Olkaa hyvä:
- Tietoturva paranee -> käytettävyys heikkenee
Tietoturvallisuuden ulottuvuudet (peruselementit)-------------------------------------------------
Luottamuksellisuus:
Ainoastaan oikeutettujen saatavissa. Suojaaminen luvatonta käyttöä vastaan
Eheys:
Tietoa ei synny tai häviä, pysyy alkuperäisessä muodossaan. Luotettavia, oikeita, ajantasaisia.
Saatavuus (käytettävyys):
Tiedot/resurssit ovat tarvittaessa käytettävissä halutussa ajassa.
-----klassiset ^----
Hallussapito:
Henkilön oikeus käsitellä yrityksen omistamaa tietoa. Ei vääriin käsiin/ulkopuolisille.
Aitous (auditointi):
Tieto on alkuperäistä eikä väärennettyä. Pitää pystyä todistamaan teknisin menetelmin (aineisto).
Hyödyllisyys:
Tiedot sellaisessa muodossa, että ovat käytettävissä ilman erityistoimia (ei esim. unohtunutta salasanaa).
Pääsynvalvonta (todentaminen):
Kontrolloidaan tietoihin/järjestelmiin pääsy käyttäjän tunnistuksen ja pääsynrajoituksen avulla.
Autenttisuus:
Kahden kommunikoivan osapuolen tulee autentikoida toisensa. Luottamuksellisuuden ja kiistämättömyyden perusedellytys.
Kiistämättömyys:
Olio ei pysty kiistämään tapahtuneita sitoumuksia/toimenpiteitä
Tietoturvallisuuden osa-alueet------------------------------
Hallinnollinen turvallisuus:
Yrityksen tietoturvan toimintapolitiikat, toiminnan linjaukset, toiminnan johtaminen...
- Johdon luomat toimintaedellytykset tietoturvallisuuden ylläpidolle ja kehittämiselle
- Korostetaan tietoturvallisuuden ammattimaisen johtamisen tärkeyttä
- Tietoturvallisuuteen tähtäävä ohjeistus, koulutus ja valvonta
Henkilöturvallisuus:
Tietojen/tietojenkäsittelyn suojaaminen ihmisten aiheuttamilta uhkilta. Henkilöstön kouluttaminen.
- Henkilökunta, ulkopuoliset työntekijät, vierailijat/muut
- Rekrytointi, toimenkuvat, sijaisuudet, työsuhteen päättyminen...
- Taustatietojen tarkistaminen
- Käyttö-, kulku-, tiedonsaantioikeudet
- Salassapito-, vaitiolositoumukset
Toimitilaturvallisuus:
Fyysiseen suojaamiseen liittyvät asiat. Pyritään estämään yrityksen tietojen/omaisuuden tuhoutuminen/vahingoittuminen/vääriin käsiin joutuminen.
- Kulunvalvonta ja -hallinta
- Palo- ja murtosuojaus, vesivahinkojen estäminen
Tietojenkäsittelyn turvallisuus:
Automaattisen/manuaalisen tietojenkäsittelyn suojaaminen. Atk-turvallisuus.
Tietoliikenteen turvallisuus:
Tietoverkot ja niiden tietoliikenteen suojaaminen.
- Dataverkko/vaihdeverkko
- Jatkuva ja häiriötön toiminta
- Suojataan tiedot ulkopuolisilta.
Laitteistoturvallisuus:
Tietojenkäsittely-, tietoliikennelaitteiden suojaaminen. Tietokoneet/tietojärjestelmälaitteet.
- Rakenteellinen turvallisuus
- Turvallisuus huomioitu valmistuksessa, huollossa etc...
Ohjelmistoturvallisuus:
Ohjelmien suojaaminen ja lisensointi/rekisteröinti.
- Testaus: yhteensopivuus, luotettavuus, virheettömyys...
- Sisäiset suojausominaisuudet: pääsynvalvonta, lokitiedostojen keräys, salasanojen vanhentuminen...
Käyttötoimintojen turvallisuus:
Tietojenkäsittely-, tietoliikennelaitteiden käyttötoimintojen suojaaminen.
- Laitteiden/ohjelmistojen ylläpito/hallinta
- Käyttöoikeuksien hallinta
- Valvonta/dokumentointi
Tietoaineistoturvallisuus:
Eri talletusmuodoissa olevien tietojen suojaaminen. Säilyttäminen, varmuuskopiointi, tuhoaminen.
Yksityisyyden suoja:
Toimintaan liittyvien ihmisten henkilötiedot
- Henkilötieto-, tietosuojalainsäädäntö
- Henkilöstö, yksityishenkilö-, yritysasiakkaat
- Arkaluonteiset tiedot: palkka, terveys, osoite...
Immateriaalioikeuksien suojaaminen:
Lainsäädännön hyödyntäminen kohteen omistus-, hallintaoikeuden suojaamisessa.
- Erottuminen kilpailijoista
- Luvaton kopiointi/jäljentäminen
- Patentti, tuotemerkki...
Yritysturvallisuus-------------------
Turvallisuusjohtaminen ohjaa kaikkea yritysturvallisuuteen liittyvää toimintaa. Koostuu mm.: turvallisuus-
-toiminnan organisointi
-analyysit
-lainsäädäntö
-toiminnan standardit, laatu, mittarit
-tietoisuuden lisääminen (perehdyttämine, koulutus, käytänn. harj.)
-riskien seuranta ja tarkastukset
-ohjeistuksen kehitt.
-den osa-alueiden auditoinnit
-tapaturma, onnettomuus ja vahinkotilastot
-riskienhallinnan menetelmät
-benchmarking
-vakuutukset
Tietoturvallisuuden johtaminen
-tietoturvallisuuden johtamisen päävaiheet ovat riskien tunnistus,
suojaustason määrittely,
suojausten suunnittelu,
suojausten toteutus,
suojausten valvonta,
suojaustason kehittäminen
ja suojaustason mittaaminen.
Tietoturvallisuuden kehittäminen on jatkuva prosessi, jossa eri päävaiheet seuraavat toisiaan.
Yhteenvetoa
-On huolehdittava yritysjohdon sitoutumisesta tietoturvallisuusasioihin ja -ratkaisuihin.
-On huolehdittava resursoinnin riittävyydestä (aika, koulutus, raha, tekniikka, henkilöstö)
-On suunniteltava lyhyen ja pitkän tähtäimen ohjelma
-On huolehdittava siitä, että kaikki organisaation tasot jakavat vastuun tietoturvallisuuden ylläpidosta ja kehittämisestä
-On peilattava tietoturvallisuustoimintaa organisaation muuhun toimintaan
Yritysturvallisuuden osa-alueet- - - - - - - - - - - - - - - -
1. kiinteistö ja toimitilaturvallisuus
2. henkilöturvallisuus
3. paloturvallisuus ja pelastustoiminta
4. ympäristön suojelu
5. ulkomaan toimintojen yritysturv.
6. matkustusturv.
7. rikosturv.
8. työsuojelu
9. tuotannon ja toiminnan yritysturv.
10. vakuuttaminen
11. poikkeusoloihin varautuminen
12. tietoturv.
Yritystoiminnan tarkastelukulmat- - - - - - - - - - - - - - - -
1. Liiketoiminnallinen tark.kulma
-MIKSI tietoturvallisuus on tärkeää yritykselle?
-johdon näkökulma
mitä tietoja yritys tarvitsee toiminnassaan?
mitkä yrityksen tiedoista ovat kaikkein tärkeimmät?
kuinka pitkään yrityksen toiminta voi jatkua ilman tärkeitä tietoja?
mitä tapahtuu, jos yrityksen tärkeät tiedot eivät ole käytettävissä?
mitä tapahtuu, jos yrityksen tärkeät tiedot joutuvat ulkopuolisten haltuun tai ne tuhoutuvat?
2. Prosessitason tark.kulma
-MITÄ suojattavaa yrityksessä on?
