IT-standardisointi
A- A+

IT-uutiset

14.6.2018 11.00

Kansainvälisen tietoturvastandardisoinnin tilannekatsaus

Kansainvälinen tietoturvallisuuden alakomitea ISO/IEC JTC 1/SC 27 kokoontui vuosittaiseen yleiskokoukseensa huhtikuussa 2018 Wuhanissa, Kiinassa. Työn alla on lukuisia standardeja ja selvityksiä tulevaisuuden standardisoinnin suuntaviivoista. Tässä muutamia poimintoja aiheista, jotka ovat herättäneet erityistä kiinnostusta suomalaisissa asiantuntijoissa.

Uusia ja työn alla olevia työkohteita


Kyberturvallisuus on puhuttanut alakomiteassa jo pitkään, ja Wuhanin kokouksessa päätettiinkin käynnistää äänestyksiä uusien standardien tarpeista. Äänestyskierrokset ovat tulossa mm. kyberturvallisuuden konseptien sekä Internet-turvallisuuden suuntaviivojen määrittelyistä.

Myös tietosuojastandardisointi on komiteassa aktiivista. Tällä hetkellä on tekeillä muun muassa standardi, jossa käsitellään ISO/IEC 27001:n suhdetta tärkeimpiin ISO/IEC:n tietosuojastandardeihin ja EU:n tietosuoja-asetuksen vaatimuksiin. Standardin tarkoituksena on ohjeistaa tietosuojan hallintajärjestelmän luomisessa.
 
Sanastot ovat oleellinen osa tietoturvastandardisointityötä. Alakomiteassa onkin vastikään perustettu sanastovastaavan toimi. Sanastovastaavan tehtävänä on edistää sanastotyötä työryhmässä 1 ja erityisesti ISO/IEC 27000 -standardiperheessä.

Selvityksiä standardisointitarpeesta


Tietoaineistoturvallisuus (data security) nousee koko ajan entistä tärkeämmäksi, kun koostetaan ja analysoidaan suuria datajoukkoja ja käsitellään esimerkiksi sensitiivistä tietoa kuten terveys- tai taloustietoja. Perinteisen CIA-mallin (luottamuksellisuus, eheys ja saatavuus) lisäksi pitäisi ottaa huomioon vaikutukset yksilöön ja yhteiskuntaan. Tämän johdosta on aloitettu selvitys tietoaineistoturvallisuuden huomioimiseksi standardeissa.  Sen tavoitteena on saada selville, millaisia standardeja on jo olemassa tietoaineistoturvallisuuden näkökulmasta sekä millaisia standardeja pitäisi laatia.

Lisäksi kokouksessa aloitettiin selvitys, jossa tutkitaan, onko ISO/IEC 27000-standardiperheeseen tarvetta lisätä ISO 33000 Process assessment -sarjaan perustuva tietoturvallisuuden hallintajärjestelmän prosessin viitemalli. 

Ajanmukaisuustarkistuksia tietoturvallisuuden hallintajärjestelmässä


Standardien ajanmukaisuutta tarkastellaan aina viiden vuoden välein, ja edellinen versio ISO/IEC  27001 -standardista on julkaistu vuonna 2013, joten on tullut aika tarkastella sen ajantasaisuutta. Ensiksi työn alle on otettu ns. SoA eli Statement of applicability ja Liite A, joka sisältää listan hallintakeinoista. Asiantuntijoiden mielipiteet SOAn hyödyllisyydestä ovat olleet ristiriitaisia ja nyt pyritään selvittämään, millaisilla muutoksilla löydettäisiin yhteinen näkemys.

Myös tietoturvan riskienhallintaa käsittelevä standardi ISO/IEC 27005 saavutti ajantasaisuuden tarkistuksen tänä vuonna. Standardia uudistettiin nyt vain kevyesti, ja uusittu versio julkaistaan pikapuoliin. Samalla kuitenkin aloitettiin laajamittaisemman uudistuksen valmistelu. Kevään kokouksessa perustettiin valmisteluryhmä selvittämään muutostarpeita.

Tervetuloa mukaan vaikuttamaan


Näihin ja muihin avoimiin tietoturvan standardisointikohteiden käsittelyyn osallistuu SFS:n standardisointiryhmä SR 307 Tietoturvatekniikat. Ryhmän jäsenyys on avoin kaikille. Lisätietoja tietoturvatekniikoiden standardisoinnista antaa asiantuntija Elina Huttunen (etunimi.sukunimi@sfs.fi).

Palaa otsikoihin