Kooste TT-ohjeistoista (2-A)

Tietoturvaa koskevia standardeja ja ohjeistoja on monenlaisia ja niitä on käsitelty aineiston useissa muissa kohdissa niin perus- kuin jatkokurssillakin:

  • kryptografiset primitiivit ja niiden käyttötavat on standardoitu: esim. AES ja moodit.
  • sama koskee tietoturvaprotokollia, esim. SSL ja IPSec.
  • tietoliikennettä ja tietojenkäsittelyä koskevissa standardeissa on tarpeen ottaa kantaa tietoturvallisuuteen. Esimerkiksi IETF:n RFC-dokumenteissa on nykyään aina Security Considerations. IETF:ssä on käynnissä n. 20 työryhmää otsikon 'Security Area' alla ja muillakin alueilla on selvästi tietoturvaan liittyviä työryhmiä (kuten AAA, EAP ja HIP).
  • Kaupan ja pankkitoiminnan alalta löytyy vastaavasti standardoituja menettelyjä, jotka sisältävät tietoturvanäkökulman, esim. EDI ja SWIFT (Society for Worldwide Interbank Financial Telecommunication).
  • Yritysten kirjanpidon ja muun toiminnan tarkastukseen liittyy standardeja, mm. yhdysvaltalainen SAS 70 , Statement on Auditing Standards No. 70.
  • tietoturvaa kokonaisuutena käsittelevät standardit ja ohjeistot.

Viimeksi mainitun kaltaisia laajoja tai muuten merkittäviä standardeja ovat seuraavat (nimien linkit ovat "eteenpäin"; kolmea ensimmäistä on käsitelty myös esitiedoissa):

  • Common Criteria? ja sen edeltäjät (mm.) ITSEC ja TCSEC (eli Oranssi kirja). Kriteerit asetetaan tietoturvan toiminnoille ja tuloksen arviointi tehdään sen mukaan, miten vakuuttavasti ne on toteutettu (luottamusta kuvaa 7 EAL-tasoa, evaluation assurance levels).
  • BS7799?, jonka osa 1 on myös ISO-standardi 17799 ja osa 2 on ISO-27001. Tämä on hallinnollisen tietoturvan standardi, joka on ainoana tässä luetelluista maksullinen.
  • SSE-CCM?: System Security Engineering - Capability Maturity Model; 1. versio 1996, 2. versio 1999 ja ISO-standardiksi numero 21827 vuonna 2002. Tässä asetetaan vaatimuksia prosesseille -- kuinka kypsiä (kehittyneitä) ne ovat. Tuloksena on kypsyystasoja (5 kpl), joista muodostuu osa-alueittainen profiili.
  • BSI:n baseline: Kansallinen hanke Saksassa; perusteellinen, käytännönläheinen ja hyödyllinen senkin vuoksi, että laaja aineisto on verkossa, myös englanniksi.
  • "Standard of Good Practice for Information Security" (alkuaan 1989, tuorein versio 2005), jonka on julkaissut ISF, Information Security Forum. Lisäksi ISF:n jäsenorganisaatiot saavat käyttöönsä myös tietoturvatilakartoituksen (Information Security Status Survey), johon ne ovat itse voineet myös osallistua. Sen kautta voi tehdä kvantitatiivista vertailua suhteessa standardin toteutumiseen.

Luonnollisesti laajojen ohjeistojen sarjaan kuuluu myös kotimainen VAHTI-ohjeisto, vaikka sen lukijakunta onkin edellisiä paljon pienempi.

Valtion tietotekniikkahankintojen tietoturvallisuuden tarkistuslista (VAHTI 6/2001) täyttää hieman samaa tarkoitusta kuin Oranssi kirja aikoinaan, mutta ei vie tarkistusta minkään ulkoisen sertifioinnin pohjalle. Se sisältää tilaajan ja toimittajan välistä tarjousmenettelyä varten 361 kysymystä jaoteltuna viiden erityyppisen hankinnan mukaan.

LUE tarkistuslistasta minkä tyyppisiä hankintoja tarkastellaan, mitkä vaiheet niissä eritellään, ja kysymyksiäkin sen verran, että opit niiden aihepiirit. Esimerkki hankinnan tyypistä on "sovelluskehitys", jossa vaiheen "taustatekijät" 22 kysymystä koskevat neljää aihetta: toimittajan taloudellinen asema, valmiudet, osaaminen ja referenssit. VAHTI-ohjetta tuoreempi vastaava ohje on NIST-standardisarjassa: 800-36 (2003).

Kun ollaan tekemisissä isojen tietojärjestelmien tietoturvan hallinnollisten aspektien kanssa, todennäköisesti voidaan hyödyntää liittymäkohtia sellaisiin standardeihin kuin ITIL ja COBIT (Information Technology Infrastructure Library ja Control Objectives for Information and related Technology, joiden viitteet ovat tässä vain wikipediaan). Yleistä ISMS-tarkastelua (info-sec. management syst.) ja vertailua COBIT - ISO-27001 löytyy Broderickin artikkelista (2006). Tiivis kooste erilaisista tietoturvaan liittyvistä (siis myös henkilö-) sertifikaateista on valtionhallinnon tilaamassa selvityksessä vuodelta 2004.

-- JukkaKoskinen?

SivuTiedotLaajennettu edit

Vaativuus Jatko
Valmius Valmisteilla
Tyyppi Ydin
Luokitus Hallinto
Mitä Useita
Miltä Useita
Missä Organisaatio
Kuka Tite-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa
Print version |  PDF  | History: r2 < r1 | 
Topic revision: r2 - 26 Sep 2010 - 11:10:24 - MarkoHelenius
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback