden määrittämiseksi tulee myös ymmärtää organisaation rajapinnat ja riippuvuudet organisaation suorittamien toimintojen välillä ja muiden organisaatioiden suorittamat toiminnot. Sisäisten ja ulkoisten tekijöiden määrittelyyn perehdytään tarkemmin ISO 31000 riskienhallinta standardissa:

Ulkoisten ja sisäisten tekijöiden tunnistaminen ja ymmärtäminen ja mikä vaikutus näillä organisaation riskienhallintaan ja tavoitteiden saavuttamiseen. Ympäristön, keskeisten ulkoisten tekijöiden, ulkoisten sidosryhmien vaikutus organisaation tavoitteisiin. Sisäisten sidosryhmien, hallintorakenteen, kyvykkyyksien, kulttuurin, standardien ja sopimusten ymmärtäminen. Organisaation tulee määritellä myös tietoturvallisuuden hallintajärjestelmän asiaankuuluvat asianomaiset osapuolet ja näiden vaatimukset ISMS:n suhteen. Nämä voivat sisältää asianomaisten osapuolten oikeudelliset ja lainsäädännölliset vaatimukset ja sopimusvelvoitteet. Hyvin usein tämä tarkoittaa viranomaistahoja ja kansallisia lakeja.

Johtajuus ja sitoutuminen

Johdon vastuulla on, että organisaatiolla on tietoturvapolitiikka ja tietoturvan tavoitteet toteutuvat organisaation strategisen suunnan kanssa. Varmistaa tietoturvallisuuden hallintajärjestelmän vaatimusten integrointi organisaation prosesseihin. Johdon tulee osoittaa sitoutuminen varaamalla vaadittavat resurssit, varmistamalla henkilökunnan riittävä koulutus ja tietoisuus. Tietoturvallisuuden merkitys tulee varmistaa organisaation joka päiväisessä toiminnassa.

Tietoturvapolitiikka

Organisaation ylimmän johdon tulee luoda yrityksen tietoturvapolitiikka jonka tarkoituksena on kuvata ja määritellä organisaation kannalta oleelliset tietoturvakäytännöt. Tietoturvapolitiikka toimii yrityksen tietoturvatavoitteiden kehyksenä ja tukena, ja sen tarkoituksena varmistaa, että lakien, asetusten ja liiketoiminnan vaatimat tietoturvallisuusperiaatteet toteutuvat organisaatiossa. Tietoturvapolitiikan tulee sisältää sitoutumisen tietoturvallisuuden hallintajärjestelmän jatkuvaan parantamiseen. Tietoturvapolitiikka tulee olla dokumentoituna ja viestitettynä organisaatiolle ja tarvittaessa eri sidosryhmille.

Ylimmän johdon on varmistettava, että tietoturvallisuuteen liittyvät roolit ja vastuut osoitetaan ja ilmoitetaan. Vastuut tulee määritellä selkeästi ja hallinnan tulee olla koordinoitua. Määrätyillä rooleilla varmistetaan kommunikointi sidosryhmille ja viranomaisille sekä varmistetaan että ISMP toiminnasta raportoidaan ylimmälle johdolle.

Tehtävien ja vastuiden määrittämisellä varmistetaan myös tietojenkäsittelyn turvallisuus ulkoisten sidosryhmien käsitellessä, hallinnoidessa ja nähdessä organisaation tietoja. Henkilöstöturvallisuudessa roolit, vastuut ja velvoitteet kirjataan sopimuksin. Henkilöstön kanssa kirjattavia sopimuksia voi olla esimerkiksi työsopimus, salassapitosopimus ja kilpailukieltosopimus. Ennen työsuhteen alkua voidaan tehdä erimuotoisia turvallisuusselvityksiä työkuvan näin vaatiessa. Sidosryhmien välisissä sopimuksissa tulee olla määriteltynä seuraamukset mahdollisista tietoturvarikkomuksista.

Roolien jakaminen vähentää riskiä, että järjestelmiä väärinkäytettäisiin sattumalta tai tahallisesti. Tämän vuoksi tulisikin huolehtia, että yksittäinen henkilö ei pääse käsiksi, eikä pysty muokkaamaan tai käyttämään tietoa tai järjestelmää ilman valtuutusta tai havaitsemista. Pienessä organisaatiossa roolien jakaminen voi olla vaikea toteuttaa, mutta roolien jaossa tulisi pyrkiä niin pitkälle kuin mahdollista. Roolien jakamisen ollessa haastavaa, organisaation tulisi panostaa tapahtumien valvontaan, tapahtumaketjujen havainnointiin ja johdon suorittamaan valvontaan.