-toimintaprosessien ja niihin liittyvien omaisuuserien tark.kulma
-Suojattava omaisuus:
fyysistä (atk- ja tietokonelaitteet, koneet, yrityksen toimitilat)
ei-fyysistä (yrityksen tietokoneohjelmat, tiedot)
-pyritään löytämään suojaamista tarvitsevat kohteet
-yli-tai alisuojaus ei ole kustannustehokasta
3. Toteutustekninen tark.kulma
-MITEN yrityksen tarvitsemat suojaukset toteutetaan käytännössä?
- suojausmenetelmien ylläpitäjien ja kehittäjien tark.kulma
-teknisiä tai ei-teknisiä menetelmiä
-kokonaisvastuu tietoturvallisuusalan asiantuntijoilla
Riskien hallinta- - - - - - - - -
Yleistä uhkien luokittelua:
Vahingossa syntyneet ja tarkoituksella aiheutetut uhat
-ihmisen (taitamaton toiminta, huolimattomuus) tekemä virhe, esim. automaattisen varmuuskopioinnin epäonnistuminen
-järjestelmään tunkeutuminen, tietojen varastaminen tai tuhoaminen
Passiiviset ja aktiiviset uhat
-passiivinen uhka ei aiheuta toiminnalle välitöntä vahinkoa, esim. yrityksen tietoliikenteen seuraaminen ja liikenteen nauhoittaminen ilman, että tahallisesti vaikutetaan lähiverkon toimintaan
-aktiivinen uhka vaikuttaa suoraan yrityksen toimintaan
Sisäiset ja ulkoiset uhat
-sisäisen uhka on useiden tutkimusten mukaan kiistatta tietoturvallisuuden pahin uhka. Aiheuttaja esim. yrityksen työntekijä tai joku muu sisäiseen toimintaan vaikuttava henkilö
-ulkoisia uhkia esim. amatöörien kiusanteko, ammattimainen tiedustelu ja vakoilu
Ihmisen aiheuttamat ja luonnosta johtuvat uhat
-ihminen on kaikilla mittareilla mitattuna suurin yrityksen tietoturvallisuuteen kohdistuva uhka (tahallinen, tahaton toiminta), koska ihmisen toiminnan valvominen on huomattavan vaikeaa
-luonnosta aiheutuvat uhat vaikeasti ennakoitavissa
Riskien hallinnan vaiheet:-- - - -- - - - - - - - -
1.Riskien tunnistaminen
2. Riskien arviointi ja priorisointi
-Arvioinnilla selvitetään löydettyjen riskien toteutumisen todennäköisyys ja niiden toteutuessaan aiheuttamat vahingot. Lisäksi selvitetään, onko uhkan poistaminen yleensä mahdollista. Tutkittaessa mahdollisia vahinkoja tulee huomioida myös välittömät ja ei-aineelliset sekä sidosryhmille aiheutuvat vahingot.
-Riskiluokitus: korkeimman riskin haavoittuvuus, keskitason, matalin haavoittuvuus...
3. Riskien torjunnan suunnittelu
-standardit
-Riskin hallitsemisen keinoja:
-Riskin poistaminen (usein mahdotonta, vaatii työtä ja kustannuksia, lopettaa riskialtis toiminta tai siirtaa alihankkijalle, riskin poistuminen epävarmaa-> irtisanominen)
-Riskin pienentäminen (pienennetään mahd. seurausvaikutuksia, yrityksen toimenpiteet [suunnittelu, ohjeistus, koulutus, investoinnit], nykyisillä suojausmenetelmillä vain pienennetään riskejä (palomuuri, virustorjunta))
-Riskin siirto (toiselle osapuolelle (vakuutusyhtiö), ei kata koko riskiä (tulipalossa tuhoutuu aineisto ja varmuuskopiot kuitenkin))
Suojauskeinot
-ennaltaehkäisevät keinot (suojaudutaan ennen vahinkoa, estetään uhkatilanteiden syntyminen)
-havaitsevat keinot (tunnistavat syntyviä tai jo toteutuneita uhkatilanteita, tietoturv.ongelmia ja väärinkäytön mahdollisuuksia)
-korvaavat keinot (uhkatilanne toteutunut ja vahinkoja tapahtunut, joko korjataan vahinkoja tai rajoitetaan syntyviä vahinkoja)
Viruksentorjunta on kaikkia kolmea.
4. Riskien torjunnan toteutus ja testaus
-suunnitelmat ja kaikki pitää testata
-tietoturvatietoisuuden kohottaminen
5. Vahingoista toipuminen
-toipumissuunnitelma
6. Seuranta, koulutus, ohjeistus ja ylläpito
-toimintaohjeet ja käytänteet
Ulkoistaminen- - - - -- - -
Kun toimintoja ulkoistetaan, annetaan osa tai kaikki yritykselle kuuluvat toiminnot ulkopuolisen palvelun tarjoajan hoidettavaksi. Ulkoistamisella pyritään hankkimaan kustannussäästöjä, jotta pystytään keskittymään perusliiketoiminnan hoitamiseen, koska usein ajatellaan, ettei kaikkea voida itse hoitaa hyvin. Tyypillisiä ulkoistamistoimintoja ovat yrityksen tietojenkäsittely, tietoliikenne sekä talousasioiden hoitaminen tai tietoturvallisuus.
ulkoistamisen hyötyjä:
-vastuu tietovarastoista ulkopuoliselle
-ei tarvi itse hoitaa jotain yrityksen toimintaa
-kustannussäästöt
ulkoistamisen haittoja:
-tietoturvan hallinnasta tulee vaikeampaa, tilanne ei enää välittömässä seurannassa
-väärinkäytösten tutkiminen vaikeaa
-ei voida olla varmoja että luovuttaako ulkopuolinen esim vastustajalle yrityksen tietoja
-yritys vastaa itse ulkoistamisesta aiheutuneista virheistä ja vahingoista
palvelu/varmistamissopimus on tehtävä tarkasti ja lainmukaisesti - erittäin tärkeä
Tietosuoja----------
TIETOTURVA SUOJAA TIETOJA (YLEISESTI) JA TIETOSUOJA SUOJAA IHMISIÄ (LAINSUOJA IHMISTEN TIEDOILLE).
Tietosuoja on yksityisten tietojen suojaamista.
Yksityisyys
-peruskäsitteenä henkilötietolaissa ja rikoslaissa
-yksityiselämä osa yksityisyyttä
-on perusoikeus
-ihmisistä voi olla tietoja sadoissa rekistereissä (->tietokannoissa) koska tieto leviää helposti tietoverkoissa
-yksilön suojana ovat erilaiser normit ja käytänteet ja tietoturvallisuus (tietosuojan toteutumista valvoo tietosuojavaltuutettu ja tietosuojalautakunta)
Lainsäädäntö-jotain- - - - - - -
Tietosuoja on yksilön, ihmisoikeuksien, perusoikeuksien suojaa, ja osa ihmisen oikeudellista kunnioittamista. Tämä merkitsee käytännössä rekisteri-, rekisteröinti- ja informaatiovapauden merkittäviä rajoituksia.
Yksityisyys on siis oikeutta olla yksin kotirauhan piirissä ja valvonnan ulottumattomissa. Se on oikeutta olla ihmissuhteissa, elämäntavoissa ja harrastuksissa yksin (ns. sosiaalinen yksityisyys) ja oikeutta pidättäytyä julkisuudesta. Se koskee myös yksityisyyttä työelämässä. Oikeus tietosuojaan on oikeutta päättää itseään koskevan informaation tarkastamisesta, tallentamisesta, käytöstä ja luovuttamisesta. Tiedollinen omistusoikeus on omaan nimeen, kuvaan ja hahmoon liittyvää. Lisäksi se on oikeutta tulla arvioiduksi oikeassa valossa.
Tietosuoja ja verkkoyhteiskunta- - - - - - - - - - - - - - - -
henkilötietoja tallennetaan rekistereihin.
Internet-verkon ja sen palvelujen ylläpidosta kertyviä tunnistettavia käyttäjätietoja saa käyttää vain siihen tarkoitukseen, mihin niitä kerätään eli ennen kaikkea toiminnan ja sen turvallisuuden ylläpitämiseen ja kustannusten kohdentamiseen. Kertyneiden tietojen käyttö muihin tarkoituksiin edellyttää käyttäjän suostumusta.
Rekistereiden ongelmat- - - - - - - - - -- -
-väärät, vanhat, puutteelliset tiedot
-arkaluontoiset, salassa pidettävät tiedot
-vanhan tiedon poistamattomuus
rekisteröidyllä on oikeuksia valvoa henkilötietojjen käsittelyä mm.
-tiedonsaantioikeus
-oikeus kieltää tietojen käyttö tiettyihin tarkoituksiin
-oikeus tietää mistä hankitut tiedot on saatu
Palvelut: uhat ja suojaukset---------------------------
Internetin tuomat uhat kohdistuvat tiedon luottamuksellisuuteen, eheyteen, saatavuuteen,... ja voivat liittyä hyökkäyksiin, tunkeutumiseen lähiverkkoon ja sen palvelimille, tiedon paljastumiseen, sieppaamiseen, katoamiseen, väärentämiseen, varastamiseen,... joko tahattomasti tai tahallisesti.
Internet- - - - -
netiketti: internet-käyttäjien piireissä syntyneitä käytöstapoja joiden mukaan oletetaan ihmisten käyttäytyvän.
Sähköposti- - - - -
lukekaa ite
Haittaohjelmat- - - - - - -
Haittaohjelmilla tarkoitetaan kaikkia niitä ohjelmia tai merkkijonoja, jotka aiheuttavat tietojärjestelmissä ei toivottuja ilmiöitä. Peruskielessä puhutaan viruksista.
Kaikkia haittaohjelmia, jotka on ohjelmoitu tarkoituksella tuottamaan vahinkoa käyttäjille, kutsutaan Malware -ohjelmiksi.
leviävät:
-spostin liitetiedostot
-web-selailu
-sos.media
-vertaisverkosto
-pikaviestipalvelut
-cd-rom ja muistitikut
Perinteinen neljän päätyyppin luokittelu viruksille:
1) Järjestelmävirus (käynnistyssektorivirus) kopioidaan levykkeeltä tai CD-ROM:lta kiintolevyn niihin sektoreihin, joissa järjestelmätiedostot ovat. Kun käynnistyssektorivirus tartuttaa tietokoneen, se siirtää tai poistaa järjestelmän tietoja, minkä jälkeen tiedot korvataan viruksen omalla informaatiolla. Tämä aiheuttaa sen, että ne ladataan usein ennen itse käyttöjärjestelmää ja näin ne pystyvät ohjaamaan useimpia tapahtuvia asioita.
2) Tiedostovirukset ovat ohjelmiin upotettuja viruksia. Kun ohjelma ajetaan, suoritetaan viruksen oma ohjelmakoodi. Osa tiedostoviruksista yrittää tartuttaa kaikki suoritettavat tiedostot, kun osa suuntautuu vain järjestelmätiedostoihin.
3) Polymorfinen virus on salakirjoitettu niin, että virus muuttuu joka kerta, kun se tartuttaa jotakin. Osa viruksista muuttaa jopa itse salakirjoitusalgoritmia, mikä saattaa aiheuttaa joidenkin virusten kohdalla useita miljoonia ulkoasultaan erilaisia muotoja. Näiden virusten havaitseminen on vaikeinta, koska etsittävänä on useita erilaisia allekirjoituksia eli jälkiä, joita virukset jättävät levylle.
4) Makrovirus on virustyyppi, jota aiemmin oli valtaosa kaikkien havaittujen virusten kokonaismäärästä. Ne ovat riippuvaisia skriptikielistä, joita on sisäänrakennettuina monissa ohjelmissa, muun muassa Microsoft Office -paketissa. Nykyisin MS-Officen paketin ohjelmissa on oletuksen estetty makrojen automaattinen ajo.
mato
-muistuttaa virusta mutta ei vaadi ohjelman muodossa olevaa isäntää. leviävät automaattisesti koneelta toiselle. Ei tarvitse esim spostin liitteen avaamista.
bot
-muistuttaa verkkomatoa. haittaohjelmia joiden avulla tietokonetta voidaan hallita käyttäjän huomaamatta verkon välityksellä. mm roskapostin lähetykseen ja laittomiin tiedosto- ja verkkopalveluihin käytetään.
troijan hevonen
-tartunnan saanut ohjelma. oman toimintansa ohella suorittaa haittakoodin. yrittää saastuttaa muita ohjelmia.mm salakuuntelu mikin kautta.
takaportti
-ohjelma, joka avaa tietoliikenneyhteyden suojaamattomaan tietokoneeseen. voidaan mm varastaa käyttäjän henk.koht. tietoja.
spyware eli vakoiluohjelma
-viruksen kaltaisia, tarvitsevat käyttäjän apua asentuakseen. esim huonoilta web-palvelimilta. voi avata pääsyn koneeseen verkon kautta asentamalla siihen takaportin ja kerää käyttäjän tietoja vääriin käsiin (esim pankkitunnuksia)
rootkit
-piilottaa toimintansa täysin. käytetty bot-ohjelmien ppiilottamiseen viruksentorjuntaohjelmilta.
mainosohjelmat
-haluaa saada käyttäjän menemään halutulle sivustolle
haittaohjelmista on harmia, levytilaa kuluu, kone hidastuu, sposti vaikeutuu, tietoja häviää, tietoja siirtyy vääriin käsiin etc.
Salasana- - - -
käytetään autentikoinnissa. helpot ja lyhyes salasanat ovat huonoja ja helppoja murtaa.
Hyvä salasana:
-salasana ei kannata olla mikään valtakielen perusmuodossa oleva sana, eikä mytologian hahmo eikä elokuvista yms mitään.
-ei johdettavissa käyttäjätunnuksesta tai mistään muustakaan selvästä. ei "salasana":aa..
-ei henkilökohtaista koska oikeat nimet yms on helppo saada selville (myös "sosiaalinen hakkerointi" jossa tieto hankitaan suoraan henkilöltä itseltään)
-tarpeeksi pitkä koska pitkässä salasanassa menee kauemmin murtaa
-ei saa käyttää samaa salasanaa joka paikassa
-isot ja pienet kirjaimet + erikoismerkit
Murtotekniikoita:
-sanakirjahyökkäys (pitkä sanalista, käydään kaikki sanat läpi)
-brute force (käydään kaikki mahdolliset kirjainyhdistelmät läpi)
-verkosta kaappaaminen (krakkeri salakuuntelee verkkoliikennettä ja toivoo että salasana mainitaan jossain viestissä)
Biometriset tunnistusmenetelmät- - - - - - - - - - -- - - - -
biometriikka perustuu joukkoon tekniikoita joilla henkilö tunnistetaan mittaamalla jotain uniikkia piirrettä.
A fysiologiset tekniikat mittaavat fyysisiä ominaisuuksia
-sormenjäljet
-kasvojen tunnistus
-kasvoprofiilit
-silmästä tunnistus (verkkokalvo, iiris)
B behavioristiset, käyttäytymiseen perustuvat menetelmät
-käsiala, allekirjoitus
-ääninäyte
-näppäilydynamiikka (+käden liikkeet, kirjoitusrytmi)
Palomuuri - - - -
valvoo ja rajoittaa tietokoneen ja muun maailman välistä verkkoliikennettä. estää tuntemattomia käyttäjiä käyttämästä konettä etänä ja haittaohjelmien pääsyä koneelle.
palomuuri ja virustorjunta täydentävät toisiaan - palomuuri toimii verkkoliikenteen tasolla - virustorjunta koneella olevien tiedostojen ja ohjelmien tasolla.
palomuurin tehtäviä
-pääsynvalvonta (sisään ja ulos)
-tapahtumaseuranta
Palomuuri toiminnot voi jakaa karkeasti kahteen ryhmään:
-TCP/IP-protokollien yleinen pakettisuodatus
-yhdyskäytäväohjelmat eli sovellusprotokollakohtaiset proxyt.
Salaus- - - -
lukekaa ite
Varmentaminen- - - - - - -
eli backup.
-välitallentamiset (ohjelma saattaa kaatua, sähkökatkos tms.)
-varmuuskopiointi usealle kovolle, muistitikuille, cd:lle, dvd:lle, paperiversioiksi jne.
Ei kommentteja:
Lähetä kommentti