Tietoturvatarkastuksen teettäjän pikaopas Joulukuu 2013 Johdanto 1 Perustele tarve Yritysten toiminta nojaa nykyään hyvin toimiviin ja turvallisiin tietojärjestelmiin. Kuitenkin neljä viidestä tietoturvatarkastuskohteesta sisältää vakavia haavoittuvuuksia, jotka altistavat kohteen hyväksikäytölle. Tarkastuksen motiivi ja syyt vaihtelevat. Aivan aluksi on hyvä tehdä itselle selväksi, miksi kyseinen tarkastustehdään. Voi osoittautua, että tarkastusta ei edes kyseiseen tarpeeseen ole tarvetta tehdä. Hyvät perustelut auttavat myös tarkastuksen tekijää perustelemaan tarkastushavainnot ymmärrettävästi. Seuraavilla apukysymyksillä ja esimerkeillä voi hahmottaa tarvetta. Verkottuneessa kyberympäristössä yrityksen järjestelmät ovat avoinna mistä päin maailmaa tahansa tehdyille hyökkäyksille. Kyberhyökkäykset ovat myös erittäin edullisia ja tekijöilleen helppoja toteuttaa. Yritykset kohtaavat pääsääntöisesti kahden tyyppisiä hyökkäyksiä: 1) massahyökkäyksiä, joissa kohteena voi olla mikä tahansa haavoittuva järjestelmä ja 2) kohdistettuja hyökkäyksiä, joissa pyritään vaikuttamaan nimenomaan kohdeyritykseen. Tietoturvatarkastus on mittari ja kontrolli, jonka avulla voidaan tehokkaasti tarkentaa käsitystä omiin järjestelmiin liittyvistä uhkakuvista. Tarkastuksessa havaitaan puutteita ja esitetään kehityskohteita yrityksen ja sen tietojärjestelmien turvallisuudessa. Tarkastukset tehdään yleensä tietojärjestelmille tai -järjestelmäkokonaisuuksille, mutta monesti saattaa myös olla tarve selvittää kokonaisvaltaisemmin organisaation tietoturvakäytäntöjä. Tarkastus on erikoisosaamista vaativaa työtä, joka yleensä kannattaa teettää siihen erikoistuneella toimijalla. Tarkastuksen kohteen määritykseen ja teettämiseen liittyy kuitenkin seikkoja, jotka kannattaa pitää mielessä, että lopputulos on halutunlainen. Tämä muistilista helpottaa sujuvan tarkastuksen teettämistä. Sitä voidaan käyttää riippumatta siitä, tehdäänkö tarkastus ulkopuolisen tahon tai yrityksen omin voimin. Tietoturvatarkastus on investointi, jonka tuottavuus on mahdollista varmistaa rajaamalla hanke oikein ja miettimällä tavoitteet huolellisesti. Asiantuntijatyötä edellyttävien ja erillisenä projektina suoritettavien tarkastusten hintahaarukka vaihtelee yleensä 4 000–50 000 euron välillä. Olemme tunnistaneet 10 kohtaa, jotka tulisi ottaa huomioon tietoturvatarkastuksen eri vaiheissa. Käsittelemme tässä dokumentissa kutakin kohtaa tarkemmin. MIKÄ ON TARKASTUKSEN PÄÄTARKOITUS? • • • • • • Haluan vakuuttaa omat asiakkaani tuotteemme/palvelumme/ratkaisumme turvallisuudesta. Vaatimuksenmukaisuus (esim. PCI / Tietoturvatasot) edellyttää tarkastuksen tekemistä. Haluan varmistaa, että järjestelmä on turvallinen, koska järjestelmä käsittelee sensitiivistä tietoa tai rahaa. Järjestelmä on liiketoimintakriittinen, ja palvelun keskeytyminen on kallista. Prosessimme edellyttää tarkastuksen tekemistä. Tietojärjestelmääni on jo tunkeuduttu. Haluan varmistaa, että tätä ei tapahdu jatkossa. OVATKO OLETETUT UHKATEKIJÄT ULKOISIA VAI SISÄISIÄ JA TAHATTOMIA VAI TAHALLISIA? • • • • • • • Hakkeriryhmät ja haktivistit Kilpailijat Järjestäytynyt rikollisuus Organisaation työntekijät Oma tai vieraan valtion hallitus Luonnonilmiöt Asiakkaat tai käyttäjät MITKÄ OLISIVAT VAKAVIMMAT SEURAUKSET TAI VAIKUTUKSET MAHDOLLISTEN UHKIEN TOTEUTUESSA? 