Riskien arviointi ja käsittely

Tietoturvallisuuden hallintajärjestelmää suunniteltaessa organisaation tulee ottaa huomioon ulkoisten ja sisäisten tekijöiden vaikutukset ja vaatimukset sekä näiden vaikutus riskeihin ja mahdollisuuksiin. Organisaation tulee varmistaa, että ISMS mahdollistaa halutun lopputuloksen; ehkäisee tai vähentää ei toivottuja vaikutuksia. Organisaation on määriteltävä tietoturvariskien arviointiprosessi ja sovellettava sitä määritettäessä ja ylläpidettäessä tietoturvakriteereitä. Ennen kuin riskejä voi käsitellä, tulee ne tunnistaa, analysoida ja arvioida. Kaikkia riskejä ei voida kokonaan poistaa, eikä jokaiselle yksittäiselle riskille ole käytönnöllistä luoda suojaa, mutta on mahdollista luoda tehokas turva suurimmalle osalle riskejä, käsittelemällä niitä tietyllä tasolla.

Johdon tulee määritellä hyväksyttävät riskitasot ja riskien arviointiprosessi tulisi suunnitella toimimaan samassa linjassa organisaation kokonaisriskienhallintakehyksen kanssa jos tällainen on olemassa. Riskiarviossa tulee tunnistaa riskit jotka ovat ISMS:n rajoissa ja jotka kohdistuvat kohteen luottamuksellisuuteen, eheyteen ja käytettävyyteen sekä näiden riskien omistajat. Oleellista on, että tietoturvariskien arvioinnit tuottavat johdonmukaisia, päteviä ja vertailukelpoisia tuloksia. Tunnistettujen riskien mahdolliset vaikutukset ja toteutuminen tulee analysoida ja riski tulee käsitellä määriteltyjen tietoturvakriteerien mukaisesti.

Riskien käsittelyä varten organisaation tulee luoda riskien käsittelyprosessi. Prosessissa tulee käyttää tietoturvariskien arvionnin tuloksia ja määritellä tarvittavat suojamekanismit (tietoturvallisuuskontrollit) joilla riskeihin vastataan. Soveltamissuunnitelmaan (Statement of Applicability) tulee kuvata organisaation riskienhallinnan toimenpiteet, valvontatavoitteet ja suojamekanismit. SoA:ssa tulee määritellä ja perustella ne suojamekanismit jotka sisällytetty ja ne jotka on jätetty soveltamissuunnitelman ulkopuolelle. Suojamekanismillä tarkoitetaan vastatoimea, jolla hallitaan riskejä. Riskinhallintaa voidaan soveltaan yrityksen käytäntöihin, ohjeistuksiin, prosesseihin, tai organisaatiorakenteisiin, ja nämä riskit voivat olla laatuaan teknisiä, hallinnollisia tai oikeudellisia. Soveltamissuunnitelmassa määritellään suojattavat kohteet ja riskien käsittely yhdistettynä käytettyihin turvamekanismeihin ja mittareihin. Riskien käsittely jakaantuu neljään osaan: Riskien poisto, riskien vähentäminen hyväksyttälle tasolle, riskien sietäminen tai riskien ulkoistaminen sopimuksilla, vaakuutuksilla tai ulkopuolisella organisaatiolla. Riskit tulee luokitella sen mukaan kuinka kriittisiä ne ovat organisaation tavoitteiden ja toimintojen kannalta. Luokittelu voi olla luottamuksellisuuteen sekä lakien ja asetusten vaatimuksiin perustuvaa.

Johdon katselmus

Yrityksen johdon tulee suorittaa ainakin kerran vuodessa katselmus tietoturvallisuuden hallintajärjestelmälle. Katselmuksessa hallintajärjestelmä arvioidaan kokonaisuudessaan. Katselmuksissa käydään läpi tietoturva-auditointien ja tehokkuusmittauksien tulokset, saadut palautteet ja ehdotukset, muutokset jotka voivat vaikuttaa tietoturvaan, edellisten katselmusten tulokset, viranomaisten antamat ehdotukset, tietoturvahäiriöt ja tietoturvan yleiset trendit. Katselmuksista on ylläpidettävä kattavaa dokumentaatiota ja katselmuksien tulosten perusteella johto tekee mahdolliset muutos- ja kehityspäätökset.

Kehitys - Poikkeamat ja korjaus

Jos ilmenee poikkeama, tulee organisaation reagoida siihen kontrolloimalla ja korjaamalla poikkeama sekä vastata seuraamuksista. Organisaation tulee arvioida tarve toimenpiteelle, jolla poikkeaman syy poistetaan, niin ettei se ilmene uudelleen tai samantapaiset poikkeaman eivät esiinny muualla. Toimenpide tulee tarvittaessa ottaa käyttöön ja toimenpiteen vaikutukset tulee katselmoida. Poikkeavuuksista tulee pitää dokumentaatiota, josta selviää mitä on tapahtunut, miten siihen vastattiin ja mikä oli lopputulos. Organisaation on jatkuvasti parannettava tietoturvallisuuden hallintajärjestelmän soveltuvuutta, riittävyyttä ja tehokkuutta.

