Saku Tuominen

Saku Tuominen

Author works as information security and privacy specialist at Mint Security. He brings two decades of professional experience to the table.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

Jokainen organisaatio on tietoturvatarpeiltaan ja -kyvykkyyksiltään yksilöllinen, eikä ISO 27001 pyri tätä tosiasiaa muuttamaan. Standardi ohjaa ottamaan käyttöön asianmukaisia prosesseja ja käytäntöjä, joilla parannetaan, selkeytetään ja ylläpidetään tietoturvaa luontaisena osana jokapäiväistä toimintaa. Dokumentoimalla näiden toimien olemassaolon sekä toimimalla niiden mukaisesti, on vaatimustenmukaisuuden osoittaminen varsin suoraviivaista.

Kaikki alkaa organisaation kontekstin ymmärtämisestä. Ulkoiset ja sisäiset vaatimukset sekä sidosryhmät on tunnistettava ja näiden ryhmien rooli kokonaisuuteen peilaten arvioitava. Vaatimukset voivat sisältää myös toimialaan liittyvää sääntelyä tai ulottua vielä laajemmalle — kuten kansalliseen, Eurooopan laajuiseen tai kansainväliseen lainsäädäntöön.

Tässä artikkelissa läpivalaistaan keskeisimpiä ISO 27001 -tietoturvastandardin vaatimuksia sekä pakollista dokumentaatiota, jota yrityksellä on oltava siinä tapauksessa, että se haluaa sertifioitua standardin mukaiseksi. Dokumentaatio jakaantuu kahteen pääkategoriaan: muodollinen dokumentaatio, jota ISO 27001 suoraan edellyttää sekä organisaatiokohtainen dokumentaatio, jonka yritys itse on oman tietoturvallisuuden hallintajärjestelmänsä tehokkuuden kannalta todennut tarpeelliseksi. Viimeksi mainittua dokumentaatiota voidaan kutsua myös organisaation omiksi vaatimuksiksi.

Tämä kirjoitus keskittyy nimenomaan ISO 27001-standardin edellyttämään muodolliseen dokumentaatioon.

Tietoturvallisuuden hallintajärjestelmän soveltamisala

Hallintajärjestelmän soveltuvuuden hahmottaminen edellyttää organisaation tarjoamien tuotteiden ja palvelujen kuvaamista (”Mitä me teemme?”) ja sitä, missä niitä käytetään. Soveltamisalan dokumentoinnilla tarkoitetaan käytännössä suojattavan tiedon määrittämistä.

Tämä asiakirja on yleensä melko lyhyt. Sen sisältö voidaan myös yhdistää tietoturvapolitiikkaan, jolloin erillistä dokumenttia ei tarvita lainkaan. Useimmiten tietoturvallisuuden hallintajärjestelmää sovelletaan koko organisaation laajuisesti ja kaikkiin toimipisteisiin — mutta voi olla myös tilanteita, joissa on epäkäytännöllistä tai jopa mahdotonta, että tietty prosessi, tietojärjestelmä tai organisaation osa voisi kokonaan kuulua hallintajärjestelmän piiriin.

Soveltamisalan määrittelyn yhteydessä määritellään myös sellaiset järjestelmät, prosessit ja muut kohteet, jotka ovat soveltamisalan ulkopuolella. Nämä ovat elementtejä, joita organisaatio ei voi valvoa (kuten tietyt kolmansien osapuolten toimittamat työkalut) tai joiden luottamuksellisimpiin tietoihin organisaatiolla ei ole pääsyä.

Tietoturvapolitiikka

Tietoturvapolitiikka on ylimmän johdon antama ytimekäs lausuma siitä, että organisaatio on sitoutunut toimimaan yhteisten sääntöjen ja rajoitusten mukaan, käsittelemään sen omia ja sille luovutettuja tietoja turvallisella tavalla sekä tahdosta toimia ja toteuttaa jatkuvan parantamisen periaatteita. Tietoturvapolitiikka sisältää myös konkreettiset tavoitteet, joiden saavuttamiseen tietoturvatyöllä pyritään. Tämä dokumentti toimii peruskivenä muille, alemman tason politiikoille kuten esim. pääsynhallintapolitiikka ja etätyöohjeet.

Tietoturvapolitiikan kirjoittamisen lisäksi kokonaisuuteen kuuluu myös olennaisena osana, että sen sisältö on koko organisaation laajuisesti tiedotettu ja kaikille asianomaisille osapuolille kommunikoitu.

Roolit, vastuut ja valtuudet

Tässä dokumentissa kuvataan, mitä tietoturvallisuuteen liittyviä rooleja organisaatiossa on olemassa, sekä niiden vastuut ja valtuudet tietoturvatehtävistä ja -toiminnoista. Auditoinnissa tyypillisesti odotetaan esitettäväksi selkeä organisaatiokaavio, jossa on vähintään korkealla tasolla määritelty vastuut ja valtuudet kullekin roolille. Ulkoiset roolit ja vastuudet määritellään näiden osapuolten kanssa tehdyissä sopimuksissa tai niiden liitteenä. Yksityiskohtaisempi, matalan tason kuvaus rooleista ja niiden toimenkuvasta on osa organisaation omia vaatimuksia.

Pääsynhallintapolitiikka

Pääsynhallintapolitiikkaan dokumentoidaan organisaation tietojen pääsynvalvontasäännöt, -oikeudet ja -rajoitukset. Dokumentissa voidaan käsitellä ainoastaan tiettyjen tietojen ja tietojärjestelmien sallitun käytön liiketoiminnallisia vaatimuksia, tai myös esimerkiksi kulunvalvonnan teknistä osuutta. Tiedot voidaan määrittää koskemaan loogista tai fyysistä pääsynhallintaa — ISO 27001 kuitenkin suosittelee, että näitä kahta kategoriaa käsiteltäisiin yhdessä.

Suojattavan omaisuuden luettelointi

ISO 27001 -kontekstissa suojattava omaisuus tarkoittaa ”kaikkea, jolla on organisaatiolle jotain arvoa.” Tämä käsittää laitteet, ohjelmat, prosessit, rakennukset, koneet, sopimukset, kumppanit, ulkoistetut palvelut, taksikortit — listaa voisi jatkaa hyvinkin pitkälle. Suojattava omaisuus on kartoitettava ja luetteloitava (vinkki: tämä tulee joka tapauksessa tehtäväksi tietoturvariskien arvioinnin yhteydessä, joten tarvittavat tiedot pitäisi olla suoraan sitä kautta saatavissa.) Kaikki omaisuus voi jollain tavalla vaikuttaa tietojen luottamuksellisuuteen, eheyteen ja saatavuuteen, joten on välttämätöntä tunnistaa kaikki kohteet tarkasti ja sisällyttää ne tähän dokumenttiin.

Tietoturvallisuus toimittajasuhteissa

Arkaluonteisten tietojen turvallisuutta ei voida taata, jos alihankintaa suorittavan toimittajakumppanin tietoturvattomat toimintamallit altistavat tiedot varkaudelle tai tuhoutumiselle. Alihankintaketjut voivat ulottua useammankin tason taakse ja siksi monenlaisia valvontatoimia tarvitaan.

Tässä dokumentissa määritellään miten potentiaalisten toimittajien seulonta tapahtuu, kuinka toimittajiin liittyviä riskinarviointeja suoritetaan, millaisia tietoturvalausekkeita sopimuksiin sisällytetään, kuinka valvotaan sopimusehtojen täyttymistä tai täyttymättömyyttä, kuinka sopimusta muutetaan, miten poistetaan toimittajilta pääsy järjestelmiin sopimuksen päättyessä, ja niin edelleen.

Toimittajasuhteiden hallintaa on hyvä peilata todellisuuteen. Sanelutyylinen, kaiken vastuun ostajalta poissulkeva politiikka ei edistä toimittajasuhteita. Vastaavasti pieni yritys ei pysty kovin helposti sanelemaan politiikkaa itseään merkittävästi suuremmille toimittajille — vaikka olisikin maksavan asiakkaan roolissa.

Suotavaa on pyrkiä luomaan yhteistyökäytäntöjä, joka luo ja ylläpitää läheisiä suhteita niihin toimittajiin, joilla on pääsy luottamukselliseksi määriteltyyn tietoon. Ei tule myöskään unohtaa, että joillakin toimittajilla on vain vähän tai ei lainkaan vaikutusta kokonaisturvallisuuteen; huomio kannattaa ensisijaisesti keskittää niihin toimittajiin, joita riskinarvioinneissa korostetaan.

