Tietoturvan kehittäminen
Riskien kartoitus ja tietoturvan
tason
selvittäminen suoritetaan yrityksessä ihan ensin ennen
tietoturvastrategian ja tietoturvapolitiikan luomista.
Tietoturvastrategiassa
kuvataan se, miten yritys aikoo kehittää tietoturvaansa sekä
tietoturvan tavoitteet ja niiden saavuttamisen keinot. Tietoturvastrategia
sisältää myös toimien aikataulut ja vastuuhenkilöt.
Tietoturvapolitiikka on
yrityksen johdon hyväksymä näkemys tietoturvan päämääristä,
periaatteista ja toteuttamisesta sekä tietoturvan kehittämisestä.
Tietoturvapolitiikka on yksinkertaisimmillaan joukko erilaisia ohjeistuksia,
sääntöjä ja lähestymistapoja liittyen organisaation
tietoturvatoimintaan. Tietoturvapolitiikka määrittää
viime kädessä sen, miten organisaation tietoturva tulisi hoitaa.
Näin ollen tietoturvapolitiikka on perusta järjestelmälliselle
tietoturvakehitykselle ja tietoturvan hallinnalle. Tietoturvapolitiikka
perustuu tietoturvavaatimuksiin, joita voi tulla mm. johdon, kolmansien
osapuolien ja lainsäädännön taholta. Tietoturvapolitiikkoja
voi olla useita, eri tasoilla ja erilaisilla notaatiolla. Joissakin tapauksissa
yrityksen toimialasta riippuen tietoturvapolitiikka on luokiteltu salaiseksi.
Tietosuojapolitiikkaa
(privacy policy) on esitelty enenevässä määrin yritysten
nettisivuilla, se kertoo sen, mitä tietoa käyttäjistä
kerätään ja miten tietoa hyödynnetään. Lisäksi
nettisivuilta löytyy myös usein lisäksi nettipalvelun käyttösopimus.
W3-konsortion,
http://www.w3c.org P3P-standardi
(Platform for Privacy preferences) kertoo, miten WWW-palvelun tietosuojapolitiikka
kuvataan selaimen ymmärtämään koneelliseen muotoon.
P3P:n ansiosta tietosuojasta huolehtiminen automatisoituu ja muuttuu normaaliksi
osaksi surffausta.
Tietoturvaprojekti organisaatiossa
Tietoturvaprojektin erityispiirteitä
-
Korostettu luottamuksellisuus
-
Yrityksen kannalta yleensä
erittäin salaisia
-
Tietojen hankinta ja kerääminen
vaikeaa
-
Asiantuntijoita ja osaajia vähän
-
Yrityksellä itsellään
yleensä vähän kokemusta,
-
Projektin jäsenten täytyy
olla ehdottoman luotettavia,
-
Projektin tiedot väärinkäytettyinä
vaarallisia
-
Lopputulos yleensä salainen.
Projektin organisointi
Edellisen mukaan on tietoturvaprojekti
luonteeltaan hyvin luottamuksellista ja salaista toimintaa. Projektin henkilöstön
valinnassa olla tarkkana, jotta projekti onnistuu ja salaisuudet säilyvät.
Tiedon tulee pysyä projektin sisällä. Yhteistyökumppaneiden
ja asiantuntijoiden valinnassa tulee noudattaa suurta huolellisuutta.
Tietoturvaprojektin resurssien
mitoitus on vaikeaa, koska kokemuksia vastaavista projekteista ei yleensä
ole. Henkilöresurssien valinnassa luotettavuuden lisäksi on henkilön
oltava kykenevä ja kokenut tietoturvaan liittyvissä asioissa.
Kokeneen tietoturvahenkilöstön
puute johtaa monesti ulkopuolisten asiantuntijoiden käyttöön.
Erityisesti projektipäällikön ammattitaito ja näkemys
ovat olennaisia projektin onnistumisen kannalta. Riittämättömällä
ammattitaidolla toteutettu tietoturvaprojekti luo yritykseen katteetonta
turvallisuuden tunnetta ja sitä kautta saattaa jopa heikentää
tietoturvan.
Projektin henkilöstön
kanssa tehdään kirjalliset vaitiolositoumukset. Lisäksi
sovitaan, mitä viestintävälineitä voidaan käyttää
ja kuinka projektiin liittyvät dokumentit tulee säilyttää,
tallettaa ja tuhota. On huomattava, että projektissa saattaa syntyä
tietoa, jolle yrityksessä ei ole vielä olemassa luokittelua ja
sitä kautta käsittelyohjeita.
Tiedottaminen
Projektista tiedottamisen
pitää olla erittäin varovaista. Tieto on pyrittävä
pitämään projektiorganisaation sisällä. Projekti
ei tarvitse ylimääräistä julkisuutta. Projektista tiedottaminen
annetaan yhden henkilön tehtäväksi, ja kaikki tiedottaminen
pitää hoitaa myös hänen kauttaan. Keskeneräisestä
projektista tiedotetaan yrityksen muulle henkilöstölle kohdennetusti
tarvittaessa.
Ulkoinen tiedottaminen voidaan
yleensä jättää projektin valmistumisen jälkeiseen
aikaan. Tiedottaminen voi aiheuttaa turhia riskejä projektin ollessa
vielä kesken.
Projektin lopputulos
Projektin lopputulos on vaarallinen
ja vahingollinen väärissä käsissä. Projektin suunnittelun
tuloksena tulleet dokumentit ovat atk-rikollisen tai hakkerin käsissä
kuin liikennemerkki yrityksen tietojärjestelmiin ja tietoihin pääsemiseksi.
Suunnittelijoilla ja projektin toteuttajilla on myös tiedossaan yrityksen
kannalta erittäin arkaluonteisia tietoja, joita nämä voivat
halutessaan käyttää yritystä vastaan. Tietoturvaprojektin
toteutusta ja suunnittelua voidaan mahdollisuuksien mukaan jakaa pienempiin
osiin. Näin ollen yhdelle ihmiselle ei tule "liikaa" tietoa.
Projektin jälkeinen
seuranta
Projektin valmistumisen jälkeen
yrityksen ei kannata jäädä turvallisin mielin nauttimaan
tietoturvastaan. Tietoturvaa ja sen tasoa on seurattava ja testattava
jatkuvasti. Riskianalyysien säännöllinen suorittaminen ja
jatkuva tietoisuus tietoturvan tasosta sekä hyvä ylläpito
takaavat tieturvan toteutumisen.
Tietoturvayritysten palvelut
ja tuotteet
http://www.f-secure.fi
http://www.ssh.fi
http://www.stonesoft.fi
Päivitetty:
29.10.2003 Helena Tirronen, helena.tirronen@tamk.fi
|