4. Turvallisuussopimus
• Sitouttaminen tietoturvaperiaatteisiin
• Sitouttaminen liiketoimintavaatimuksiin
• Sitouttaminen standardeihin tai parhaisiin käytäntöihin
• PCI DSS, ISF SoGP, ISO 27001
• Luottamuksellisen tiedon suojaamisvelvoite ja tietosuoja
• Palvelun ylläpito ja tietojen sijainti
• Henkilökunnan osaamis-/koulutusvelvoite
• Työskentely omissa ja asiakkaiden tiloissa
• Tuotettavien palvelujen ja tietojen eristäminen
• Tietojen poisto
• Mahdollisuus henkilöiden turvallisuusselvitykseen
• Tarkastusoikeus
• Vaatimukset sovelluskehittämiselle ja -kehittäjille
• Jatkuvuussuunnitteluvelvoite
• Huoltovarmuuskeskuksen SOPIVA-vaatimukset
• Raportointi ja poikkeamien käsittely
12.6.2013JaPi
7. Hyvät ja huonot uutiset - kokemuksia
• Turvallisuussopimus sitouttaa kumppanit hyvin
• Kumppani voi reagoida paremmin kuin oma IT (asiakkuus)
• Opt-Out malli pakottaa sopimaan palvelun tietoturvasta
• Turvallisuusopimusta on tuunattava lähes jokaisen
kumppanin kanssa
• Turvallisuussopimus määräävänä sopimuksena saattaa
jäykistää ”kevyempien” palvelujen hankintaa
• PCI DSS toimii kohtuullisen hyvin baseline-vaatimuksena
• PCI DSS toimii hyvänä/huonona tekosyynä eri tilanteissa
• Kumppanin tulkinnat sopimusten sisällöstä joskus yllättäviä
• Sopivien mittareiden ja niistä sanktioitaviksi valittavien
määrittely haastavaa
• Kumppanin sopimusneuvottelija ei aina ymmärrä
sanktioitujen mittareiden käytännön toimenpidevaatimuksia
• Kumppanin tietoturva-asiantuntijan kanssa yhteinen sävel
löytyy yleensä nopeasti, lakimies löytää ongelmia
12.6.2013JaPi
8. Pilvee, pilvee, pilvee
• Pilvipalveluissa sopimusten rooli korostuu
• ”Aidossa” pilvipalvelussa sopimus (käyttöehdot)
on ainoa kontrolli
• Kokemukseni mukaan pilvipalveluissa
tietoturvallisuus on hoidettu hyvin
• Ainakin isoilla/tunnetuilla toimijoilla
• Kaikkea tietoa ei saa kirjallisesti
• Valtiollisten toimijoiden takaportit
huolena juuri nyt
12.6.2013JaPi
9. Mistä tietomurrot- ja vuodot tulevat?
12.6.2013JaPi
Lähde: Verizon 2013 Data Breach Investigations Report
10. Information Security Forumin havainnot
• Siirrytty arvoketjusta legomalliin
• Kumppaneita ja sopimuksia on paljon
• Organisaatioilla ei ole hyvää kuvaa siitä, kuinka ja
mitä tietoa kumppaneiden kanssa jaetaan.
• Jos onkin sopimuksen allekirjoitushetkellä, mutta tilanne
elää kumppanuuden aikana.
• Yleensä huono näkyvyys 1. tason taakse
• Kumppaneiden alihankkijat, heidän alihankkijansa,…
• Huomio on yleensä sopimuksen
arvossa, ei jaettavassa tiedossa.
• Ulkoistukset voivat vieraannuttaa
organisaation tietoturvaohjauksesta.
• Kumppaneilla samat ongelmat…
12.6.2013JaPi
11. ISF malli – Securing the Supply Chain
12.6.2013JaPi
• Fokus jaettavissa
tiedoissa ja niihin
liittyvissä riskeissä
• Fokus sopimuksen arvon
sijaan tietojen arvossa
• Tietoturvan integrointi
olemassa olevaan
kumppaninhallintamalliin
• Excel-työkalut
kumppanin tietoturvan
arviointiin
12. ISO/IEC 27036
• 27036 : Information security for supplier
relationships
• 27036-1: Overview and concepts
• 27036-2: Requirements
• 27036-3: Guidelines for ICT supply chain security
• 27036-4: Guidelines for security of cloud services
• Arvioitu julkaisuajankohta 4Q13
12.6.2013JaPi
13. ISO/IEC 27036
• Information security in supplier relationship management
• Agreement processes
• Acquisition, Supply
• Organisational project-enabling processes
• Life cycle model management, Infrastructure management, Project portfolio
management, Human resource management
• Project processes
• Project planning, Project assessment and control, Decision management,
Risk management, Configuration management, Information management,
Measurement
• Technical processes
• Architectural design
• Information security in a supplier relationship instance
• Supplier relationship planning
• Supplier selection
• Supplier relationship agreement
• Supplier relationship management
• Supplier relationship termination
12.6.2013JaPi