|
          Päivitetty viimeksi 16.4.2004 |
Takaisin sisällysluetteloon Tietoturvallisuus hallittavissa?Kaisu Rahko, tietoturvapäällikkö, CISSP, CISA, Oulun yliopisto Tietoturvallisuus on esillä kaikissa lähteissä, enimmäkseen kuitenkin virustorjuntana, Ihmisen toiminta heikoin ja siten tärkein lenkki tietoturvallisuuden toteutumisessaTietoturvallisuuden tavoitteena organisaatiossa on suojata sen hallussa olevien ja käsiteltävien tietojen eheys, luottamuksellisuus ja käytettävyys. Organisaation tietojen suojaamiseen vaikuttavat toimintaympäristön ominaisuudet ja vaatimukset (mm. toimialasta, asiakkaista, tietojen ja toiminnan rakenteista johtuvat), tietoja käsittelevät ihmiset (mm. henkilöiden toimintamallit, asenteet, osaaminen, vastuut) sekä käytetyt menetelmät ja välineet (tietojenkäsittelyn virheitä estävään valvontaan. Kaikki kolme tarkastelukulmaa ovat aina mukana ns. turvallisuuskolmiossa ja huomioitava tietoturvaa rakennettaessa. 
Kuva 1. Turvallisuuskolmio Lähtökohdan tietojen suojauksen vaatimuksille ja tulosodotuksille asettaa organisaation toimiala; pankin suojausvaatimukset ovat monessa kohdin korkeammat kuin avoimuutta painottavan yliopiston. Valitut tietohallinnan periaatteet kuten tietojenkäsittelytoimintamalli (keskitetty/hajautettu) ja siihen liittyvä tietojärjestelmien rakentamisen arkkitehtuuri tai sen puute vaikuttavat niinikään tietoturvallisuuden tasoon tai ainakin turvaamisen vaatimaan työmäärään. Valittavissa on lukuisia menetelmiä ja välineitä, joita hyödyntäen voidaan rakentaa organisaatiolle optimaalinen tietoturvallisuuden hallintajärjestelmä ja asentaa käyttöön loogisia ja teknisiä, manuaalisia ja automatisoituja valvontarutiineita. Tärkeimmän ja vaikeimmin pidettävän tukijalan tietojen suojaamisessa muodostavat kuitenkin ihmiset: suhtautuminen tiedon arvoon, asenteet suojauksiin, yleensä tapa toimia. Inhimilliset tai osaamisen puutteesta johtuvat virheet, välinpitämättömyys tai ajattelemattomuus voivat hetkessä murentaa raskaatkin turvajärjestelyt; ihmistä ei turhaan mainita tietoturvan heikoimmaksi lenkiksi, josta tuleekin tärkein koska sitä pitää erityisesti vahvistaa. Tietoturvallisuuden hallintajärjestelmä kokoaa palapelinYliopiston tietoturvallisuuden hallintajärjestelmä on toimintojen ja kirjallisten dokumenttien kokonaisuus, jonka rakentaminen on yliopiston toimintaa johtavien ja tietoturvan koordinoijan tehtäväkenttää. Yliopiston jokaiselle toimijalle on yhtä kaikki tärkeä tuntea järjestelmän osat ja niiden väliset suhteet, niiden vaikutus ja ulottuminen omaan toimintaan ja lähiympäristöön. Hallintajärjestelmän rakentaminen vaatii yleensä useita vuosia ja sitä täydennetään ja korjataan olosuhteiden muuttuessa, kuitenkin niin että valmis järjestelmä sisältää kaikki osat, myös jatkuvuus- ja valmiussuunnittelmat. Tietoturvallisuus on osa organisaation kokonaistoimintaa ja tärkeä tekijä toiminnan jatkumiselle. Toiminnan vaatimukset ja tietoturvan periaatteet johdetaan liiketoimintastrategiasta ja tietoturvallisuutta koskevat säädökset ja normit ohjaavat tietohallintostrategian laatimista. Sisäisillä arvioinneilla ja suojausten toteuttajista riippumattomalla tarkastuksella on säännöllisesti arvioitava suojausten toimivuutta ja tasoa ja korjattava puutteet. Hallintajärjestelmän kypsyyden arvioinnin välineeksi on vakiintumassa brittiläinen standardi BS 7799 (jota muokataan kansainväliseksi standardiksi ISO 17799). ISO 15408 määrittelee kriteerit tietoteknisten tuotteiden ja järjestelmien turvallisuusominaisuuksille (ns. Common Criteria). Tietoturvan toteutuminen edellyttää kirjallisia dokumentteja ja niiden mukaan toimimistaTietoturvallisuuden toteuttaminen käytäntöön eli tietoturvallisuuden arkkitehtuuri voidaan kuvataan noudatettavien ohjeiden ja dokumenttien pyramidina. 
