Tietoturva 3 op - PowerPoint PPT Presentation

1 / 42
About This Presentation
Title:

Tietoturva 3 op

Description:

Title: Tietoturva 2 ov Author: Jouko Teeriaho Last modified by ** Created Date: 9/27/2004 7:41:51 PM Document presentation format: On-screen Show – PowerPoint PPT presentation

Number of Views:181
Avg rating:3.0/5.0
Slides: 43
Provided by: JoukoTe9
Category:

less

Transcript and Presenter's Notes

Title: Tietoturva 3 op


1
Tietoturva 3 op
Engl. Data security, Information
security, Computer security
  • Web ta.ramk.fi/jouko.teeriaho
  • Linkki tietoturva

jouko.teeriaho_at_ramk.fi
2
Kurssin tavoitteet
Tavoitteena on saada yleiskuva tietoturvasta ja
sen osa-alueista yksittäisen käyttäjän (jonkin
verran), että yritysten tietoturvan
näkökulmasta. Kurssilla laajennetaan tietoturvan
näkökulmaa Tietoturvassa ei ole kyse pelkästään
tietoverkon suojaamisesta viruksia ja
tunkeutumisia vastaan, vaan kokonaisuudesta johon
kuuluu yrityksen tietoturvapolitiikka,
henkilöstön kouluttaminen tietoturvakysymyksiin,
sekä tietoturvan huomioiminen jokapäiväisessä
toiminnassa toimitilojen suunnittelusta
paperijätteen käsittelyyn.
3
Arviointi
  • Tentti 50
  • Ryhmätyöt 50 (palautus ryhmissä Optimaan)

HYL, tyydyttävä 1-2 , Hyvä 3-4 , Kiitettävä 5
4
  • Luentojen teemat
  • 1. Johdanto, tiedon käsitteet ja tiedon merkitys
    yrityksille
  • Tietoturvan osa-alueet ja tietoturvan
    palvelut
  • Hallinnollinen tietoturvallisuus
  • Tietoaineistoturvallisuus
  • 4. Toimitilaturvallisuus
  • 5. henkilöstöturvallisuus
  • Laitteistoturvallisuus
  • Ohjelmistoturvallisuus
  • 8. Tietoliikenneturvallisuus
  • 9. Käyttötoimintojen turvallisuus
  • 10. Tietosuojalainsäädäntö
  • Tekninen tietoturva - salausmenetelmät
  • Tekninen tietoturva - salausmenetelmät
  • Tekninen tietoturva - salausmenetelmät

5
Kirjallisuutta Paavilainen Tietoturva
Kivimäki Windows tietoturva Kerttula Esa
Tietoverkkojen tietoturva Petteri Järvinen
Tietoturva ja yksityisyys Allen CERT
verkkotietoturvan hallinta Ruohonen
Tietoturva IT Press Tietoturvasertifikaatti
Shon Harris CISSP Certification
Web www.cert.fi ( tietoturvaviraston sivut )
www.tietoturva.fi (tietoturva ryn sivut)
www.tietoturvaopas.fi (kotikäyttäjälle
suositeltava opas)
6
Tietoturvasta ammatiksi?
  • Tietoturvaosaajista on kasvavaa kysyntää , onhan
    ennustettu , että internetin ongelmat voivat
    kaataa koko verkon lähivuosina
  • Perustiedot tietoturvasta on hyvä olla kaikilla
    työntekijöillä esim. ITC alan yrityksissä
  • On olemassa kansainvälisiä tietoturvasertifikaatt
    i tutkintoja, jotka ovat näyttötutkintotyyppisiä.
    Tenttejä järjestetään Helsingissä useita
    vuodessa
  • Tutkintoja on kahta tasoa
  • CISSP - tentissä 250 monivalintatehtävää
  • SSCP - tentissä 125 monivalintatehtävää

