Saatavana elektronisessa muodossa - TietojenkÃ¤sittelytieteiden ...

Tietoturvallisuuden hallinnan kehittäminen pienessä kuntaorganisaatiossa- ToimintatutkimusSirkka YlanderTampereen yliopistoTietojenkäsittelytieteiden laitosTietojenkäsittelyoppiPro gradu -tutkielmaOhjaaja: Pirkko NykänenMarraskuu 2007

iiTampereen yliopistoTietojenkäsittelytieteiden laitosTietojenkäsittelyoppiSirkka Ylander: Tietoturvallisuuden hallinnan kehittäminen pienessä kuntaorganisaatiossaPro gradu -tutkielma, 91 sivua, 4 julkista / 103 liitesivua.Marraskuu 2007Tietoturvallisuuden tila suomalaisissa kuntaorganisaatioissa on tutkimusten mukaanheikko. Erityisesti tutkimuksissa korostuvat tietoturvallisuuden hallintatoimenpiteidenhuono tila, ohjeistukseen ja koulutukseen sekä riskienhallintaan liittyvät puutteellisuudet.Etenkin pienissä kuntaorganisaatioissa ei aina ole resursseja tai asiantuntemusta kattavantietoturvallisuuden kehittämisprojektin toteutukseen.Tietoturvallisuuden hallintaan on olemassa standardeja ja ohjeistoja, mutta ne onsuunniteltu joko valtionhallinnon tai yksityisen sektorin näkökulmasta. Ohjeistotkuntaorganisaation tietoturvallisuuden hallintaan puuttuvat. Toisaalta olemassa olevatohjeet ja standardit ovat raskaita, kalliita ja monimutkaisia käyttää. Lisäksi standardit ovatusein abstraktilla tasolla ja niistä puuttuvat konkreettiset toimintamallit.Näiden edellä mainittujen havaintojen seurauksena käynnistettiin projekti, jossatavoitteena oli laatia tietoturvallisuuden hallinnan kehittämiseen sopiva, kevyt jahelppokäyttöinen sekä kattava toimintamalli kuntaorganisaation käyttöön. Malli onpilotoitu pienessä suomalaisessa kunnassa.Tuloksena on laadittu toimintamalli, joka kattaa tietoturvallisuuden kehittämisessätärkeäksi katsotut vaiheet: Projektointi, tietoturvavaatimusten määrittäminen,nykytilanteen kartoittaminen sekä tietoturvallisuussuunnittelu ja toteutus. Tässä työssä eioteta kantaa valittaviin suojamekanismeihin, vaan työssä keskitytään siihen, mitenkuntaorganisaation tietoturvallisuus saadaan ylipäätään hallintaan ja jatkuvan kehityksentielle.Toimintamalli on yleinen ja sitä voidaan käyttää myös muiden kuinkuntaorganisaatioiden tietoturvallisuuden kehittämisessä.Avainsanat ja -sanonnat: tietoturvallisuuden hallinta, tietoturvatoiminta, julkishallinto,kuntaorganisaatio.

iiiSisällys1. Johdanto .............................................................................................................................11.1. Tutkimuksen lähtökohdat .......................................................................................11.2. Julkishallinnon tietoturvallisuus ja sen ohjaus ......................................................31.3. Julkishallinnon ja yksityisen sektorin vertailua......................................................51.4. Tietoturvallisuuden tila kunnissa ...........................................................................81.5 Kuntaorganisaation tietoturvallisuuden haasteet ....................................................111.6. Tutkimusongelma ..................................................................................................121.7. Tutkimusote ...........................................................................................................131.7.1. Suunnittelutieteellisen tutkimuksen määrittelyä .........................................141.7.2. Suunnittelutieteellisen tutkimuksen tulokset ja toteutus .............................141.7.3. Tietojärjestelmätieteellisen tutkimuksen viitekehys....................................151.8. Tutkimusmetodina toimintatutkimus......................................................................171.9. Tutkielman rakenne ................................................................................................182. Tietoturvallisuuden hallinnan käsitteitä...............................................................................202.1. Tietoturvallisuus......................................................................................................202.2. Tietoturvallisuusvaatimukset ..................................................................................232.2.1. Luottamuksellisuus .....................................................................................242.2.2. Eheys...........................................................................................................252.2.3. Käytettävyys................................................................................................262.3. Tietoturvallisuuden hallinta ...................................................................................262.3.1. Tietoturvallisuuden hallinnan organisointi kunnassa..................................282.4. Tietoriskit ja riskien hallinta ..................................................................................302.4.1. Tietoriskin määrittelyä ................................................................................312.4.2. Riskien hallinta ...........................................................................................322.4.3. Uhkien tunnistaminen .................................................................................332.4.4. Riskien arviointi..........................................................................................353. Tietoturvallisuuden osa-alueet .............................................................................................373.1. Käyttöturvallisuus .................................................................................................383.2. Tietoaineistoturvallisuus .......................................................................................39

iv3.2.1. Tiedon elinkaari ja tiedon käsittelyprosessi................................................393.2.2. Tieto-omaisuuden tunnistaminen / tiedon auditointi ..................................413.2.3. Tiedon luokittelu.........................................................................................443.3. Ohjelmistoturvallisuus ...........................................................................................453.4. Laitteistoturvallisuus..............................................................................................463.5. Tietoliikenneturvallisuus........................................................................................463.6. Fyysinen turvallisuus .............................................................................................473.7. Henkilöturvallisuus ................................................................................................473.8. Hallinnollinen turvallisuus.....................................................................................48.4. Tutkimuksen toteutus...........................................................................................................494.1. Asiakasorganisaatio ja tietoturvallisuus................................................................494.2. Tutkimuksen motivointi........................................................................................504.3. Tietoturvallisuuden kehittämisen prosessi kohdeorganisaatiossa.........................504.3.1. Vaihe 1. Prosessin käynnistäminen.............................................................524.3.2. Vaihe 2. Vaatimusten kerääminen ..............................................................544.3.2.1. Tietojen auditointiprosessi .................................................................544.3.2.2. Riskien arviointiprosessi....................................................................584.3.3. Vaihe 3. Nykytilan kartoitus .......................................................................614.3.4. Vaihe 4. Tietoturvallisuussuunnittelu ........................................................624.3.5. Vaihe 5. Toteutus ja seuranta......................................................................634.4. Poimintoja kohdeorganisaatiosta prosessin jälkeen............................................635. Toimintamalli.......................................................................................................................655.1. Vaihe 1. Prosessin käynnistäminen.....................................................................655.1.1. Projektin asettaminen ja resurssointi....................................................655.1.2. Perehdytys aiheeseen ............................................................................685.2. Vaihe 2. Vaatimusten kerääminen .......................................................................685.2.1. Tietojen auditointi.................................................................................695.2.2. Riskien arviointi....................................................................................725.3. Vaihe 3. Tietoturvallisuuden nykytilan kartoitus.................................................735.4. Vaihe 4. Tietoturvallisuussuunnittelu ..................................................................745.5. Vaihe 5. Toteutus ja seuranta...............................................................................76

v6. Yhteenveto ...........................................................................................................................786.1. Tutkimuksen toteutunut viitekehysmalli..............................................................786.2. Toimintamallin kehittäminen...............................................................................796.3. Mallin pilottikokeilu ja yleistettävyys..................................................................816.4. Mallin hyödyllisyys ja jatkokehitys .....................................................................826.5. Omat kokemukset ................................................................................................83Viiteluettelo..............................................................................................................................84LIITTEETOsa liitteistä on salaisia asiakasorganisaation tietoturvallisuuden vuoksi.Liite 1. (salainen).Liite 2. Arkistonmuodostus- ja tiedonhallintasuunnitelmaesimerkki.Liite 3. Kriittisten tietojen kirjaamislomake.Liite 4. (salainen).Liite 5. Avainriskiluettelo.Liite 6. (salainen).Liite 7.(salainen).Liite 8. (salainen).KUVATKuva 1. Tietoturvallisuuden hallinnan kehittämisen kriittiset menestystekijät.Kuva 2. Organisaatioiden vahvoja aktiviteetteja ja tarpeita tietoturvallisuustyölle.Kuva 3. Tietoturvallisuuden kypsyysmalli.Kuva 4. Tietojärjestelmätieteen tutkimuksen viitekehys.Kuva 5. Tietoturvallisuuden hallintajärjestelmä.Kuva 6. Sisäisen valvonnan vastuut.Kuva 7. Riskien hallinnan osa-alueet.Kuva 8. Tietoturvallisuuden osa-alueet.Kuva 9. Tiedon elinkaari.Kuva 10. Tietoturvakartoitusprosessi vaiheistettuna.Kuva 12. Tietoon kohdistuvia uhkiaKuva 13. Vaihe 1: Prosessin käynnistäminen.

viKuva 14. Vaihe 2: Vaatimusten kerääminen.Kuva 15. Vaihe 3: Tietoturvallisuuden nykytilan kartoitus.Kuva 16. Vaihe 4: Tietoturvallisuussuunnittelu.Kuva 17. Vaihe 5. Toteutus ja seuranta.Kuva 18. Toteutetun tutkimuksen viitekehys.TAULUKOTTaulukko 1. Julkisen ja yksityisen sektorin vertailua.Taulukko 2. Erilaisia tietoturvallisuuden osatekijöiden jaotteluja tai lähestymistapoja.Taulukko 3. Osa yleisestä avainsanaluettelosta.Taulukko 4. Uhkan todennäköisyyslukuja.Taulukko 5. Riskien arviointitaulukko.Taulukko 6. Tiedon auditoinnin metodologioita.Taulukko 7. Tiedon luokitus tärkeysluokkiin.Taulukko 8. Salassapitoluokitus.Taulukko 9. Avainriskejä määritelmineen.Taulukko 10. Analyysissa käytetty riskitaulukko.Taulukko 11. Nykytilanteen arviointitaulukko.Taulukko 12. Kolmiportainen salassapitoluokitus.Taulukko 13. Esimerkkiotos kehittämissuunnitelmasta.

2Kuva 1. Tietoturvallisuuden hallinnan kehittämisen kriittiset menestystekijät[Björk, 2001, s. 49].Tietoturvallisuuden hallintaan on olemassa standardeja ja ohjeistoja, kutenISO/IEC 17799 -standardi, mutta niiden käytännönläheisyyttä ovat kritisoineetmm. Siponen [2006], Kajava [2003] ja Björk [2001] julkaisuissaan. Kajava [2003]toteaa, että standardit ovat yleensä vaikeasti saatavilla, ne ovat kalliita jatekijänoikeusasiat liittyvät niihin korostetusti. Björk [2001] puolestaan kaipaastandardeihin ohjeita siitä, miten eri hallintatoimenpiteitä konkreettisesti tulisitoteuttaa samoin kuin Siponenkin [2006].Standardeihin tutustuttuani voin todeta, että niitä on vaikea nähdäkonkreettisina työvälineinä; pikemminkin ne ovat tietohallinnon käyttööntoteutettuja suunnitteluvälineitä ja suuntaa antavia ohjeistoja, joissa käsitelläänkyllä kattavasti eri tietoturvallisuuden osa-alueet ja jotka tarjoavat toiminnallekehykset, mutta konkreettiset työmenetelmät ja dokumentointiohjeetpuuttuvat. VAHTI-ohjeet puolestaan sisältävät paljon viittauksia toisiindokumentteihin; toisin sanoen kokonaisvaltaisen prosessin läpiviemiseksi tuleeperehtyä useisiin eri ohjeistoihin, yksi dokumentti ei sisällä koko prosessinkuvausta. VAHTI-ohjeistoissa on myös paljon päällekkäisyyttä, mikähankaloittaa prosessin suunnittelua.

3Tuloksellisen ja käytönnönläheisen työn tekemiseen tarvitaan ohjeistonlisäksi vielä soveltuvat työvälineet, asiantuntijuutta sekä hyvin suunniteltu jatoteutettu projekti.1.2. Julkishallinnon tietoturvallisuus ja sen ohjausTutkimus on toteutettu julkishallinnon näkökulmasta pienessä kunnassa.Julkishallinto kattaa käsitteenä sekä valtionhallinnon että kunnallishallinnon.Julkishallinnossa, kuten toki muissakin organisaatioissa, keskeistätietoturvallisuuden hallinnassa on tietosuojan toteuttaminen. Julkishallinnossatietosuoja korostuu erityisesti sosiaali- ja terveyspalvelusektoreilla sekäopetustoimessa, joissa käsitellään paljon arkaluonteisia henkilötietoja.Tietosuojalla tarkoitetaan arkaluonteisten tietojen käsittelyn turvaamista siten,että henkilön yksityisyyden suoja toteutuu lain mukaisesti. Näidenarkaluonteisten tietojen käsittelyä ohjeistetaan pääsääntöisestihenkilötietolaissa [Henkilötietolaki, 1999]. Lisäksi ”tietosuojalakeja” ovattietosuojavaltuutetun toimiston mukaan mm. laki yksityisyyden suojastatyöelämässä, sähköisen viestinnän tietosuojalaki sekä julkisuuslaki[Tietosuojavaltuutetun toimisto, 2007]. Lisäisin itse tähän luetteloon vieläarkistolain.Tietosuojan tärkein varmistuskeino on asianmukaisesti järjestettytietoturvatoiminta. Näin ollen tietoturvallisuuden kehittämiseen tuleeerityisesti kiinnittää huomiota niin julkisorganisaatioissa kuin yksityisissäkinorganisaatioissa.Henkilötietolaki on henkilötietojen käsittelyn yleislaki, jota sovelletaankaikkeen henkilötietojen käsittelyyn, ellei jossakin erityislaissa toisin säädetä[Tietosuojavaltuutetun toimisto, 2007]. Henkilötietolaki sisältää pykälät mm.huolellisuusvelvoitteesta, henkilötietojen käsittelyn suunnittelusta,käyttötarkoitussidonnaisuudesta, rekisteriselosteista ja arkaluonteisten tietojenkäsittelykiellosta [Henkilötietolaki, 2007].Lain yksityisyyden suojasta työelämässä tarkoituksena on toteuttaayksityiselämän suojaa ja muita yksityisyyden suojaa turvaavia perusoikeuksiatyöelämässä. Laissa on säädöksiä työntekijää koskevien henkilötietojenkäsittelystä, työntekijälle tehtävistä testeistä ja tarkastuksista sekä niitäkoskevista vaatimuksista, teknisestä valvonnasta työpaikalla sekä työntekijänsähköpostiviestin hakemisesta ja avaamisesta. [Laki yksityisyyden suojastatyöelämässä, 2004].

4Sähköisen viestinnän tietosuojalain tarkoituksena on turvata sähköisenviestinnän luottamuksellisuuden ja yksityisyyden suojan toteutuminen sekäedistää sähköisen viestinnän tietoturvaa ja monipuolisten sähköisen viestinnänpalvelujen tasapainoista kehittymistä. Julkishallinnossa mm. käytetäänsähköpostijärjestelmiä, joihin tallentuu tunnistetietoja ja luottamuksellisiaviestejä. Näiden järjestelmien sisältämiä tietoja tulee käsitellä em. lainmukaisesti. Laissa säädetään myös mm. evästeiden käytöstä, joita joidenkinjulkisorganisaatioiden verkkopalveluista saattaa tallentua käyttäjien koneille.Laki viranomaisen toiminnan julkisuudesta eli lyhyesti sanottunajulkisuuslaki on erittäin keskeinen tietosuojan toteuttamisessa julkishallinnossa.Julkisuuslaissa määritellään mm. julkisuusperiaate sekä säädetään asiakirjojentiedonsaantioikeuksista ja toisaalta salassapitovelvoitteista [Julkisuuslaki, 1999].Hyvä tiedonhallintatapa määritellään julkisuuslain 18 §:ssä seuraavasti:”Viranomaisen tulee hyvän tiedonhallintatavan luomiseksi jatoteuttamiseksi huolehtia asiakirjojen ja tietojärjestelmien sekä niihinsisältyvien tietojen asianmukaisesta saatavuudesta, käytettävyydestäja suojaamisesta sekä eheydestä ja muusta tietojen laatuunvaikuttavista tekijöistä -- .”Edellä on kiteytetty yhteen lauseeseen, mitä on tietoturvallisuus. Luvussa2.1., jossa määritellään tietoturvallisuus eri lähteiden mukaan, todetaan samaasia erilaisin sanankääntein. Julkisuuslain hyvän tiedonhallintatavanmääritelmä on kuitenkin jo itsessään riittävä määritelmä ja siitä olisikin hyvätehdä kunnan tietoturvallisuustoimintaa ohjaava lauseke.Arkistolaki määrittelee arkistolaitoksen sekä arkistotoimien tehtävät jaohjeistaa asiakirjojen laatimista, säilytystä ja käyttöä. Arkistolaitos onviranomainen, joka mm. ohjaamalla ja kehittämällä arkistotoimia huolehtiikansalliseen kulttuuriperintöön kuuluvien asiakirjojen säilyvyydestä sekäedistää asiakirjojen niiden tutkimuskäyttöä [Arkistolaitos, 2007]. Arkistotoimentehtävänä on lain mukaan varmistaa asiakirjojen käytettävyys ja säilyminen,huolehtia asiakirjoihin liittyvästä tietopalvelusta, määritellä asiakirjojensäilytysarvo ja hävittää tarpeeton aineisto [Arkistolaki, 1994].Arkistonmuodostajan on määrättävä tehtävien hoidon tuloksena kertyvienasiakirjojen säilytysajat ja -tavat sekä ylläpidettävä niistäarkistonmuodostussuunnitelmaa [Arkistolaki, 1994].Arkistonmuodostussuunnitelma on siis lakisääteinen dokumentti. Sitä voidaanhyödyntää arkistotoimen lisäksi myös muussa organisaation tietohallinnossa.Valtiovarainministeriön asettama valtionhallinnon tietoturvallisuudenjohtoryhmä, VAHTI, pyrkii edistämään julkishallinnon tietoturvallisuustyötäjulkaisemalla tietoturvaohjeita ja –määräyksiä.

