uusi sfs-iso/iec 27001:2013 · • standardin iso/iec 27002:2013 ja siten myös vaatimusstandardin...
TRANSCRIPT
Uusi SFS-ISO/IEC 27001:2013
Jyrki Lahnalahti 2013-12-02
Versio 1.0
Tietoturvallisuus? Hallintajärjestelmä?
Standardin SFS-ISO/IEC 27001:2013 näkökulmat
2
TIETOA!
luottamuksellisuus • suojattava tieto on suojassa luvattomalta lukemiselta, käsittelyltä tai salakuuntelulta
eheys • tieto on virheetöntä, täydellistä ja kiistämätöntä
saatavuus • tieto ja sitä tarjoavat palvelut ovat käyttäjien saatavilla
Tietoturvallisuus ei ole vain luottamuksellisuutta
3
Tietoturvallisuus ei ole vain tekniikkaa
Henkilöstö
Toiminnan jatkuvuus
Viestintä ja tietoliikenne
Pääsynhallinta
Lait ja sitoumukset
Häiriötilanteet Fyysinen turvallisuus
Ohjelmistot
4
• standardissa esitetään tietoturvallisuuden hallintajärjestelmän luomista, toteuttamista, ylläpitämistä ja jatkuvaa parantamista koskevat vaatimukset – vaatimusstandardia vasten voidaan sertifioitua puolueettoman sertifiointielimen
toimesta, tai standardia voidaan käyttää itse oman tietoturvallisuuden hallinnan, tai esimerkiksi toimittajan tietoturvallisuuden hallinnan arviointiin
• tietoturvallisuuden hallintajärjestelmän käyttöönotto on organisaation
strateginen päätös – ja johdon ylintä johtoa myöten tulee huolehtia siitä, että hallintajärjestelmä pysyy
vaikuttavana ja kehittyy
5
Tietoturvallisuuden hallintajärjestelmät. Vaatimukset. 1 (2)
• organisaation tietoturvallisuuden hallintajärjestelmän luomiseen ja toteuttamiseen vaikuttavat organisaation tarpeet ja tavoitteet, turvallisuusvaatimukset, käytettävät organisaatioprosessit sekä organisaation koko ja rakenne – ei kahta samanlaista hallintajärjestelmää
• tietoturvallisuuden hallintajärjestelmä suojaa tiedon luottamuksellisuutta, eheyttä ja saatavuutta riskienhallintaprosessin avulla sekä vahvistaa sidosryhmien luottamusta siihen, että riskejä hallitaan asianmukaisesti
6
Tietoturvallisuuden hallintajärjestelmät. Vaatimukset. 2 (2)
ISO/IEC 27001 -sertifikaatit
7
Tietoturvallisuuden hallintajärjestelmäsertifikaatit 1 (2)
8
• Suomi: 28 • Ruotsi: 32 • Norja: 16 • Venäjä: 27
• Ranska: 71 • Tšekki: 264 • Saksa: 488 • USA: 415
• UK: 1701 • Kiina: 1490 • Intia: 1600 • Japani: 7199
Tietoturvallisuuden hallintajärjestelmäsertifikaatit 2 (2)
9
Uuden, vuoden 2013 standardiversion keskeiset erot vuoden 2005 versioon
10
SFS-ISO/IEC 27001:2013 – merkittävä päivitys
11
• uusi englanninkielinen versio julkaistiin 2013-10-01 – viimein!
• sisällössä ei ole valtavia muutoksia, mutta rakenne on päivitetty kokonaan vastaamaan hallintajärjestelmästandardeille yhteistä ns. Annex SL:ää
• vuonna 2006 julkaistu suomenkielinen käännös ei ollut kansallinen
standardi
• tuore käännös nykyaikaistaa, yhdenmukaistaa ja myös korjaa edellisen käännöksen termistöä ja kieltä
• on linjassa mm. ISO/IEC 20000-1:n käännöksen kanssa
SFS-ISO/IEC 27001:2013 – vaatimukset luvuissa 4 - 10
12
• vaatimuksia on siirretty eri kohtiin, yhdistelty, muokattu ja poistettu – suurin osa on säilynyt kuitenkin samoina
• sivumäärällisesti ja sisällöllisesti luvut 4 – 10 ovat nyt huomattavasti tiiviimpi kokonaisuus
• 2005-version luku 4 on käytännössä hajotettu ympäri uutta versiota ja sen vaatimuksia on yhdistelty merkittävästi
• riskienhallinta on entistä systemaattisemmin esillä ja korostuu tietoturvallisuuden hallintajärjestelmän keskeisimpänä elementtinä – viittauksia ISO 31000 -standardiin
• uusia vaatimuksia on noin 30
• Esipuhe • 0 Johdanto • 1 Soveltamisala • 2 Velvoittavat viittaukset • 3 Termit ja määritelmät • 4 Organisaation toimintaympäristö • 5 Johtajuus • 6 Suunnittelu • 7 Tukitoiminnot • 8 Toiminta • 9 Suorituskyvyn arviointi • 10 Parantaminen • Liite A (velvoittava) Hallintatavoitteiden ja -keinojen viiteluettelo • Kirjallisuus
13
SFS-ISO/IEC 27001:2013:n sisällys
SFS-ISO/IEC 27001:2013 – muutama poiminta sisältömuutoksista 1 (3)
14
• ei PDCA:ta! – tosin Annex SL: ”An effective management system is usually based on
managing the organization’s processes using a Plan-Do-Check-Act approach in order to achieve the intended outcomes.”