kirjallisuus IT Press
Tietoturvasertifikaatti
7
Tietoturvan ammattilaiseksi kouluttautuminen
CISSP (Certified Information Systems Security
Professional) ammattitaitosertifikaatti on
laadittu (ISC)2 organisaation toimesta.
Sertifikaattiin liittyviksi tietoturvallisuusalan
osa-alueiksi on määritelty kymmenen eri
aihepiiriä.
1. Pääsyoikeuksien hallinta (Access Control
Systems Methodology)2. Järjestelmäkehitys
(Applications Systems Development)3.
Jatkuvuussuunnittelu (Business Continuity
Planning)4. Salakirjoitusmenetelmät
(Cryptography)5. Lait, tutkinta ja etiikka (Law,
Investigation Ethics)6. Toiminnan turvallisuus
(Operations Security)7. Fyysinen turvallisuus
(Physical Security)8. Turvallisuusarkkitehtuuri
ja -mallit (Security Architecture Models)9.
Tietoturvallisuuden johtaminen (Security
Management Practices)10. Tieto- ja
teleliikenneverkkojen turvallisuus
(Telecommunications, Network Internet
Security)CISSP näyttökokeen läpäisyn edellytys
on että kokelas saa riittävän hyvän suorituksen
useissa näistä tietoturvallisuuden
aihepiireissä.Tarkemmat tiedot CISSP
sertifikaatista löydät www.isc2.org
verkkosivuilta.
Näyttökokeessa (Helsingissä) 250
monivalintatehtävää. Hyviä valmennusoppaita on
olemassa
8
Tiedon käsite
Data information Knowledge - Wisdom
9
Tiedon käsitteet 1) Data
Data jalostamatonta raakatietoa, tiedon
raaka-ainetta
päivän TV-ohjelmat
aikataulut
dollarin kurssi
10
Tiedon käsitteet 2) Informaatio
Data muuttuu informaatioksi, kun siihen sisältyy
viesti , merkityksiä, käyttöarvoa
engl. information
11
Tiedon käsitteet 3) Tieto
Tieto sisäistettyä informaatiota esim. kirjan
sisältö, kun joku on sen omaksunut
engl. knowledge
12
Tiedon käsitteet 4) Tietämys
- tietämys on jo hyvin jalostunut tiedon muoto
se on osaamista (knowhow) jollain alalla,
tietämys on tiedon summa, jollain kokeneella
insinöörillä, liikemiehellä voi olla
korvaamatonta tietämystä, jota ei voi edes panna
paperille tai siirtää eteenpäin - opittu tieto ja
hiljainen tieto (henkilön arvot ja kokemukset)
ovat siinä yhdistyneenä
engl. wisdom
13
Tiedon merkitys tuotannon tekijänä
14
Tuotannontekijät klassisen taloustieteen mukaan
työ
pääoma
capital
labour
15
Tuotannontekijät massatuotannon aikakautena
työ
raaka-aineet
pääoma
raw materials
Koneet laitteet
machinery
16
Tuotannontekijät informaatioyhteiskunnassa
knowledge
työ
TIETO
raaka-aineet
pääoma
Koneet laitteet
Kilpailukyvyn kannalta yhä tärkeämmäksi on tullut
teknologisen osaamisen taso
17
Tuotannontekijöiden painotus riippuu
toimialasta Esim. sahateollisuudessa korostuvat
raaka-aineet, ohjelmistotuotannossa tieto
18
Tietojen jakautuminen yrityksissä
Virallinen tieto (tilinpäätös, vuosikertomus)
Asiakas-tiedot
Henkilöstön osaaminen
Organisaatioon liittyvä tieto
19
Tiedon erityisominaisuudet sen suojaamisen
kannalta
1) Tieto on aineeton olio. Miten havaitaan sen
varastaminen tai laiton kopiointi ? Miten suojata
olio jota ei ole fyysisesti olemassa ?
2) Miten estää tiedon luvaton kopiointi ja
muokkaus ?
20
3) Miten mitata varastetun tiedon rahallinen arvo
?
4) Miten jakaa tietoa yrityksessä mahdollisimman
monelle niin ettei se joudu ulkopuolisten käsiin ?
21
  • Tietoresurssin omistusoikeudesta
  • Tieto on sekä resurssi , että yrityksen
    varallisuutta
  • Työnantajan tarjoamissa puitteissa luotu tai
    hankittu tieto on työnantajan omistamaa
  • Työnantaja päättää, mitä tietoa voi tuoda
    julkisuuteen
  • Työntekijöiden osaamisen (tietämyksen)
    omistusoikeus on hankalampi määrittää

Usein tiedolla on yrityksessä käyttöarvoa
silloin, kun se on vain ko. yrityksen hallussa.
Se menettää arvonsa tultuaan julkiseksi.
Julkisen tiedon ominaisuus on se, että sen arvo
ei muutu, vaikka se olisi kaikkien käytettävissä.

22
Tietoturvan merkitys yritystoiminnalle
23
Highlights of the "2002 Computer Crime and
Security Survey" (USA)
1. 90 vastaajista (etupäässä suuryrityksiä ja
valtion laitoksia) havaitsi tietoturvaongelmia
viimeisten 12 kk aikana. 2. 80 kärsi niistä
johtuvia taloudellisia menetyksiä. 3. 44
halusi/kykeni arvioimaan menetyksiä rahallisesti.
He ilmoittivat suuruudeksi 455 000 000 . -
Tietovarkaudet 170 000 000 - Talouspetokset
115 000 000 4. 74 ilmoitti Internet
yhteyksiensä olevan jatkuvan hyökkäilyn kohteena
5. 34 oli tehnyt rikosilmoituksia asiasta 6.
40 havaitsi tunkeutumisyrityksiä
ulkopuolelta 7. 40 havaitsi
palvelunestohyökkäyksiä
24
78 havaitsi työntekijöidensä väärinkäyttävän
sähköpostiaInternettiä 85 havaitsi
tietokoneviruksia. 98 lla vastanneista oli
omat web - sivut 52 kävivät verkkokauppaa
sivustoillaan 38 kärsi luvattomasta
tunkeutumisesta. 21 ei osannut sanoa,
esiintyikö tätä heidän yrityksessään. 70
hyökkäyksen kohteeksi joutuneista ilmoitti
vandalismista. 55 ilmoitti palvelunestohyökkäy
ksestä 12 ilmoitti transaktiotietojen
katoamisesta 6 raportoi talouspetoksista
Johtopäätös Tietoturvarikkeet ovat hyvin
yleisiä. Niistä koituu suuria taloudellisia
tappioita.
katso myös www.cert.fi
25
  • Tietoturvallisuuden merkitys PK - yrityksille
  • Lähde PK -yritysten tietoturvaopas)
  • Tietotuvallisuudella on nopeasti kasvava
    merkitys PK -yrityksille
  • Yrityksen päätöksenteko perustuu oikea-aikaiseen
    oikeaan tietoon
  • Kilpailijat ja yrityksen perustamista
    suunnittelevat ovat kiinnostuneet samasta
    tiedosta
  • Tietovuotojen oikeuskäsittely on ollut yritysten
    kannalta ongelmallista, ellei se ole etukäteen
    huolehtinut tietoturvasta
  • Kysymys ei ole vain omasta, vaan asiakkaiden ja
    yhteistyökumppaneiden tietoturvasta
  • Yrityksen on
  • 1) annettava henkilöstölle selkeät ohjeet
  • 2) selkeästi määriteltävä, mikä on salaista
    tietoa
  • 3) arvioitava yrityssalaisuuksien rahallinen arvo
    etukäteen

