You are here: TUTWiki>Tietoturva>Sisällysluettelo?>Tietoturvastandardeja

Tietoturvastandardeja

Kriteerimallit ovat sellaisia ohjeistoja tai standardeja, joiden mukaan voidaan arvioida tuotteiden tai järjestelmien tietoturvallisuutta ja esittää tulos jotenkin tiiviissä ja tekniikkaa vähemmän tuntevien ymmärtämässä muodossa, joka kuitenkin riittää vakuuttamaan heidät siitä, että jokin tietoturvapolitiikka toteutuu.

Kun ohjelmistoja suunnitellaan, arvioidaan tai hankitaan, turvallisuuden mittarina voidaan käyttää kriteerimalleja, joita ovat mm. seuraavat:

  • Trusted Computer System Evaluation Criteria (TCSEC) eli "Orange book" on USA:n puolustusministeriön julkaisu vuodelta 1985. Oranssin kirjan mukaan tehdyn arvioinnin perusteella järjestelmä voi saada luokakseen joko D, C1, C2, B1, B2, B3 tai A1. Ylemmissä luokissa painottuu erityisesti turvallisuudesta vakuuttuminen muodollisen suunnittelun ja verifioinnin kautta. Esimerkiksi luokkaan B2 vaaditaan, että turvallisuus on otettu huomioon jo suunnittelussa ja luokkaan B3 tai A1 päästäkseen järjestelmän täytyy rakentua todistetun formaalin turvallisuusmallin pohjalle.
  • European Information Technology Security Evaluation Criteria, ITSEC, 1991. Tämä oli lähinnä välivaihe seuraavaan:
  • Aiempien standardien ja luonnosten tuloksena syntynyt maailmanlaajuiseksi tarkoitettu malli tunnetaan CC:nä, vaikka se oikeastaan on "Common Criteria for Information Technology Security Evaluation" (CCITSE) ja sittemmin ISO-standardina IS 15408 vielä oikeammin "Evaluation Criteria for Information Technology Security".

CC:n keskeinen rakenne on hierarkia, jossa kriteerit on ensin jaettu toiminnallisuuteen ja vakuuttavuuteen, sitten edelleen pienempiin palasiin, komponentteihin. Valituista vakuuttavuuden komponenteista on pantu valmiiksi kokoon seitsemän erilaista evaluoinnin vakuuttavuustasoa EAL 1 - EAL 7 (evaluation assurance levels). Kun yksi näistä yhdistetään kimppuun toiminnallisia komponentteja saadaan paketti, jota vastaan tuotetta tai järjestelmää arvioidaan.

Tietoturvan standardipohjaista arviointia koskeva perushavainto on, että se on hidasta ja kallista. Erityisongelma: jos ohjelmisto on joskus saanut luokituksen, pitääkö uuden version tuottamisen tai jonkin turvallisuuteen ehkä liittymättömän bugin paikkaamisen jälkeen arvioida tuote läpikotaisin uudestaan vai voidaanko ottaa huomioon vain muutokset? Miten tiedetään, ettei sinänsä turvalliselta näyttävä muutos heikennä jotain aivan muuta kohtaa järjestelmässä?

Toisenlainen standardi on BS 7799 (British Standard, vuodelta 1995), jonka 1-osasta on sittemmin tehty ISO-standardi 17799 ja 2-osasta ISO 27001. Toisin kuin CC, BS7799-standardit eivät liity tuotteisiin, vaan määrittelevät vaatimukset tietoturvan hallintajärjestelmälle. Ne noudattavat suurinpiirtein tavanomaista tietoturvan jaottelua ja voivat toimia tarkistuslistana, jonka läpikäynnillä voi löytää tietoturvaongelmat. Vaatimukset täyttävien tekniikoiden määrittelyyn standardit eivät puutu. Tätä kuvaa hyvin VM:n sanaston määritelmä (käännös), jonka mukaan BS7799 [osa 1] on "Britannian standardointi-instituutin julkaisema suositus yrityksen tietoturvallisuuspolitiikasta ja turvallisuustodistuksen myöntämisperusteista".

Yritys voi tarkastella itse, yhteistyökumppanin tai ulkopuolisen auditoijan avulla, miten hyvin tietoturvahallinto on otettu käyttöön ja dokumentoitu. Jos ulkopuolisena arvioijana on Suomessa SFS-Sertifiointi, yritys voi saada virallisen BS7799-sertifikaatin eli turvallisuustodistuksen sille toiminnalle, jota sertifiointi koskee. Esimerkiksi Väestörekisterikeskuksella on sertifikaatti, joka aiheena on väestökirjanpidon kehittäminen, tekninen ylläpito ja ohjaus sekä henkilön sähköiseen tunnistamiseen liittyvän varmennepalvelutoiminnan kehittäminen. Se, että tällä toiminnalla on BS7799-sertifikaatti tarkoittaa siis, että VRK:n voi uskoa toteuttaneen tietoturvansa hyvin. Siihen sisältyy myös se, että henkilöstö on saanut tietoturvassa asianmukaista koulutusta. Toinen esimerkki BS7799-sertifikaatista on VETUMA-palvelun tuottaja Fujitsu Services Oy.

-- JukkaKoskinen?

SivuTiedotLaajennettu edit

Vaativuus Perus
Valmius Valmis
Tyyppi Ydin
Luokitus Käytännöt
Mitä Useita
Miltä Useita
Missä Useita
Kuka Tite-ammattilainen
Milloin Päivittäin
Miksi Muu toimijan ja hänen yhteisönsä ulkopuolinen tekijä
Print version |  PDF  | History: r2 < r1 | 
Topic revision: r2 - 22 Apr 2010 - 13:43:44 - MaijuLehtonen?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback