SFS-ISO/IEC 27036-2 Toimittajasuhteiden tietoturvallisuus, Vaatimukset

Toimitussuhteiden tietoturvallisuus ja SFS-

ISO/IEC 27036-2Standardin esittely

Pyry HeikkinenICT-Tietoturvapäällikkö / Tulli

Kumppaniriskin suuruus: tietovuodot

Lähde:Verizon DBIR 2016Sivu 7.

Tämä ei tietenkään ole koko totuus..

Lähde:Verizon DBIR 2016Sivu 36.

Toimitussuhteet ja tietoturva: vahvuudet

Organisaatiot ulkoistavat suuren osan

toiminnoistaan

Ne voivat keskittyä (ja sijoittaa resurssinsa) ydintehtäväänsä ja

tämän tietoturvallisuuteen

Toimittajat pystyvät tuottamaan

turvallisemmat ja halvemmat palvelut usealle asiakkaalle

Ne voivat hallita näin avainhenkilöriskiä

sekä vaarallisia työ- ja rooliyhdistelmiä

Ne voivat hallita saatavuusriskiä

toimittajaverkoston hajauttamisella

Riittävät ja oikeat

kompetenssit

Ulkoistamisen myötä kuvatut

rajapinnat, roolit

Hiotut, tehokkaat ja määritellyt

tietoturvaprosessit

Economy of scale: jaetut teknologiat,

tilat ja osaajat

Toimitussuhteet ja tietoturva: heikkoudet

Organisaatiot ulkoistavat suuren osan

toiminnoistaan

Ne vastaavat lain, sopimusten ja

asiakkaiden edessä toimittajista kuin

itsestään

Toimittajat ovat olennainen osa näiden

liiketoiminnan jatkuvuutta ja

häiriöttömyyttä

Toimittajat käsittelevät näiden henkilötietoja

sekä liike- ja ammattisalaisuuksia

Toimittajat pääsevät näiden tiloihin,

tietoihin ja tietojärjestelmiin

Hyvä hallinto /varautuminen / huoltovarmuus

Väärinkäytöstenja virheidenesto ja hallinta

Riskienhallinta, ulkoiset vaatimukset

ja tietosuoja

Fyysinen ja toiminnan

turvallisuus

Miksi toimitussuhteiden tietoturva on tärkeää?

• Tuotetta saa vaivattomasti kaupan hyllyltä tai usealta vaihtoehtoiselta toimittajalta – toimittajaa on helppo vaihtaa / tuote ei oleellinen

Hankitaan bulkki- tai COTS-tuotetta

• Tuotteella tai palveluilla on vain yksi toimittaja tai se on toimijalle räätälöity – toimittajan vaihtaminen nopeasti on vaikeaa.

Hankitaan erikoistuotetta tai -palvelua, jota tukee

liiketoimintakriittistä prosessia

• Toimittaja saa haltuunsa toimijan liiketoiminnallisia tietoja ja esim. asiakas-, turvallisuus-, toimitila- tai henkilötietoja.

Hankitaan palvelua, jossa käsitellään toimijan tai sen

asiakkaiden tietoja

• Organisaatioon palkataan vuokratyöntekijä, joka pääsee käsiksi sen tietoihin tai työskentelee sen toimitiloissa.

Hankitaan konsultointia tai vuokratyötä

• Hankitaan ICT-infrastruktuuri- tai sovellusylläpitopalveluita.Hankitaan ICT-käyttö- tai

infrapalvelua

• Hankitaan sovellus- tai järjestelmäkehityspalveluita.Hankitaan ICT:n ohjelmisto- tai

järjestelmäkehitystä

• Hankitaan pilvipalveluita, jossa toimittaja tarjoaa vakioidun järjestelmäkokonaisuuden vakioehdoilla.

Hankitaan ITaaS-palvelua (SaaS, PaaS, IaaS, jne.)

Tavoite: Sopimuksen sisältö (esim. hinnat, määrät) ei päädy kilpailijoiden tai

kilpailevien toimittajien tietoon

Tavoite: Liiketoiminnan jatkuvuuteen ja häiriöttömyyteen liittyvät riskit on hallittu

– myös toimittajan osalta

Tavoite: Toimijan ja asiakkaiden tiedot on suojattu luvattoman paljastumisen,

pääsyn ja käytön varalta sekä näitä käsitellään lain ja sopimusten mukaan.