51.3. Julkishallinnon ja yksityisen sektorin vertailuaOlemassa olevat tietoturvallisuuden hallintaan laaditut ohjeistot jastandardit on laadittu joko yksityisen sektorin tai valtionhallinnonnäkökulmasta. Valtionhallinto ja kunnallishallinto ovat kaksi toiminnaltaanerilaista julkishallinnon palvelusektoria. Valtionhallinnon suurissaorganisaatioissa on usein hyvin organisoitu tietohallinto, isommat resurssit jakapea-alaisemmat toimenkuvat kuin pienessä kuntaorganisaatiossa.Valtionhallinnolle laaditut tietoturvallisuussuositukset toimivat hyvänäviitteenä myös kuntaorganisaatioissa, mutta ovat liian raskaita jamonimutkaisia toteutettaviksi pienessä kunnallisorganisaatiossa. Pienessäkunnassa tai kaupungissa tietohallinto saattaa olla organisoimatonta ja vähinresurssein toteutettua. Tietohallintohenkilöstön työaika kuluu useinarkipäiväisten ongelmien, kuten kirjoitin- tai verkko-ongelmienratkaisemisessa. Kehittämistoimenpiteisiin ei jää juurikaan työaikaakäytettäväksi. Siksi kehittämistä tulee pystyä tekemään vähäisilläkinresursseilla kevyin menetelmin, jotta kehittämistyö ei jää kokonaanrutiinitöiden varjoon.Kuntatoimijoiden monialainen toiminta aiheuttaa omat haasteensa. Kunnatja kaupungit toimivat laaja-alaisessa ympäristössä: toimialoja on useita ja kaikkiovat hyvin erilaisia, mikä aiheuttaa sen, että esimerkiksi tietoturvallisuudenkehittämistä tulee tarkastella eri toimialojen omista tarpeista lähtien, jokaisestaerikseen. Tämä tarkoittaa toimialakohtaista kehittämisprosessia, aivan kutenSiponen [2007] toteaa yrityskohtaisista tietoturvapolitiikoista. Myös Björk[2001] korostaa kriittisenä menestystekijänä holistista lähestymistapaatietoturvallisuuden kehittämisessä.Tietoturvallisuuden hallintajärjestelmät ja –standardit pyrkivät vastaamaanyleisesti erilaisten organisaatioiden tarpeisiin. Kuitenkin esimerkiksi ISO/IEC17799:n tarkastelu osoittaa, että standardi on laadittu yksityisen sektorintarpeista lähtien. Esimerkiksi tietoturvapolitiikan määrittelyohjeissa puhutaanyritysjohdolle ja vedotaan liiketoimintastrategiaan. [SFS, 2006]. Toisaalta ISOstandardiensoveltaminen toiminnan laadun parantamisessa on yksityiselläsektorilla yleistä, mutta todennäköisesti vieraampi lähestymistapakehittämiseen julkishallinnossa, eritoten kunnissa. Standardeja ja ohjeistojatulisikin laatia myös kunnallishallinnon tietoturvallisuuden vaatimuksistalähtien. Yksityinen sektori ja julkinen sektori eroavat toisistaan suuresti.Tarkastelen näiden toimintasektorien eroavaisuuksia seuraavaksi.

6Private sectorPublic sectorCompetition (some) MonopolyMarket orientationJurisdictionMillion relationships Millions/ BillionrelationshipsHomogeneous product Huge number ofrange / controllable heterogeneous productsquantity(services) / uncontrollabledue to political decisionmakingPersonalizationSegmentation (Parento rule20 – 80)Budget / sunk costsLegacy systems (IT)Organization cultureLawsProfit orientation /maximizing the stakeholdervalue“One size fits all” approachSegmentation possible / notermination of unprofitablecustomersBudget / sunk costsLegacy systems (IT)Poor service imageOrganization cultureHuman recources (lack ofknowledge, salaries notcompeting with privatesector)LawsAccountability / FederalismPolitical influence (planningcycleDemocratic understanding/ philosophyTaulukko 1. Julkisen ja yksityisen sektorin vertailua[Schellong and Goethe, 2005, s. 329 ].Taulukossa 1 vertaillaan rinnakkain yksityistä sektoria ja julkista sektoriaasiakkuudenhallinnan näkökulmasta. Taulukosta voidaan löytäämerkittävimmät eroavaisuudet yksityisen sektorin ja julkisen sektorin välillä.Merkittävimpiä toimintaan vaikuttavia eroavaisuuksia ovat kilpailun merkitys,asiakassuhteiden määrä, markkinoiden vaikutus, toiminnan monialaisuus,palvelujen laatu, poliittiset taustavoimat ja lainsäädännön vaikutus. Yksityisenyrityksen tärkeimmät elinehdot ovat kilpailussa pärjääminen jamarkkinaorientaatio ja näiden seurauksena liikevoitto. Palvelujen ja tuotteidentulee olla laadukkaita, jotta kilpailussa voisi pärjätä. Eräänä keinonamarkkinoiden löytymisessä voi olla myös tuotteiden personointi.

7Julkishallinnossa puolestaan liikevoitto ei ole tavoitteena, vaan budjetissapysyminen ja lakisääteisten palvelujen tuottaminen. Laatu on tavoiteltava asia,mutta laatuvaatimukset eivät välttämättä aina täyty resurssien vähäisyydestäjohtuen. Palveluiden kirjo on laaja ja eri alojen asiantuntijoita pitää ollakäytettävissä, jotta palvelut toimisivat. Kunnallispolitiikka vaikuttaa taustallavahvasti ja perimmäisenä kunnallinen itsehallinto. Pääasiallisesti palveltavanaovat kaikki kuntalaiset sekä muut viranomaiset ja yhteisöt. Yksityinenorganisaatio voi segmentoida kuluttajat ja palvella vain yhtä segmenttiä niinhalutessaan.Tietoturvallisuuden kannalta yksityisen ja julkisen sektorin eroavaisuudettulevat esiin erilaisina tietoturvavaatimuksina. Julkishallinnossa korostuvattietosuoja, hyvä tiedonhallintatapa, asiakirjahallinto ja lainsäädännön tuomatsalassapitovelvoitteet. Yksityisellä sektorilla puolestaan korostuuliiketoimintatiedon, kuten tuotekehitystietojen suojaaminen, toki myös laintuomat velvoitteet esimerkiksi työntekijää koskevien tietojen tai asiakastietojensuojaamisesta. Yksityinen sektori toimii nykyisin jo laajasti verkossa tarjotenesimerkiksi sähköisen kaupan ratkaisuja, joissa on tärkeää huomioidatietoturvallisuus. Julkisorganisaatioista pienet kunnat ovat vastasuunnittelemassa hallinnon palveluiden tarjoamista verkossa.Julkishallinnon organisaatiot on hajautettu useisiin toimipisteisiin jatietoliikenneverkot voivat olla hyvin monimutkaisia. Tämä aiheuttaa haasteitatiedonsiirron tietoturvallisuudelle.Ulkoistaminen on julkishallinnossa lisääntynyt ja lisääntyy koko ajan.Ulkoistettujen toimintojen tietoturvallisuuden arviointi ja seuranta onhaasteellista ja siihen ei välttämättä ymmärretä kiinnittää tarpeeksi huomiota.Palvelujen saatavuuden ja helppokäyttöisyyden takaaminen puolestaan onmyös ongelmallista: operatiivisten valmisohjelmistojen ominaisuuksiinvaikuttaminen on äärimmäisen vaikeaa, samoin kuin ostettujen palvelujentoimivuuteen vaikuttaminen. Asiointipalveluita puolestaan tarjotaan kaikille;erikoistuminen yhteen kohderyhmään ei ole aina mahdollista.Edellä tarkastelen julksiorganisaatioiden ja yksityisen sektorinorganisaatioiden eroja ja niistä voidaan päätellä, että tietoturvatarpeissa onjonkin verran eroavaisuuksia organisaatioiden välillä. Siksi tietoturvallisuudenhallintaan kehitettyjä standardeja on osattava soveltaa kohdeorganisaationvaatimuksista lähtien. Olisikin perusteltua laatia kuntasektorille omattietoturvallisuusohjeistot ja –toimintamallit, jotka voidaan ottaa helpostikäyttöön ilman aikaavievää ja vaativaa standardiviidakon läpikäymistä jasoveltamista.

