SlideShare a Scribd company logo

Yliopistojen Projekti SIG 2015

Tomppa Järvinen
Tomppa Järvinen

Agile ja vesiputousmallin projektien tietoturva

Social Media
1 of 32
Download to read offline
Projektien tietoturva Uhat tänään Projekti Vesiputous Innovatiivinen Projektin yleiset käytännöt (jos aikaa, ajankohtaista tietoturvasta) Yliopistojen Projekti SIG 3.2.2015
Kuka? 2 Tomi Järvinen twitter.com/tomppaj , slideshare.com/tomppaj • IT Security Specialist at Aalto University • Project manager at F-secure corporation • IT Manager at Falck Security / G4S • IT-Specialist / Program manager at Instrumentarium • Administrator at Outokumpu Oyj
• Tietojen luottamuksellisuus (confidentiality) tietojen paljastumisen estäminen • valtuudet • henkilöiden tunnistaminen • todentaminen • salaus • Tietojen oikeellisuus ja eheys (integrity) tieto ei saa muuttua tahattomasti tai tahallisesti • varmistukset • valtuuksien määrittely • muutosten hallinta • Tietojen saatavuus (availability) tieto saatavilla kun sitä tarvitaan • varajärjestelyt • tiedonsiirron kapasiteetti • varahenkilöt Tietoturva tuo mukanaan ”C I A” Luottamuksellisuus (Confidentality) Eheys (Integrity). Käytettävyys (Availability) 7
Tietoturvaan liittyviä uhkia 1. Kalastelu (tunnusten hyväksikäyttö) 2. Haittaohjelmat (cryptolocker) 2. Tahallinen väärinkäyttö (henkilöriskit) 3. Haavoittuvuudet (suuri määrä palvelimia) 4. Huolimattomuus (kiire, stressi, mobiili) 5. Mobiililaitteet (BYOD, Android..) 6. Sosiaalinen media (julkisuus tai julkaisu) 7. ”Social engineering” käyttäjän manipulointi (taloudellinen hyöty) 8. Zero-day exploits, uudet haavoittuvuudet, joihin ei ole korjausta 9. Pilviteknologia (saatavuus, käyttöehdot, eheys) 10. Vakoilu (innovaatiot)
Uhka on myös todellinen • 21.1 2015 University of Oregon unlawfully releases 22,000 pages with confidential faculty, staff and student records • 16.1.2015 Hacker breached Metropolitan State University database with personal info • 7.1.2015 University of Hawaii and Cornell University hacked by @MarxistAttorney • 15.12.2014 Point Loma Nazarene University discloses breach after employees fall for phishing scheme • 13.12.2014 University of California – Berkeley discloses data breach • 8.12.2014 Officials report University of Oklahoma nursing web server compromised (updated) • 14.11.2014 FL: Nova Southeastern University law students’ data hacked • 16.10.2014 Marquette University suffers potential data breach on grad school applications • Suomalaisia unohtamatta… Working Paper: Data Breaches in Europe: Reported Breaches of Compromised Personal Records in Europe, 2005‐2014: 229 data breach incidents involved the personal records of people in Europe. Globally, all these incidents resulted in the loss of some 645 million records. http://www.databreaches.net/?s=university&searchsubmit= http://www.databreaches.net/working-paper-data-breaches-in-europe-reported-breaches-of-compromised- personal-records-in-europe-2005%E2%80%902014/
Projektit ja tietoturva
Yleistä • Luo projektille turvallinen paikka missä projektia hallitaan, huomioi mahdolliset sidosryhmien tietoturvavaatimukset. • Samaa asiaa saatetaan suunnitella useassa paikassa – jotta kaikki relevantit tahot tietävät tulevista hankkeista – turhaa päällekkäisyyttä ei esiinny – varmistetaan että ei tehdä asioita politiikkojen vastaisesti • Kaikki tarpeelliset ryhmät otettava mukaan riittävän varhaisessa vaiheessa – Loppukäyttäjät, ”käytettävyyden ja vaatimusten tarkistus” – IT-arkkitehdit ”varmistetaan sopivuus kokonaisarkkitehtuuriin” – Tietoturva ”Tietoturvan, tietosuojan ja jatkuvuuden varmistus” – Hankinta ”Kilpailutuksessa avustaminen, sopimukset” • Pienistäkin asioista tulee tehdä dokumentaatiota
Esiselvitys johtaa Projektiin Asiakkaan ja IT:n keskustelussa huomataan että tarvitaan uusi ”Oikea” palvelu, alkaa yleensä Projekti Tietoturvan, tietosuojan ja jatkuvuudenhallinnan näkökulmasta tärkeimmät: • Esiselvityslomake (tarve, sisältö, kenelle) • hankinnan vaatimusmäärittelypohjat (kaikki tarpeet myös toteutuu) • Sopimukset, erit. NDA sopimus (auditointipykälä) • projektien tietoturvaohjeet (turvallisuus toteutuksen aikana) • jatkuvuussuunnitelma (toteutus toimii jatkossakin) Aallon malli hankkeen läpiviemiseksi
Yksi tapa jakaa projektin vaiheet Projektin vaiheet, tietoturvan näkökulmasta Valmistelu, esiselvitys Projektin suunnittelu Testaus ja käyttöönotto Tuotteistus, Käyttö Käytännöt ja vaadittava dokumentaatio vaihtelee, tässä jotain yleisimpiä Esiselvitys, Tarkistuslista Tietoturvaohje Vaatimusmäärittelyt -Omat politiikat -Tietoturvatasot -Katakri -Lainsäädäntö Jatkuvuussuunnitelma Projektin Toteutus Projektin riskienhallinta Käyttöikeudet palomuuriavaukset kulkuluvat Vaatimusmäärittelyt Kilpailutus Sopimukset Testaussuunni- telma, tietoturva- auditointi, tietoturvaskannaus Tietoturvan tarkistuslista, aineiston luovutukset, seloste, käyttäjien ja ylläpidon ohjeet
Esiselvitys (”valmisteluvaihe”*) Hyvä tapa on tarkistuslista** jota voidaan käyttää ensimmäisessä Asiakastapaamisessa. Käytännössä tämä tulisi tehdä jo ennen projektia (sen kuka asiakkaan ja käyttäjän kanssa asiasta keskustelee), todellisuudessa jää usein projektipäällikölle *Aallon projektienhallinnassa käytettyjä termejä **Saa pyynnöstä
Projektin tietoturvariskien hallinta Projektia aloitettaessa tulee tehdä riskienhallintasuunnitelma (liitä projektisuunnitelmaan). Riskejä tulee seurata säännöllisesti koko projektin ajan, vähintään joka toinen kuukausi. (sykli riippuen projektin pituudesta) Analyysissä tulee arvioida ainakin luottamussuhteen syntymistä ja säilyttämistä, toteutettavan ”Järjestelmän” riskejä, tietojen käyttöön saamista, tietojen varmistamista, käytettävyyttä, kiistämättömyyttä ja eheyttä sekä tietojen luottamuksellisuuden määrittämistä ja takaamista. Oleellista on kohdistaa ehkäiseviä toimenpiteitä vaikutuksiltaan vakavimpiin ja todennäköisimpiin riskeihin. (Esimerkki tietoturvariskilista jaetaan osallistujille)
Esiselvityksen vaikeimpia, tietosisältö? Periaatteessa yksinkertainen, käytännössä vaikea. Aallon julkiseksi linjattu luokitteluohje: • julkisuus ja tietosuojaohje • tietoaineistojen luokittelu • käsittelysäännöt (saa pyynnöstä) IT: Mitä palvelu sisältää? Asiakas: projektisuunnitelmia, pöytäkirjoja, lähdeaineistoa IT: Ei kun mitä se sisältää? Tietosisältö? Asiakas: ???? Eli näin: onko esim: psykologisia arvioita, merkittävän tutkimuksen ratkaiseva tieto, Turvallisuustiedot, sopimuksin salattava tieto..
Tietosisältö Tärkeysluokit- telu, SLA Saatavuus 3. Tärkeys- luokka (normaali) 2. tärkeys- luokka (tärkeä) 1. tärkeys- luokka (erittäin tärkeä) Säilytys-aika 10, 5, 1 vuotta? Tiedon elinkaari Säilytys- muoto Metatiedon käsittely Ei salassapito- vaatimuksia Sisäinen Luottamuksel- linen, ST IV, ST III Tietoturva- ja tietosuoja ok, mutta entä Järjestelmän/palvelun eheys ja Jatkuvuus? Asiakkaan, tai Omistajan on nämä määriteltävä! IT:n tulee toki auttaa Vaatimukset projektille
Vaatimusmäärittelyt, ~ 2 vko- 2 kk (toki toiminnalliset, käytettävyys..) Tietoturva: •dokumentointi •lainsäädäntö •Pääsynhallinta •lokit •suojaus •ylläpito ja hallinta •maantieteellinen sijainti
Tietoturvavaatimuksia, (muista C- I – A) • Yleinen • järjestelmän toteutuksessa on otettu huomioon OWASP Top 10 Tietoturvariskit • auditoinnin mahdollisuus • Dokumentointi • toimittaja vastaa että järjestelmä ja sen tietosisältö on dokumentoitu. • Lainsäädäntö • järjestelmä täyttää lainsäädännön henkilötietojen käsittelylle tai lokitukselle asettamat vaatimukset. • Arkistolaki, yliopistolaki, Henkilötietolaki, TeTsl • Pääsynhallinta • Shibboleth autentikointi, tai jos on ulkopuolisia käyttäjiä niin kunnollisesti toteutettu kirjautuminen 7/11/2016 15
Tietoturvavaatimuksia • Lokit • Vaativa asia, käytä pohjana Katakri, VAHTI-ohjeet • lokeihin kohdistuu paljon vaatimuksia, lainsäädäntö, teknisen toiminnan varmistaminen, pääsynhallinnan valvonta, tietosuojan valvonta • Suojaus • kaikki järjestelmän verkkoliikenne salataan • salasanoja ei säilytetä selkokielisenä. • Ylläpito ja hallinta • palvelun tuottajan ylläpito- ja hallintakäyttäjille on henkilökohtaiset käyttäjätunnukset. • järjestelmän otetaan säännöllisesti varmuuskopiot. • Maantieteellinen sijainti • järjestelmän tarvitsemat fyysiset laitteet ja järjestelmän sisältämä materiaali sijaitsee EU alueella. Tietosuojadirektiivin mukaisesti tietosuojan taso pitää olla vastaava kuin EUssa. 7/11/2016 16
Tietoturvavaatimuksia (pelkkä perussetti 52 kpl) ”CIA” 7/11/2016 17
Lopetusvaihe, tarkistuslista 7/11/2016 18 1. Kaikkeen aineistoon ja työmateriaaleihin on merkitty projektipäällikön vahvistama turvallisuusluokitus siten, että materiaali on luovutuskunnossa. (luokitus tulossa 2012) 2. Synnytetty työ- ja välidokumentaatio on hallinnassa. 2 a. Kaikki hävitettäväksi päätetty projektin materiaali (sähköinen, paperi, muistivälineet) on hävitetty raportoidusti organisaation ohjeiden määrittämällä tavalla: Tietoaineistojen hävittäminen 2 b. Kaikki taltioitava työ- ja välidokumentaatio on luovutettu ohjausryhmän päättämille tahoille, vahvistettu turvallisuusluokitus merkittynä, ja materiaali on tarvittaessa kirjattuna haltijoiden diaariin (dokumentit tulee olla luetteloitu)*. 3. Projektiin osallistuville on selkeästi kerrottu projektin loppumisen jälkeiset vastuut tietoturvallisuudesta ja vastuut seuraaville vaiheille on luovutettu. 4. Palvelun käytöstä on ohjeistus, jossa huomioidaan tietoturva (esim. raporttien ja tietokantahakujen vieminen/tallentaminen järjestelmän ulkopuolelle) 4. a. Ohjeilla on omistajat ja he tarkistavat ohjeet tarvittaessa ja vuosikellon mukaisesti 4 b. Mahdolliset asennusohjeet (työasemalle sekä palvelimelle) huomioivat tietoturvallisuusvaatimukset. 5. Palvelusta on Aallon IT-jatkuvuussuunnitelman mallipohjan mukainen jatkuvuussuunnitelma. 6. Tietosisältö on kuvattu (usein osana rekisteriselostetta). 7. Rekisteriseloste / tietosuojaseloste on tehty ja sijoitettu käyttäjien saataville (tarvittaessa). 8.Tietojärjestelmäseloste on tehty ja sijoitettu käyttäjien saataville (tarvittaessa).