Kuva 2. Tietoturvallisuuden arkkitehtuuri Huippuna on johdon tukea, tahtoa ja vastuunottoa ilmaiseva tietoturvapolitiikka. Tämä dokumentti on itse kunkin syytä opiskella ja myös esitellä johdolle itselleen määräajoin. Tietoturvapolitiikka määrittelee tietoturvallisuuden tarkoituksen ja merkityksen yliopistolle, tietoturvaorganisaation, kannan resursointiin sekä tietoturvaloukkauksiin suhtautumiseen. Seuraava taso pyramidissa sisältää tietohallinnan strategiset valinnat mm. tietojärjestelmien ja tietoliikenneverkon ja tietojenkäsittelyn arkkitehtuureiksi, mm. mitkä tietopalvelut tuotetaan ja tarjotaan keskitetysti/hajautetusti, minkä tasoisia verkkopalveluita ja keille yliopisto haluaa tarjota, miten standardoidaan palvelin-työasemaympäristöä, kuinka hoidetaan lisenssien seuranta ja muu tekijänoikeuksien turvaaminen jne. Kolmas taso sisältää kirjalliset ja kaikkien osallisten tietoon saatetut ja yliopiston tietoturvasuunnitelmaksi kootut yhteiset tietoturvallisuuden periaatteet. Nämä sitten saatetaan käytäntöön alimpana olevilla yksikkö- tai käyttäjäryhmäkohtaisilla, tietojärjestelmä- ja tietoaineistokohtaisilla käytön ja toiminnan ohjeilla, mm. yliopistojen yhteisesti tuottamilla monilla käytännesäännöillä. Yliopiston tietoturvapyramidin huipun ja alimman osan dokumentit ovat julkisia. Sen sijaan arkkitehtuuria ja turvasuunnitelmia kuvaavat dokumentit ovat talon sisäisiä. Tarkat työohjeet, käyttöoikeuksien valtuutukset jne ovat sivullisilta salassa pidettäviä dokumentteja. Hallintaprosessi = arvioi - suunnittele - toteuta - ylläpidä ja valvoItse tietoturvallisuuden hallinta on jatkuva prosessi, jossa toistetaan vaiheita arvioi - suunnittele - toteuta - ylläpidä ja valvo. Oikein mitoitetun ja kustannuksiltaan perustellun turvajärjestelmän rakentamiseen tarvitaan säännöllisesti suoritettua uhkien ja haavoittuvuuksien seulontaa sekä näiden mahdollistamien vahinkojen todennäköisyyden ja merkityksen arviointia. Ilman näitä turvatoimien valinta ja kohdentaminen on jonkintasoista hakuammuntaa ja muiden matkimista. Matka tuntemattomasta tilasta hallittuun alkaa tietojärjestelmien luetteloinnista ja luokittelusta ylläpitovastuullisten kirjallisten nimeämisten kautta jatkuen verkon ja siinä olevien järjestelmien haavoittuvuuksien seulontaan. Prosessien tarkastelu voi tuottaa päällekkäisten toimintojen karsintaa. Parasta on kun arviot ja päätökset tekee toimintayksikkö itse, vaikkakin ulkopuolisen arvioijan tuella. Tietoturvallisuus tunnustetaan nykyään tulosohjaustekijäksi, mikä edellyttää mittareiden kehittämistä ja käyttöönottamista tietoturvatason, turvatoimien kustannusten sekä mahdollisten vahinkojen vaikutusten arviointiin. Tietoturvallisuuden organisointi ja resursointiYliopistoissa myönnetään tietoturvallisuuden tärkeys, mutta toimintamahdollisuuksia varataan hyvin eri tasoisesti. Valtiovarainministeriön ohjeiden mukaan jokaisella valtionhallinnon laitoksella tulee olla nimetty tietoturva-asioita koordinoiva ja niistä johdolle vastaava henkilö, ja useaan yliopistoon onkin nimetty tietoturvapäällikkö viimeisen vuoden aikana. Tietoturvapäällikkö tai vastaava ei tietenkään yksin