1.4. Tietoturvallisuuden tila kunnissa8Suomalaisen tietoturvallisuuden tilaa on tutkittu mm. Kansallisessatietoturvakatsauksessa [Viestintävirasto, 2002] ja JUHTA:n selvityksessätietoturvallisuuden hallinnollisten vastuiden selvittäminen [Juhta, 2003].Kansallinen tietoturvakatsaus on laadittu tueksi kansallisentietoturvallisuusstrategian kehittämistyölle. Katsauksessa todetaan, ettäkuntaorganisaatioissa tietoturvallisuuden tila vaihtelee suuresti. Katsauksessamainitaan tietoturvallisuuden kehittämisen tärkeinä osa-alueina mm.kuntasektorin valmiuksien kehittäminen ja riskien kartoituksen ja hallinnanedistäminen. [Viestintävirasto, 2002.] JUHTA:n julkaisussa kiinnitetään samoinhuomiota siihen, että johdon tietoisuutta tietoturvakysymyksissä tulisi lisätä, jaettä tietoturvapolitiikat puuttuvat usein, eli huomio kiinnittyyhallintatoimenpiteiden huonoon tilaan. Lisäksi em. julkaisussa painotetaantietoturvallisuuden osatekijöiden ymmärtämisen lisäämistä, ohjeistamista jakoulutusta sekä seurantaa. [Juhta, 2003].Kuvassa 2 on koottu Kansallisen tietoturvakatsauksen työryhmänkartoituksen perusteella erilaisten organisaatioiden vahvuudet ja heikkoudettietoturvallisuuden osalta. Kuva osoittaa, että vahvoja aktiviteettejakuntatasolta ei löydy, ja että tietoturvallisuustyötä tulee tehdä kunnissaerityisesti ohjeistamisessa, tietoisuuden lisäämisessä, koulutuksessa, kriittiseninfran suojaamisessa, seurannassa, riskien arvioinnissa ja hallinnassa sekäluottamuksen lisäämiseksi verkossa [Viestintävirasto, 2002]. Ohjeistaminen jakehittämisen koordinointi on todettu organisaatioiden heikoksi kohdaksi myösPorvarin [2004] tutkimuksessa.

9KäyttäjätKv. ja EUValtionhallintoKuntatasoYrityksetViranomainenKuntalainenKansalainenTyöntekijäKuluttajaYksityishenkilötKuva 2. Organisaatioiden vahvoja aktiviteetteja (pallot) ja tarpeitatietoturvallisuustyölle (kolmiot) [Viestintävirasto, 2002, s. 41].Tilanne on sen kaltainen, että kehittäminen on välttämätöntä ja siihentarvitaan apuvälineet, jotta kehittämistoimet ovat mahdollisia toteuttaavähäisinkin resurssein. Toisaalta nopea tietoyhteiskuntakehitys, tiedonkorvaamaton arvo toiminnalle ja tietoturvarikkomusten lisääntyminenaiheuttavat organisaatioille tietoturvallisuuden kehittämistarpeita.Tietoturvallisuus antaa myös mahdollisuuksia; esimerkiksi hallinnon sähköisenasioinnin saavuttamisessa ja siihen liittyvien riskien vähentämisessä taivälttämisessä [SFS, 2006].Tietoturvallisuuden hallinnan tutkimusta ei erityisesti suomalaisen kunnanhallinnon näkökulmasta, poislukien terveyspalvelut, toistaiseksi olemerkittävästi tehty. Yritysten tietoturvallisuuden kehittämiseksi on tehty mm.Teknillisessä Korkeakoulussa vuonna 2004 tutkimus, jossa on kehitettysamankaltaista prosessia kuin tässä tutkimuksessani [Porvari, 2004]. LisäksiOulun seudulla on ollut käynnissä ESR-rahoitteinen hanke, jossa on kehitettyyritysten osaamista tietoturvallisuudessa.Riskien hallintaa on ohjeistettu esimerkiksi Kuntaliiton verkkopalvelussa,mutta ohjeistus ei kata tietoriskien hallintaa. Lisäksi Valtiovarainministeriönasettama valtionhallinnon tietoturvallisuuden johtoryhmä, VAHTI, on laatinutvuodesta 2000 alkaen erilaisia tietoturvallisuutta koskevia ohjeita ja suosituksia

16Kuva 4. Tietojärjestelmätieteen tutkimuksen viitekehys [Hevner et. al., 2004, s.80].Kun tarve on määritelty, suoritetaan tutkimus (IS research). Tässäviitekehyksessä on otettu mukaan vaiheet kehittäminen (develop) ja oikeutus(justify) käyttäymistieteestä, jossa tavoitteena on totuus; sekä rakentaminen(build) ja arviointi (evaluate) suunnittelutieteestä, jossa tavoitteena onhyödyllisyys. Totuus ja hyödyllisyys ovat erottamattomat tavoitteet, jotkapalvelevat toinen toistaan. [Hevner et. al., 2004].Tietämyskanta (knowledge base) sisältää välineet perusteellisen tutkimuksentoteutukseen. Tietämyskanta koostuu perustasta (foundations) jametodologioista (methodologies). Aiempi tutkimus tarjoaa käyttöön mm.teorioita (theories), viitekehyksiä (frameworks), instrumentteja (instruments),malleja (models) ja metodeita (methods). Metodologiat tarjoavat suuntaviivattutkimuksen arviointiin. Perusteellisuus (rigor) saavutetaan olemassa olevaaperustaa ja metodologioita hyödyntämällä. [Hevner et. al., 2004].Tietojärjestelmätieteen tutkimuksen viitekehyksen siis muodostavattutkittava ympäristö, itse tutkimus sekä tutkimuksen tekoon vaadittavatietämyspohja. Tutkimuksen relevanssi taataan ympäristön tarkalla analyysillä,ja perusteellisuus aiemman tietämyspohjan kartoittamisella.

171.8. Tutkimusmetodina toimintatutkimusTämän tutkimuksen tutkimusote on siis suunnittelutieteellinen.Suunnittelutieteen metodeista tutkimukseni lähestymistavaksi olen valinnuttoimintatutkimuksen (action research) tapaukseeni soveltuvimpana.Toimintatutkimuksessa tarkoituksena on ratkaista erityyppisiä ongelmia,niin sosiaalisia, teknisiä kuin yhteiskunnallisiakin ongelmia [Kuula, 1999].Tietoturvallisuuden hallinnan kehittämisessä puututaan kaikkiin edellisessäluvussa esitetyssä viitekehyksessä mainittuihin ongelma-alueisiin. Etsitäänteknisiä ratkaisuja sekä ratkaisuja henkilöstön osaamiseen ja tietoisuuteen sekäorganisaation prosesseihin liittyviin tietoturvaongelmiin. Toimintatutkimus onerittäin käytännönläheistä tutkimusta.Toimintatutkimuksen toisena ominaispiirteenä on muutoksenaikaansaaminen organisaatiossa ottamalla prosessiin mukaan käytännöissätoimivat ihmiset [Kuula, 1999]. Toiminnan muutoksen tavoitteena onsuunniteltujen toiminnan uudistusten toimeenpano sekä työn tuottavuuden jatehokkuuden nostaminen. Tavoitteena voi olla myös tekniikan hyväksikäytöntehostaminen edellisten tavoitteiden savuttamiseksi. [Roukala, 1998].Tässä tutkimuksessa tavoitteena on muutoksen aikaansaaminentoiminnassa siten, että tietoturvallisuuden hallinta nähdään kokonaisuutena,sitä kehitetään jatkuvasti ja löydetään organisaatiolle sopivimmat mekanismittietoturvallisuuden toteuttamiseen. Muutoksen vieminen käytäntöön vaatiiaikaa ja todennäköisesti edessä on pitkä, ja tietenkin jatkuva, prosessi.Kolmantena asiana toimintatutkimuksessa korostuu tutkijan rooli. Tutkijaosallistuu tutkittavan organisaation toimintaan tutkijan tai konsultin roolissamuutosagenttina [Järvinen ja Järvinen, 2004]. Tutkija toimii avoimestiyhteistyössä tutkimuskohteensa kanssa ratkaisten yhteistä ongelmaa ja tutkijaon aktiivisesti osana tutkittavaa kohdetta Toimintatutkimuksessa tutkija ontutkimuksen tekijä, mutta myös muutostyöntekijä. On vaikea erottaa, mikä osatyöstä on tutkimusta ja mikä toimintaa. [Eskola ja Suoranta, 1996]. Toisaaltamuutoksen toteutuksessa on pohdittava sitä, missä määrin tutkijan pitää taitutkija saa aktiivisesti vaikuttaa prosessin kulkuun [Kuula, 1999].Kuula [1999] käy läpi teoksessaan Sorensenin [1992] toimintatutkijan neljäroolisukupolvea. Ensimmäisen sukupolven tutkija toimi tieteellisenäasiantuntijana ohjaten muutoskokeiluja ja soveltaen ja testatenorganisaatioteorioita. Tutkija ei itse ollut kovin aktiivisessa roolissa, vaanpikemminkin toimi sivustaseuraajana. Toisen sukupolven tutkija oli konsultinroolissa. Tutkija hallitsi tieteelliset teoriat ja menetelmät ja pystyi neuvomaan

