Toimitussuhteiden tietoturvallisuus ja SFS-ISO/IEC 27036-2 Standardin esittely Pyry Heikkinen ICT-Tietoturvapäällikkö / Tulli
Jan 08, 2017
Toimitussuhteiden tietoturvallisuus ja SFS-
ISO/IEC 27036-2Standardin esittely
Pyry HeikkinenICT-Tietoturvapäällikkö / Tulli
Kumppaniriskin suuruus: tietovuodot
Lähde:Verizon DBIR 2016Sivu 7.
Tämä ei tietenkään ole koko totuus..
Lähde:Verizon DBIR 2016Sivu 36.
Toimitussuhteet ja tietoturva: vahvuudet
Organisaatiot ulkoistavat suuren osan
toiminnoistaan
Ne voivat keskittyä (ja sijoittaa resurssinsa) ydintehtäväänsä ja
tämän tietoturvallisuuteen
Toimittajat pystyvät tuottamaan
turvallisemmat ja halvemmat palvelut usealle asiakkaalle
Ne voivat hallita näin avainhenkilöriskiä
sekä vaarallisia työ- ja rooliyhdistelmiä
Ne voivat hallita saatavuusriskiä
toimittajaverkoston hajauttamisella
Riittävät ja oikeat
kompetenssit
Ulkoistamisen myötä kuvatut
rajapinnat, roolit
Hiotut, tehokkaat ja määritellyt
tietoturvaprosessit
Economy of scale: jaetut teknologiat,
tilat ja osaajat
Toimitussuhteet ja tietoturva: heikkoudet
Organisaatiot ulkoistavat suuren osan
toiminnoistaan
Ne vastaavat lain, sopimusten ja
asiakkaiden edessä toimittajista kuin
itsestään
Toimittajat ovat olennainen osa näiden
liiketoiminnan jatkuvuutta ja
häiriöttömyyttä
Toimittajat käsittelevät näiden henkilötietoja
sekä liike- ja ammattisalaisuuksia
Toimittajat pääsevät näiden tiloihin,
tietoihin ja tietojärjestelmiin
Hyvä hallinto /varautuminen / huoltovarmuus
Väärinkäytöstenja virheidenesto ja hallinta
Riskienhallinta, ulkoiset vaatimukset
ja tietosuoja
Fyysinen ja toiminnan
turvallisuus
Miksi toimitussuhteiden tietoturva on tärkeää?
• Tuotetta saa vaivattomasti kaupan hyllyltä tai usealta vaihtoehtoiselta toimittajalta – toimittajaa on helppo vaihtaa / tuote ei oleellinen
Hankitaan bulkki- tai COTS-tuotetta
• Tuotteella tai palveluilla on vain yksi toimittaja tai se on toimijalle räätälöity – toimittajan vaihtaminen nopeasti on vaikeaa.
Hankitaan erikoistuotetta tai -palvelua, jota tukee
liiketoimintakriittistä prosessia
• Toimittaja saa haltuunsa toimijan liiketoiminnallisia tietoja ja esim. asiakas-, turvallisuus-, toimitila- tai henkilötietoja.
Hankitaan palvelua, jossa käsitellään toimijan tai sen
asiakkaiden tietoja
• Organisaatioon palkataan vuokratyöntekijä, joka pääsee käsiksi sen tietoihin tai työskentelee sen toimitiloissa.
Hankitaan konsultointia tai vuokratyötä
• Hankitaan ICT-infrastruktuuri- tai sovellusylläpitopalveluita.Hankitaan ICT-käyttö- tai
infrapalvelua
• Hankitaan sovellus- tai järjestelmäkehityspalveluita.Hankitaan ICT:n ohjelmisto- tai
järjestelmäkehitystä
• Hankitaan pilvipalveluita, jossa toimittaja tarjoaa vakioidun järjestelmäkokonaisuuden vakioehdoilla.
Hankitaan ITaaS-palvelua (SaaS, PaaS, IaaS, jne.)
Tavoite: Sopimuksen sisältö (esim. hinnat, määrät) ei päädy kilpailijoiden tai
kilpailevien toimittajien tietoon
Tavoite: Liiketoiminnan jatkuvuuteen ja häiriöttömyyteen liittyvät riskit on hallittu
– myös toimittajan osalta
Tavoite: Toimijan ja asiakkaiden tiedot on suojattu luvattoman paljastumisen,
pääsyn ja käytön varalta sekä näitä käsitellään lain ja sopimusten mukaan.
