Tietoturvariskianalyysin tehostaminen ty kalun avulla
Download
Report
Transcript Tietoturvariskianalyysin tehostaminen ty kalun avulla
Tietoturvariskianalyysin
tehostaminen työkalun avulla
Timo Karsisto
Diplomityöseminaari 5.2.2007
Valvoja: Prof. Raimo Kantola
Ohjaaja: DI Massimo Nardone
Agenda
Työn tavoitteet ja käytetty metodiikka
Johdatus riskianalyysiin:
Tietoturvan
perusteet
Riskianalyysiprosessi
Tietoturvastandardit ja riskianalyysimetodit
Oman työkalun kehittäminen ja arviointi
Työkalun jatkokehitys ja tulevaisuus
Työn tavoitteet
Kehittää riskianalyysityökalu Rational Requisite
Pro –ohjelmiston päälle
Vertailla työkaluun soveltuvia
tietoturvastandardeja ja pyrkiä sovittamaan ne
työkaluun
Vertailla ja toteuttaa riskianalyysimenetelmä
työkaluun
menetelmän
tulee tukea riskianalyysin tekemistä
menetelmän tulee sopia valittuun sähköiseen
työkaluun
Työn Rakenne
Työ koostuu seuraavista osioista:
Kirjallisuuskatsaus
Riskianalyysityökalun
kehittäminen
Kehitetyn työkalun arviointi
Omassa osuudessa kehitettiin
tietoturvariskianalyysiin soveltuva työkalu
Rational Requisite Pro –ohjelmiston päälle
Validointimetodiikka Riskianalyysityökalu
Kehitettyä työkalua arvioitiin asiantuntijaarvioinnin avulla
arviointiin
osallistui 3 tietoturva-alan asiantuntijaa
Työkalun esiversiota on käytetty asiakkaan
kanssa ”oikean” riskianalyysin suorittamiseksi
Osa
kehityksestä tehtiin työn lomassa ja esiintyneitä
asioita on pyritty parantamaan lopullisessa työkalussa
Tietoturvan perusteet – Tietoturvan
kulmakivet
Luottamuksellisuus
Eheys
Käytettävyys
Tietoturvan kulmakivet/perustan muodostavat:
Luottamuksellisuus:
Estetään tiedon tahallinen tai tahaton paljastuminen sekä vain
valtuutetuilla tahoilla on pääsy siihen
Eheys
Tiedolle ei ole tehty valtuuttamattomia muutoksia, viestin sisältö on
sitä mitä sen on tarkoitettu alun perin olevan.
Käytettävyys
Tiedot ja resurssit ovat niitä tarvitsevien ja valtuutettujen saatavissa
kun niitä tarvitaan
Tietoturvan kokonaisuus
Riskianalyysi
Riskianalyysin suorittaminen on yksi
tietoturvaorganisaation tehtävistä
Riskianalyysi on osa riskienhallintaprosessia
Riskianalyysissä pyritään tunnistamaan
keskeiset riskit, jotka uhkaavat
tarkastelukohdetta
Riskianalyysissä toimii viitekehyksenä valittu
standardi ja menetelmä
Riskienhallinnan ja riskianalyysin
suhde
Riskienarviointi/Riskianalyysi:
Tunnista:
Tunnistetaan tarkastelukohdetta uhkaavat
asiat
Analysoi: Arvioidaan tunnistettujen uhkien vaikutusta
Suunnittele: Suunnitellaan kuinka suurimpiin riskeihin
tulisi reagoida
Riskienhallinta
Edellisen kalvon kuvien vaiheet:
Suunnittele:
suunnitellaan yksityiskohtainen ja
konkreettinen riskienlieventämisstrategia
Toteutus: toteutetaan suunnittele vaiheen
suunnitelmat
Tarkista: tarkistetaan suunnitelmien tehokkuutta ja
etenemistä
Toimi: pyritään hallitsemaan ja ohjaamaan
suunnitelmapoikkeamia ja tekemään korjaavia
toimenpiteitä
Tietoturvastandardit
ISO 17799:2005 (Code of practice for
information security management)
11
COBIT (The Control Objectives for Information
and related Technology )
34
osa-aluetta ja 39 päätietoturvallisuusaluetta
korkeantasontavoitetta, 215 kontrollitavoitetta
BSI (Bundesamt für Sicherheit in der
Informationstechnik )
Riskianalyysimenetelmät- POA
POA eli Potentiaalisten ongelmien analyysi
Vaihe
Kuvaus vaiheesta
Vaiheen tuloste
Uhkien ja vaarojen tunnistaminen
aivoriihessä
Osa 1: Hiljainen aivoriihi
Vaaraluettelo
Osa 2: Keskustelumuotoinen aivoriihi
Uhkien ja vaarojen arviointi
Osa1: Jatkokäsiteltävien uhkien valinta
Alustavat
riskianalyysilomakkeet
(uhkat ja vaarat syineen
ja seurauksineen sekä
riskien arviointi
lomakkeelle kirjattuna)
Osa 2: Käsiteltäväksi valittujen uhkien
syiden ja seurausten selvittäminen
ja riskin suuruuden arviointi
Toimenpide-ehdotusten kehittäminen
Analyysin raportointi
Tämä vaihe voidaan käsitellä
arviointivaiheen yhteydessä tai
erillisissä kokouksissa
Lopulliset analyysilomakkeet
Loppuraportti, jonka liitteenä
on uhka- ja
vaaraluettelot ja
analyysilomakkeet
Riskianalyysimenetelmät – Octave
Octave on CERT/CC:n kehittämä tietoturvariskien
arviointimenetelmä
Octave muodostuu sanoista: Operationally Critical Threat, Asset
and Vulnerability Evaluation.