18organisaatiota muutoksen toteutuksessa siten, että sekä demokratian, ettätuottavuuden tavoitteet toteutuvat. Kolmantena polvena pidetään ”tehkää itse–sukupolvea”. Tutkija ottaa tutkittavat aktiivisiksi osallistujiksimuutosprosessiin. Tutkija ei konsultoi juurikaan, vaan ohjaa organisaationjäsenet pohtimaan ongelmanratkaisua. Tutkijan asiantuntemus koskee lähinnäerilaisia kehittämismenetelmiä, kuten ryhmätyömenetelmiä. Neljännensukupolven tutkija välittää osallistujille moraalis-eettiset osallistumisen javuorovaikutuksen periaatteet. Menetelmänä ovat keskustelufoorumit, joistaoletetaan muotoutuvan uudenlaisia yhteistyökäytäntöjä ja työn organisointeja.[Kuula, 1999].Itse tunnistan oman roolini täyttävän osittain toisen sukupolven ja osittainkolmannen sukupolven tutkijan määritelmän. Toimin konsulttina, jonkatehtävänä on ollut hankkia tietämys aiheesta ja kehittämismenetelmistä.Organisaation jäsenten tietämys on erittäin tärkeä osa kehittämisprosessia,mutta tutkijana toimin silti aktiivisena keskustelujen ja ideariihien ohjaajana.Tämän olen kokenut tarpeelliseksi, koska organisaatiossa ei henkilöstöllä oleollut aikaa perehtyä aiheeseen ja aihetuntemus on suppeaa. Siksi keskusteluaon koko ajan ohjattava ja heille on opastettava, mistä on kysymys ja miksimikäkin asia käydään läpi. Toisaalta oma tehtäväni on kerätä tietoa, jostajohdetaan tietoturvallisuuden kehittämiseen tarvittava aineisto ja jäsentää tämätietämys organisaation hyödynnettäväksi.1.9. Tutkielman rakenneTässä tutkielmassa on johdanto-osa, jossa taustoitan tutkimusta käymällä läpitietoturvallisuuden nykytilannetta suomalaisessa kuntaorganisaatiossa sekäpohtimalla kuntaorganisaation erityispiirteiden ja nykytilanteen sekälainsäädännön aiheuttamia vaatimuksia tietoturvallisuuden hallinnalle.Johdannossa teen lisäksi selkoa valitsemastani tutkimusotteesta ja –metodista.Tutkimusote on suunnittelutieteellinen eli konstruktiivinen jatutkimusmetodina käytän toimintatutkimusta.Toisessa ja kolmannessa luvussa esittelen tutkimuksen teoreettisen janormatiivisen viitekehyksen. Viitekehyksessä käydään läpitietoturvallisuuskäsitettä sekä tietoturvallisuuden kahdeksan osa-alueen kauttaasiakirjahallintoa, tietoturvallisuuden hallinnan apuvälineitä ja normeja,tietoriskejä ja riskienhallintaa. Neljännessä luvussa esittelen tutkimuksenempiirisen osuuden, joka on implementoitu pienessä suomalaisessa

19kuntaorganisaatiossa. Esitän minkälainen toteutusmetodi on valittu ja miksisekä miten metodia on käytetty. Lukuun sisältyy analyyttinen näkökulma.Viidennessä luvussa esitän mallin pelkistettynä ja perustelen tehtyjä valintoja.Kuudes luku on yhteenvetoluku.

202. Tietoturvallisuuden hallinnan käsitteitä2.1. TietoturvallisuusTietoturvallisuuden (information security, INFOSEC, Information assurance (IA))määritelmissä korostuvat samat asiat kaikissa erilaisissa lähteissä. Tähänlukuun olen koonnut muutamia määritelmiä eri lähteistä. Tietoturvallisuudenosa-alueihin ja kategorioihin jakoa tarkastelen edelleen alaluvussa 2.4.Tietoturvallisuus tarkoittaa tiedon ja tietojärjestelmien suojaamistaluvattomalta pääsyltä, käytöltä, julkitulolta, häiriöiltä, muokkaukselta taihävittämiseltä, jotta voidaan taata tiedon eheys, luottamuksellisuus jakäytettävyys [Public Law, 2002]. VAHTI:n [Valtiovarainministeriö, 2003]tietoturvakäsitteistössä tietoturvallisuus määritellään tavoitetilaksi, jossa tiedot,tietojärjestelmät ja palvelut saavat asianmukaista suojaa niin, että niidenluottamuksellisuuteen, eheyteen ja käytettävyyteen kohdistuvat uhat eivätaiheuta merkittävää vahinkoa yhteiskunnalle ja sen jäsenille. Toisaaltatietoturvallisuudella voidaan tarkoittaa lainsäädäntöä sekä muita normeja jatoimenpiteitä, joiden avulla pyritään varmistamaan edellä määriteltytietoturvallisuus niin normaali- kuin poikkeusoloissa.VAHTI esittää tietoturvallisuuden jaon kahdeksaan osa-alueeseen. Samaajaottelua käyttävät myös mm. Paavilainen [1999], Haarmanen [1998]. Tässämielestäni erittäin kattavassa jaottelussa osa alueet ovat:1. käyttöturvallisuus2. tietoaineistoturvallisuus3. ohjelmistoturvallisuus4. laitteistoturvallisuus5. tietoliikenneturvallisuus6. fyysinen turvallisuus7. henkilöturvallisuus8. hallinnollinen turvallisuus

21Toisaalta jaottelussa on päällekkäisyyksiä. Esimerkiksi käyttöjärjestelmiävoidaan tarkastella osana ohjelmistoturvallisuutta tai osanalaitteistoturvallisuutta.Haarmanen [1998] jakaa tietoturvallisuuden edellisen lisäksi toimenpiteidentarkoituksen mukaano tietoaineiston turvallisuuteeno tietotekniikan turvallisuuteen jao tietojenkäsittelyn varmistamiseen.Haarmasen [1998] mukaan tietoturvallisuus koostuu näiden kaikkien alueidentarkoituksenmukaisesta, organisaation toimintojen tarpeet täyttävienturvallisuustoimenpiteiden yhdistämisestä. Turvallisuussuunnittelunkokonaistavoitteena on perusturvallisuuden luominen tietojenkäsittelyynliittyvien vahinkojen, väärinkäytösten ja häiriöiden välttämiseksi sekävarautuminen vakavien vauriotilanteiden aiheuttamien vahinkojenrajoittamiseen ja valmiuden luominen toiminnalle poikkeusoloissa.[Haarmanen, 1998].ISO/EEC 17799 –standardissa tietoturvallisuuden todetaan tarkoittavantiedon suojaamista monenlaisilta uhkilta tarkoituksena varmistaaliiketoiminnan jatkuvuus, minimoida liiketoiminnalliset riskit sekä maksimoidainvestoinneista ja liiketoiminnan mahdollisuuksista saatu tuotto. [SFS, 2006].Tässä määritelmässä korostuu vahvasti yksityisen sektorin liiketoiminnallinenja rahallisen tuottavuuden näkökulma. Toisaalta tietoturvallisuuden merkitysorganisaatiolle on standardin mukaan myös lakisääteisenvaatimuksenmukaisuuden saavuttamista, mikä on julkishallinnossa keskeinentehtävä. Tässä yhteydessä ISO/IEC 17799 –standardi kategorisoitietoturvallisuuden yhteentoista eri kategoriaan. [SFS, 2006].Tietoturvallisuus on tiedon perusominaisuuksien – eheyden,luottamuksellisuuden ja käytettävyyden – turvaamista erilaisin teknisin jahallinnollisin toimin. Se on osa jokapäiväistä toimintaa jaorganisaatiokulttuuria. Tietoturva tarjoaa keinoja ja toimintamalleja tietosuojanylläpitämiseen [Laaksonen et. al., 2006]. Laaksonen ja muut tuovat esiinrelevantin termin, tietosuoja, jonka ylläpitäminen on tietoturvallisuudenydintehtävä. Lisäksi sitä, että tietoturva on osa jokapäiväistä toimintaa, on hyväkorostaa, kuten tässä määritelmässä.Mainitsemisen arvioisena tietoturvallisuuden kehittäjänä pidän Donn B.Parkeria, johon mm. Puhakainen, Siponen ja Kajava viittaavat tiedonperusominaisuuksien - luottamuksellisuuden, eheyden ja käytettävyyden -määrittelijänä. Jo 1970- ja 1980-lukujen taitteessa Parker on julkaissut