26
Esimerkkejä tyypillisistä oikeustapauksista 1.
Yrityksen työntekijä irtisanoutui ja meni
kilpailijan palvelukseen. Tätä ennen hän oli
kopioinut kustannuslaskelmia, toimintasuunnitelmia
ja kone- ja laitepiirustuksia. Tuomio
yrityssalaisuuden rikkominen, kilpailijalle
yrityssalaisuuden väärinkäyttö 2. Henkilö
irtisanoutui ja perusti itse saman alan
yrityksen. Tätä ennen hän oli kopioinut yrityksen
asiakasrekisterin. Tuomio yrityssalaisuuden
rikkominen vahingonkorvaukset 3. Eräässä
elektroniikkateollisuuden alihankintaketjussa
lopputuotteen valmistava yritys sai haltuunsa
alihankkijan valmistaman komponentin piirustukset
toiselta ketjun alihankintayritykseltä. Tarkoitus
oli alkaa valmistamaa itse ko. komponenttia
alihankinnan sijasta. Tuomio lopputuotteen
valmistaja tuomittiin yritysvakoilusta,
alihankkija 2 liikesalaisuuden rikkomisesta.
4. Keskusvalvomon tietokoneeseen tunkeutunut
virus aiheutti tuotantolaitoksessa
tuotannonkeskeytyksen, joka maksoi satoja
tuhansia markkoja.
27
Mitä laki sanoo tietoturvallisuudesta?
Työsopimuslaki kieltää työntekijää ilmaisemasta
muille työnantajansa liike- ja ammattisalaisuuksia
. Rikkeestä voidaan katkaista työsuhde. Yhteistoim
intalaissa on myös määräyksiä, jotka kieltävät
työntekijää paljastamasta ulkopuolisille
työnantajan salaisiksi luokittelemia tietoja.
Työnantajalla on puolestaan velvollisuus pitää
salassa työntekijän terveydentilaa ja
taloudellista asemaa koskevia tietoja. Rikoslaki
määrittelee yrityssalaisuuskäsitteen ja
salassapitovelvollisuudet, sekä niiden
kriminalisoinnit. Jotta jokin tieto olisi
yrityssalaisuus, on työnantajan se sellaiseksi
luokiteltava ja ryhdyttävä suojaustoimenpiteisiin.
Laissa vilpillisestä kilpailusta kosketellaan
samaa asia laajentaen yrityssalaisuus koskemaan
myös toimeksiantosuhteessa olevia mm.
alihankkijoita. Tietosuojalaki (laki
henkilötietojen käsittelystä) määrää, mitä
tietoja yksityishenkilöistä saa rekisteröidä ja
miten tietoja tulee suojata. Julkisuuslaki
koskee viranomaistoiminnan julkisuutta Sähköisen
viestinnän tietoturvalaki 1.9.2004 käsittelee mm.
henkilön paikantamista, telemarkkinointia, Laki
yksityisyyden suojasta työelämässä (9/2004)
käsittelee mm. huumetestejä, työnantajan oikeutta
avata työntekijän sähköpostia, kameravalvontaa,..
28
Mitä yrityssalaisuusoikeudenkäynneistä on opittu ?
  1. Jos yrityssalaisuuksia ei ole yksilöity
    (luokiteltu) ja niiden taloudellista arvoa
    määritelty ennen rikollista toimintaa, syyttäjä
    ei ole nostanut syytettä
  2. Kriminalisoinnit työntekijöiden osalta ovat
    rajoittuneet palvelusaikaan. Johdon kohdalla
    salassapitovelvoitteen on katsottu sitovan
    pitempään.
  3. Ilman määriteltyä taloudellista arvoa tieto ei
    voi olla yrityssalaisuus.
  4. Yrityssalaisuusrikokset ovat asianomistajarikoksia
    . Ts. syyte nostetaan vain vahinkoa kärsineen
    yrityksen aloitteesta. (asioita pyritään
    sopimaan oikeussalin ulkopuolella)

29
Tietoturvallisuuden määritelmä
  • Tietoturvallisuus on tiedon kolmen ominaisuuden
  • luottamuksellisuuden,
  • eheyden ja
  • käytettävyyden
  • turvaamista

30
Tietoturvan turvapalvelutIETFn mukaan
31
Internet Engineering Task Force (IETF)...
  • ...on määritellyt kuusi turvapalvelua
  • luottamuksellisuus (confidentiality),
  • eheys (integrity),
  • todennus (authentication),
  • kiistämättömyys (non-repudiation),
  • pääsynvalvonta (access control) ja
  • käytettävyys (availability).

32
1. Luottamuksellisuus (confidentiality)
  • Luottamuksellisuudella varmistetaan, että tiedot
    ovat vain niillä, joille tiedot on tarkoitettu.
  • Luottamuksellisuus suojaa yksityisyyttä ja tiedon
    omistusoikeutta.

esim. sanomien ja tiedostojen salaus kryptaamalla.
33
2. Eheys (integrity)
  • Tiedon eheys tarkoittaa, että tieto ei ole
    muuttunut siirrettäessä eikä säilytettäessä.
  • Tiedon eheyden varmistamiseen liittyy aina
    lähettäjän todennus.
  • Eheys ja todennus yhdessä varmistavat, että
    lähetty tieto on vastaanottajan saavuttaessaan
    juuri siinä muodossa, missä se lähetettiin.
  • Eheyteen kuuluu myös tiedon oikeellisuus

esim. tiivistefunktioiden käyttö,
virheenkorjaavat tiedonsiirtojärjestelmät
34
Eheys / julkisuus
  • Tiedon luottamuksellisuuden ja eheyden taso ja
    tarve ovat toisistaan riippumattomia.
  • Tieto voi olla kaikille avointa ja julkista,
    mutta sen on oltava varmasti oikeaa.

