Transcript Tietoturvariskianalyysin tehostaminen ty kalun avulla

Tietoturvariskianalyysin
tehostaminen työkalun avulla
Timo Karsisto
Diplomityöseminaari 5.2.2007
Valvoja: Prof. Raimo Kantola
Ohjaaja: DI Massimo Nardone
Agenda
Työn tavoitteet ja käytetty metodiikka
 Johdatus riskianalyysiin:

 Tietoturvan
perusteet
 Riskianalyysiprosessi
 Tietoturvastandardit ja riskianalyysimetodit
Oman työkalun kehittäminen ja arviointi
 Työkalun jatkokehitys ja tulevaisuus

Työn tavoitteet



Kehittää riskianalyysityökalu Rational Requisite
Pro –ohjelmiston päälle
Vertailla työkaluun soveltuvia
tietoturvastandardeja ja pyrkiä sovittamaan ne
työkaluun
Vertailla ja toteuttaa riskianalyysimenetelmä
työkaluun
 menetelmän
tulee tukea riskianalyysin tekemistä
 menetelmän tulee sopia valittuun sähköiseen
työkaluun
Työn Rakenne

Työ koostuu seuraavista osioista:
 Kirjallisuuskatsaus
 Riskianalyysityökalun
kehittäminen
 Kehitetyn työkalun arviointi

Omassa osuudessa kehitettiin
tietoturvariskianalyysiin soveltuva työkalu
Rational Requisite Pro –ohjelmiston päälle
Validointimetodiikka Riskianalyysityökalu

Kehitettyä työkalua arvioitiin asiantuntijaarvioinnin avulla
 arviointiin

osallistui 3 tietoturva-alan asiantuntijaa
Työkalun esiversiota on käytetty asiakkaan
kanssa ”oikean” riskianalyysin suorittamiseksi
 Osa
kehityksestä tehtiin työn lomassa ja esiintyneitä
asioita on pyritty parantamaan lopullisessa työkalussa
Tietoturvan perusteet – Tietoturvan
kulmakivet
Luottamuksellisuus
Eheys

Käytettävyys
Tietoturvan kulmakivet/perustan muodostavat:

Luottamuksellisuus:
 Estetään tiedon tahallinen tai tahaton paljastuminen sekä vain
valtuutetuilla tahoilla on pääsy siihen
 Eheys
 Tiedolle ei ole tehty valtuuttamattomia muutoksia, viestin sisältö on
sitä mitä sen on tarkoitettu alun perin olevan.
 Käytettävyys
 Tiedot ja resurssit ovat niitä tarvitsevien ja valtuutettujen saatavissa
kun niitä tarvitaan
Tietoturvan kokonaisuus
Riskianalyysi




Riskianalyysin suorittaminen on yksi
tietoturvaorganisaation tehtävistä
Riskianalyysi on osa riskienhallintaprosessia
Riskianalyysissä pyritään tunnistamaan
keskeiset riskit, jotka uhkaavat
tarkastelukohdetta
Riskianalyysissä toimii viitekehyksenä valittu
standardi ja menetelmä
Riskienhallinnan ja riskianalyysin
suhde

Riskienarviointi/Riskianalyysi:
 Tunnista:
Tunnistetaan tarkastelukohdetta uhkaavat
asiat
 Analysoi: Arvioidaan tunnistettujen uhkien vaikutusta
 Suunnittele: Suunnitellaan kuinka suurimpiin riskeihin
tulisi reagoida
Riskienhallinta

Edellisen kalvon kuvien vaiheet:
 Suunnittele:
suunnitellaan yksityiskohtainen ja
konkreettinen riskienlieventämisstrategia
 Toteutus: toteutetaan suunnittele vaiheen
suunnitelmat
 Tarkista: tarkistetaan suunnitelmien tehokkuutta ja
etenemistä
 Toimi: pyritään hallitsemaan ja ohjaamaan
suunnitelmapoikkeamia ja tekemään korjaavia
toimenpiteitä
Tietoturvastandardit

ISO 17799:2005 (Code of practice for
information security management)
 11

COBIT (The Control Objectives for Information
and related Technology )
 34

osa-aluetta ja 39 päätietoturvallisuusaluetta
korkeantasontavoitetta, 215 kontrollitavoitetta
BSI (Bundesamt für Sicherheit in der
Informationstechnik )
Riskianalyysimenetelmät- POA

POA eli Potentiaalisten ongelmien analyysi
Vaihe
Kuvaus vaiheesta
Vaiheen tuloste
Uhkien ja vaarojen tunnistaminen
aivoriihessä
Osa 1: Hiljainen aivoriihi
Vaaraluettelo
Osa 2: Keskustelumuotoinen aivoriihi
Uhkien ja vaarojen arviointi
Osa1: Jatkokäsiteltävien uhkien valinta
Alustavat
riskianalyysilomakkeet
(uhkat ja vaarat syineen
ja seurauksineen sekä
riskien arviointi
lomakkeelle kirjattuna)
Osa 2: Käsiteltäväksi valittujen uhkien
syiden ja seurausten selvittäminen
ja riskin suuruuden arviointi
Toimenpide-ehdotusten kehittäminen
Analyysin raportointi
Tämä vaihe voidaan käsitellä
arviointivaiheen yhteydessä tai
erillisissä kokouksissa
Lopulliset analyysilomakkeet
Loppuraportti, jonka liitteenä
on uhka- ja
vaaraluettelot ja
analyysilomakkeet
Riskianalyysimenetelmät – Octave


Octave on CERT/CC:n kehittämä tietoturvariskien
arviointimenetelmä
Octave muodostuu sanoista: Operationally Critical Threat, Asset
and Vulnerability Evaluation.
Oman riskianalyysityökalun kehitys

Riskianalyysityökalun pohjana toimi
Rational Requisite Pro –ohjelmisto
 suunniteltu
ohjelmistokehityksen vaatimusten
hallintaan
 vaatimusten hallinnassa ja riskianalyysityössä
on yhteisiä piirteitä, joten työkalu sopii
ominaisuuksiltaan hyvin riskianalyysityökalun
pohjaksi
Riskianalyysityökalun sisältö

Työkalu sisältää käyttöohjeistuksen, raportoinnin ja
valmiit näkymät riskianalyysin suorittamisella
Riskianalyysi voidaan tehdä usean eri standardin
mukaan, standardien yhdisteleminen on mahdollista
Sisältö on täysin dynaamista ja helposti muokattavissa

Toteutetut standardit/uhkalistat:






ISO17799:2005
COBIT
BSI
Vahti/PK-RH uhkalistat
Riskianalyysityökalun metodi

Riskianalyysimenetelmäksi valittiin
POA:sta jalostettu variantti:

POA:ta sovitettiin paremmin sopivaksi
riskianalyysiprosessiin
 POA:n määrittelemiä analyysilomakepohjia
kehitettiin
POA-variantti

Työmenetelmä muokattiin vastaamaan sähköistä työtä:



hiljainen aivoriihi ja paperilomakepohjaiset vaiheet jätettiin pois
analyysilomaketta paranneltiin ja kenttiä lisättiin
POA-variantin vaiheet:
1.
2.
3.
4.
5.
Riskianalyysin rajauksen määritteleminen
Käytettävien arviointikriteerien määritteleminen
Uhkien ideointi-, karsinta- ja kartoitusvaihe
Analysointivaihe
Loppuraportin laatiminen
Kehitetyn työkalun arviointi

Työkalu arvioitiin asiantuntija-arvioinnin
avulla:
 Kolme
tietoturva-alan ammattilaista arvioivat
työkalua muutaman viikon ajan ja täyttivät
arviointilomakkeen
 Työkalun esiversion käytöstä saatuja
kommentteja hyödynnettiin kehitysvaiheessa
Työkaluarvioinnin tulokset - Plussat

Hyvät puolet:


Requisite Pro on alustana vakaa, kevyt ja käyttöönottaminen on helppoa
Riskianalyysimielessä työkalu on











Testattu oikeassa käytössä ja todettu toimivaksi
Kehitysalusta, joka mahdollistaa uuden sisällön tuottamisen suhteellisen pienellä
vaivalla


selkeä,
joustava
yksinkertainen
tietosisällöltään riittävä
soveltuu hyvin kommunikointiin
mahdollistaa analyysiryhmän virtuaalisen yhteistyön keskitetyn tietokannan avulla
soveltuu hyvin riskianalyysityöhön
tukee riskianalyysiprosessin jatkuvuutta
työkalun käyttäminen ei vaadi käyttäjältä vahvaa tietoturva-alan kokemusta
uuden sisällön tuottamisen ja muokkaamisen helppous
Samaa projektia voidaan evaluoida useampia standardeja vasten
Työkaluarvioinnin tulokset Miinukset

Huonot puolet:

Ei ole kaupallisesti valmis
 Vähemmän ominaisuuksia kuin kaupallisissa
riskianalyysityökaluissa
 Yksinkertaisen kertolaskutoiminnallisuuden
puuttuminen
Riskianalyysityökalun tulevaisuus


Työkalu on herättänyt kiinnostusta eräässä asiakkaassa
ja jatkokehityksestä ollaan keskusteltu
Työkalu on esitelty oman organisaation keskeisille
tietoturvaihmisille ja kehityksestä ja käyttöönotosta on
keskusteltu


työkalun mahdollisuudet on tiedostettu ja uusien tapausten
kohdalla arvioidaan voidaanko työkalua hyödyntää
Työkalua kehitetään ja pyritään käyttämään sisäisesti tai
asiakkaiden niin halutessa. Kaupallistaminen ei ole vielä
suunnitelmissa
Kysymyksiä ?