Jatkuvuussuunnittelu

Jatkuvuussuunnittelun osalta vähintään dokumentoitavana osana tulee kuvata, miten liiketoimintaan kohdistuvia tietoturvahäiriöitä ja merkittäviä muutoksia tulisi käsitellä. Käytännössä organisaation on luotava, dokumentoitava, toteutettava sekä ylläpidettävä prosesseja liiketoiminnan jatkuvuuden varmistamiseksi. Auditoinnin yhteydessä saatetaan esittää teoreettisia esimerkkejä erilaisista häiriöistä ja dokumentaation tulee kattaa tarvittavat vaiheet toiminnan jatkuvuuden turvaamiseksi.

Soveltuvuuslausunto

Kummallisesta nimestään huolimatta soveltuvuuslausunto on yksi olennaisimmista dokumenteista ISO 27001:ssa. Soveltuvuuslausunto ohjaa tietoturvasuunnitelman käytännön toteutusta. Siinä määritetään, mitkä tietoturvakontrollit sopivat organisaation hallintajärjestelmään ja kuinka ne otetaan käyttöön. Vastaavasti määritetään myös, mitä kontrolleja ei oteta käyttöön ja perustellaan tämä tyhjentävästi.

Eikä tässä vielä kaikki

Edellä mainittujen dokumenttien lisäksi on olemassa vielä kourallinen pakollisia, ISO 27001 -sertifiointia edellyttäviä dokumentteja. Lisäksi on pidettävä kirjaa esim. koulutuksista, kyvykkyydestä ja pätevyydestä, johdon katselmointien tuloksista ja kerättävä lokitietoja käyttäjien toimista, poikkeuksista ja tietoturvatapahtumista.

Lista dokumenteista voi vaikuttaa pitkältä, mutta monesti lähtötilanteessa huomataan että aineistoa on jo valmiiksi olemassa. Sertifiointiprosessin alkuvaiheessa onkin syytä selvittää tarkasti kaikki mahdolliset puutteet prosesseissa ja nykyisessä dokumentaatiossa ja luotava selkeä suunnitelma siitä, mitä vielä on tehtävä jotta sertifiointi sujuvasti onnistuisi.

Writing requirements

ISO 27001 – keskeiset vaatimukset

Jokainen organisaatio on tietoturvatarpeiltaan ja -kyvykkyyksiltään yksilöllinen, eikä ISO 27001 pyri tätä tosiasiaa muuttamaan. Standardi ohjaa ottamaan käyttöön asianmukaisia prosesseja ja käytäntöjä, joilla parannetaan, selkeytetään ja ylläpidetään tietoturvaa luontaisena osana jokapäiväistä toimintaa.

Lue lisää »

Riskienhallinta ja ISO27001

Onko haaveissa olla ISO27001 yhteensopiva? Thomas on kirjoittanut blogin millaisista lähtökohdista ISO27001 sertifiointiprojektiin voi lähteä. Tässä blogissa avataan riskienhallinnan merkitystä ISO27001-sertifikaattia tavoiteltaessa.

Lue lisää »
Holm Security - Latest Scans

Holm Security VMP ja ISO 27001

Mitä yhteistä haavoittuvuusskannereilla ja johtavalla kansainvälisellä tietoturvastandardilla on keskenään? Itse asiassa aika paljonkin. Tässä kirjoituksessa tarkastellaan, kuinka Holm Security VMP -alusta vastaa ISO 27001:n vaatimuksiin organisaation tietojärjestelmien haavoittuvuuksien havaitsemisesta, riskinarvioinnista ja korjaavien toimenpiteiden suorittamisesta.

Lue lisää »

ISMS projektin ensimmäiset askeleet

ISMS tai ISO27001 -projekti voi lähteä hyvin erilaisista lähtökohtista liikkeelle. Jotkut ovat tutustuneet standardiin, jotkut jo kirjoittaneet ensimmäisiä dokumentteja – joillekin taas tämä on ensikosketus ylipäätään mihinkään määrämuotoiseen tietoturvatyöskentelyyn.

Lue lisää »
Saku Tuominen

Saku Tuominen

Author works as information security and privacy specialist at Mint Security. He brings two decades of professional experience to the table.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.