Tulostusversio

4/2010

Tietoturva: Auditointi on mahdollisuus, ei uhka

Teksti: Kimmo Rousku

Haluaisitko muuttaa uuteen asuntoon, jonka rakentamista ei olisi millään tavalla valvottu? Sinun pitäisi vain luottaa rakentajan sanaan, jonka mukaan "olemme tehneet kaikkemme, jotta asuntosi on juuri sellainen kuin olet toivonut". Minä en luottaisi pelkkään sanaan. Sama koskee tietoturvaa: luotettavuudesta kannattaa hankkia näyttöä auditoinnilla.

Valtion IT-palvelukeskus alkaa ensi vuonna uutena palveluna tarjota asiakkailleen haavoittuvuusskannauspalvelua. Palvelussa etsitään toimintaa vaarantavia ja tiedon luottamuksellisuutta sekä eheyttä heikentäviä haavoittuvuuksia tietoverkoissa ja verkkopalveluissa.

Kun selvitimme palvelun tarpeellisuutta, havaitsimme, että tietoturva-auditointeja tehdään aivan liian vähän. Eräs asiantuntija kommentoi asiaa toteamalla, että "auditointien tuoma tieto lisää tuskaa".

Valtaosa auditointien tuloksista sisältää tyypillisesti yhden tai useamman vakavan poikkeaman (vaatimuksen ja toteutuksen välisen eron) sekä suuremman määrän alemman tason poikkeamia, joille pitäisi jotakin tehdä. 

Aikataulu ja kohteet toiminnan mukaan

Auditointi kannattaa aina silloin, kun organisaatiolle tärkeälle asialle asetetaan merkittäviä vaatimuksia, ja niiden toteutuminen halutaan varmistaa. Näin on usein hankinnan, merkittävän järjestelmäkehitystyön tai muutoksen yhteydessä. Osa organisaatioista voi joutua auditoitavaksi sopimus- tai muiden velvoitteiden takia. Tarvetta voi myös olla säännöllisiin, esimerkiksi tekniseen ympäristöön liittyviin auditointeihin.

Tietoturva-auditoinnit tulee suhteuttaa hankittavan järjestelmän kriittisyyteen, laajuuteen ja monimutkaisuuteen. Yksinkertaisimmillaan riittää järjestelmän toiminnallinen auditointi ennen sen hyväksyntää. Laajemmissa hankkeissa auditointi voidaan liittää osaksi vaatimusmäärittelyä ja koko hankkeen laadunvalvontaa.

Kun löydetyt poikkeamat on korjattu, ja palvelu on viety hyväksytysti tuotantoon, sille tulisi laatia lähivuosien auditointisuunnitelma. Mitä kriittisemmästä järjestelmästä on kyse, sitä säännöllisemmin sitä tulisi auditoida. Riskienhallinnalla auditointikulut on helppo suhteuttaa siihen riskiin, joka voi toteutua, jos järjestelmän mahdollista kriittistä haavoittuvuutta ei huomata.

Tasoauditoinnit tulossa

Tietojärjestelmien auditointien lisäksi toinen lähivuosina kasvava osa-alue tulee olemaan tietoturvatasojen auditoinnit (TTT-auditointi). Niillä varmistetaan lokakuussa voimaan astuneen valtionhallinnon tietoturva-asetuksen velvoitteiden täyttäminen.

Tietoturva-asetuksen mukaan sen piiriin kuuluvien valtionhallinnon organisaatioiden tulee saavuttaa tietoturvallisuuden perustaso syyskuun loppuun 2013 mennessä ja korotettu tai korkea taso syyskuun loppuun 2015 mennessä. Organisaatioiden tulee myös huolehtia siitä, että niille tietojärjestelmiä ja käyttöpalveluja tuottavat toimittajat täyttävät nämä velvoitteet.

Tasoauditoinnissa ei keskitytä yksittäiseen tietojärjestelmään vaan prosesseihin, jotka varmistavat organisaation hallinnollisen ja teknisen tietoturvallisuuden.

Säännönmukaisen auditoinnin puuttuminen on organisaatiolle selkeä uhka. Auditoinneilla voi siten kehittää organisaation ja palveluntuottajien toimintaa laadukkaammaksi ja tietoturvallisemmaksi.

Alla on vinkkejä onnistuneen auditointiprosessin läpiviemiseksi:

Ota selvää ja suunnittele

Jos et itse tiedä, mitä pitäisi auditoida, pyydä ja kysy apua. Älä kuitenkaan anna toimittajan ohjata liikaa toimintaasi vaan käytä apunasi puolueettomia tahoja.

Hyvin suunniteltu auditointi varmistaa työn sujuvuuden ja lopputulosten laadun. Tietoturvallisuuden hallinnan auditoinnin suunnitteluun voi saada apua muun muassa standardeista ISO 27007 ja ISO 27008. Laatu- ja ympäristöjärjestelmän auditointistandardissa ISO/IEC 19011 on hyviä käytäntöjä.

Kun hankit auditoinnin ulkopuoliselta, pyydä suunnitelma ajoissa etukäteen. Varmista, että siitä käyvät ilmi ainakin vaiheistus, aikataulu, suorittajat, tarkastettavat osat sekä raportointimalli.