1. PERUSTELE TARVE 6. SUUNNITTELE JA SOVI 2. RAJAA TARKASTUS 7.VALMISTELE 3. ENNAKOI AIKATAULUT 8.VALVO 4. PYYDÄ TARJOUS 9. VARMISTU TULOKSISTA 5. ARVIOI TARKASTUSMENETELMÄ 10. KÄSITTELE TULOKSET • • • • • • • Maineen menetys Kilpailuedun menetys Rahallinen menetys Ihmishenkien menetys Liiketoiminnan häiriö tai keskeytyminen Organisaation tietoverkkojen tai -järjestelmien väärinkäyttö Sidosryhmien yksityisyyden loukkaus MIHIN KYSYMYKSIIN ERITYISESTI HALUAT SAADA TARKASTUKSELTA VASTAUKSET? • • • • • • Miten järjestelmän tietoturvan taso suhtautuu muiden vastaavien järjestelmien tietoturvallisuuteen? Onko kumppanilta ostettu palvelu toteutettu turvallisesti ja sovitut kontrollit toteutettu asianmukaisesti? Onko järjestelmiä ylläpidetty ja kehitetty sovitusti ja suunnitellusti? Ovatko tiedon ja järjestelmien luottamuksellisuus, eheys ja saatavuus turvattu? Ovatko lainsäädännön tai toimielinten asettamat vaatimukset täytetty järjestelmän toteutuksessa ja ylläpidossa? Toimivatko sisäiset IT- ja kehitysprosessit järjestelmän tietoturvan tason varmistamisen kannalta? » 2 Tietoturvatarkastuksen teettäjän pikaopas Nixu Oy:n julkaisu • Joulukuu 2013 3 NIMEÄ SIDOSRYHMÄT, JOILLE TARKASTUS TULEE PERUSTELLA, JA SELVITÄ NÄMÄ TARPEET MYÖS HEILTÄ: • Järjestelmän ja liiketoiminnan omistaja • Tietoturvallisuusvastaava • Kehittäjät • Ylläpitäjät • Kumppanit • Käyttäjät (tarvittaessa) 2 Rajaa tarkastus Tietojärjestelmät ovat yksittäisiä palveluita tai isoja järjestelmäkokonaisuuksia, jotka koostuvat useista moniin muihin järjestelmiin liittyvistä alijärjestelmistä. Käytännössä tarkastus on kuitenkin tehtävä rajallisessa ajassa rajattuun ympäristöön rajatussa laajuudessa. Rajaa tarpeen perusteella, mistä kokonaisuudesta haluat saada kuvan: YKSITTÄINEN JÄRJESTELMÄ TAI SOVELLUS • • • • • Ulkoisten rajapintojen haavoittuvuudet (esim. Web UI, SOAP/ REST, SMS) Palvelinten asetukset Sisäiset hallintakäyttöliittymät Integraatiorajapinnat (SOAP / REST) Järjestelmän kehitykseen ja hallintaan liittyvät käytännöt ORGANISAATION INFRASTRUKTUURI TAI SEN OSA • • • • • Pilvipalvelut Verkot, laitteet ja palvelimet Työasemat ja mobiililaitteet Verkkoarkkitehtuuri Ylläpitokäytännöt ja -prosessit KOKO ORGANISAATION TIETOTURVALLISUUS • Organisaation tietoturvaprosessit ja hallintamallit • Tietoturvallisuuden jalkautuminen käytännössä 3 Ennakoi aikataulut Aikataulu kannattaa suunnitella siten, että kalenteriaikaa lasketaan taaksepäin siitä päivämäärästä, kun järjestelmän pitäisi olla turvallinen ja valmis käyttöönottoon. Esimerkiksi tyypillinen teknisen tason tarkastus kestää yleensä 5 kalenteriviikkoa aloituspalaverista päätöspalaveriin. Hyvä nyrkkisääntö on, että tarkastus käynnistetään viimeistään 8 kalenteriviikkoa ennen takarajaa, jolloin myös mahdollisille korjaaville toimenpiteille jää aikaa. VARAA TARKASTUS HYVISSÄ AJOIN. • Käynnistä tarkastusprojekti ajoissa sekä omassa organisaatiossasi että tarkastuksen tekijällä. • Varaamalla tarkastuksen hyvissä ajoin varmistat, että tarkastukselle on sopiva, asiantunteva tekijä. HUOMIOI TARKASTUKSEN KESTO KALENTERIAJASSA KAIKKINE VAIHEINEEN. • • • • Aloituspalaveri Suunnittelut ja valmistelut Tarkastuksen tekeminen Raportointi ja lopetuspalaverit VARAA KORJAUKSIIN RIITTÄVÄSTI AIKAA. • Tyypillisesti tarkastuksissa havaitaan mahdollisesti useitakin kriittisiä ongelmia, joiden korjaus voi viedä aikaa. 4 Pyydä tarjous Tarjous kannattaa pyytää aina kirjallisena ja usein myös kiinteästi hinnoiteltuna. Jos yrityksesi teettää useampia tarkastuksia vuodessa, on järkevää valita yksi tarkastaja koko kokonaisuudelle. Tällöin tarkastaja oppii tuntemaan paremmin liiketoimintanne luonnetta sekä toimintatapaanne ja sitä kautta antamaan parempia suosituksia. Tarkastusten toteuttaminen prosessina myös tehostaa oman organisaatiosi toimintaa. TEE TARVITTAESSA SALASSAPITOSITOUMUS TARKASTUKSEN TOIMITTAJAEHDOKKAIDEN KANSSA. • Mikäli tarkastettava kohde ei ole julkista tietoa, tee salassapitositoumus ennen tarjouksen lähettämistä. ILMOITA TARJOUSPYYNNÖSSÄ AIKATAULU JA PAIKKA, MISSÄ JA MILLOIN TARKASTUS PITÄISI TEHDÄ JA MILLOIN TULOSTEN TULISI OLLA KÄYTETTÄVISSÄ. • Huomioi, että tiukka aikataulu, viikonloput tai toimistoajan ulkopuolella tehtävät työt saattavat vaikuttaa kustannuksiin. KUVAA MAHDOLLISIMMAN TARKASTI TARVE SEKÄ TARKASTUKSEN KOHDE RAJAUKSINEEN. • Pyri pitämään kohteen kuvaus mahdollisimman ytimekkäänä, kymmensivuiset dokumentit saattavat vaikeuttaa tarjouksen rajaamista. » 4 Tietoturvatarkastuksen teettäjän pikaopas Nixu Oy:n julkaisu • Joulukuu 2013 5 KUVAA TARKASTUKSESSA VAADITTAVA ERITYISOSAAMINEN. • Tarkastuksen tekijältä voidaan vaatia erityistä sertifiointia eri toimielimien tai säädöksien takia. • Ole kuitenkin realistinen sen suhteen, mitä erityisosaamisalueita voidaan vaatia yhdeltä henkilöltä. ILMOITA, MIHIN SOPIMUSEHTOIHIN TOIMITTAJAN TULEE SITOUTUA. • Takaraja varmistaa sen, että tarjouksen ennakoitu aikataulu pysyy kurissa. 5. Arvioi tarkastusmenetelmä Kun olet saanut tarjouksen, arvioi siitä vähintään tässä kappaleessa kuvatut asiat. Jos tarjouksessa ei ole mainintaa näistä kohdista, selvitä asiat tarkastuksen toimittajalta. Näiden avulla voidaan päätellä, täyttääkö tarjottu tarkastus vaatimukset. Käytössä on monenlaisia termejä, jotka tarkoittavat eri toimijoilla eri asioita. Esimerkiksi pelkkä penetraatiotestaus, skannaus, koodin katselmointi, uhkamallinnus / -analyysi, gapanalyysi, auditointi, evaluointi tai dokumentaation katselmointi tms. eivät ole vielä täsmällisiä määritelmiä sellaisenaan, vaan kannattaa selvittää, mihin menetelmiin tarkastus nojautuu. Eri menetelmillä voidaan päästä samoihin lopputuloksiin, mutta eri menetelmissä on myös omat vahvuutensa tietyissä ympäristöissä. • Aloitus- ja lopetuspalaverit • Tietojen, kuten raportin ja esitietojen, turvallinen välittäminen • Järjestelyt sairastapausten ja muiden erityistilanteiden varalta RIIPPUMATTOMUUS • Esimerkiksi henkilökohtaiset vaitiolositoumukset ILMOITA, MIHIN TAKARAJAAN MENNESSÄ TARJOUS ON TOIMITETTAVA. PROJEKTIKÄYTÄNNÖT • Myykö toimittaja ohjelmistotuotelisenssejä, jotka saattavat ohjata tarkastustuloksia? • Onko tarkastajalla sidoksia järjestelmään (mukana kehityksessä, omistajuudet)? TUOTOSTEN LAATU • • • • • Varmistu, että tarkastuksesta saatava raportti vastaa tarvetta ja siinä kuvataan myös vaikutuksia, ilmenemistapoja ja korjaustoimenpiteitä yms. Raportin ei tule olla pelkkä havaintoluettelo. Raportin laadusta vastaa kokenut henkilö, joka myös osallistuu palavereihin. Raportissa on johdon yhteenveto, jossa tarkastuksen tulokset avataan liiketoiminnan kannalta ymmärrettävästi. Raportissa on vakavuuden perusteella priorisoidut havainnot. Pyydä malliraportti nähtäväksi. KOMMENTOINTIAIKA • Asiakkaalla on oikeus pyytää korjauksia loppuraporttiin ilman erillistä veloitusta, mikäli tulokset eivät vastaa etukäteen sovittua. KÄYTETYT TARKASTUSMENETELMÄT JA VIITEKEHYKSET • • • • • • Perustuuko tarkastus automatisoituihin työkaluihin vai manuaaliseen työhön? OWASP ASVS (web-sovellukset) CIS, NIST (alustojen turvallisuus) ISO-27001 (tietoturvakäytännöt) PCI (maksukorttijärjestelmät) VAHTI, tietosuojalainsäädäntö jne. TYÖVAIHEET/TARKASTUSPROSESSI • Onko tarkastuksen eri vaiheet kuvattu selvästi? • Ovatko eri työvaiheiden tavoitteet ja tulokset kuvattu ymmärrettävästi? • Ovatko työmenetelmät tarkoitukseen sopivia ja mahdollisia toteuttaa kohdeympäristössä? KUSTANNUS JA HINNOITTELU 6 Suunnittele ja sovi Kun tarkoitukseen sopivin tarjous on valittu, on sen toteuttaminen suunniteltava ja sovittava kaikkien osapuolten kesken. Tietoturvatarkastukset joudutaan monesti tekemään järjestelmiin, jotka ovat esimerkiksi tuotantokäytössä tai hyväksymistestauksessa, jolloin kohdejärjestelmässä on muuta käyttöä. Huolehdi, että kaikki osapuolet osallistuvat aloituspalaveriin tai vähintään saavat ja lukevat aloituspalaverin muistiinpanot. TARKASTUKSEN LAAJUUS JA RAJAUKSET • Varmista, että tarjotun tarkastuksen laajuus on riittävä, eikä mitään oleellista ole rajattu tarkastuksen ulkopuolelle. TOIMITTAJAN KOKEMUS JA AMMATTITAITO » • Järjestelmään soveltuva asiantuntemus ja kokemus • Onko hinta epäilyttävän pieni tai suuri? Vertaile tarjouksia ja selvitä hintaerojen syyt. • Kiinteä hinta vs. työmääräarviopohjainen tuntihinta? VARMISTU JO SOPIMUSHETKELLÄ, ETTÄ KAIKKI OSAPUOLET SITOUTUVAT SOVITTUUN AJANKOHTAAN JA OTTAVAT HUOMIOON ESIMERKIKSI HYVÄKSYMIS- JA SUORITUSKYKYTESTAUKSET TAI LOMAKAUDET: • • • • • kehittäjät/testaajat oma operaattori palveluntarjoaja hosting-kumppani tarkastuskumppani. » 6 Tietoturvatarkastuksen teettäjän pikaopas Nixu Oy:n julkaisu • Joulukuu 2013 7 PIDÄ KAIKKI OSAPUOLET TIETOISINA AIKATAULUIHIN LIITTYVISTÄ MUUTOKSISTA HYVISSÄ AJOIN JA SOVI, ETTÄ KAIKKI OSAPUOLET TOIMIVAT SAMOIN. VARMISTA, ETTÄ KAIKILLA OSAPUOLILLA (OPERAATTORIT, PALVELUNTARJOAJAT) ON TARVITTAVAT TARKASTUSLUVAT. • Monet pilvipalveluntarjoajat vaativat ilmoitukset tietoturvatarkastuksista muutama päivä etukäteen. Tarjoajilla on yleensä lomake hallintasovelluksessa, jonka kautta ilmoituksen voi tehdä. 