Projekti Innovatiivinen, ketterä, Agile
Projekti – perinteinen ”vesiputousmalli” Perinteinen vai ketterä Vaatimusmäärit tely Projekti Testaus Käyttö Innovatiivinen projekti – Agile Lista ominaisuuksi a Toteutus työlistan mukaan Esim 2 asiaa/ vko. Tuote tai tuotteen osa GO/NO GO Käyttö . Menetelmiä esim Scrum, Extreme Programming (XP), DSDM Projektiteamillä suuri vapaus mutta myös vastuu! Tietoturva pitää saada osaksi prosessia ja tekemistä. Esim. säännöllinen testaus. Riskejä saatetaan hyväksyä tuntematta kokonaisuutta, liiketoimintariskit, tms. Vaatimusmäärittely ei ole enää niin suuressa roolissa tai sitä ei edes ole.
Ketterä tai iteratiivinen toimintatapa Huomioi: • asiakas ei osaa pyytää turvallisuutta, (tietoturvaominaisuuksia) • vaatimukset tyypillisesti avoimia • ei voi olla puoliksi turvallinen järjestelmä • missä vaiheessa voidaan testata julkisesti, ota huomioon backlogin priorisoinnissa (kirjautumisen toteutus vs, avataan nettiin) • tietoturvaan liittyen tulee yleensä toiminnallisia ja ei toiminnallisia vaatimuksia • backlog muutokset iteraatioiden välillä tulisi tehdä niin että jos jotain oleellista muuttuu tai tulee joku uusi ominaisuus/komponentti/ , tehdään uusi riskiarvio tai tietoturvapohdiskelu. Tiimin osaaminen suuressa roolissa. (tämän prosessin ei tarvitse olla raskas)
Tietoturva ”user stories” (backlog item) Asiakkaat eivät tyypillisesti tiedä mitä he haluavat (vaatimusmäärittelutasolla) joten miten he pystyisivät ilmaisemaan turvallisuusvaatimukset. Mutta esimerkiksi näin: • Käyttäjä: ”Haluan nostaa rahaa ja katsoa tilini tiedot selaimella” • Tulisi olla: ”Haluan olla ainoa, joka voi käyttää tiliäni jotta voin pitää tietoni salassa.” • Tulisi olla: ”Haluan että tietoni salataan siirron ja tallennuksen aikana jotta kukaan ulkopuolinen ei pääse niihin” • Talousjohtaja, esim näin: ”Haluan olla ainoa, joka voi muokata Henkilöstön palkkoja • ylläpitäjä, esim näin : ”haluan lokittaa kaikki turvallisuuteen liittyvät tapahtumat” • väärinkäyttötapaukset/hyökkääjä tarinat – Jos vaikka tehdään autentikointiin liittyvää komponenttia niin testauksessa tulee keskittyä epäonnistuneisiin autentikointeihin, pyritään esimerkiksi tunkeutumaan järjestelmään.
”Misuse cases” Wikimedia Commons Opiskelija tekee tunnuksen järjestelmään Tunnus kaapataan liikenteestä Tunnus vuotaa palvelimelta Backlog items: • SSL salattu liikenne • Salasanat hash+suolaus+etc
Järjestelmässä on mahdollista määritellä eri tasoisia käyttöoikeuksia. Käyttöoikeudet annetaan käyttäjäryhmäkohtaisesti. Käyttäjäryhmien määrää ei ole rajattu. Järjestelmässä metatietokenttä voi olla tekstikenttä. Poistettavien asioiden ja asiakirjojen säilyvät järjestelmässä määritellyn ajan, jolloin ne olisivat vielä asiakirjahallintopääkäyttäjän palautettavissa (vrt. ”roskakori”). Käyttäjä voi muuttaa asian / asiakirjan / liitteen julkisesta osittain salaiseksi tai salaiseksi ja valita THS:n mukaisen salassapitoperusteen. Julkisessa asiassa voi olla luottamuksellisia asiakirjoja. Julkisella asiakirjalla voi olla luottamuksellisia liitteitä. Käyttäjäryhmiä / käyttäjiä on pystyttävä lisäämään ja poistamaan kesken asian käsittelyn tai jo suljettuun asiaan. Määräaikoja sisältäviin asioihin ja asiakirjoihin on mahdollista liittää ajallinen muistutus, joka voi olla henkilökohtainen tai siihen voi liittää käyttäjiä ja / tai käyttäjäryhmiä. Suljetun asian voi tarvittaessa avata uudelleen käsittelyyn. Asian avaaja tai käsittelijä voi lähettää asian tietylle käsittelijälle / käyttäjäryhmälle jatkokäsittelyyn seuraavaa toimenpidettä varten. Kun asia lähetetään edelleen, asiaan voidaan liittää viesti. Käyttäjän keskeneräiset asiat on mahdollista nähdä koottuna. Saapuneesta tehtävästä / toimenpidepyynnöstä tulee ilmoitus käsittelijälle sähköpostitse. Järjestelmä lähettää käsittelijälle sähköpostitse muistutuksen määritellyin väliajoin käsittelemättömänä olevista asioista. Järjestelmä ilmoittaa ylläpitäjälle, mikäli järjestelmästä on säilytysajan perusteella poistumassa asiakirjaryhmä. Käyttäjä voi tuoda ja muokata asiakirjan seuraavissa formaateissa järjestelmässä: Office, PDF jne. Järjestelmän etusivunäkymässä on pikahaku-toiminto. Kaikki asia-avausten ja asiakirjojen metatietokentät ovat valittavissa haun piiriin. Käyttäjä voi tallentaa ja nimetä omia hakuja. Hakutulokset voi siirtää exceliin ja PDF:ksi Käyttäjähallinnan auditointi on mahdollista kaikilla tasoilla: ryhmän käyttäjät ja oikeudet; ryhmän erillismääriteltyjen asioiden ja asiakirjojen käyttäjät; käyttäjän ryhmät, roolit ryhmissä jne. Raportit voi siirtää exceliin ja PDF:ksi. Koodattavia asioita ”Backlog Items” JEE! https://www.owasp.org/images/c/c6/OWASP_AppSec_Research_2010_Agile_Prod_Sec_Mgmt_by_Vaha-Sipila.pdf
Projektin aikainen tietoturva Vesiputous tai ketterä, samat asiat Tulosta vaikka tämä ohjeistus tai jaa ainakin ”Tietoturvan huoneentaulu”* (huomioi organisaation omat ohjeet, politiikat) (*Aallon huoneentaulu pyynnöstä)
Tietoturvavastuut Projektipäällikkö vastaa siitä, että tietoturva ei vaarannu projektin eri vaiheissa ja että projektin lopputuotos on tietoturvallinen. Tietoturvaryhmän asiantuntijan vastuulla on tietoturvavaatimusten oikeellisuus ja riittävyys suhteessa projektiin. • Raportoida tietoturvapoikkeamista. kaikki projektin aikaiset tietoturvaa vaarantavat tapahtumat ja uhkaavat asiantilat. Haittaohjelmatartunnat, kalastelut, ym. • Määrittää dokumenttien ja muun käytettävän materiaalin tietoturvallisuustaso yhteistyössä projektin omistajan kanssa. • Huolehtia, että riskianalyysi tehdään projektin eri vaiheissa. • Määrittää projektin aikaiset vastuut, oikeudet ja periaatteet. • Vastata työhön osallistuvan henkilöstön ohjeistamisesta, kouluttamisesta ja valvonnasta. • Vastata tiedon hallinnasta projektin aikana. Tietoa ei saa päästä vuotamaan projektin aikana ihmisten tai tietojärjestelmien kautta. • Varmistaa projektin loppuessa, että tarvittavat tietoturvadokumentit, kuten jatkuvuussuunnitelma, rekisteriseloste tai tietoturvan huomioivat käyttäjien ohjeet, on tehty
Ulkopuolisen asiantuntijan käyttö Mahdollisen ulkopuolisen asiantuntijan osalta projektipäällikön tulee varmistaa: • Varmistuminen siitä, että ulkopuolinen asiantuntija sekä sitoutuu periaatteisiin että kykenee myös täyttämään niiden vaatimukset. • Yritystason turvallisuussopimusten ja auditointien tekeminen tarpeen mukaan ennen yhteistyön käynnistämistä. • Turvallisuussopimukset saa tyypillisesti organisaation hankinnalta/Tietoturvaryhmältä/Lakitiimi. • Ulkopuolinen asiantuntija saa tarvittavat tunnukset järjestelmiin. Tarkista oikea prosessi • Projektin henkilöstön ohjeistaminen toiminnasta ulkopuolisen toimittajan kanssa, mahdollisesti projektisuunnitelman päivittäminen. Jatkuvan valvonnan mekanismin luominen, ulkopuolisella asiantuntijalla tulee olla nimetty yhteyshenkilö ja sopia työnteon ja kulkuoikeuksien käytännöt.
Yritys- ja henkilöstöturvallisuus Projekteihin saattaa kohdistua eri syistä ulkopuolista mielenkiintoa (esim. media, muut yritykset). Näissä tapauksissa projektipäällikkö päättää kenelle, projektin tietoja voi luovuttaa ja tarvittaessa suorittaa luovutukset itse. Kaikki hanketta koskeva tiedottaminen on projektipäällikön vastuulla, kenenkään projektissa ei tule tiedottaa projektin asioista ilman projektipäällikön valtuutusta. Tietojen luovutuksesta tulee aina keskustella myös hankkeen omistajan tai asiakkaan kanssa. Matkustettaessa yleisissä kulkuneuvoissa tai oleiltaessa yleisissä tiloissa tulee projektin luottamuksellisia tietoja kuljettaa suojattuina sekä käsitellä siten, että ulkopuoliset eivät niitä saa tietoonsa. Dokumentit voidaan hävittää hankkeeseen osallistuvien organisaatioiden tietoturvamateriaalin hävittämismenettelyillä, usein silppuamalla aineisto vaatimukset täyttävällä silppurilla. (tietoturvaohjeet, huoneentaulu, käsittelysäännöt)
Fyysinen turvallisuus Tilojen, joissa työtä tehdään, on oltava äänieristykseltään, näkösuojaltaan, kulunvalvonnaltaan ja murtosuojaukseltaan sellaiset, että niissä käsiteltävän luottamuksellisen tai salaisen tiedon joutuminen projektin kannalta ulkopuolisen haltuun ei ole mahdollista. Tilojen valinnassa ja käytössä on huomioitava tietojen suojausluokan vaatimukset. Työn tekemistä johtava henkilö vastaa siitä, että tilat täyttävät edellä kuvatut vaatimukset ja ettei tilojen käytön loppuessa niihin jää mitään tietoturvallisuuden kannalta arkaa materiaalia. Työtä voidaan tehdä ulkopuolisissa tiloissa, jotka täyttävät edellä kuvatut vaatimukset.
Ohjelmistoturvallisuus Turvallisuuden ja tiedon eheyden varmistamiseksi projektissa tulee käyttää vain mukana olevien organisaatioiden tietohallinnon tukemia ja ylläpitämiä ohjelmistoja. Ohjelmistojen pitää olla päivitettyjä, erityisesti relevanteista tietoturvapäivityksistä tulee huolehtia ilman tarpeetonta viivytystä. Hyvään dokumentin hallintaan kuuluu sopiminen tallennuskäytännöistä sekä varmistuksesta. Dokumenteista on säilytettävä aiempia versioita sekä varmistettava, että materiaali on varmuuskopioitu. Dokumentit, joita ei enää muokata, kannattaa mahdollisuuksien mukaan lähettää oman organisaation ulkopuolelle pdf-muodossa (huomioi myös dokumenttien piilotiedot).
Tietoliikenneturvallisuus Sähköpostilla välitettävä luottamuksellinen tieto on suojattava salaamalla liitetiedostot paketeiksi. Nykyään voidaan salauksen minimitasona käyttää erittäin turvallista AES 256 salausta (käytä esimerkiksi ilmaista 7-Zip ohjelmaa) Ennen menetelmän käyttöönottoa on kuitenkin selvitettävä sen soveltuvuus projektin eri osapuolien välillä. Projektin käyttöön voidaan avata sähköinen ryhmätyötila, jonka käyttö on ohjeistettava erikseen luottamuksellisen materiaalin osalta. Ryhmätyötilan käytöstä päättävät osallistuvat organisaatiot keskenään silloin, kun se käyttö on mahdollista. Projektin työtilaa ei tule normaalista avata julkiseksi vaan laatia käyttöoikeuksiin perustuva hallinta. .
Kiitokset!