Tavoite: Toimijan tiedot on suojattu luvattoman paljastumisen varalta ja

siellä toimitaan sekä sen tietoja käsitellään sen turvaohjeiden mukaan

Tavoite: Toimijan tiedot on suojattu luvattoman paljastumisen varalta, palvelu on tietoturvallinen ja sen

jatkuvuus varmistettu.

Tavoite: Sovellukset ja järjestelmät on toteutettu tietoturvallisesti ja

liiketoiminnan jatkuvuus varmistettu.

Tavoite: Toimijan tiedot on suojattu luvattoman paljastumisen varalta, näitä käsitellään lain ja sopimusten mukaan ja palvelun jatkuvuus on varmistettu.

ISO/IEC 27036-2Toimittajasuhteiden tietoturvallisuus

Osa toimialakohtaista toteutusohjesarjaa

hankinnan tietoriskien hallitsemiseksi

Standardia vastaan ei voi suoraan sertifioitua

mutta se luo yhteisymmärrystä

ostajien ja toimittajien välille

Vahva prosessilähtöisyys:

määrittää tietoturvavaatimukset 20

prosessin osalta

Vaatimukset kuvataan sekä ostajille että toimittajille osana

palveluiden ja tuotteiden hankintaa

ISO/IE27038-2

ISO/IEC 27036Toimittajasuhteiden tietoturvallisuus

Part 1 – Overview and Concepts

Osa 2 – Vaatimukset

Part 3 – Guidelines for ICT Supply Chain Security

Part 4 – Guidelines for Security of Cloud Services

ISO/IEC 15288:2015

Systems and software engineering -- System life cycle processes

ISO/IEC 27002:2014

Tieto-turvallisuuden hallinta-keinojen menettely-ohjeet

Standardi sisältää kolme opastavaa liitettä, jotka auttavat ym. standardien välisessä synkronoinnissa (ristiviittaukset)

Standardin rakenne: prosessilähtöisyys

OstajaTavoite

Lähtötiedot

Toiminnot

Tuotokset

Toimittaja

Tavoite

Lähtötiedot

Toiminnot

Tuotokset

Tietoturvallisuus yksittäisissä toimittajasuhteissa• Suunnitteluprosessi• Valintaprosessi• Sopimusprosessi• Hallintaprosessi• Lopetusprosessi

OstajaTavoite

Toiminnot

Toimittaja

Tavoite

Toiminnot

Tietoturvallisuus toimittajasuhteiden hallinnassa(15 prosessia ISO/IEC 15288 mukaisesti)• Sopimusprosessit• Projektin organisointiprosessit• Projektiprosessit• Tekniset prosessit

Lähde:SFS-ISO/IEC 27036-2Sivu 7.

Ostaja Toimittaja

Esimerkki: Osa toimittajan valinta-prosessista

Lähde:SFS-ISO/IEC 27036-2Sivu 23.

Täydentävät standardit ja ohjeet: ISO

• Kuvaa ylätason vaatimukset alihankintaketjun turvallisuuden hallintajärjestelmälle

• Vaatimukset poikkeavat varsin vähän tietoturvallisuuden hallintajärjestelmän ylätason vaatimuksista

ISO 28000:2007Specification for security

management systems for the supply

chain

• Itse standardissa vaatimukset muiden organisaatioiden suorittamien toimintojen ja ulkoistuksen hallinnasta.

• Liite A:ssa lisäksi lukuisia ulkoistukseen, alihankintaan ja toimitussuhteisiin liittyviä vaatimuksia.

ISO/IEC 27001:2013

Tieto-turvallisuuden

hallinta-järjestelmät. Vaatimukset.

• Standardissa suuri määrä toimittajasuhteiden, ulkoistuksen ja alihankinnan tietoturvavaatimuksia täsmentäviä ohjeistuksia/kontrolleja.

ISO/IEC 27002:2014

Tieto-turvallisuuden hallintakeinojen menettely-

ohjeet

Täydentävät standardit ja ohjeet: ISF

• Standardissa on määritelty tietoturvakontrollit seuraaville toimittajasuhteisiin liittyville osa-alueille: Ulkoisten toimittajien hallinnan prosessi, ICT-laitteiden ja ohjelmistojen hankinta, ulkoistus, pilvipalvelupolitiikka ja pilvipalvelusopimukset

ISF Standard of

Good Practice

• Mallissa on kuvattu tietoturvatoimenpiteet seuraaville hankintaprosessin vaiheille: Vaatimusten määrittely, toimittajakandidaattien etsintä, tarjouspyynnön tekeminen, tarjouspyyntöjen arviointi ja toimittajan valinta, sopimuksen teko

ISF Supply Chain

Assurance Framework

• SCIRAP-prosessissa on määritelty seuraavat toimitusketjun tietoriskien hallinnan kehittämisen vaiheet: hyväksy, valmistele, löydä ja sulauta. Tarjolla on lisäksi SSET-työkalu (Supplier Security Evaluation Tool) toimittajien turvatason arvioimiseen.