8Valvo Tarkastuksen aikana käytetään monenlaisia menetelmiä, jotka voivat aiheuttaa erilaisia virhetilanteita. Näitä virhetilanteita kannattaa seurata ja tutkia mistä virheet johtuvat. Jos tarkastuksen kohteena on tuotantojärjestelmä, on erityisesti syytä valvoa tarkastuksen ajan sitä, miten järjestelmä käyttäytyy. TARKASTUKSEN TEKIJÄ SOVI, ETTÄ TARKASTAJA ILMOITTAA AINAKIN KRIITTISET LÖYDÖKSET VÄLITTÖMÄSTI, JOTTA NE VOIDAAN OTTAA KORJAUKSEEN MAHDOLLISIMMAN PIAN. • Varmista, että tekijöiden kokemus vastaa tarjouksessa sovittua tasoa. • Valvo, että tekijä suorittaa tarkastusta ja kommunikoi sovittujen käytäntöjen mukaisesti. TARKASTUKSEN KOHDE 7Valmistele Tarkastus on suositeltavaa tehdä aina mahdollisimman tuotannonkaltaisessa ympäristössä. Kannattaa kuitenkin varmistua, ettei tarkastus vaikuta tuotantokäyttöön tai toiminnan jatkuvuuteen. Valmistelujen tarkoituksena on varmistaa, että tarkastus etenee alusta loppuun mahdollisimman sujuvasti. VARMISTA TOIMINNAN JATKUVUUS TARKASTUKSEN AIKANA. • • • Varmista, että koko tarkastuksen aikana on valmius tarvittaessa esimerkiksi käynnistää järjestelmät uudelleen ja palauttaa järjestelmä toimintakuntoon ja tiedottaa mahdollisia sidosryhmiä katkoksista. Järjestelmää tarkastettaessa tee tuotantoa vastaava tarkastukselle varattu erillinen testausympäristö, jossa ei käsitellä tuotantodataa. Ota ennen tarkastusta järjestelmistä varmuuskopiot – olipa kyseessä sitten tuotanto- tai testiympäristö – jotta järjestelmän palauttaminen on mahdollisimman nopeaa. KERÄÄ TARKASTUKSEEN TARVITTAVA TAUSTAMATERIAALI HYVISSÄ AJOIN. • Taustamateriaali, kuten arkkitehtuurikuvaus, ei välttämättä ole ajan tasalla ja voi vaatia päivityksiä ennen toimittamista. SELVITÄ, MIHIN KAIKKIALLE JÄRJESTELMÄ MAHDOLLISESTI OTTAA YHTEYKSIÄ TARKASTUKSEN AIKANA, JA TIEDOTA TÄSTÄ KAIKILLE OSAPUOLILLE. • Esimerkiksi web-sovellusten palaute- tai rekisteröintilomakkeet saattavat automaattisen skannauksen yhteydessä aiheuttaa merkittäviä määriä sähköpostia. • Erilaiset toimenpiteet saattavat aiheuttaa hälytyksen valvontajärjestelmissä, mistä voi aiheutua turhaa työtä. VARMISTA, ETTÄ VAADITUT ESITIEDOT ON TOIMITETTU JA JÄRJESTELYT ON TEHTY HYVISSÄ AJOIN ENNEN TARKASTUKSEN SUUNNITELTUA ALOITUSTA. AIKATAULUT • Valvo, että erilaiset muutostilanteet tarkastuksen aikana myöskin huomioidaan muussa aikataulussa, ja niiden vaikutus lopulliseen aikatauluun selviää. VÄLITUOTOKSET • Mikäli on sovittu välituotoksia, kuten viikkoraportointia, valvo että niitä toimitetaan ja niiden laatu on sovitulla tasolla. 