Recommended

хашимотогийн триодит
хашимотогийн триодит хашимотогийн триодит
хашимотогийн триодит dulmaa munkhbat
 
элэг
элэгэлэг
элэгАШУҮИС
 
Hiscl 800
Hiscl 800Hiscl 800
Hiscl 800Мэндбаяр Мөнхдөл
 
Ih emch elselt-5
Ih emch elselt-5Ih emch elselt-5
Ih emch elselt-5Gantulga Nyamdorj
 
Jaundice
JaundiceJaundice
JaundiceSosoo Byambaa
 
Gemtel
GemtelGemtel
GemtelGantulga Nyamdorj
 
Бэлцрүүт тууралтын хам шинж
Бэлцрүүт тууралтын хам шинж Бэлцрүүт тууралтын хам шинж
Бэлцрүүт тууралтын хам шинж Батхүү Батдорж
 
Эхийн сувилахуй-I, тест
Эхийн сувилахуй-I, тестЭхийн сувилахуй-I, тест
Эхийн сувилахуй-I, тестsaruul tungalag
 

Recommended

хашимотогийн триодит
хашимотогийн триодит хашимотогийн триодит
хашимотогийн триодит dulmaa munkhbat
 
элэг
элэгэлэг
элэгАШУҮИС
 
Hiscl 800
Hiscl 800Hiscl 800
Hiscl 800Мэндбаяр Мөнхдөл
 
Ih emch elselt-5
Ih emch elselt-5Ih emch elselt-5
Ih emch elselt-5Gantulga Nyamdorj
 
Jaundice
JaundiceJaundice
JaundiceSosoo Byambaa
 
Gemtel
GemtelGemtel
GemtelGantulga Nyamdorj
 
Бэлцрүүт тууралтын хам шинж
Бэлцрүүт тууралтын хам шинж Бэлцрүүт тууралтын хам шинж
Бэлцрүүт тууралтын хам шинж Батхүү Батдорж
 
Эхийн сувилахуй-I, тест
Эхийн сувилахуй-I, тестЭхийн сувилахуй-I, тест
Эхийн сувилахуй-I, тестsaruul tungalag
 
нойр булчирхайн хорт хавдар
нойр булчирхайн хорт хавдарнойр булчирхайн хорт хавдар
нойр булчирхайн хорт хавдарBilegsaihan Batsuuri
 
Alcoholic liver cirrhosis
Alcoholic liver cirrhosisAlcoholic liver cirrhosis
Alcoholic liver cirrhosisNarangerel Tuwshinbyar
 
протоколы диагностики и лечения васкулиты
протоколы диагностики и лечения васкулитыпротоколы диагностики и лечения васкулиты
протоколы диагностики и лечения васкулитыMikhail Valivach
 
төрөлтийн 3- р үеийн физиологи, төрлөгийн гэмтэл
төрөлтийн 3- р үеийн физиологи, төрлөгийн гэмтэлтөрөлтийн 3- р үеийн физиологи, төрлөгийн гэмтэл
төрөлтийн 3- р үеийн физиологи, төрлөгийн гэмтэлАнагаахын Шинжлэх Ухааны Үндэсний Их Сургууль
 
Анатомын эмгэг судлал
Анатомын эмгэг судлалАнатомын эмгэг судлал
Анатомын эмгэг судлалochirgm012002
 
анагаах-302
анагаах-302 анагаах-302
анагаах-302 Алтанзаяа Мөнхбаатар
 
Communicable diseases lection 4-6
Communicable diseases lection 4-6Communicable diseases lection 4-6
Communicable diseases lection 4-6bayarmagnaiubuns
 
Bio anagaah
Bio anagaahBio anagaah
Bio anagaahGantulga Nyamdorj
 
4
44
4Gantulga Nyamdorj
 
Furnier gangrena
Furnier gangrena Furnier gangrena
Furnier gangrenaSosoo Byambaa
 
Canser 2013
Canser 2013Canser 2013
Canser 2013oyundariubuns
 
салстын үрэвсэлт өвчин
салстын үрэвсэлт өвчинсалстын үрэвсэлт өвчин
салстын үрэвсэлт өвчинdulmaa munkhbat
 
ус эрдэсийн-солилцоо-алдагдал
ус эрдэсийн-солилцоо-алдагдалус эрдэсийн-солилцоо-алдагдал
ус эрдэсийн-солилцоо-алдагдалМ. Лхагва-Өлзий
 
Hemolytic anemia Цус задралын цус багадалт Олдмол
Hemolytic anemia Цус задралын цус багадалт Олдмол Hemolytic anemia Цус задралын цус багадалт Олдмол
Hemolytic anemia Цус задралын цус багадалт Олдмол Sanjdorj Zorig
 
салхин цэцэг
салхин цэцэгсалхин цэцэг
салхин цэцэгХалиун
 
Eclipse OMR: a modern toolkit for building language runtimes
Eclipse OMR: a modern toolkit for building language runtimesEclipse OMR: a modern toolkit for building language runtimes
Eclipse OMR: a modern toolkit for building language runtimesMark Stoodley
 
Anatomiin emgeg sudlal
Anatomiin emgeg sudlalAnatomiin emgeg sudlal
Anatomiin emgeg sudlalGantulga Nyamdorj
 
Dotor sudlal
Dotor sudlalDotor sudlal
Dotor sudlalGantulga Nyamdorj
 
Bechet’s syndrome
Bechet’s syndromeBechet’s syndrome
Bechet’s syndromedulmaa munkhbat
 
Elegnii tuhai pp
Elegnii tuhai ppElegnii tuhai pp
Elegnii tuhai ppmargad1
 
Kalle Lehtonen: Yhteishankkeella tietoturvatasot kuntoon
Kalle Lehtonen: Yhteishankkeella tietoturvatasot kuntoonKalle Lehtonen: Yhteishankkeella tietoturvatasot kuntoon
Kalle Lehtonen: Yhteishankkeella tietoturvatasot kuntoonValtiokonttori / Statskontoret / State Treasury of Finland
 
Arjen tietoturva Hyvinkään kirjastossa 12.4.2016
Arjen tietoturva Hyvinkään kirjastossa 12.4.2016Arjen tietoturva Hyvinkään kirjastossa 12.4.2016
Arjen tietoturva Hyvinkään kirjastossa 12.4.2016Petteri Järvinen
 

More Related Content

What's hot

нойр булчирхайн хорт хавдар
нойр булчирхайн хорт хавдарнойр булчирхайн хорт хавдар
нойр булчирхайн хорт хавдарBilegsaihan Batsuuri
 
протоколы диагностики и лечения васкулиты
протоколы диагностики и лечения васкулитыпротоколы диагностики и лечения васкулиты
протоколы диагностики и лечения васкулитыMikhail Valivach
 
Анатомын эмгэг судлал
Анатомын эмгэг судлалАнатомын эмгэг судлал
Анатомын эмгэг судлалochirgm012002
 
Communicable diseases lection 4-6
Communicable diseases lection 4-6Communicable diseases lection 4-6
Communicable diseases lection 4-6bayarmagnaiubuns
 
салстын үрэвсэлт өвчин
салстын үрэвсэлт өвчинсалстын үрэвсэлт өвчин
салстын үрэвсэлт өвчинdulmaa munkhbat
 
ус эрдэсийн-солилцоо-алдагдал
ус эрдэсийн-солилцоо-алдагдалус эрдэсийн-солилцоо-алдагдал
ус эрдэсийн-солилцоо-алдагдалМ. Лхагва-Өлзий
 
Hemolytic anemia Цус задралын цус багадалт Олдмол
Hemolytic anemia Цус задралын цус багадалт Олдмол Hemolytic anemia Цус задралын цус багадалт Олдмол
Hemolytic anemia Цус задралын цус багадалт Олдмол Sanjdorj Zorig
 
салхин цэцэг
салхин цэцэгсалхин цэцэг
салхин цэцэгХалиун
 
Eclipse OMR: a modern toolkit for building language runtimes
Eclipse OMR: a modern toolkit for building language runtimesEclipse OMR: a modern toolkit for building language runtimes
Eclipse OMR: a modern toolkit for building language runtimesMark Stoodley
 
Elegnii tuhai pp
Elegnii tuhai ppElegnii tuhai pp
Elegnii tuhai ppmargad1
 

What's hot (20)

нойр булчирхайн хорт хавдар
нойр булчирхайн хорт хавдарнойр булчирхайн хорт хавдар
нойр булчирхайн хорт хавдар
 
Alcoholic liver cirrhosis
Alcoholic liver cirrhosisAlcoholic liver cirrhosis
Alcoholic liver cirrhosis
 
протоколы диагностики и лечения васкулиты
протоколы диагностики и лечения васкулитыпротоколы диагностики и лечения васкулиты
протоколы диагностики и лечения васкулиты
 
төрөлтийн 3- р үеийн физиологи, төрлөгийн гэмтэл
төрөлтийн 3- р үеийн физиологи, төрлөгийн гэмтэлтөрөлтийн 3- р үеийн физиологи, төрлөгийн гэмтэл
төрөлтийн 3- р үеийн физиологи, төрлөгийн гэмтэл
 
Анатомын эмгэг судлал
Анатомын эмгэг судлалАнатомын эмгэг судлал
Анатомын эмгэг судлал
 
анагаах-302
анагаах-302 анагаах-302
анагаах-302
 
Communicable diseases lection 4-6
Communicable diseases lection 4-6Communicable diseases lection 4-6
Communicable diseases lection 4-6
 
Bio anagaah
Bio anagaahBio anagaah
Bio anagaah
 
4
44
4
 
Furnier gangrena
Furnier gangrena Furnier gangrena
Furnier gangrena
 
Canser 2013
Canser 2013Canser 2013
Canser 2013
 
салстын үрэвсэлт өвчин
салстын үрэвсэлт өвчинсалстын үрэвсэлт өвчин
салстын үрэвсэлт өвчин
 
ус эрдэсийн-солилцоо-алдагдал
ус эрдэсийн-солилцоо-алдагдалус эрдэсийн-солилцоо-алдагдал
ус эрдэсийн-солилцоо-алдагдал
 
Hemolytic anemia Цус задралын цус багадалт Олдмол
Hemolytic anemia Цус задралын цус багадалт Олдмол Hemolytic anemia Цус задралын цус багадалт Олдмол
Hemolytic anemia Цус задралын цус багадалт Олдмол
 
салхин цэцэг
салхин цэцэгсалхин цэцэг
салхин цэцэг
 
Eclipse OMR: a modern toolkit for building language runtimes
Eclipse OMR: a modern toolkit for building language runtimesEclipse OMR: a modern toolkit for building language runtimes
Eclipse OMR: a modern toolkit for building language runtimes
 
Anatomiin emgeg sudlal
Anatomiin emgeg sudlalAnatomiin emgeg sudlal
Anatomiin emgeg sudlal
 
Dotor sudlal
Dotor sudlalDotor sudlal
Dotor sudlal
 
Bechet’s syndrome
Bechet’s syndromeBechet’s syndrome
Bechet’s syndrome
 
Elegnii tuhai pp
Elegnii tuhai ppElegnii tuhai pp
Elegnii tuhai pp
 

Viewers also liked

Arjen tietoturva Hyvinkään kirjastossa 12.4.2016
Arjen tietoturva Hyvinkään kirjastossa 12.4.2016Arjen tietoturva Hyvinkään kirjastossa 12.4.2016
Arjen tietoturva Hyvinkään kirjastossa 12.4.2016Petteri Järvinen
 
Aarnio johdon tietosuojaseminaari
Aarnio johdon tietosuojaseminaariAarnio johdon tietosuojaseminaari
Aarnio johdon tietosuojaseminaariTHL
 
Kyberuhat - myytit ja todellisuus. Erkki Mustonen.
Kyberuhat - myytit ja todellisuus. Erkki Mustonen. Kyberuhat - myytit ja todellisuus. Erkki Mustonen.
Kyberuhat - myytit ja todellisuus. Erkki Mustonen. Helsingin Insinöörit HI ry
 
Kyberturvallisuuden tulevaisuus ja kybersodankäynti. Jarno Limnéll.
Kyberturvallisuuden tulevaisuus ja kybersodankäynti. Jarno Limnéll.Kyberturvallisuuden tulevaisuus ja kybersodankäynti. Jarno Limnéll.
Kyberturvallisuuden tulevaisuus ja kybersodankäynti. Jarno Limnéll.Helsingin Insinöörit HI ry
 
Oksala tietosuojan hyvat_kaytannot
Oksala tietosuojan hyvat_kaytannotOksala tietosuojan hyvat_kaytannot
Oksala tietosuojan hyvat_kaytannotTHL
 
