Upload
others
View
5
Download
0
Embed Size (px)
Citation preview
1
Tietoturva tiedon varastoinnissa
HELIA – TIKO 25.9.2006ICT03D Tieto ja tiedon varastointiT.Mikkola, O.Virkki
2
Sisällysluettelo
• Tiedon suojausmenetelmätTekniset tietoturvaratkaisutFyysiset tietoturvaratkaisut Tietoturvapolitiikka
• Miksi Tietoturvaa ?• Tietoturva vrs. Tietosuoja• Uhkia• Tietoturvan osa-alueet
LuottamuksellisuusEheysTodennusKiistämättömyysPääsyn valvontaKäytettävyys
3
Miksi tietoturvaa tarvitaan?
• Arvokas pääoma, tieto, vaatii suojelua• Lainsäädännössä on määräyksiä
tietoturvasta ja tietosuojasta• Asiakkaat esittävät vaatimuksia
tietoturvaan ja tietosuojaan liittyen• Yrityksen maineen suojelemiseen• Käyttökatkojen ehkäisy
tuotannon aikana
4
Tietoturva vrs. tietosuoja
• Tietoturvalla tarkoitetaan niitä hallinnollisia ja teknisiä toimenpiteitä, joilla varmistetaan tiedon luottamuksellisuus ja eheys sekä järjestelmien käytettävyys
• Tietosuojalla tarkoitetaan henkilön yksityisyyden suojaamista henkilötietojen käsittelyssä
henkilötiedot on suojattava oikeudettomalta tai henkilöä vahingoittavalta käytöltä
5
Uhkia• Varkaudet• Kavallukset• Sabotaasit
• Oikeudeton tiedon käyttö,muuttaminen, tuhoaminen, varastaminen
• Virukset yms.
• Ohjelmointivirheet• Käyttövirheet
• Tulvat• Tulipalot• Ukkonen • Sähkökatkokset • Muut luonnonmullistukset
6
Tietoturvan taso
• Siihen, millainen tietoturvan taso yrityksessävalitaan, vaikuttavat
lainsäädäntöyrityksen omat intressityrityssalaisuudetsalassapito- ja vaitiolositoutumukset
7
Tietoturvan osa-alueet
• Tietoturvaan liittyy kuusi osa-aluetta1. Luottamuksellisuus2. Eheys3. Todennus4. Kiistämättömyys5. Pääsynvalvonta6. Käytettävyys
8
1. Luottamuksellisuus
• confidentiality• varmistetaan, että tiedot ovat vain niiden
käytettävissä, joille ne on tarkoitettukin• suojaa yksityisyyttä ja tiedon omistusoikeutta
9
2. Eheys
• integrity• tieto ei muutu siirrettäessä tai säilytettäessä• eheyden varmistamiseen liittyy aina lähettäjän
todennus• eheys ja todennus yhdessä varmistavat, että tieto
saapuu vastaanottajalla juuri siinä muodossa, missä se lähetettiin
10
3. Todennus
• authentication• varmistetaan, että osapuolet ovat niitä, joita
sanovat olevansaesim. sähköisessä kaupankäynnissä ja viranomaispalveluissa on tärkeää tietää varmasti, kuka toinen osapuoli on
• todennus on tarpeenosapuolilletietolähteelle eli tiedon alkuperälle
11
4. Kiistämättömyys
• tarkoittaa, että lähettäjä ei voi kiistää lähettäneensätietoa tai olleensa osallisena jossain tapahtumassa
• tietolähteen todennuksen vahva muoto• toteutetaan sähköisellä allekirjoituksella• ehdoton edellytys monille tietoverkossa
toteutettaville palveluille
12
5. Pääsyn valvonta
• authorization, admission control• käyttäjien pääsyä koneessa olevaan tietoon
rajoitetaan ja valvotaan• tarkistaa, onko osapuolella oikeus palvelun ja
tiedon käyttöön• tavoitteena osaltaan turvata tiedon
luottamuksellisuus ja eheys• turvaa osaltaan saatavuutta
ehkäisten järjestelmään kohdistuvia hyökkäyksiä
13
6.Käyttettävyys
• availability (~saatavuus)• tiedon tulee olla niiden käytettävissä, jotka sitä
tarvitsevat ja joille se on tarkoitettu• vaikeimmin toteutettava tietoturvan muoto
14
Luottamuksellisuus vrs. eheys
• Tiedon luottamuksellisuuden ja eheyden taso/tarve ovat toisistaan riippumattomia
• Tieto voi olla kaikille avointa ja julkista, mutta sen on oltava varmasti oikeaa
• Toisaalta taas voi olla hyvin luottamuksellista tietoa, jonka ei tarvitse olla täysin virheetöntä