Annex A suojamekanismit (tietoturvallisuuskontrollit)

Annex A sisältää 14 suojamekanismien yläluokkaa ja yhteensä suojamekanismeja on 114. Usein ISO 27001 ymmärretään IT-tietoturvastandardina, mutta kuten suojamekanismit osoittavat, standardi pyrkii kattamaan tietoturvan kokonaisuudessaan.

A.5 Information security policiesSuojamekanismi miten tietoturvallisuussäännöt tulee kirjoittaa ja arvioida.
A.6 Organization of information securitySuojamekanismi miten vastuut tulee määritellä. Esim. viestintävastuu viranomaisille ja sidosryhmille. Sisältää myös mobiililaitteiden ja etätyöskentelyn suojamekanismit.
A.7 Human resources security Suojamekanismit liittyen työsuhteisiin ja alihankkijoihin, ennen työsuhteen alkua, sen aikana ja sen päättymisen jälkeen.
A.8 Asset managementSuojamekanismit omaisuuden (Asset - Mikä tahansa resurssi tai kyvykkyys.) inventaarioon ja hyväksyttävään käyttöön. Tiedon luokkiteluun ja medioiden käsittelyyn.
A.9 Access controlSuojamekanismit pääsynhallintaan, käyttöoikeuksien hallintaan, järjestelmien ja sovellusten käytön valvontaan ja käyttäjien velvollisuuksiin.
A.10 CryptographySuojamekanismit liittyen salaukseen ja salausavaimien hallintaan.
A.11 Physical and environmental securitySuojamekanismit liittyen tiloihin ja ympäristöön, laiteturvallisuuteen ja turvalliseen hävittämiseen.
A.12 Operational securitySuojamekanismeja liittyen IT-tuotantoon. Varmuuskopiot, valvonta, asennus, muutos- ja kapasiteettihallinta jne.
A.13 Communications securitySuojamekanismit liittyen verkkoturvallisuuteen, verkkopalveluihin, tiedonsiirtoon, viestintään jne.
A.14 System acquisition, development and maintenanceSuojamekanismit liittyen turvallisuusvaatimuksiin ja turvallisuuteen kehitys- ja tukiprosesseissa.
A.15 Supplier relationshipsSuojamekanismit liittyen toimittajien sopimuksiin ja valvontaan.
A.16 Information security incident managementSuojamekanismit liittyen tietoturvatapahtumien ja haavoittuvuuksien raportointiin, velvollisuuksien määrittelyyn, vastatoimiin ja todisteiden keräämiseen.
A.17 Information security aspects of business continuity managementSuojamekanismit liittyen liiketoiminnan jatkuvuuden suunnitteluun, toimintatapoihin, varmistamiseen ja arviointiin ja IT redudanssiin.
A.18 ComplianceSuojamekanismit sovellettavien lakien ja määräysten tunnistamiseen sekä näiden soveltaminen immateriaalioikeuksien ja henkilökohtaisten tietojen suojaamiseen. Sisältää myös suojamekanismit tietoturvallisuuden arviointiin.

ISO 27001 haasteet

Haasteita standardissa tuo oikean tasapainon löytäminen niin, että organisaation tietoturva lisääntyy käytännössä, eikä toimenpiteet aiheuta vain turhaa raportointia tai kumileimaisin-ilmiötä ja että kustannukset pysyvät siedettävinä. ISMS:n rajoja määriteltäessä voi tulla houkutuksesi rajata tiettyä organisaation osia ISMS:n ulkopuolelle. Tällaisessa tapauksessa ongelmaksi muodostuu, että näitä organisaation osia tulee kohdella ulkoisina sidosryhminä ja hallinnasta voi tulla haasteellista. Jos yritys päättää ulkoistaa IT-palvelunsa, standardin mukaan tämä ei poista yrityksen vastuuta tietoturvasta ja ulkoistamisen johdosta palvelun tuottajalle tulee määritellä suojattavat kohteet palvelusopimuksessa (SLA) ja palveluntarjoaa tulee valvoa. Asiaa auttaa jos ulkoistuspalvelua tarjoava yritys on auditoitu ISO 27001 -standardilla. Sisäinen auditointi vs. sertifikaattiauditointi. Sisäinen auditointi kertoo kuinka tehokkaasti ISMS toimii: Organisaation tietoturvatarpeet suhtautettuna standardiin; ja sitä onko ISMS tehokkaasti toteutettu ja ylläpidetty. Sertifikaattiauditointi testaa kuinka ISMS vastaa organisaation omiin määrityksiin kun niitä verrataan standardin vaatimuksiin.