Johdatus tietosuojakulttuuriin
Johdatus tietosuojakulttuuriinJohdatus tietosuojakulttuuriin
Johdatus tietosuojakulttuuriinLoihde Advisory
 
Käytännön kokemuksia tietosuojaan liittyvistä asiakascaseista
Käytännön kokemuksia tietosuojaan liittyvistä asiakascaseistaKäytännön kokemuksia tietosuojaan liittyvistä asiakascaseista
Käytännön kokemuksia tietosuojaan liittyvistä asiakascaseistaLoihde Advisory
 
Riikonen tietosuojatyo kaytannossa
Riikonen tietosuojatyo kaytannossaRiikonen tietosuojatyo kaytannossa
Riikonen tietosuojatyo kaytannossaTHL
 
Data protection in Practice
Data protection in PracticeData protection in Practice
Data protection in PracticeTomppa Järvinen
 

Viewers also liked (12)

Kalle Lehtonen: Yhteishankkeella tietoturvatasot kuntoon
Kalle Lehtonen: Yhteishankkeella tietoturvatasot kuntoonKalle Lehtonen: Yhteishankkeella tietoturvatasot kuntoon
Kalle Lehtonen: Yhteishankkeella tietoturvatasot kuntoon
 
Arjen tietoturva Hyvinkään kirjastossa 12.4.2016
Arjen tietoturva Hyvinkään kirjastossa 12.4.2016Arjen tietoturva Hyvinkään kirjastossa 12.4.2016
Arjen tietoturva Hyvinkään kirjastossa 12.4.2016
 
Aarnio johdon tietosuojaseminaari
Aarnio johdon tietosuojaseminaariAarnio johdon tietosuojaseminaari
Aarnio johdon tietosuojaseminaari
 
Kyberuhat - myytit ja todellisuus. Erkki Mustonen.
Kyberuhat - myytit ja todellisuus. Erkki Mustonen. Kyberuhat - myytit ja todellisuus. Erkki Mustonen.
Kyberuhat - myytit ja todellisuus. Erkki Mustonen.
 
Kyberturvallisuuden tulevaisuus ja kybersodankäynti. Jarno Limnéll.
Kyberturvallisuuden tulevaisuus ja kybersodankäynti. Jarno Limnéll.Kyberturvallisuuden tulevaisuus ja kybersodankäynti. Jarno Limnéll.
Kyberturvallisuuden tulevaisuus ja kybersodankäynti. Jarno Limnéll.
 
Oksala tietosuojan hyvat_kaytannot
Oksala tietosuojan hyvat_kaytannotOksala tietosuojan hyvat_kaytannot
Oksala tietosuojan hyvat_kaytannot
 
Johdatus tietosuojakulttuuriin
Johdatus tietosuojakulttuuriinJohdatus tietosuojakulttuuriin
Johdatus tietosuojakulttuuriin
 
EU:n tietosuoja-asetus käytännössä
EU:n tietosuoja-asetus käytännössäEU:n tietosuoja-asetus käytännössä
EU:n tietosuoja-asetus käytännössä
 
Käytännön kokemuksia tietosuojaan liittyvistä asiakascaseista
Käytännön kokemuksia tietosuojaan liittyvistä asiakascaseistaKäytännön kokemuksia tietosuojaan liittyvistä asiakascaseista
Käytännön kokemuksia tietosuojaan liittyvistä asiakascaseista
 
Riikonen tietosuojatyo kaytannossa
Riikonen tietosuojatyo kaytannossaRiikonen tietosuojatyo kaytannossa
Riikonen tietosuojatyo kaytannossa
 
Invitation text
Invitation textInvitation text
Invitation text
 
Data protection in Practice
Data protection in PracticeData protection in Practice
Data protection in Practice
 

Similar to Yliopistojen Projekti SIG 2015

Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...
Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...
Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...Mirva Tapaninen
 
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaKuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaNixu Corporation
 
Tieturi-internet-ohjelmointi-1998
Tieturi-internet-ohjelmointi-1998Tieturi-internet-ohjelmointi-1998
Tieturi-internet-ohjelmointi-1998japijapi
 
Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17japijapi
 
Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19japijapi
 
TTRY etatyon tietoturva_28.5.20
TTRY etatyon tietoturva_28.5.20TTRY etatyon tietoturva_28.5.20
TTRY etatyon tietoturva_28.5.20japijapi
 
Pilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmastaPilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmastaTomppa Järvinen
 
Tietoturvaa it kehitykselle 12 2012
Tietoturvaa it kehitykselle 12 2012Tietoturvaa it kehitykselle 12 2012
Tietoturvaa it kehitykselle 12 2012Tomppa Järvinen
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Petri Aukia
 
Turvallinen ohjelmointi -vierailuluento, 2019
Turvallinen ohjelmointi -vierailuluento, 2019Turvallinen ohjelmointi -vierailuluento, 2019
Turvallinen ohjelmointi -vierailuluento, 2019lokori
 
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfPalveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfjapijapi
 
Success Story - lokitietojen hallintaa keskitetysti ja määräystenmukaisesti
Success Story - lokitietojen hallintaa keskitetysti ja määräystenmukaisestiSuccess Story - lokitietojen hallintaa keskitetysti ja määräystenmukaisesti
Success Story - lokitietojen hallintaa keskitetysti ja määräystenmukaisestiFinceptum Oy
 
Tietoturva ja käyttätytyminen intranetissä
Tietoturva ja käyttätytyminen intranetissäTietoturva ja käyttätytyminen intranetissä
Tietoturva ja käyttätytyminen intranetissäJyrki Kasvi
 
W3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKE
W3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKEW3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKE
W3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKEDeittisirkus
 
Tutkimusaineistojen käsittely etäkäyttöjärjestelmässä, Johnson Marianne
Tutkimusaineistojen käsittely etäkäyttöjärjestelmässä, Johnson MarianneTutkimusaineistojen käsittely etäkäyttöjärjestelmässä, Johnson Marianne
Tutkimusaineistojen käsittely etäkäyttöjärjestelmässä, Johnson MarianneTilastokeskus
 
Mykkanen omavalvontasuunnitelma tietosuojan_konkretia
Mykkanen omavalvontasuunnitelma tietosuojan_konkretiaMykkanen omavalvontasuunnitelma tietosuojan_konkretia
Mykkanen omavalvontasuunnitelma tietosuojan_konkretiaTHL
 
Koronavilkku-sovellus ja yksityisyyden suoja -webinaari
Koronavilkku-sovellus ja yksityisyyden suoja -webinaariKoronavilkku-sovellus ja yksityisyyden suoja -webinaari
Koronavilkku-sovellus ja yksityisyyden suoja -webinaariTHL
 

Similar to Yliopistojen Projekti SIG 2015 (20)

Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...
Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...
Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...
 
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeamaKuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
Kuinka toimitaan oikeammin kun havaitaan tietoturvapoikkeama
 
Tieturi-internet-ohjelmointi-1998
Tieturi-internet-ohjelmointi-1998Tieturi-internet-ohjelmointi-1998
Tieturi-internet-ohjelmointi-1998
 
Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17Digiturva17 sovellusturva-16.10.17
Digiturva17 sovellusturva-16.10.17
 
Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19Digiturva sovellusturva-11.2.19
Digiturva sovellusturva-11.2.19
 
TTRY etatyon tietoturva_28.5.20
TTRY etatyon tietoturva_28.5.20TTRY etatyon tietoturva_28.5.20
TTRY etatyon tietoturva_28.5.20
 
Pilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmastaPilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmasta
 
Tietoturvaa it kehitykselle 12 2012
Tietoturvaa it kehitykselle 12 2012Tietoturvaa it kehitykselle 12 2012
Tietoturvaa it kehitykselle 12 2012
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
 
Turvallinen ohjelmointi -vierailuluento, 2019
Turvallinen ohjelmointi -vierailuluento, 2019Turvallinen ohjelmointi -vierailuluento, 2019
Turvallinen ohjelmointi -vierailuluento, 2019
 
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfPalveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
 
Sote- ja maakuntauudistuksen valmistelutilanne Uudellamaalla
Sote- ja maakuntauudistuksen valmistelutilanne UudellamaallaSote- ja maakuntauudistuksen valmistelutilanne Uudellamaalla
Sote- ja maakuntauudistuksen valmistelutilanne Uudellamaalla
 
Success Story - lokitietojen hallintaa keskitetysti ja määräystenmukaisesti
Success Story - lokitietojen hallintaa keskitetysti ja määräystenmukaisestiSuccess Story - lokitietojen hallintaa keskitetysti ja määräystenmukaisesti
Success Story - lokitietojen hallintaa keskitetysti ja määräystenmukaisesti
 
Tietoturva ja käyttätytyminen intranetissä
Tietoturva ja käyttätytyminen intranetissäTietoturva ja käyttätytyminen intranetissä
Tietoturva ja käyttätytyminen intranetissä
 
W3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKE
W3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKEW3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKE
W3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKE
 
Tutkimusaineistojen käsittely etäkäyttöjärjestelmässä, Johnson Marianne
Tutkimusaineistojen käsittely etäkäyttöjärjestelmässä, Johnson MarianneTutkimusaineistojen käsittely etäkäyttöjärjestelmässä, Johnson Marianne
Tutkimusaineistojen käsittely etäkäyttöjärjestelmässä, Johnson Marianne
 
Mykkanen omavalvontasuunnitelma tietosuojan_konkretia
Mykkanen omavalvontasuunnitelma tietosuojan_konkretiaMykkanen omavalvontasuunnitelma tietosuojan_konkretia
Mykkanen omavalvontasuunnitelma tietosuojan_konkretia
 
Luonto- ja ohjelmapalveluiden asiakasturvallisuus
Luonto- ja ohjelmapalveluiden asiakasturvallisuusLuonto- ja ohjelmapalveluiden asiakasturvallisuus
Luonto- ja ohjelmapalveluiden asiakasturvallisuus
 
Tietoturvallisuuden_kevatseminaari_2013_Mikko_Eräkaski
Tietoturvallisuuden_kevatseminaari_2013_Mikko_EräkaskiTietoturvallisuuden_kevatseminaari_2013_Mikko_Eräkaski
Tietoturvallisuuden_kevatseminaari_2013_Mikko_Eräkaski
 
Koronavilkku-sovellus ja yksityisyyden suoja -webinaari
Koronavilkku-sovellus ja yksityisyyden suoja -webinaariKoronavilkku-sovellus ja yksityisyyden suoja -webinaari
Koronavilkku-sovellus ja yksityisyyden suoja -webinaari
 

More from Tomppa Järvinen

Riskienhallinnan koulutus "public"
Riskienhallinnan koulutus "public"Riskienhallinnan koulutus "public"
Riskienhallinnan koulutus "public"Tomppa Järvinen
 
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminenKyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminenTomppa Järvinen
 
Information security - what is going on 2016
Information security - what is going on 2016Information security - what is going on 2016
Information security - what is going on 2016Tomppa Järvinen
 
GDPR practical info session for development
GDPR practical info session for developmentGDPR practical info session for development
GDPR practical info session for developmentTomppa Järvinen
 
Information security and research data
Information security and research dataInformation security and research data
Information security and research dataTomppa Järvinen
 
Pilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public CloudPilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public CloudTomppa Järvinen
 
Safe use of cloud - alternative cloud
Safe use of cloud - alternative cloudSafe use of cloud - alternative cloud
Safe use of cloud - alternative cloudTomppa Järvinen
 
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012Tomppa Järvinen
 
Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011Tomppa Järvinen
 
Service goes accessible_2013_sh
Service goes accessible_2013_shService goes accessible_2013_sh
Service goes accessible_2013_shTomppa Järvinen
 

More from Tomppa Järvinen (10)

Riskienhallinnan koulutus "public"
Riskienhallinnan koulutus "public"Riskienhallinnan koulutus "public"
Riskienhallinnan koulutus "public"
 
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminenKyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen
 
Information security - what is going on 2016
Information security - what is going on 2016Information security - what is going on 2016
Information security - what is going on 2016
 
GDPR practical info session for development
GDPR practical info session for developmentGDPR practical info session for development
GDPR practical info session for development
 
Information security and research data
Information security and research dataInformation security and research data
Information security and research data
 
Pilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public CloudPilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
 
Safe use of cloud - alternative cloud
Safe use of cloud - alternative cloudSafe use of cloud - alternative cloud
Safe use of cloud - alternative cloud
 
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012
Pilvipalvelut lainsäädännön näkökulmasta 31.01.2012
 
Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011
 
Service goes accessible_2013_sh
Service goes accessible_2013_shService goes accessible_2013_sh
Service goes accessible_2013_sh
 