15
Tietoturvan toteuttaminen
• Tietoturva toteutetaan tietoturvapolitiikan, –ohjelman ja –ohjeiden avulla
kattavat sekä yleisen tietoturvallisuuden että tietoteknisen tietoturvallisuuden
16
Tiedon suojausmenetelmät
• Suojautumismenetelmät jakautuvat
teknisiin, laitteistoihin ja ohjelmistoihin perustuviin tietoturvaratkaisuihin
fyysisiin tietoturvaratkaisuihin
hallinnollisiin eli toimintatapoihin perustuviin tietoturvaratkaisuihin
17
Tiedon suojausmenetelmät
Tieto
Fyysinen taso
Tekninen taso
Hallinnollinen taso
Oikeudeton käyttö
Tietoväline-varkaudet,Sabotaasit,Luonnon
mullistukset
Ohjelmointivirheet,Käyttövirheet,
Rikollinen tiedon muuttaminen,tuhoaminen,varastaminen
18
Tekniset tietoturvaratkaisut 1/3
Perustuvat mm.1. Salasanojen ja käyttäjätunnusten käyttöön
valvotaan tietojärjestelmään pääsyä ja varmistetaan järjestelmässä olevan tiedon säilyminen luottamuksellisena ja eheänäei vahva tietoturvaratkaisu -> salasanat helposti arvattavissa tai muuten saatavissa haltuun
2. Virheitä korjaaviin protokolliinvarmistetaan tiedon eheys siirron aikana
19
Tekniset tietoturvaratkaisut 2/3
3. Automaattisiin virhetarkistuksiinpyritään estämään virusten pääsy tietojärjestelmiin ja organisaation sisäisiin verkkoihin
4. Palomuureihinerottavat yksityiset ja suojatut verkot avoimista verkoistarajoittavat verkkoliikennettäosoitteisiin perustuentarjoaa rajallisen suojan liikenteen tunnistamiseen ja pääsynvalvontaan
20
Tekniset tietoturvaratkaisut 3/3
5. Kryptografisiin menetelmiinniillä voidaan varmistaa tiedon eheys, luottamuksellisuus, tietolähteen todentaminen ja kiistämättömyysvoidaan käyttää myös pääsyn valvonnassavahva tekninen tietoturva perustuu aina kryptografian käyttöön
21
Fyysiset tietoturvaratkaisut 1/2
• Tarkoituksena estää mahdollisen tunkeutujan pääsy fyysisesti järjestelmään käsiksi
• Fyysisillä ratkaisuilla suojataan tietokoneet ja verkkoihin liittyvät laitteet
• Fyysiseen suojaukseen liittyy mm. seuraavia asioita
kulunvalvontalaitteiden ja kaapeleiden sijoittaminen turvalliseen ja eristettyyn tilaankaapeleiden suojaus salakuuntelun estämiseksi
22
Fyysiset tietoturvaratkaisut 2/2
• Fyysiset tietoturvaratkaisut muodostavat tietoturvan perustan
• Ilman fyysisiä suojauksia tekniset tietoturvaratkaisut ovat tehottomia
23
Tietoturvapolitiikka
• Teknisillä ja fyysisillä tietoturvaratkaisuilla ei koskaan voida kokonaan taata tietoturvan toteutumista
• Keskeisessä asemassa ovat ihmiset ja heidän toimintatapansa
• Toimintatavat voidaan jakaa tietojärjestelmistä ja verkoista vastaavien toimintatapoihinkäyttäjien toimintatapoihin
24
Tietojärjestelmistä ja verkoista vastaavat
• Huolehtivat tietoturvapolitiikan mukaisesti tietoturvan käytännön toteuttamisesta
teknisten ja fyysisten tietoturvaratkaisujen toteuttaminen
• Tarkkailevat jatkuvasti järjestelmiä ja verkkoja sekä reagoivat poikkeaviin tilanteisiin
• Huolehtivat varmistuksista• Ovat salassapitovelvollisia luottamuksellisten
tietojen osalta• Heidän tulee tietää tietosuojan vaatimukset
25
Käyttäjät
• Käyttävät toiminnassaan organisaatiossa sovittuja tietoturvamenetelmiä
salasanojen ja käyttäjätunnusten pitäminen salassatietoturvaratkaisuja ei ohiteta (esim. palomuurin ohitus)
26
Tietoturvariskit henkilöstön osalta
• Riskeiksi voivat osoittautualiian suuret käyttöoikeudetliian suuri asiantuntemusvälinpitämätön asenne tietoturvaa kohtaanmotivaation puute, tyytymättömyys työhön