Tavoite: Toimijan tiedot on suojattu luvattoman paljastumisen varalta ja
siellä toimitaan sekä sen tietoja käsitellään sen turvaohjeiden mukaan
Tavoite: Toimijan tiedot on suojattu luvattoman paljastumisen varalta, palvelu on tietoturvallinen ja sen
jatkuvuus varmistettu.
Tavoite: Sovellukset ja järjestelmät on toteutettu tietoturvallisesti ja
liiketoiminnan jatkuvuus varmistettu.
Tavoite: Toimijan tiedot on suojattu luvattoman paljastumisen varalta, näitä käsitellään lain ja sopimusten mukaan ja palvelun jatkuvuus on varmistettu.
ISO/IEC 27036-2Toimittajasuhteiden tietoturvallisuus
Osa toimialakohtaista toteutusohjesarjaa
hankinnan tietoriskien hallitsemiseksi
Standardia vastaan ei voi suoraan sertifioitua
mutta se luo yhteisymmärrystä
ostajien ja toimittajien välille
Vahva prosessilähtöisyys:
määrittää tietoturvavaatimukset 20
prosessin osalta
Vaatimukset kuvataan sekä ostajille että toimittajille osana
palveluiden ja tuotteiden hankintaa
ISO/IE27038-2
ISO/IEC 27036Toimittajasuhteiden tietoturvallisuus
Part 1 – Overview and Concepts
Osa 2 – Vaatimukset
Part 3 – Guidelines for ICT Supply Chain Security
Part 4 – Guidelines for Security of Cloud Services
ISO/IEC 15288:2015
Systems and software engineering -- System life cycle processes
ISO/IEC 27002:2014
Tieto-turvallisuuden hallinta-keinojen menettely-ohjeet
Standardi sisältää kolme opastavaa liitettä, jotka auttavat ym. standardien välisessä synkronoinnissa (ristiviittaukset)
Standardin rakenne: prosessilähtöisyys
OstajaTavoite
Lähtötiedot
Toiminnot
Tuotokset
Toimittaja
Tavoite
Lähtötiedot
Toiminnot
Tuotokset
Tietoturvallisuus yksittäisissä toimittajasuhteissa• Suunnitteluprosessi• Valintaprosessi• Sopimusprosessi• Hallintaprosessi• Lopetusprosessi
OstajaTavoite
Toiminnot
Toimittaja
Tavoite
Toiminnot
Tietoturvallisuus toimittajasuhteiden hallinnassa(15 prosessia ISO/IEC 15288 mukaisesti)• Sopimusprosessit• Projektin organisointiprosessit• Projektiprosessit• Tekniset prosessit
Lähde:SFS-ISO/IEC 27036-2Sivu 7.
Ostaja Toimittaja
Esimerkki: Osa toimittajan valinta-prosessista
Lähde:SFS-ISO/IEC 27036-2Sivu 23.
Täydentävät standardit ja ohjeet: ISO
• Kuvaa ylätason vaatimukset alihankintaketjun turvallisuuden hallintajärjestelmälle
• Vaatimukset poikkeavat varsin vähän tietoturvallisuuden hallintajärjestelmän ylätason vaatimuksista
ISO 28000:2007Specification for security
management systems for the supply
chain
• Itse standardissa vaatimukset muiden organisaatioiden suorittamien toimintojen ja ulkoistuksen hallinnasta.
• Liite A:ssa lisäksi lukuisia ulkoistukseen, alihankintaan ja toimitussuhteisiin liittyviä vaatimuksia.
ISO/IEC 27001:2013
Tieto-turvallisuuden
hallinta-järjestelmät. Vaatimukset.
• Standardissa suuri määrä toimittajasuhteiden, ulkoistuksen ja alihankinnan tietoturvavaatimuksia täsmentäviä ohjeistuksia/kontrolleja.
ISO/IEC 27002:2014
Tieto-turvallisuuden hallintakeinojen menettely-
ohjeet
Täydentävät standardit ja ohjeet: ISF
• Standardissa on määritelty tietoturvakontrollit seuraaville toimittajasuhteisiin liittyville osa-alueille: Ulkoisten toimittajien hallinnan prosessi, ICT-laitteiden ja ohjelmistojen hankinta, ulkoistus, pilvipalvelupolitiikka ja pilvipalvelusopimukset
ISF Standard of
Good Practice
• Mallissa on kuvattu tietoturvatoimenpiteet seuraaville hankintaprosessin vaiheille: Vaatimusten määrittely, toimittajakandidaattien etsintä, tarjouspyynnön tekeminen, tarjouspyyntöjen arviointi ja toimittajan valinta, sopimuksen teko
ISF Supply Chain
Assurance Framework
• SCIRAP-prosessissa on määritelty seuraavat toimitusketjun tietoriskien hallinnan kehittämisen vaiheet: hyväksy, valmistele, löydä ja sulauta. Tarjolla on lisäksi SSET-työkalu (Supplier Security Evaluation Tool) toimittajien turvatason arvioimiseen.