ISFSupply Chain

Information Risk

Assurance Process

Täydentävät standardit ja ohjeet: VAHTI

• Tietoturvallisuuden hallinnan vaatimuksissa tietoturvavaatimuksia mm. kumppaniverkoston ja sopimusten hallinnan osalta.

VAHTI2/2010Liite 5:

”Tietoturva-Tasot”

• Ohje kuvaa tietoturvallisuuden varmistamista osana hankintaprosessia ja hankintasopimusta

• Liitteinä mm. turvallisuussopimusmalli, vaitiolositoumusmalli ja tarkistuslista tietoturvavaatimuksista erilaisissa hankinnoissa

VAHTI3/2011

Valtion ICT-hankintojen tietoturvaohj

e

https://www.vahtiohje.fi

Täydentävät standardit ja ohjeet: NIST ja CSA

• Ohje määrittää riskienhallintaprosessit ja –kontrollit ICT-toimitusketjun riskien hallitsemiseksi

• Se kattaa ICT-toimitusketjun turvallisuuden, sietokyvyn, laadun ja eheyden

NISTSP 800-161

Supply Chain Risk

Management Practices for

Federal Information

Systems and Organizations

• Ohjeistus määrittelee suositukset ja vaatimukset pilvipalveluiden turvalliselle hankinnalle ja käytölle

• Ohjeen ohella pilvitoimittajasuhteissa voi hyödyntää muita CSA:n työkaluja kuten pilvikontrollimatriisia ja turva-arviontikyselyä

CSASecurity

Guidance for Critical Areas of Focus in Cloud

Computing

http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-161.pdf

https://cloudsecurityalliance.org/download/security-guidance-for-critical-areas-of-focus-in-cloud-computing-v3/

Osana hankintaprosessia, harkitse ainakin

Salassapito-sopimus (NDA)(B2B/henk.koht)

Turvallisuus-sopimus / -liite

Toimittajan / palvelun auditointi

Hankinnan turvallisuus-vaatimukset

Toimittajien / toimitussijaintie

n hajautus

Palvelun sijainti / siirtosopimukset

Henkilöstön taustaselvityks

et

Avainhenkilöstön varmistaminen

palvelussa

IPR:n/koodin varmistaminen

(escrow)

Huomioi toimittajaa arvioidessa ainakin

Henkilötiedot

Asiakkaiden tiedot

Liike- ja ammattisalaisu

udet

Palvelun tai tuotteen kriittisyys

Pääsynhallinta

Riskienhallinta

Liiketoiminnan jatkuvuus ja toipuminen

Taloudellinen ja toiminnallinen

kyvykkyys

Auditointi ja varmistaminen

Huomioi sopimuksessa ainakin

Hallinnointi, yhteyshenkilöt ja

rajapinnat

Riskien arviointi, hallitseminen ja tiedottaminen

Jatkuvuuden hallinta,

varmistukset ja toipuminen

Turvallisuus-ongelmien

hallintaTarkastusoikeus

Henkilöstö-turvallisuus ja

käyttöoikeuksien hallinta

Toimitila-turvallisuus

Tietoturva-turvallisuus ja

tietojen käsittely

Tietojen ja palveluiden

sijainti

Huomioi lisäksi tietosuoja ja pilvipalvelut - ainakin

Tietosuoja

Tunnista tiedot ja näiden vaatimukset

Määritä roolit: rekisterinpitäjä ja käsittelijä

Henkilö-ja viestintätietojen käsittelyn ohjeistus toimittajalle sopimuksessa

Henkilötietojen käsittely EU/ETA-alueen ulkopuolella/-lta

Henkilö- ja viestintätietojen käsittelyn lokitus ja väärinkäytösten valvonta

Lokitietojen suojaus ja toimittaminen

Tietojen listaus, siirto ja poisto vaatimusten mukaisesti

Pilvipalvelut

Pilvipalvelun vaatimuksenmukaisuus

Vakiosopimuksen riittävyys

Sertifioinnit ja varmistuslausunnot

Toipumisjärjestelyt- ja lupaukset

Auditointioikeudet- ja mahdollisuudet

Tietojen palautus- ja siirto

Tunnistaminen ja pääsynhallinta