Oman riskianalyysityökalun kehitys
Riskianalyysityökalun pohjana toimi
Rational Requisite Pro –ohjelmisto
suunniteltu
ohjelmistokehityksen vaatimusten
hallintaan
vaatimusten hallinnassa ja riskianalyysityössä
on yhteisiä piirteitä, joten työkalu sopii
ominaisuuksiltaan hyvin riskianalyysityökalun
pohjaksi
Riskianalyysityökalun sisältö
Työkalu sisältää käyttöohjeistuksen, raportoinnin ja
valmiit näkymät riskianalyysin suorittamisella
Riskianalyysi voidaan tehdä usean eri standardin
mukaan, standardien yhdisteleminen on mahdollista
Sisältö on täysin dynaamista ja helposti muokattavissa
Toteutetut standardit/uhkalistat:
ISO17799:2005
COBIT
BSI
Vahti/PK-RH uhkalistat
Riskianalyysityökalun metodi
Riskianalyysimenetelmäksi valittiin
POA:sta jalostettu variantti:
POA:ta sovitettiin paremmin sopivaksi
riskianalyysiprosessiin
POA:n määrittelemiä analyysilomakepohjia
kehitettiin
POA-variantti
Työmenetelmä muokattiin vastaamaan sähköistä työtä:
hiljainen aivoriihi ja paperilomakepohjaiset vaiheet jätettiin pois
analyysilomaketta paranneltiin ja kenttiä lisättiin
POA-variantin vaiheet:
1.
2.
3.
4.
5.
Riskianalyysin rajauksen määritteleminen
Käytettävien arviointikriteerien määritteleminen
Uhkien ideointi-, karsinta- ja kartoitusvaihe
Analysointivaihe
Loppuraportin laatiminen
Kehitetyn työkalun arviointi
Työkalu arvioitiin asiantuntija-arvioinnin
avulla:
Kolme
tietoturva-alan ammattilaista arvioivat
työkalua muutaman viikon ajan ja täyttivät
arviointilomakkeen
Työkalun esiversion käytöstä saatuja
kommentteja hyödynnettiin kehitysvaiheessa
Työkaluarvioinnin tulokset - Plussat
Hyvät puolet:
Requisite Pro on alustana vakaa, kevyt ja käyttöönottaminen on helppoa
Riskianalyysimielessä työkalu on
Testattu oikeassa käytössä ja todettu toimivaksi
Kehitysalusta, joka mahdollistaa uuden sisällön tuottamisen suhteellisen pienellä
vaivalla
selkeä,
joustava
yksinkertainen
tietosisällöltään riittävä
soveltuu hyvin kommunikointiin
mahdollistaa analyysiryhmän virtuaalisen yhteistyön keskitetyn tietokannan avulla
soveltuu hyvin riskianalyysityöhön
tukee riskianalyysiprosessin jatkuvuutta
työkalun käyttäminen ei vaadi käyttäjältä vahvaa tietoturva-alan kokemusta
uuden sisällön tuottamisen ja muokkaamisen helppous
Samaa projektia voidaan evaluoida useampia standardeja vasten
Työkaluarvioinnin tulokset Miinukset
Huonot puolet:
Ei ole kaupallisesti valmis
Vähemmän ominaisuuksia kuin kaupallisissa
riskianalyysityökaluissa
Yksinkertaisen kertolaskutoiminnallisuuden
puuttuminen
Riskianalyysityökalun tulevaisuus
Työkalu on herättänyt kiinnostusta eräässä asiakkaassa
ja jatkokehityksestä ollaan keskusteltu
Työkalu on esitelty oman organisaation keskeisille
tietoturvaihmisille ja kehityksestä ja käyttöönotosta on
keskusteltu
työkalun mahdollisuudet on tiedostettu ja uusien tapausten
kohdalla arvioidaan voidaanko työkalua hyödyntää
Työkalua kehitetään ja pyritään käyttämään sisäisesti tai
asiakkaiden niin halutessa. Kaupallistaminen ei ole vielä
suunnitelmissa
Kysymyksiä ?