9 Varmistu tuloksista Tarkastuksesta saadaan tyypillisesti havaintoluettelo, joka on yleensä raportin muodossa. Raportti on tärkein tuotos tarkastuksesta, ja on tärkeä varmistua, että siinä esitetyt havainnot ovat ymmärrettäviä kaikille osapuolille. KÄY LÄPI RAPORTTI ENNEN LOPETUSPALAVERIA. • Kirjaa muistiin kaikki esiin tulleet kysymykset ja lähetä kysymykset tarkastajalle. VARMISTA, ETTÄ KAIKKI ASIANOSAISET YMMÄRTÄVÄT JA VAHVISTAVAT HAVAINNOT. • Pyydä kustakin havainnosta vastine tarpeellisilta sidosryhmiltä, esimerkiksi järjestelmän toimittajalta. » • Valvo, että kohdeympäristö toimii normaalisti. Esimerkiksi tuotantojärjestelmän tilaa on syytä seurata tarkastuksen aikana tavanomaista tarkemmin. • Vahvista tarkastuksen tekijältä ja muilta sidosryhmiltä, että valmius tarkastuksen tekemiseen on olemassa viimeistään tarkastusta edeltävällä viikolla. 8 Tietoturvatarkastuksen teettäjän pikaopas Nixu Oy:n julkaisu • Joulukuu 2013 9 VARMISTA, ETTÄ RAPORTISSA KÄY SELVÄSTI ILMI: • • • • • • tarkastuksen laajuus käytetyt menetelmät tarkastetut osa-alueet tarkastuksen ulkopuolelle sovitut osa-alueet havaintojen kuvaukset, vaikutukset ja korjausehdotukset lausunto niistä tarkastetuista osa-alueista, joista ei ollut havaintoja. Sanasto Termi Selitys Uhka Järjestelmään kohdistuva ei-toivottu tapahtuma, joka esimerkiksi vaikuttaa järjestelmän tietojen luottamuksellisuuteen, eheyteen ja saatavuuteen. Riski Uhan arvioitu kriittisyys sen toteutumisen vaikutuksen ja todennäköisyyden perusteella. Kontrolli Mekanismi, jolla pyritään rajoittamaan uhan toteutumista. Kontrolleja voi olla esimerkiksi politiikkadokumentti, prosessi, turvalaite tai tekninen toiminto ohjelmakoodissa. Haavoittuvuus Puuttuva tai puutteellisesti toteutettu kontrolli, joka mahdollistaa uhan toteutumisen. Hallinnollisella tasolla voi olla puutteellisia käytäntöjä. Järjestelmätasolla puhutaan monesti ohjelmointi- tai konfigurointivirheestä. Tarkastus Tarkastuksessa kohteen tietoturvakontrolleja verrataan tietyn standardin, viitekehyksen tai yleisten hyvien käytäntöjen määrittelemiin kontrolleihin. Tavoitteena on selvittää, minkälaisia puutteita järjestelmän kontrolleissa on. Murto- tai penetraatiotestaus Murtotestauksella pyritään osoittamaan puutteita tietojärjestelmän tai organisaation kontrolleissa toteuttamalla hyökkäys käytännössä. Murtotestaus voi perustua tarkastuksen tuloksiin tai se voidaan tehdä itsenäisenä työnä. Auditointi Auditointi ja tarkastus ovat käytännössä sama asia, mutta auditointi-sanaa käytetään Suomessa erityisesti tiettyjen ulkoisten vaatimusten tarkastamiseen kun tavoitteena on standardin- ja vaatimustenmukaisuuden sertifiointi. Katselmointi Katselmointi tehdään kirjalliselle materiaalille, kuten dokumentaatiolle, teknisille konfiguraatioille tai lähdekoodille. Erilaisista arkkitehtuuri- ja määritelmädokumenteista voidaan havaita, ottavatko ne kantaa tiettyihin vaatimuksiin. Tavoitteena on havaita mm. puutteita tai ristiriitaisuuksia. Gap-analyysi Gap- tai kuiluanalyysin avulla pyritään selvittämään puutteet tai puutealueet, joita kohdeorganisaatiolla on tiettyyn standardin- tai vaatimustenmukaisuuteen pääsemiseksi. Gap-analyysi voidaan tehdä aluksi kevyesti ylätasolla osa-alueittain. Skannaus Skannaus on pitkälle automatisoitu toimenpide, jolla pyritään havaitsemaan yleisiä haavoittuvuustyyppejä järjestelmästä. Skannaus voidaan jakaa useaan alatyyppiin: verkko- ja haavoittuvuusskannaus, sovellusskannaus, lähdekoodianalyysi (staattinen/dynaaminen). Skannereiden käyttö ja tulosten tulkinta vaativat usein huolellista läpikäyntiä sekä ammattitaitoa. Työkalut tuottavat monesti vääriä hälytyksiä. Uhkamallinnus Uhkamallinnuksella pyritään konkreettisesti etsimään uhkia järjestelmässä käymällä esimerkiksi läpi järjestelmällisesti teknisen toteutuksen vuo- ja sekvenssikaavioita ja tutkimalla, miten eri tietoturvakontrollit ja hyökkäystavat on huomioitu eri vaiheissa. Apuna voidaan käyttää esimerkiksi hyökkäyspuun laatimista. Uhka-analyysi Uhka-analyysillä pyritään tunnistamaan järjestelmän tai organisaation suojattaviin kohteisiin ja liiketoimintoihin liittyviä tietoturvauhkia sekä arvioimaan näiden todennäköisyyksiä ja vaikutuksia. Analyysitapoja on monenlaisia, ja menetelmä kannattaa valita tilanteen mukaan järkeväksi, vaikka useimmilla menetelmillä päästäänkin samansuuntaisiin lopputuloksiin. Evaluointi Tietyn kontrollin toteutustavan valinta muutamasta vaihtoehdosta. Evaluointi yleensä pitää sisällään myös jonkintasoisen tarkastuksen evaluoitaville ratkaisuille. Evaluointikriteeristö voidaan valita joko nykyisistä kriteeristöistä tai määritellä tapauskohtaisesti. VARMISTA, ETTÄ TARKASTUSRAPORTISSA ON SELVÄT VASTAUKSET KYSYMYKSIIN JA TARPEISIIN, MIKSI TARKASTUS ALUN PERIN TEETETTIIN. • Käy läpi tarjouspyyntö, tarjous, aloituspalaverin muistio ja vertaa niitä loppuraporttiin. VARMISTA, ETTÄ TULOKSET JA JOHTOPÄÄTÖKSET KÄYDÄÄN LÄPI ASIANOMAISTEN KESKEN LOPETUSPALAVERISSA. • Vahvista, että havainnoista ei ole epäselvyyksiä tai avoimia kysymyksiä. 10 Käsittele tulokset Jotta tarkastuksesta saadaan paras hyöty irti, on tärkeää, että raportti ei unohdu pöytälaatikkoon. Tulosten käsittelyprosessin tulee jatkua, kunnes kaikki havainnot on todennetusti korjattu tai tietoisesti päätetty jättää korjaamatta hyväksymällä niihin liittyvät riskit. VASTUUTA JA AIKATAULUTA KORJAUSTOIMENPITEET. MIKÄLI JOKIN ASIA JÄÄ KORJAAMATTA ESIMERKIKSI KUSTANNUSSYISTÄ, PYYDÄ SELVÄ HYVÄKSYNTÄ TÄSTÄ AIHEUTUVILLE RISKEILLE JÄRJESTELMÄN OMISTAJALTA TAI HÄNEN ESIMIEHELTÄÄN. 10 VARMISTA, ETTÄ HAVAINNOT TULEVAT KORJATUKSI SOVITUSSA AIKATAULUSSA. JOS KORJAUKSIA EI OLE TEHTY, SOVI AINA UUSI AIKATAULU. TILAA UUSINTATARKASTUS AINAKIN KRIITTISTEN ONGELMIEN OSALTA, JOTTA VARMISTAT, ETTÄ KORJAUKSET ON TEHTY OIKEIN EIVÄTKÄ NE OLE AIHEUTTANEET MAHDOLLISIA UUSIA ONGELMIA. Tietoturvatarkastuksen teettäjän pikaopas Nixu Oy:n julkaisu • Joulukuu 2013 11 Nixu Oy on Pohjoismaiden suurin tietoturvakonsultointiyritys. Yritysasiakkaamme luottavat riippumattomaan osaamiseemme tietoturvan kehitykseen, toteutukseen ja tarkastukseen liittyvissä hankkeissa. Varmistamme asiakkaidemme tietovastuun toteutumisen huolehtimalla toiminnan jatkuvuudesta, sähköisten palvelujen esteettömyydestä sekä asiakastietojen suojaamisesta. www.nixu.fi Twitter: @nixutigerteam Nixu Oy PL 39 (Keilaranta 15), FI-02151 Espoo, Finland Puhelin: +358 9 478 1011 Fax: +358 9 478 1030 Y-tunnus: 0721811-7 Internet: www.nixu.fi Copyright © 2013 Nixu Oy/Ltd. All Rights Reserved.
© Copyright 2024