22tietoturvallisuutta tarkastelevia teoksia kuten Crime By Computer ja ComputerSecurity Management. Vuonna 1983 Parker hahmotteli tietoturvallisuudenviitekehystä: ohjelmoitujen, fyysisten, proseduraalisten ja laitteistoillatoteutettujen tietoturvakontrollien lisäksi erittäin tärkeänä on otettava mukaaninhimilliset kontrollit. Kriittisinä kontrolleina Parker piti tuolloin mm. johdonja henkilöstön motivointia tietoturvalliseen toimintaan sekä tietoturvapolitiikanluomista ja tietoturvakoulutusta [Parker, 1983]. Voidaan todeta, että edelleen,vuonna 2007, samojen kontrollien huomioiminen tietoturvallisuustyössä onyksi suurimmista haasteista.Tietoturvallisuuden osatekijöitä organisaatiossa voidaan tarkastellatietojärjestelmätieteellisen viitekehyksen (kuva 4) mukaisesti: osatekijöitä ovatihmisiin, organisaatioon ja teknologiaan liittyvät tekijät. Samaa jaotteluakäyttää Kajava [2003], jonka mukaan tietoturvan kehittäminen tapahtuu näidenkolmen osatekijän tasapainoisella eteenpäin viemisellä. Kajava [2003] nimittäätätä kolmikkoa tietoturvallisuuden hallinnan strategiseksi kolmioksi.Boyce ja Jennings [2002] jakavat tietoturvan niinikään ihmisiin jateknologiaan. Kolmantena elementtinä he mainitsevat organisaation sijastaoperaatiot eli toiminnan. Puhakainen [2006] tarkastelee tietoturvallisuudenosatekijöitä Iivarin ja Hirscheimin esittämän jaottelun mukaan, jossa hetarkastelevat tietojärjestelmän roolia organisaatiossa. Rooli voi olla jokotekninen, sosiotekninen tai sosiaalinen. Puhakainen tarkastelee työssään mm.tietoturvatietoisuuden lähestymistapoja ja erottelee ne edellä mainitunjaottelun mukaisesti tekniseen, sosiotekniseen ja sosiaaliseen lähestymistapaan.Todellisuudessa kuitenkin tehokkain tarkastelutapa yhdistää kaikki erilaisetlähestymiskulmat, jotka on koottu taulukkoon 2.Parker [1983]Inhimillisetkontrollitohjelmoidut,fyysisetja laitteistoillatoteutetuttietoturvakontrollitProseduraalisetkontrollitTietojärjestelmätieteellinenviitekehys[Hevner et. al.,2004]Kajava[2003] Boyce &Jennings[2002]Puhakainen[2006]Ihmiset Ihmiset Ihmiset SosiaalinenlähestymistapaTeknologia Teknologia TeknologiaOrganisaa-tioOrganisaatioTekninenlähestymistapaOperaatiotSosiotekninen

23lähestymistapaTaulukko 2. Erilaisia tietoturvallisuuden osatekijöiden jaotteluja tailähestymistapoja.Tietoturvallisuutta ja tietoturvatietoisuutta on siis tarkasteltavaorganisaation ja ihmisen näkökulmista ja turvallisuutta edistetään teknisin jahallinnollisin kontrollein. Pelkkä tekninen tai sosiaalinen näkökulma ei riitä,vaan nämä on yhdistettävä sosiotekniseksi lähestymistavaksi, jossa kaikkinäkökulmat huomioidaan samanaikaisesti. Tietoturvallisuutta on painotettuehkä liikaakin teknologian näkökulmasta. Tietoturvallisuustoiminta onkuitenkin ihmisten jokapäiväistä toimintaa koskeva asia ja osaorganisaatiokulttuuria. Se on niiden kontrollien luomista, joilla ylläpidetääntietosuojaa ja edistetään hyvää tiedonhallintatapaa sekä turvataan tiedon jatietojärjestelmien luottamuksellisuus, eheys ja käytettävyys. Kontrollitkohdistuvat niin ihmisiin ja operaatioihin kuin teknologiaankin.Mielestäni edellä mainittujen jaottelun synteesistä saadaan kattavanäkökulma tietoturvallisuuteen. Sen lisäksi, että otetaan mukaan näkökulmatihminen, teknologia ja organisaatio, otetaan mukaan myös operaatiot omananäkökulmanaan. Operaatiot ovat kylläkin osa organsiaatiota, mutta koskaoperaatiot ovat niin keskeinen osa tietoturvallisuuden hallinnassa, näkisin senomana kokonaisuutenaan.2.2. TietoturvallisuusvaatimuksetTietoturvallisuustoiminnassa pyritään turvaamaan kolme keskeistä tiedonominaisuutta: luottamuksellisuus (confidentiality), eheys (integrity) jakäytettävyys (availability). Siponen kutsuu näitä ominaisuuksiatietoturvallisuusvaatimuksiksi [Siponen, 2002]. Tämä käsitekolmikko juontaailmeisesti juurensa Parkerin 1970- ja 1980-lukujen julkaisuista ja siihen viitataanlähes kaikissa tietoturvajulkaisuissa ja lainsäädännössä. Yhdysvalloissa vuonna2002 säädetyssä laissa Public Law 107–347 mainitaan nämä ominaisuudetyhteenkuuluvina tiedon ominaisuuksina. Myös Suomen lainsäädännössä,esimerkiksi laissa sosiaali- ja terveydenhuollon asiakastietojen sähköisestäkäsittelystä (159/2007), viitataan kyseisiin ominaisuuksiin, kuten myös hyväntiedonhallintatavan määritelmässä. Englanninkielisistä termeistä on johdettulyhenne CIA, jota käytetään viittaamaan näihin kolmeen tiedon ominaisuuteen.

24Varsinainen CIA-lyhenne on voinut saada alkunsa standardista ISO 17799 jasen edeltäjästä BS 7799, joissa sitä ainakin käytetään virallisesti. Neljäntenäominaisuutena tai vaatimuksena mainitaan joissakin lähteissä myöskiistämättömyys, mm. Siposen [2002] julkaisussa. Paavilainen [1999] onliittänyt kiistämättömyyden eheyden yhdeksi ulottuvuudeksi, kun taas Boyceja Jennings [2002] liittävät kiistämättömyyden (nonrepudiation) osaksiluottamuksellisuutta. Kiistämättömyydellä tarkoitetaan tietoverkossa erimenetelmin saatavaa varmuutta siitä, että tietty henkilö on lähettänyt tietynviestin (alkuperän kiistämättömyys), vastaanottanut tietyn viestin(luovutuksen kiistämättömyys), tai että tietty viesti tai tapahtuma on jätettykäsiteltäväksi [Valtiovarainministeriö, 2003c].Nämä kolme tiedon ominaisutta (CIA) edustavat tietoturvallisuusuhkienkoko kirjoa automatisoidussa ympäristössä ja ovat käyttökelpoiset kaikilleorganisaatioille, riippumatta siitä, miten organisaatiossa asennoidutaantiedonjakeluun. [Mc Cumber, 1994].Haarmanen lisää tietoturvavaatimuksiin edellä mainittujen lisäksi mm.lainsäädännön ja arkistointivaatimukset [Haarmanen, 1998]. Nämä vaatimuksetovat erittäin keskeiset julkishallinnossa.Edellä mainitut perusominaisuuksien turvaaminen on siistietoturvatoiminnan tavoittena. Olen koonnut seuraavassa eri lähteistäkoostetut perusominaisuuksien määritelmät.2.2.1. LuottamuksellisuusLuottamuksellisuudella varmistetaan, että tiedot ovat vain niiden henkilöidenja organisaatioiden saatavilla, jotka ovat oikeutettuja kyseiseen tietoon[Paavilainen, 1998]. Paavilaisen määritelmä luottamuksellisuudesta onyksinkertainen ja helposti tulkittavissa. Public Law [2002] määritteleeluottamuksellisuuden seuraavasti: Luottamuksellisuus tarkoittaa oikeutetunpääsyn turvaamista tai tiedon suojaamista julkitulolta sisältäen keinot suojatahenkilökohtaista yksityisyyttä (tietosuoja) ja tekijänoikeuksia. VAHTI:ntietoturvakäsitteistössä [Valtiovarainministeriö, 2003] luottamuksellisuusmääritellään tietojen säilymisenä luottamuksellisena ja tietoihin,tietojenkäsittelyyn ja tietoliikenteeseen kohdistuvien oikeuksien säilymisenävaarantumiselta ja loukkaukselta. Boycen ja Jenningsin [2002] julkaisussaluottamuksellisuudessa korostetaan tallennetun tiedon lisäksi kommunikoiduntiedon luottamuksellisuutta. Määritelmissä olennaista on tiettyjen henkilöiden