Rajaa kohde

Sovi tarkkaan siitä, mitä auditoinnissa tullaan tarkastamaan ja mitä viitekehyksiä tai muita lähteitä tarkastamiseen käytetään. Niitä voivat olla esimerkiksi viranomaisvaatimukset, lait, tietoturvallisuuden hallintajärjestelmän standardi ISO/IEC 27001, tietoturvatasot, valtiovarainministeriön ICT-varautumisen vaatimukset, kansallinen turvallisuusauditointikriteeristö (KATAKRI) tai organisaation omat sopimukset, politiikat ja vaatimukset.

Ota auditointiin mukaan kaikki kohteen toimintaan vaikuttavat tekijät, esimerkiksi palvelu-, turvallisuus- ja muut sopimukset sekä palvelun turvakuvaukset. Mikäli kyse on uudesta tietojärjestelmästä, keskeinen kohde on tietoturvallisuutta koskevien vaatimusmäärittelyiden toteutuminen.

Säilytä salaisuudet

Huolehdi tarvittavien asiakirjojen salassapidosta. Esimerkiksi auditointiraportit sekä useat muut auditoinnissa käsiteltävät asiakirjat ovat salassa pidettäviä. Sovi auditoijan kanssa tietoaineistojen tietoturvallisesta välittämisestä ja käsittelystä.

Sovi raportoinnista

Mikäli kyseessä on todella kriittinen järjestelmä, voit sopia auditoijan kanssa vakavien poikkeamien raportoimisesta välittömästi. Näin organisaation ydin(liike)toimintaan vaikuttavien poikkeamien korjaaminen saadaan liikkeelle viiveettä.

Valmistaudu ja varoita

Jos olet itse auditoinnin kohteena, valmistaudu auditointitilaisuuksiin huolellisesti. Tutustu ennakko-ohjeistukseen ja varmista, että tarvittavat henkilöt ja asiakirjat ovat paikalla.

Mikäli järjestelmien teknisiä haavoittuvuuksia testataan, huolehdi siitä, että esimerkiksi käyttöpalvelutoimittajat ja muut asianosaiset toimittajat tietävät testauksesta ja osaavat varautua siihen: Ei ole lainkaan harvinaista, että huonosti toteutettu järjestelmä kaatuu haavoittuvuustestauksessa. Auditoinnin aiheuttamaa käyttökatkoa ei lasketa esimerkiksi SLA-palvelutasosopimusten mukaisten sanktioitavien asioiden piiriin.

Perehdy raporttiin

Kun saat auditoijalta yhteenvetoraportin, huolehdi siitä, että siihen tutustuvat huolellisesti ne organisaatiosi henkilöt, jotka osallistuvat raportin purkutilaisuuteen ja joiden on hyvä tietää tilanteesta.

Käykää raportti läpi aluksi pelkästään auditoijan kanssa: Voitte keskustella tällöin avoimesti asioista ja sopia yhdessä organisaation oman kannan toimittajatapaamisessa mahdollisesti esille nouseviin ongelmiin.

Eniten haasteita tuovat ne havainnot, joiden korjaamista tai toteuttamista ei ole edellytetty organisaation ja toimittajan välisissä sopimuksissa tai muissa asiakirjoissa. Tällaisten havaintojen korjaamiselle tulee yleensä hintalappu, jota voidaan arvioida riskienhallinnalla: Kannattaako korjauksesta maksaa, vai kannetaanko tietoisesti havainnosta aiheutuva riski?

Toimita auditointiraportti toimittajalle hyvissä ajoin ennen tapaamista, jotta myös toimittaja ehtii valmistautua tilaisuuteen ja kenties laatia korjaus- ja aikatauluehdotukset jo sinne.

Sovi ja tarkasta korjaukset

Raportin purkutilaisuudessa tulisi keskustella löydettyjen havaintojen todenperäisyydestä ja sopia alustavasti niihin reagoimisesta. Havaituista poikkeamista ei kannata lähteä syyllistämään ketään.

Tilaisuuden perusteella auditoija laatii lopullisen auditointiraportin, jonka hän toimittaa tilaajalle. Auditointitoimeksianto katsotaan päättyneeksi silloin, kun tilaajalla ei ole enää raporttia koskevia huomautuksia.

Yleensä toimittaja antaa raporttiin vastineensa yhteenvetotilaisuuden jälkeen sovitun ajan kuluessa. Siinä pitäisi kuvata poikkeamien korjaamistapa, aikataulu ja mahdolliset kustannusvaikutukset.

Älä laiminlyö sovittujen toimenpiteiden tarkastusta! Valitettavan useissa auditoinneissa sovitaan vain vakavien puutteiden korjaamisesta ja unohdetaan ”vähemmän kriittiset” poikkeamat. Yksittäinen matalamman tason poikkeama ei ole sellaisenaan vakava, mutta yhdistelemällä useasta matalamman tason poikkeamasta saattaa tulla kriittinen!

---

[KIRJOITTAJA]

Ryhmäpäällikkö Kimmo Rousku työskentelee Valtion IT-palvelukeskuksen tietoturvapalveluissa.

 

[AIHEESTA ENEMMÄN]

Lue myös

Tietoturva: SUPO selvittää yritysten luotettavuutta »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi
Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.