riitä koko yliopiston tietoturva-asioita edistämään, vaan tarvitsee avukseen verkoston: teknisiä osaajia (tietohallinnon turvayksikössä), johdon tuen antajia sekä erityisesti käyttäjäympäristön tuntevia ja siinä vaikuttavia. Resurssien varaus ja merkittävimmät linjaukset tehdään yliopiston hallituksessa, mutta valmisteluun tarvitaan päättäjien tukea esimerkiksi tietohallinnon johtoryhmästä. Käyttäjäympäristön tietoturvalinjauksiin on tärkeä saada käytännön työssä olevien näkemykset ja ehdotukset eri tulosyksiköiden tietoturvavastaavien muodostamassa tietoturvaryhmässä. Myös tietosuoja-asioiden tuki tarvitaanHelsingin yliopistossa on erillinen tietosuojaryhmä, jonka tuottamia dokumentteja muutkin yliopistot saanevat hyödyntää. Useimmissa yliopistoissa tietosuoja-asioita hoidetaan henkilöstöpalveluiden kanssa yhteistyössä ja tietosuojaa koskeva lainsäädännön seuranta, tietosuojavaltuutetun ohjeistuksen tunteminen ja niistä ohjeistaminen paikallisesti kuuluu myös tietoturvahenkilöstön tehtäviin. Tietoturvapäällikönkin kouluttauduttava jatkuvastiTietoturvallisuuden tehtäväkenttä on paitsi mielenkiintoinen myös monipuolinen. Tietoturvan vetovastuuta helpottaa, jos henkilöllä on sekä laajaa työssä hankittua kokemusta erilaisista tietojenkäsittelyn tehtäväalueista, kykyä realististen tavoitteiden ja aikataulujen asettamiseen, uskoa pitkäjänteiseen työhön ja vielä johtamisen taitoja. Puutteita voi aina täydentää opiskelemalla ja oppimalla. Usein tietoturvapäällikön työtausta on tietoliikenteen tai palvelinten ylläpidossa, vaikka olenkin kuullut, että humanistista saisi parhaan tietoturvapäällikön! On tietenkin hyvä tuntea ylläpitoa, verkkotekniikkaa, tietoliikennettä koska tekniset välineet kohdistuvat niihin, mutta kokemukseni perusteella tietoturvapäällikön työ vähänkin isommassa organisaatiossa on yhä enemmän hallinnollista. Vaikka yliopistotasoinen koulutus ei ole pahitteeksi, päinvastoin, sisältyy tietoturvapäällikön työhön jatkuvaa työssä oppimista, tiedon hankintaa ja sen arviointia. Tietoturvallisuuden alueen kokonaiskuvaa voi laajentaa ja ammatillista kouluttautumista hankkia vaikkapa kansainvälisen CISSP-tutkinnon (Certified Information Systems Security Professional) suorittajana. Suomessa CISSP-tutkintoja on jo yli 100, yliopistoissakin muutama; itse taisin olla v. 1999 ensimmäinen CISSP Suomen yliopistoissa. Lisätietoa CISSP-valmennuksesta ja tutkinnosta löytyy osoitteesta www.tietoturva.fi Sisäiseen tarkastukseen liittyy tietojärjestelmien ja toiminnan tekninen tarkastus. Tietojärjestelmien tarkastajan eli auditoijan koulutus antaa valmiuksia tietojärjestelmien turvallisuuden arviointiin ja konsultointiin, mitä tietoturvapäällikön tehtävä paljolti on. Joissakin organisaatioissa sisäisen tarkastuksen tietojärjestelmätarkastus onkin sisällytetty tietoturvayksikölle. Tietojärjestelmien tarkastajan koulutusta ja siihen liittyvän kansainvälisen CISA-sertifikaatin (Certified Information Systems Auditor) suorittamiseen tähtäävää valmennusta järjestetään vuosittain. Itse suoritin CISA-tutkinnon vuonna 2003. Lisätietoa Tietojärjestelmien tarkastus ja valvonta ry:n verkkosivuilta |
 |