25oikeutus tietoon sekä tietosuojan ja tekijänoikeuksien turvaaminen sekä tiedonkäsitteen laajentaminen tallennetusta kommunikoituun tietoon.Luottamuksellisuuteen liittyy kiinteästi myös tiedon suojaustarpeenmäärittely. Tieto tulee luokitella siten, että organisaatiossa voidaan tunnistaaerityistä luottamuksellisuutta vaativa tieto-omaisuus. Tiedon luokitteluakäsitellään tarkemmin luvussa 2.4.2.3.2.2.2. EheysEheydellä turvataan tieto valtuudettomilta muutoksilta ja korjauksilta.Jokainen asiakirjalliseen tietoon tehtävä täydennys, lisäys tai poisto pitäädokumentoida ja olla jäljitettävissä tekijään. Eheys tarkoittaa tietojen taitietojärjestelmän aitoutta, väärentämättömyyttä, sisäistä riidattomuutta,kattavuutta, ajantasaisuutta, oikeellisuutta ja käyttökelpoisuutta. Eheys einiinkään koske sitä, kuka tiedon näkee, vaan sitä, kuka tietoon pääsee käsiksi.[Boyce and Jennings, 2002].Asiakirjallisten tietojen eheys voidaan jakaa:1. tekniseen, joka tarkoittaa, ettei asiakirja ole muuttunut tietoteknisessämielessä2. semanttiseen, joka tarkoittaa, että asiakirjan merkitys (tietosisältö) onsäilynyt samana. [Arkistolaitos, 2005].Paavilaisen [1999] mukaan tiedon eheys tarkoittaa sitä, että tiedot ovattotuuden mukaisia eivätkä muutu tai tuhoudu inhimillisen toiminnan,laitteisto- tai järjestelmävian tms. vuoksi. Eheysvaatimukseen liittyvät lisäksiominaisuudet alkuperäisyys, koskemattomuus ja kiistämättömyys.Mc Cumber [1994] pohtii tiedon eheyttä seuraavasti: ”Eheys on tiedonominaisuus, joka kertoo, miten hyvin tieto edustaa todellisuutta. Esimerkiksimiten hyvin ansioluettelosi kuvaa sinua? Eheyden määritelmään liittyvätlaajasti termit virheettömyys (accuracy), relevanssi (relevancy) ja täydellisyys(completeness).”Eheyden tarkistaminen ja ylläpitäminen on erittäin vaativa tehtävä ja siihenon vaikeaa luoda helppokäyttöiset kontrollit. Erityisesti tiedon määrän kasvuja tiedon kopioituminen aiheuttavat merkittäviä riskejä tiedon eheydelle.

262.2.3. KäytettävyysTässä tutkimuksessa tietoturvallisuusvaatimusta kuvaavasta termistäavailability käytetään suomenkielistä termiä käytettävyys. Eri lähteissä termistäkäytetään suomennosta saatavuus tai käytettävyys. Käytettävyys-termiä ei siistule sekoittaa vuorovaikutteisessa teknologiassa käytettyyn vastaavaan termiinusability (käytettävyys), jonka määrittely eroaa tietoturvavaatimuksissaesitetystä käytettävyys-määrittelystä.Käytettävyydellä tietoturvallisuudessa varmistetaan, että tieto,tietojärjestelmä tai palvelu on siihen oikeutetuille saatavilla ja hyödynnettävissähaluttuna aikana ja vaaditulla tavalla. Lisäksi käytettävyys tarkoittaa tiedon,järjestelmän tai palvelun helppokäyttöisyyttä. [Arkistolaitos, 2001].Käytettävyys koskee useimmiten fyysistä omaisuutta, kuten järjestelmiä javerkkoja, mutta tärkeässä osassa ovat myös prosessit ja proseduurit [Boyce andJennings, 2002]. Käytettävyyttä haittaavien katkosten aikana tarvitaan toimiviaja dokumentoituja toipumis- ja jatkuvuussuunnitelmia sekä hyvin suunniteltujaennakoivia proseduureja, kuten varmistusmenettelyt ja haittaohjelmientorjuntamenettelyt.Tietojärjestelmien helppokäyttöisyys on huomionarvioinen seikka:vaikeaan tai hitaasti toimivaan järjestelmään turhautunut käyttäjä käyttääherkästi järjestelmää väärin tai keskeyttää toiminnon, mistä aiheutuu mm.eheysrikkomuksia.2.3. Tietoturvallisuuden hallintaOinas-Kukkonen ja Siponen [2007] viittaavat tietoturvallisuuden hallinnallakeinoihin, joilla ylläpidetään turvallisia tietojärjestelmiä organisaatioissa,sisältäen mm. tietojärjestelmien suunnittelun ja arvioinnin. Mukaan lukeutuvatmyös toipumis- ja jatkuvuussuunnitelmat. Turvallisuuden kehittämisprosessiinpuolestaan liittyvät turvallisuusvaatimusten kerääminen, vaatimustenesittäminen ja vaatimuksiin vastaamisen keinot [Oinas-Kukkonen ja Siponen,2007]. Vaikka artikkelissa käsitellään lähinnä tietojärjestelmien turvallisuutta,sopii määrittely kaikkiin tietoturvallisuuden osa-alueisiin. Etenkin kuntietojärjestelmän ympäristö määritellään kuvassa 4 esitetyn

27tietojärjestelmätieteellisen viitekehyksen mukaan käsittäen ihmiset,organisaation ja teknologian.Valtiovarainministeriö määrittelee tietoturvallisuuden hallintajärjestelmänosaksi organisaation johtamisjärjestelmää. Se perustuu riskien arviointiin jahallintaan tarkoituksena suunnitella, toteuttaa, seurata, arvioida, ylläpitää jakehittää tietoturvallisuutta. Hallintajärjestelmä kattaa mm. politiikat, vastuut,menettelyt ja prosessit. [Valtiovarainministeriö, 2003b].Mikä on sitten tietoturvallisuuden hallintajärjestelmän jatietoturvallisuuden osa-alueen, hallinnollinen tietoturvallisuus, suhde toisiinsa?Hallinnollisen tietoturvallisuuden määritelmään katsotaan sisältyväntoimenpiteet, joissa päätetään tietoturvallisuuden suuntaviivoista japarantavista toimenpiteistä sekä toimintatavat, joilla pystytään välttämään jaestämään tietoturvariskit. Sisällöltään hallinnollisen turvallisuuden määritelmä(ks. luku 2.4.8.) on yhtä kuin tietoturvallisuuden hallintajärjestelmä, eli käsitteetnäyttävät olevan samansisältöiset. Jos tarkastellaan rinnakkainhallintajärjestelmän arviointikriteereitä ja hallinnollisen turvallisuudenkysymyslistaa, näyttää kyseessä tälläkin perusteella olevan sama asia.Hallintajärjestelmän (kuva 5) arvioinnissa [Valtiovarainministeriö, 2006a]kartoitetaan mm. vastuutukset, tietoturvapolitiikka, riskien hallinta, ohjeistus jakoulutus sekä sopimukset. Samoja asioita arvioidaan hallinnollistaturvallisuutta kartoitettaessa: vastuiden määrittely, riskien arviointi,tulosohjaus, ohjeistus, koulutus ja sopimukset [Valtiovarainministeriö, 2006b].Tietoturvallisuuden hallinnasta on olemassa muutamia hyviä standardeja jaohjeistoja, joista tärkeimpinä mainittakoon ISO/IEC 17799 sekä VAHTInohjeistot. Nämä standardit ja ohjeet luovat hyvät puitteettietoturvallisuustoiminnalle, mutta niiden soveltaminen vaatiiorganisaatiokohtaisen yksityiskohtaisemmin suunnitellun kehittämisprosessin.Tässä tutkimuksessa en käsittele kyseisiä standardeja yksityiskohtaisesti.Toisaalta standardien sisältö on, kuten aiemmin on todettu, puutteellinen, joshalutaan viedä koko hallinnan prosessi läpi menestyksekkäästi. Yhdenstandardin lukeminen ei riitä toiminnan tueksi, vaan standardin lisäksi onetsittävä muualta tietoa esimerkiksi riskianalyysin tekemisestä. Lisäksistandardit ovat yleistettyjä ohjeita, joita tulee soveltaa organisaatiokohtaisesti,jota työtä olen tehnyt tässä tutkimuksessa.

