IT-standardisointi
A- A+


Tietoturvatekniikat


Suomessa toimii oma tietoturvatekniikan standardisointiiin osallistuva standardisointiryhmä SFS/SR 307, jossa seurataan pääasiassa ISOn tietoturvatekniikkoja koskevaa standardisointia. Viime aikoina työn alla on ollut mm. ISO/IEC 27000 -sarja tietoturvallisuuden hallintajärjestelmistä sekä tietosuoja-aiheiset standardisointikohteet.


Ajankohtaista


Tietosuojaseminaari


Kesäkuussa 2018 järjestettiin seminaari, jossa keskusteltiin EU:n tietosuoja-asetuksen vaikutuksista ja esiteltiin 2 juuri suomenkielisinä julkaistua standardia: SFS-ISO/IEC 29134 Ohjeita tietosuojavaikutusten arviointiin ja SFS-ISO/IEC 29151 Menettelyohjeet henkilötietojen suojaamiseen. Tilaisuuden esitysmateriaalit ja tallenteet löytyvät SFS:n tapahtumakalenterista.


Julkaisutilaisuus: SFS-ISO/IEC 27004 Tietoturvallisuuden hallintajärjestelmät. Seuranta, mittaus, analysointi ja arviointi 


Marraskuussa 2017 ilmestyi suomenkielinen käännös uusitusta tietoturvallisuuden hallintajärjestelmän mittaus ja arviointi -standardista SFS-ISO/IEC 27004. Standardissa annetaan ohjeita, jotka ovat organisaatioille avuksi tietoturvan tason ja tietoturvallisuuden hallintajärjestelmän vaikuttavuuden arvioinnissa, kun halutaan täyttää standardin ISO/IEC 27001:2013 vaatimukset. Tilaisuuden tallenne ja esitysmateriaalit ovat katsottavissa tilaisuuden sivuilla SFS:n tapahtumakalenterissa.


Julkaisutilaisuus: SFS-ISO/IEC 27035-1 Tietoturvahäiriöiden hallinta. Osa 1: Tietoturvahäiriöiden hallinnan periaatteet


Maaliskuussa 2016 julkaistiin suomenkielinen käännös kansainvälisestä tietoturvahäiriöiden hallinnan periaatteet esittelevästä standardista. Ohjeistusta seuraamalla organisaatio voi välttää tai rajoittaa tietoturvahäiriöiden vaikutusta, niin että häiriöistä aiheutuvat suorat ja epäsuorat vahingot olisivat mahdollisimman vähäisiä. Suoria ja epäsuoria vahinkoja ovat esimerkiksi tieto-omaisuuden vahingoittuminen sekä maineen ja uskottavuuden menetys. Linkit tilaisuuden esitysmateriaaleihin ja tallenteeseen ovat SFS:n tapahtumakalenterissa.


Julkaisutilaisuus: SFS-ISO/IEC 27000 Tietoturvallisuuden hallintajärjestelmien yleiskuvaus ja sanasto


Lokakuussa 2016 julkaistiin suomenkielinen versio uudesta kansainvälisestä tietoturvastandardista SFS-ISO/IEC 27000. Standardissa esitetään yleiskuvaus tietoturvallisuuden hallintajärjestelmästä, sen luomisesta, seurannasta, ylläpidosta ja parantamisesta. Linkit tilaisuuden esitysmateriaaleihin ja tallenteeseen ovat SFS:n tapahtumakalenterissa.


Ohjeet henkilötietojen suojaamiseen pilvipalveluissa


Kesäkuussa 2015 julkaistiin suomenkielinen versio kansainvälisestä standardista SFS-ISO/IEC 27018 Menettelyohjeet henkilötietojen suojaamiseen henkilötietoja käsittelevissä julkisissa pilvipalveluissa. Standardissa esitetään yleisesti hyväksytyt tavoitteet, keinot ja ohjeet toimenpiteisiin, joilla henkilötiedot voidaan suojata pilvilaskennan toimintaympäristössä. Katso standardin esittely julkaisutilaisuuden ohjelmasivulta www.sfs.fi/it/27018-julkaisu.


Tietoturvan hallintakeinojen menettelyohjeet suomeksi


Kesäkuussa 2014 ilmestyi suomenkielinen standardi SFS-ISO/IEC 27002, jossa esitellään tietoturvan hallintakeinojen valinta, toteuttaminen ja hallinta siten, että samalla huomioidaan organisaation tietoturvallisuuden riskiympäristöt. Katso julkaisutilaisuuden tallenne tai tilaisuudessa standardin esitelleen Aki Siposen esitysmateriaalit ohjelmasivulta www.sfs.fi/it/27002julkaisu.


Julkaisutilaisuus suoratoistona


Uusittu tietoturvastandardi ISO/IEC 27001 julkaistiin suomeksi joulukuussa 2013. Tilaisuuden suoratoistosta tehdyn tallenteen voi katsoa osoitteessa http://new.livestream.com/ITstriimIT/SFS-ISO27001-fi.


Diat 27000-sarjasta


ISO/IEC 27000 -sarjaa esitellään opetus- ja opiskelukäyttöön tehdyssä diasarjassa, jonka voi ladata SFS oppilaitosportaalista sivulta www.sfsedu.fi/materiaalit.



Alan standardisointi


Standardisoinnin avulla saadaan yhtenäiset toimintatavat ja tekniikat sähköiseen tietojen vaihtoon ja tietojen käsittelylle. Tietoturvaan liittyvää standardisointityötä tehdään laajasti yhteistyössä tietotekniikan eri sovellusalueiden kanssa. Näitä alueita ovat muun muassa biometriikka, finanssiala, terveydenhuollon tietotekniikka ja verkkoavaruus. Tietoturvatekniikat ovat tärkeä osa tietotekniikan riskien hallintaa.


Tietoturvatekniikoiden avulla voidaan varmistaa, ettei tietojärjestelmissä olevia tietoja muuteta ilman valtuuksia ja suojataan tiedot asiattomalta käytöltä. Keskeisiä standardisointialueita ovat esimerkiksi tietoturvallisuuden hallintajärjestelmät, tietosuoja, kyberturvallisuus, salaustekniikat, pääsynvalvonta ja digitaalinen allekirjoitus.


Standardisoinnin kohteina ovat myös tietoturvallisuuden arviointiperusteet, joiden avulla voidaan arvioida tietotekniikan palvelutuottajien tietoturvallisuuden tasoa.


Kansainväliset ja eurooppalaiset komiteat


Tietoturvatekniikoiden standardisointia tehdään ISOn ja IEC:n yhteisessä alakomiteassa ISO/IEC JTC 1/SC 27 IT Security techniques sekä eurooppalaisten CEN:n ja CENELEC:n yhteisissä alakomiteoissa CEN/CLC/JTC8 Privacy management in products and services ja CEN/CLC/JTC 13 Cybersecurity and Data protection



Tietoturvatekniikan työkenttä on laaja ulottuen tietoturvallisuuden johtamisesta salausalgoritmeihin. Alan standardisointia tehdäänkin useissa työryhmissä. Standardisoinnin aiheina ovat olleet mm.


    Tietoturvallisuuden hallintajärjestelmät

    Tietoturvallisuuden suositukset

    Tietosuoja

    Salaustekniikat

    Digitaalinen allekirjoitus

    Tietotekniikan turvallisuuden arviointi

    Pääsynvalvonta

    Verkkoturvallisuus

    Sanastot


SC 27 IT Security techniques -alakomiteassa on viisi työryhmää:


    WG 1 Information security management systems

    WG 2 Cryptography and security mechanisms

    WG 3 Security evaluation, testing and specification

    WG 4 Security controls and services

    WG 5 Identity management and privacy technologies




Yhteydenotot

SFS Kauppa

Lausuntopyynnöt


SFSedu oppilaitosportaali