Yliopistojen Projekti SIG 2015

  • 1. Projektien tietoturva Uhat tänään Projekti Vesiputous Innovatiivinen Projektin yleiset käytännöt (jos aikaa, ajankohtaista tietoturvasta) Yliopistojen Projekti SIG 3.2.2015
  • 2. Kuka? 2 Tomi Järvinen twitter.com/tomppaj , slideshare.com/tomppaj • IT Security Specialist at Aalto University • Project manager at F-secure corporation • IT Manager at Falck Security / G4S • IT-Specialist / Program manager at Instrumentarium • Administrator at Outokumpu Oyj
  • 3. • Tietojen luottamuksellisuus (confidentiality) tietojen paljastumisen estäminen • valtuudet • henkilöiden tunnistaminen • todentaminen • salaus • Tietojen oikeellisuus ja eheys (integrity) tieto ei saa muuttua tahattomasti tai tahallisesti • varmistukset • valtuuksien määrittely • muutosten hallinta • Tietojen saatavuus (availability) tieto saatavilla kun sitä tarvitaan • varajärjestelyt • tiedonsiirron kapasiteetti • varahenkilöt Tietoturva tuo mukanaan ”C I A” Luottamuksellisuus (Confidentality) Eheys (Integrity). Käytettävyys (Availability) 7
  • 4. Tietoturvaan liittyviä uhkia 1. Kalastelu (tunnusten hyväksikäyttö) 2. Haittaohjelmat (cryptolocker) 2. Tahallinen väärinkäyttö (henkilöriskit) 3. Haavoittuvuudet (suuri määrä palvelimia) 4. Huolimattomuus (kiire, stressi, mobiili) 5. Mobiililaitteet (BYOD, Android..) 6. Sosiaalinen media (julkisuus tai julkaisu) 7. ”Social engineering” käyttäjän manipulointi (taloudellinen hyöty) 8. Zero-day exploits, uudet haavoittuvuudet, joihin ei ole korjausta 9. Pilviteknologia (saatavuus, käyttöehdot, eheys) 10. Vakoilu (innovaatiot)
  • 5. Uhka on myös todellinen • 21.1 2015 University of Oregon unlawfully releases 22,000 pages with confidential faculty, staff and student records • 16.1.2015 Hacker breached Metropolitan State University database with personal info • 7.1.2015 University of Hawaii and Cornell University hacked by @MarxistAttorney • 15.12.2014 Point Loma Nazarene University discloses breach after employees fall for phishing scheme • 13.12.2014 University of California – Berkeley discloses data breach • 8.12.2014 Officials report University of Oklahoma nursing web server compromised (updated) • 14.11.2014 FL: Nova Southeastern University law students’ data hacked • 16.10.2014 Marquette University suffers potential data breach on grad school applications • Suomalaisia unohtamatta… Working Paper: Data Breaches in Europe: Reported Breaches of Compromised Personal Records in Europe, 2005‐2014: 229 data breach incidents involved the personal records of people in Europe. Globally, all these incidents resulted in the loss of some 645 million records. http://www.databreaches.net/?s=university&searchsubmit= http://www.databreaches.net/working-paper-data-breaches-in-europe-reported-breaches-of-compromised- personal-records-in-europe-2005%E2%80%902014/
  • 7. Yleistä • Luo projektille turvallinen paikka missä projektia hallitaan, huomioi mahdolliset sidosryhmien tietoturvavaatimukset. • Samaa asiaa saatetaan suunnitella useassa paikassa – jotta kaikki relevantit tahot tietävät tulevista hankkeista – turhaa päällekkäisyyttä ei esiinny – varmistetaan että ei tehdä asioita politiikkojen vastaisesti • Kaikki tarpeelliset ryhmät otettava mukaan riittävän varhaisessa vaiheessa – Loppukäyttäjät, ”käytettävyyden ja vaatimusten tarkistus” – IT-arkkitehdit ”varmistetaan sopivuus kokonaisarkkitehtuuriin” – Tietoturva ”Tietoturvan, tietosuojan ja jatkuvuuden varmistus” – Hankinta ”Kilpailutuksessa avustaminen, sopimukset” • Pienistäkin asioista tulee tehdä dokumentaatiota
  • 8. Esiselvitys johtaa Projektiin Asiakkaan ja IT:n keskustelussa huomataan että tarvitaan uusi ”Oikea” palvelu, alkaa yleensä Projekti Tietoturvan, tietosuojan ja jatkuvuudenhallinnan näkökulmasta tärkeimmät: • Esiselvityslomake (tarve, sisältö, kenelle) • hankinnan vaatimusmäärittelypohjat (kaikki tarpeet myös toteutuu) • Sopimukset, erit. NDA sopimus (auditointipykälä) • projektien tietoturvaohjeet (turvallisuus toteutuksen aikana) • jatkuvuussuunnitelma (toteutus toimii jatkossakin) Aallon malli hankkeen läpiviemiseksi
  • 9. Yksi tapa jakaa projektin vaiheet Projektin vaiheet, tietoturvan näkökulmasta Valmistelu, esiselvitys Projektin suunnittelu Testaus ja käyttöönotto Tuotteistus, Käyttö Käytännöt ja vaadittava dokumentaatio vaihtelee, tässä jotain yleisimpiä Esiselvitys, Tarkistuslista Tietoturvaohje Vaatimusmäärittelyt -Omat politiikat -Tietoturvatasot -Katakri -Lainsäädäntö Jatkuvuussuunnitelma Projektin Toteutus Projektin riskienhallinta Käyttöikeudet palomuuriavaukset kulkuluvat Vaatimusmäärittelyt Kilpailutus Sopimukset Testaussuunni- telma, tietoturva- auditointi, tietoturvaskannaus Tietoturvan tarkistuslista, aineiston luovutukset, seloste, käyttäjien ja ylläpidon ohjeet
  • 10. Esiselvitys (”valmisteluvaihe”*) Hyvä tapa on tarkistuslista** jota voidaan käyttää ensimmäisessä Asiakastapaamisessa. Käytännössä tämä tulisi tehdä jo ennen projektia (sen kuka asiakkaan ja käyttäjän kanssa asiasta keskustelee), todellisuudessa jää usein projektipäällikölle *Aallon projektienhallinnassa käytettyjä termejä **Saa pyynnöstä
  • 11. Projektin tietoturvariskien hallinta Projektia aloitettaessa tulee tehdä riskienhallintasuunnitelma (liitä projektisuunnitelmaan). Riskejä tulee seurata säännöllisesti koko projektin ajan, vähintään joka toinen kuukausi. (sykli riippuen projektin pituudesta) Analyysissä tulee arvioida ainakin luottamussuhteen syntymistä ja säilyttämistä, toteutettavan ”Järjestelmän” riskejä, tietojen käyttöön saamista, tietojen varmistamista, käytettävyyttä, kiistämättömyyttä ja eheyttä sekä tietojen luottamuksellisuuden määrittämistä ja takaamista. Oleellista on kohdistaa ehkäiseviä toimenpiteitä vaikutuksiltaan vakavimpiin ja todennäköisimpiin riskeihin. (Esimerkki tietoturvariskilista jaetaan osallistujille)
  • 12. Esiselvityksen vaikeimpia, tietosisältö? Periaatteessa yksinkertainen, käytännössä vaikea. Aallon julkiseksi linjattu luokitteluohje: • julkisuus ja tietosuojaohje • tietoaineistojen luokittelu • käsittelysäännöt (saa pyynnöstä) IT: Mitä palvelu sisältää? Asiakas: projektisuunnitelmia, pöytäkirjoja, lähdeaineistoa IT: Ei kun mitä se sisältää? Tietosisältö? Asiakas: ???? Eli näin: onko esim: psykologisia arvioita, merkittävän tutkimuksen ratkaiseva tieto, Turvallisuustiedot, sopimuksin salattava tieto..
  • 13. Tietosisältö Tärkeysluokit- telu, SLA Saatavuus 3. Tärkeys- luokka (normaali) 2. tärkeys- luokka (tärkeä) 1. tärkeys- luokka (erittäin tärkeä) Säilytys-aika 10, 5, 1 vuotta? Tiedon elinkaari Säilytys- muoto Metatiedon käsittely Ei salassapito- vaatimuksia Sisäinen Luottamuksel- linen, ST IV, ST III Tietoturva- ja tietosuoja ok, mutta entä Järjestelmän/palvelun eheys ja Jatkuvuus? Asiakkaan, tai Omistajan on nämä määriteltävä! IT:n tulee toki auttaa Vaatimukset projektille
  • 14. Vaatimusmäärittelyt, ~ 2 vko- 2 kk (toki toiminnalliset, käytettävyys..) Tietoturva: •dokumentointi •lainsäädäntö •Pääsynhallinta •lokit •suojaus •ylläpito ja hallinta •maantieteellinen sijainti
  • 15. Tietoturvavaatimuksia, (muista C- I – A) • Yleinen • järjestelmän toteutuksessa on otettu huomioon OWASP Top 10 Tietoturvariskit • auditoinnin mahdollisuus • Dokumentointi • toimittaja vastaa että järjestelmä ja sen tietosisältö on dokumentoitu. • Lainsäädäntö • järjestelmä täyttää lainsäädännön henkilötietojen käsittelylle tai lokitukselle asettamat vaatimukset. • Arkistolaki, yliopistolaki, Henkilötietolaki, TeTsl • Pääsynhallinta • Shibboleth autentikointi, tai jos on ulkopuolisia käyttäjiä niin kunnollisesti toteutettu kirjautuminen 7/11/2016 15
  • 16. Tietoturvavaatimuksia • Lokit • Vaativa asia, käytä pohjana Katakri, VAHTI-ohjeet • lokeihin kohdistuu paljon vaatimuksia, lainsäädäntö, teknisen toiminnan varmistaminen, pääsynhallinnan valvonta, tietosuojan valvonta • Suojaus • kaikki järjestelmän verkkoliikenne salataan • salasanoja ei säilytetä selkokielisenä. • Ylläpito ja hallinta • palvelun tuottajan ylläpito- ja hallintakäyttäjille on henkilökohtaiset käyttäjätunnukset. • järjestelmän otetaan säännöllisesti varmuuskopiot. • Maantieteellinen sijainti • järjestelmän tarvitsemat fyysiset laitteet ja järjestelmän sisältämä materiaali sijaitsee EU alueella. Tietosuojadirektiivin mukaisesti tietosuojan taso pitää olla vastaava kuin EUssa. 7/11/2016 16
  • 17. Tietoturvavaatimuksia (pelkkä perussetti 52 kpl) ”CIA” 7/11/2016 17
  • 18. Lopetusvaihe, tarkistuslista 7/11/2016 18 1. Kaikkeen aineistoon ja työmateriaaleihin on merkitty projektipäällikön vahvistama turvallisuusluokitus siten, että materiaali on luovutuskunnossa. (luokitus tulossa 2012) 2. Synnytetty työ- ja välidokumentaatio on hallinnassa. 2 a. Kaikki hävitettäväksi päätetty projektin materiaali (sähköinen, paperi, muistivälineet) on hävitetty raportoidusti organisaation ohjeiden määrittämällä tavalla: Tietoaineistojen hävittäminen 2 b. Kaikki taltioitava työ- ja välidokumentaatio on luovutettu ohjausryhmän päättämille tahoille, vahvistettu turvallisuusluokitus merkittynä, ja materiaali on tarvittaessa kirjattuna haltijoiden diaariin (dokumentit tulee olla luetteloitu)*. 3. Projektiin osallistuville on selkeästi kerrottu projektin loppumisen jälkeiset vastuut tietoturvallisuudesta ja vastuut seuraaville vaiheille on luovutettu. 4. Palvelun käytöstä on ohjeistus, jossa huomioidaan tietoturva (esim. raporttien ja tietokantahakujen vieminen/tallentaminen järjestelmän ulkopuolelle) 4. a. Ohjeilla on omistajat ja he tarkistavat ohjeet tarvittaessa ja vuosikellon mukaisesti 4 b. Mahdolliset asennusohjeet (työasemalle sekä palvelimelle) huomioivat tietoturvallisuusvaatimukset. 5. Palvelusta on Aallon IT-jatkuvuussuunnitelman mallipohjan mukainen jatkuvuussuunnitelma. 6. Tietosisältö on kuvattu (usein osana rekisteriselostetta). 7. Rekisteriseloste / tietosuojaseloste on tehty ja sijoitettu käyttäjien saataville (tarvittaessa). 8.Tietojärjestelmäseloste on tehty ja sijoitettu käyttäjien saataville (tarvittaessa).