ISFSupply Chain
Information Risk
Assurance Process
Täydentävät standardit ja ohjeet: VAHTI
• Tietoturvallisuuden hallinnan vaatimuksissa tietoturvavaatimuksia mm. kumppaniverkoston ja sopimusten hallinnan osalta.
VAHTI2/2010Liite 5:
”Tietoturva-Tasot”
• Ohje kuvaa tietoturvallisuuden varmistamista osana hankintaprosessia ja hankintasopimusta
• Liitteinä mm. turvallisuussopimusmalli, vaitiolositoumusmalli ja tarkistuslista tietoturvavaatimuksista erilaisissa hankinnoissa
VAHTI3/2011
Valtion ICT-hankintojen tietoturvaohj
e
https://www.vahtiohje.fi
Täydentävät standardit ja ohjeet: NIST ja CSA
• Ohje määrittää riskienhallintaprosessit ja –kontrollit ICT-toimitusketjun riskien hallitsemiseksi
• Se kattaa ICT-toimitusketjun turvallisuuden, sietokyvyn, laadun ja eheyden
NISTSP 800-161
Supply Chain Risk
Management Practices for
Federal Information
Systems and Organizations
• Ohjeistus määrittelee suositukset ja vaatimukset pilvipalveluiden turvalliselle hankinnalle ja käytölle
• Ohjeen ohella pilvitoimittajasuhteissa voi hyödyntää muita CSA:n työkaluja kuten pilvikontrollimatriisia ja turva-arviontikyselyä
CSASecurity
Guidance for Critical Areas of Focus in Cloud
Computing
http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-161.pdf
https://cloudsecurityalliance.org/download/security-guidance-for-critical-areas-of-focus-in-cloud-computing-v3/
Osana hankintaprosessia, harkitse ainakin
Salassapito-sopimus (NDA)(B2B/henk.koht)
Turvallisuus-sopimus / -liite
Toimittajan / palvelun auditointi
Hankinnan turvallisuus-vaatimukset
Toimittajien / toimitussijaintie
n hajautus
Palvelun sijainti / siirtosopimukset
Henkilöstön taustaselvityks
et
Avainhenkilöstön varmistaminen
palvelussa
IPR:n/koodin varmistaminen
(escrow)
Huomioi toimittajaa arvioidessa ainakin
Henkilötiedot
Asiakkaiden tiedot
Liike- ja ammattisalaisu
udet
Palvelun tai tuotteen kriittisyys
Pääsynhallinta
Riskienhallinta
Liiketoiminnan jatkuvuus ja toipuminen
Taloudellinen ja toiminnallinen
kyvykkyys
Auditointi ja varmistaminen
Huomioi sopimuksessa ainakin
Hallinnointi, yhteyshenkilöt ja
rajapinnat
Riskien arviointi, hallitseminen ja tiedottaminen
Jatkuvuuden hallinta,
varmistukset ja toipuminen
Turvallisuus-ongelmien
hallintaTarkastusoikeus
Henkilöstö-turvallisuus ja
käyttöoikeuksien hallinta
Toimitila-turvallisuus
Tietoturva-turvallisuus ja
tietojen käsittely
Tietojen ja palveluiden
sijainti
Huomioi lisäksi tietosuoja ja pilvipalvelut - ainakin
Tietosuoja
Tunnista tiedot ja näiden vaatimukset
Määritä roolit: rekisterinpitäjä ja käsittelijä
Henkilö-ja viestintätietojen käsittelyn ohjeistus toimittajalle sopimuksessa
Henkilötietojen käsittely EU/ETA-alueen ulkopuolella/-lta
Henkilö- ja viestintätietojen käsittelyn lokitus ja väärinkäytösten valvonta
Lokitietojen suojaus ja toimittaminen
Tietojen listaus, siirto ja poisto vaatimusten mukaisesti
Pilvipalvelut
Pilvipalvelun vaatimuksenmukaisuus
Vakiosopimuksen riittävyys
Sertifioinnit ja varmistuslausunnot
Toipumisjärjestelyt- ja lupaukset
Auditointioikeudet- ja mahdollisuudet
Tietojen palautus- ja siirto
Tunnistaminen ja pääsynhallinta