• soveltamisalassa (luku 1) ei enää viitata ”vaatimuksiin turvamekanismien
toteuttamista varten”, vaan ”tietoturvariskien arviointia ja käsittelyä koskeviin vaatimuksiin” (muutos)
• ensimmäinen vaatimus (4.1): määritettävä ulkoinen ja sisäinen toimintaympäristö (muotoilu, painotus)
SFS-ISO/IEC 27001:2013 – muutama poiminta sisältömuutoksista 2 (3)
15
• uusi käsite: johtajuus (vrt. aiemmin johto) (5)
• tavoitteiden asettaminen (5.1 a) on tärkeää ja näihin viitataan useista muista vaatimuksista (painotus)
• hallintajärjestelmän vaatimukset on yhdistettävä organisaation prosesseihin (5.1 b, uusi)
• nyt mainitaan riskit ja mahdollisuudet (uusi), ja että nämä on käsiteltävä haluttujen tulosten saavuttamisen näkökulmasta (6.1, uusi)
• riskeille on tunnistettava omistajat (6.1.2 c, muutos)
• uusia vaatimuksia tietoturvatavoitteille (mm. 6.2 b, c)
SFS-ISO/IEC 27001:2013 – muutama poiminta sisältömuutoksista 3 (3)
16
• oma osio ja vaatimukset viestinnälle (7.4, uusia)
• asiakirjoista ja tallenteista on siirrytty dokumentoituun tietoon (7.5, muutoksia)
• muutoksenhallinta tuotu esiin vaatimuksissa (8.1, uusi)
• mittaamiseen kohdistuvia vaatimuksia on kehitetty (9.1 c, d, f, uusia)
• parantamisen osiosta (10) ei enää löydy ehkäiseviä toimenpiteitä, mutta kohdan 4.1 vaatimus toimintaympäristön määrittämiseen ja ymmärtämiseen on tulkittavissa ylätason ehkäiseviksi toimenpiteiksi
SFS-ISO/IEC 27001:2013 – liite A (velvoittava) 1 (2)
17
• standardin ISO/IEC 27002:2013 ja siten myös vaatimusstandardin velvoittavan liitteen A hallintakeinojen määrä on pienentynyt 133 -> 114
• standardin vaatimusosan (luvut 4 – 10) ja liitteen A välisiä päällekkäisyyksiä on purettu – esimerkkinä suojattavan omaisuuden omistajuus (2005: suojattavien kohteiden omistajuus)
• liitteestä A on poistettu useita hallintakeinoja, esim. liikkuvat ohjelmat
• hallintakeinoja on myös joiltakin osin yhdistetty tai hajotettu – ja merkittävästi ryhmitelty uudelleen
SFS-ISO/IEC 27001:2013 – liite A (velvoittava) 2 (2)
18
• terminologiaa ja hallintakeinoja on päivitetty vastaamaan tämän päivän tekniikkaa ja riskejä (esim. mobiililaitteet)
• jatkuvuuden hallinnan hallintakeinoja on muotoiltu toisin – nyt keskitytään tietoturvallisuuden jatkuvuuden hallintaan – ”Tavoite: tietoturvallisuuden jatkuvuuden on sisällyttävä organisaation
liiketoiminnan jatkuvuuden hallintajärjestelmiin.” – uusi hallintakeinoryhmä: vikasietoisuus
Hallintajärjestelmästandardien yhteiselämä
19
• yhä enemmän organisaatioita, joiden johtamisjärjestelmä täyttää useamman hallintajärjestelmästandardin vaatimukset – standardeissa samoja tai lähes samoja vaatimusosioita kuten johdon
sitoutuminen, johdon katselmus, sisäinen auditointi, jatkuva parantaminen
• hallintajärjestelmästandardeja kirjoitettaessa kopioitiin em.
vaatimusosioita tyypillisesti ISO 9001:stä
• yhtenäinen termistö, rakenne ja vaatimuksia kootusti • ISO/IEC Directives, Part 1, Consolidated ISO Supplement –
Procedures specific to ISO, 2012, Annex SL, Appendix 2
• tuttaville lyhyesti vain ”Annex SL”
20
Yhteinen rakenne ja vaatimuksia
Hallintajärjestelmästandardit tulevaisuudessa
Annex SL Yhteinen rakenne ja vaatimuksia
21
• 9.2 Internal audit • The organization shall conduct internal audits at planned intervals to provide information
on whether the XXX management system: • a) conforms to • — the organization’s own requirements for its XXX management system • — the requirements of this International Standard; • b) is effectively implemented and maintained. • The organization shall: • a) plan, establish, implement and maintain an audit programme(s), including the
frequency, methods, responsibilities, planning requirements and reporting. The audit programme(s) shall take into consideration the importance of the processes concerned and the results of previous audits;
• b) define the audit criteria and scope for each audit; • c) select auditors and conduct audits to ensure objectivity and the impartiality of the audit
process; • d) ensure that the results of the audits are reported to relevant management, and • e) retain documented information as evidence of the implementation of the audit
programme and the audit results.
22
ISO/IEC Directives, Part 1, Consolidated ISO Supplement – Procedures specific to ISO, 4th Ed. 2013, Annex SL, Appendix 2
• Annex SL:n mukaiset julkaistut standardit – ISO 22301:2012 Business continuity management systems – ISO/IEC 27001:2013 Information security management systems
• Annex SL:n mukaiset aikataulutetut standardit – ISO 9001:2015 (?) Quality management systems – ISO 14001:2015 (?) Environmental management systems
• muut
– ISO/IEC 20000-1:20xx Service management system
23
Annex SL:n mukaiset standardit (tilanne 2013-12) Ei välttämättä täydellinen listaus
• standardi, jossa hyödyllisiä vertailuita ja näkökohtia näiden kahden hallintajärjestelmästandardin mukaisen johtamisjärjestelmän samanaikaiseen toteuttamiseen
24
ISO/IEC 27013:2012 Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1
5. joulukuuta 2013 25