  • 20. Projekti – perinteinen ”vesiputousmalli” Perinteinen vai ketterä Vaatimusmäärit tely Projekti Testaus Käyttö Innovatiivinen projekti – Agile Lista ominaisuuksi a Toteutus työlistan mukaan Esim 2 asiaa/ vko. Tuote tai tuotteen osa GO/NO GO Käyttö . Menetelmiä esim Scrum, Extreme Programming (XP), DSDM Projektiteamillä suuri vapaus mutta myös vastuu! Tietoturva pitää saada osaksi prosessia ja tekemistä. Esim. säännöllinen testaus. Riskejä saatetaan hyväksyä tuntematta kokonaisuutta, liiketoimintariskit, tms. Vaatimusmäärittely ei ole enää niin suuressa roolissa tai sitä ei edes ole.
  • 21. Ketterä tai iteratiivinen toimintatapa Huomioi: • asiakas ei osaa pyytää turvallisuutta, (tietoturvaominaisuuksia) • vaatimukset tyypillisesti avoimia • ei voi olla puoliksi turvallinen järjestelmä • missä vaiheessa voidaan testata julkisesti, ota huomioon backlogin priorisoinnissa (kirjautumisen toteutus vs, avataan nettiin) • tietoturvaan liittyen tulee yleensä toiminnallisia ja ei toiminnallisia vaatimuksia • backlog muutokset iteraatioiden välillä tulisi tehdä niin että jos jotain oleellista muuttuu tai tulee joku uusi ominaisuus/komponentti/ , tehdään uusi riskiarvio tai tietoturvapohdiskelu. Tiimin osaaminen suuressa roolissa. (tämän prosessin ei tarvitse olla raskas)
  • 22. Tietoturva ”user stories” (backlog item) Asiakkaat eivät tyypillisesti tiedä mitä he haluavat (vaatimusmäärittelutasolla) joten miten he pystyisivät ilmaisemaan turvallisuusvaatimukset. Mutta esimerkiksi näin: • Käyttäjä: ”Haluan nostaa rahaa ja katsoa tilini tiedot selaimella” • Tulisi olla: ”Haluan olla ainoa, joka voi käyttää tiliäni jotta voin pitää tietoni salassa.” • Tulisi olla: ”Haluan että tietoni salataan siirron ja tallennuksen aikana jotta kukaan ulkopuolinen ei pääse niihin” • Talousjohtaja, esim näin: ”Haluan olla ainoa, joka voi muokata Henkilöstön palkkoja • ylläpitäjä, esim näin : ”haluan lokittaa kaikki turvallisuuteen liittyvät tapahtumat” • väärinkäyttötapaukset/hyökkääjä tarinat – Jos vaikka tehdään autentikointiin liittyvää komponenttia niin testauksessa tulee keskittyä epäonnistuneisiin autentikointeihin, pyritään esimerkiksi tunkeutumaan järjestelmään.
  • 23. ”Misuse cases” Wikimedia Commons Opiskelija tekee tunnuksen järjestelmään Tunnus kaapataan liikenteestä Tunnus vuotaa palvelimelta Backlog items: • SSL salattu liikenne • Salasanat hash+suolaus+etc
  • 24. Järjestelmässä on mahdollista määritellä eri tasoisia käyttöoikeuksia. Käyttöoikeudet annetaan käyttäjäryhmäkohtaisesti. Käyttäjäryhmien määrää ei ole rajattu. Järjestelmässä metatietokenttä voi olla tekstikenttä. Poistettavien asioiden ja asiakirjojen säilyvät järjestelmässä määritellyn ajan, jolloin ne olisivat vielä asiakirjahallintopääkäyttäjän palautettavissa (vrt. ”roskakori”). Käyttäjä voi muuttaa asian / asiakirjan / liitteen julkisesta osittain salaiseksi tai salaiseksi ja valita THS:n mukaisen salassapitoperusteen. Julkisessa asiassa voi olla luottamuksellisia asiakirjoja. Julkisella asiakirjalla voi olla luottamuksellisia liitteitä. Käyttäjäryhmiä / käyttäjiä on pystyttävä lisäämään ja poistamaan kesken asian käsittelyn tai jo suljettuun asiaan. Määräaikoja sisältäviin asioihin ja asiakirjoihin on mahdollista liittää ajallinen muistutus, joka voi olla henkilökohtainen tai siihen voi liittää käyttäjiä ja / tai käyttäjäryhmiä. Suljetun asian voi tarvittaessa avata uudelleen käsittelyyn. Asian avaaja tai käsittelijä voi lähettää asian tietylle käsittelijälle / käyttäjäryhmälle jatkokäsittelyyn seuraavaa toimenpidettä varten. Kun asia lähetetään edelleen, asiaan voidaan liittää viesti. Käyttäjän keskeneräiset asiat on mahdollista nähdä koottuna. Saapuneesta tehtävästä / toimenpidepyynnöstä tulee ilmoitus käsittelijälle sähköpostitse. Järjestelmä lähettää käsittelijälle sähköpostitse muistutuksen määritellyin väliajoin käsittelemättömänä olevista asioista. Järjestelmä ilmoittaa ylläpitäjälle, mikäli järjestelmästä on säilytysajan perusteella poistumassa asiakirjaryhmä. Käyttäjä voi tuoda ja muokata asiakirjan seuraavissa formaateissa järjestelmässä: Office, PDF jne. Järjestelmän etusivunäkymässä on pikahaku-toiminto. Kaikki asia-avausten ja asiakirjojen metatietokentät ovat valittavissa haun piiriin. Käyttäjä voi tallentaa ja nimetä omia hakuja. Hakutulokset voi siirtää exceliin ja PDF:ksi Käyttäjähallinnan auditointi on mahdollista kaikilla tasoilla: ryhmän käyttäjät ja oikeudet; ryhmän erillismääriteltyjen asioiden ja asiakirjojen käyttäjät; käyttäjän ryhmät, roolit ryhmissä jne. Raportit voi siirtää exceliin ja PDF:ksi. Koodattavia asioita ”Backlog Items” JEE! https://www.owasp.org/images/c/c6/OWASP_AppSec_Research_2010_Agile_Prod_Sec_Mgmt_by_Vaha-Sipila.pdf
  • 25. Projektin aikainen tietoturva Vesiputous tai ketterä, samat asiat Tulosta vaikka tämä ohjeistus tai jaa ainakin ”Tietoturvan huoneentaulu”* (huomioi organisaation omat ohjeet, politiikat) (*Aallon huoneentaulu pyynnöstä)
  • 26. Tietoturvavastuut Projektipäällikkö vastaa siitä, että tietoturva ei vaarannu projektin eri vaiheissa ja että projektin lopputuotos on tietoturvallinen. Tietoturvaryhmän asiantuntijan vastuulla on tietoturvavaatimusten oikeellisuus ja riittävyys suhteessa projektiin. • Raportoida tietoturvapoikkeamista. kaikki projektin aikaiset tietoturvaa vaarantavat tapahtumat ja uhkaavat asiantilat. Haittaohjelmatartunnat, kalastelut, ym. • Määrittää dokumenttien ja muun käytettävän materiaalin tietoturvallisuustaso yhteistyössä projektin omistajan kanssa. • Huolehtia, että riskianalyysi tehdään projektin eri vaiheissa. • Määrittää projektin aikaiset vastuut, oikeudet ja periaatteet. • Vastata työhön osallistuvan henkilöstön ohjeistamisesta, kouluttamisesta ja valvonnasta. • Vastata tiedon hallinnasta projektin aikana. Tietoa ei saa päästä vuotamaan projektin aikana ihmisten tai tietojärjestelmien kautta. • Varmistaa projektin loppuessa, että tarvittavat tietoturvadokumentit, kuten jatkuvuussuunnitelma, rekisteriseloste tai tietoturvan huomioivat käyttäjien ohjeet, on tehty
  • 27. Ulkopuolisen asiantuntijan käyttö Mahdollisen ulkopuolisen asiantuntijan osalta projektipäällikön tulee varmistaa: • Varmistuminen siitä, että ulkopuolinen asiantuntija sekä sitoutuu periaatteisiin että kykenee myös täyttämään niiden vaatimukset. • Yritystason turvallisuussopimusten ja auditointien tekeminen tarpeen mukaan ennen yhteistyön käynnistämistä. • Turvallisuussopimukset saa tyypillisesti organisaation hankinnalta/Tietoturvaryhmältä/Lakitiimi. • Ulkopuolinen asiantuntija saa tarvittavat tunnukset järjestelmiin. Tarkista oikea prosessi • Projektin henkilöstön ohjeistaminen toiminnasta ulkopuolisen toimittajan kanssa, mahdollisesti projektisuunnitelman päivittäminen. Jatkuvan valvonnan mekanismin luominen, ulkopuolisella asiantuntijalla tulee olla nimetty yhteyshenkilö ja sopia työnteon ja kulkuoikeuksien käytännöt.
  • 28. Yritys- ja henkilöstöturvallisuus Projekteihin saattaa kohdistua eri syistä ulkopuolista mielenkiintoa (esim. media, muut yritykset). Näissä tapauksissa projektipäällikkö päättää kenelle, projektin tietoja voi luovuttaa ja tarvittaessa suorittaa luovutukset itse. Kaikki hanketta koskeva tiedottaminen on projektipäällikön vastuulla, kenenkään projektissa ei tule tiedottaa projektin asioista ilman projektipäällikön valtuutusta. Tietojen luovutuksesta tulee aina keskustella myös hankkeen omistajan tai asiakkaan kanssa. Matkustettaessa yleisissä kulkuneuvoissa tai oleiltaessa yleisissä tiloissa tulee projektin luottamuksellisia tietoja kuljettaa suojattuina sekä käsitellä siten, että ulkopuoliset eivät niitä saa tietoonsa. Dokumentit voidaan hävittää hankkeeseen osallistuvien organisaatioiden tietoturvamateriaalin hävittämismenettelyillä, usein silppuamalla aineisto vaatimukset täyttävällä silppurilla. (tietoturvaohjeet, huoneentaulu, käsittelysäännöt)
  • 29. Fyysinen turvallisuus Tilojen, joissa työtä tehdään, on oltava äänieristykseltään, näkösuojaltaan, kulunvalvonnaltaan ja murtosuojaukseltaan sellaiset, että niissä käsiteltävän luottamuksellisen tai salaisen tiedon joutuminen projektin kannalta ulkopuolisen haltuun ei ole mahdollista. Tilojen valinnassa ja käytössä on huomioitava tietojen suojausluokan vaatimukset. Työn tekemistä johtava henkilö vastaa siitä, että tilat täyttävät edellä kuvatut vaatimukset ja ettei tilojen käytön loppuessa niihin jää mitään tietoturvallisuuden kannalta arkaa materiaalia. Työtä voidaan tehdä ulkopuolisissa tiloissa, jotka täyttävät edellä kuvatut vaatimukset.
  • 30. Ohjelmistoturvallisuus Turvallisuuden ja tiedon eheyden varmistamiseksi projektissa tulee käyttää vain mukana olevien organisaatioiden tietohallinnon tukemia ja ylläpitämiä ohjelmistoja. Ohjelmistojen pitää olla päivitettyjä, erityisesti relevanteista tietoturvapäivityksistä tulee huolehtia ilman tarpeetonta viivytystä. Hyvään dokumentin hallintaan kuuluu sopiminen tallennuskäytännöistä sekä varmistuksesta. Dokumenteista on säilytettävä aiempia versioita sekä varmistettava, että materiaali on varmuuskopioitu. Dokumentit, joita ei enää muokata, kannattaa mahdollisuuksien mukaan lähettää oman organisaation ulkopuolelle pdf-muodossa (huomioi myös dokumenttien piilotiedot).
  • 31. Tietoliikenneturvallisuus Sähköpostilla välitettävä luottamuksellinen tieto on suojattava salaamalla liitetiedostot paketeiksi. Nykyään voidaan salauksen minimitasona käyttää erittäin turvallista AES 256 salausta (käytä esimerkiksi ilmaista 7-Zip ohjelmaa) Ennen menetelmän käyttöönottoa on kuitenkin selvitettävä sen soveltuvuus projektin eri osapuolien välillä. Projektin käyttöön voidaan avata sähköinen ryhmätyötila, jonka käyttö on ohjeistettava erikseen luottamuksellisen materiaalin osalta. Ryhmätyötilan käytöstä päättävät osallistuvat organisaatiot keskenään silloin, kun se käyttö on mahdollista. Projektin työtilaa ei tule normaalista avata julkiseksi vaan laatia käyttöoikeuksiin perustuva hallinta. .