35
Eheys / julkisuus
  • Esimerkiksi julkisesti välitetyn
    viranomaistiedotteen muuttuminen voi aiheuttaa
    merkittävää vahinkoa.
  • Toisaalta voi olla hyvin luottamuksellista
    tietoa, jonka ei kuitenkaan välttämättä tarvitse
    olla aivan virheetöntä.

36
3. Todennus (authentication)
  • Todennuksella varmistetaan, että osapuolet ovat
    niitä, joita sanovat olevansa.
  • Esimerkiksi sähköisessä kaupankäynnissä ja
    viranomaispalveluissa, sekä henkilöiden välisessä
    viestinnässä on usein tärkeää tietää varmasti,
    kuka toinen osapuoli on.
  • Tarvitaan osapuolen ja tietolähteen eli tiedon
    alkuperän todennusta.

esim. sähköinen henkilökortti ,
pankkivarmenteiden käyttö
37
4. Kiistämättömyys (non-repudiation)
  • Kiistämättömyydellä tarkoitetaan, ettei tiedon
    lähettäjä voi kiistää lähettäneensä tietoa ja
    olleensa jossakin tapahtumassa
    osapuolena.
  • Kiistämättömyys on tietolähteen todennuksen vahva
    muoto ja se toteutetaan sähköisellä
    allekirjoituksella. Kiistämättömyys on ehdoton
    edellytys monien palvelujen ja toimintojen
    toteuttamiselle tietoverkkojen kautta.

Digital Signature
38
5. Pääsynvalvonta (access control)
  • Pääsynvalvonnalla tarkoitetaan, että käyttäjien
    pääsyä koneessa olevaan tietoon rajoitetaan ja
    valvotaan.
  • Pääsyn valvonnalla tarkistetaan, onko osapuolella
    oikeus palvelun ja tiedon käyttöön.

salasanat, toimitilojen pääsynvalvontajärjestelmät
39
  • Pääsynvalvonnan tavoitteena on osaltaan turvata
    tiedon luottamuksellisuus ja eheys.
  • Pääsyn valvonta turvaa osaltaan myös tiedon
    saatavuutta ehkäisten järjestelmään kohdistuvia
    hyökkäyksiä.

40
6. Käytettävyys (availability)
usein suomennetaan myös KÄYTTÖVARMUUS - esim.
sitä, että yrityksen verkko ja ohjelmistot ovat
ylhäällä aamulla töihin tullessa
  • Käytettävyydellä tarkoitetaan, että tiedon tulee
    olla niiden käytettävissä, jotka sitä tarvitsevat
    ja joille se on tarkoitettu.
  • Tiedon käytettävyys on yksi vaikeimmin
    toteutettavista tietoturvan muodoista.

41
Tietoturvan osa-alueet (tätä jaottelua käytetään
Suomessa)
  1. Hallinnollinen tietoturvallisuus
  2. Tietoaineistoturvallisuus
  3. Fyysinen turvallisuus (toimitilaturvallisuus)
  4. Henkilöstöturvallisuus
  5. Laitteistoturvallisuus
  6. Ohjelmistoturvallisuus
  7. Tietoliikenneturvallisuus
  8. Käyttötoimintojen turvallisuus

42
Tietoturva voidaan jakaa myös yleiseen
tietoturvaan ja tekniseen tietoturvaan.
  • Tekninen tietoturva
  • salausmenetelmät
  • autentikointi
  • digitaalinen allekirjoitus
  • virustorjuntaohjelmat
  • palomuuriohjelmat
  • anti - spyware
  • videovalvonta
  • Yleinen tietoturva
  • tietoturvasuunnitelma
  • henkilöstöturvallisuus
  • tietoaineistoturvallisuus
  • riskianalyysit
  • tietoturvakoulutus
  • toimitilaturvallisuus
  • . . .
Write a Comment
User Comments (0)
About PowerShow.com
Home About Us Terms and Conditions Privacy Policy Presentation Removal Request Contact Us
Copyright 2024 CrystalGraphics, Inc. — All rights Reserved. PowerShow.com is a trademark of CrystalGraphics, Inc.
The PowerPoint PPT presentation: "Tietoturva 3 op" is the property of its rightful owner.
Do you have PowerPoint slides to share? If so, share your PPT presentation slides online with PowerShow.com. It's FREE!