28Kuva 5. Tietoturvallisuuden hallintajärjestelmä [Valtiovarainministeriö, 2006a,s. 20].Tietoturvallisuuden hallinnan vaatimukset organisaatiossa saadaan selvillekartoittamalla ympäristökohtaiset tietoturvallisuusvaatimukset, kutenlainsäädäntö sekä organisaatiolle tärkeä tieto-omaisuus ja luokittelemalla.Tämän jälkeen tehdään uhkien kartoitus ja riskianalyysi, joista saadaan osavaatimuksista. Näiden vaatimusten perusteella voidaan valita organisaatiollesopivat tietoturvakontrollit ja laatia tietoturvatyötä koskevat suunnitelmat jaohjeet. Tämä on tietoturvallisuuden hallinnan prosessi kiteytettynä ja näin seon toteutettu myös tämän tutkimuksen kohdeorganisaatiossa.2.3.1. Tietoturvallisuuden hallinnan organisointi kunnassaTietoturvallisuuden hallinta on osa organisaation turvallisuusjohtamista, johonlukeutuvat lisäksi esimerkiksi ympäristöturvallisuus ja työturvallisuus.Turvallisuusasioiden hallintajärjestelmän tulisi sisältää tietyt elementit:tarvittavat järjestelmäelementit, johtamispiirteet ja laatujärjestelmäpiirteet.Näillä tarkoitetaan ennen kaikkea sitä, että asiat on ohjeistettu ja ohjeet ovatajantasaisia, ja että ohjeet ovat osa organisaation dokumenttienhallintaa.Turvallisuusasioiden hallintajärjestelmä muodostaa kokonaisuuden, johon

29kuuluvat ohjedokumentit, turvallisuusoppaat, koulutusmateriaalit,turvaluokitukset sekä lainsäädäntö ym. turvallisuusmenettelyjä koskevatjulkaisut. Niiden pitää muodostaa selkeä kokonaisuus, josta vastaamaan onnimetty vastuuhenkilöt. Kaikkien turvallisuusasioiden hoitaminen onorganisaation johdon vastuulla. [Kerko, 2001].Tietoturvallisuuden arviointi on myös osa organisaation sisäistätarkastustoimintaa. Sisäinen tarkastus voidaan määritellä seuraavasti:”Sisäinen tarkastus on riippumatonta ja objektiivista arviointi-,varmistus ja konsultointitoimintaa, joka on luotu tuottamaanlisäarvoa organisaatiolle ja parantamaan sen toimintaa. Sisäinentarkastus tukee organisaatiota sen tavoitteiden saavuttamisessatarjoamalla järjestelmällisen lähestymistavan organisaationriskienhallinta-, valvonta- sekä johtamis- ja hallintoprosessientehokkuuden arviointiin ja kehittämiseen.” [Kuuluvainen, 2006].Kuntalain 23 §:n [Kuntalaki, 1995] mukaan kunnanhallitus vastaa kunnanhallinnosta ja taloudenhoidosta sekä valtuuston päätösten valmistelusta,täytäntöönpanosta ja laillisuuden valvonnasta. Kunnanhallitus valvoo kunnanetua ja, jollei johtosäännössä toisin määrätä, edustaa kuntaa ja käyttää senpuhevaltaa. Vaikka kyseisessä laissa ei olekaan määritelty yksiselitteisestisiäsisen valvonnan järjestämistä, merkitsee 23 §:n säädös Lappalaisen [2006]mukaan sitä, että kunnan sisäisen valvonnan järjestämisvastuu onkunnanhallituksella ja toteuttamis- ja valvontavastuu kunnanjohtajalla.Tilintarkastuksen tehtävä taas on tarkastaa, onko sisäinen valvonta järjestettyasianmukaisesti. Kunnan toimielin vastaa johtamastaan toiminnasta jatavoitteiden saavuttamisesta, kun taas johtava viranhaltija järjestää vastuullaanolevan toiminnan tehokkaasti, päämäärätietoisesti ja tavoitteet saavuttavasti.Esimiehet johtavat vastuualueitaan ja toteuttavat valvontaa. [Lappalainen,2006]. Henkilöstön vastuulle jää ohjeiden ja säädösten noudattaminen omissatyötehtävissään. Edellä mainitusta vastuunjaosta voidaan muodostaavastuukartta (kuva 6).

30Kuva 6. Sisäisen valvonnan vastuut.Tämän vastuukartan mukaisesti tulisi tietoturvallisuuden hallintavastuutorganisoida kunnassa, mutta sen avulla voidaan tietoturvallisuutta myösohjeistaa laatimalla kyseisille kohderyhmille räätälöidyt ohjeistukset.2.4. Tietoriskit ja riskien hallintaRiskien hallinnasta on olemassa runsaasti kirjallisuutta. Tässä luvussakäsitellään riskien hallintaa tätä tutkimusta palvelevasta näkökulmasta.Tutustutaan tietoriskin käsitteeseen sekä riskien hallinnan hyödyllisiinmenetelmiin, joita käytetään tutkimuksen empiirisessä toteutuksessa.

312.4.1. Tietoriskin määrittelyäTurvallisuutta käsittelevässä kirjallisuudessa käytettyjen riski- ja uhka -käsitteiden käyttö voi vaikuttaa sekavalta. Sama asia tai ilmiö voi olla otsikonuhka tai riski alla.Uhka tarkoittaa yleensä asiaa tai tapahtumaa, joka aiheuttaa tai on aikeissaaiheuttaa haittaa tai vahinkoa jollekin tai jollekulle. Riski puolestaan onpotentiaalinen tapahtuma, jolla on negatiivinen vaikutus liiketoimintaan.[Peltier, 2001]. Toisin sanoen uhka muuttuu riskiksi, kun sen tapahtuminen ontodennäköistä ja vahingollista. Riskityyppejä on useita, joista yksi on tietoriski.Muita riskityyppejä ovat esimerkiksi omaisuusriskit ja vastuuriskit [Suominen,2003]. Riskien tyypittely on ongelmallista, koska usein tyypittelyistä tuleepäällekkäisiä. Esimerkiksi tietoverkon rikkoutuminen on sekä tietoriski ettäomaisuusriski.Porvari luonnehtii tietoriskejä “piiloriskeiksi”, jotka voidaan tunnistaa vainjärjestelmällisen kartoituksen tuloksena. Tunnistamattomien riskien hallinta onvaikeaa ja siksi tietoriskit tulee kartoittaa systemaattisesti. Tietoriskeistäkorostuvat tietokonevirukset, palvelunestohyökkäykset ja tietomurrot; muutriskilajit ovat jääneet taka-alalle. [Porvari, 2004].Riskit on tunnistettava organisaatiokohtaisesti, koska jokaisellaorganisaatiolla on omanlaisensa liiketoimintamallit, tavoitteet ja kulttuuri;toisin sanoen jokin asia tai tapahtuma voi olla toiselle organisaatiolle riski jatoiselle puolestaan mahdollisuus [Calder, 2007].Tietoriski syntyy tiedon ja sen merkityksen sekä tiedon paljastumis-,muuttumis- tai käytettävyysuhan yhdistelmästä [Wirman, 2006]. VAHTInmukaan tietoriski on tilanne, jolloin tieto tai tietojärjestelmä ei ole käytettävissä,tieto on muuttunut jonkin tapahtuman kautta tai tieto on päätynytulkopuolisten haltuun. Riskejä voivat aiheuttaa ihmiset, tekniset viat taisääilmiöt. [Valtiovarainministeriö, 2003]. Kovacich [2003] jakaa uhat kahteenkategoriaan: luonnon aiheuttamiin ja ihmisten aiheuttamiin. Kolmas termi, jotahän käyttää on haavoittuvuus (vulnerability), jolla hän näyttää viittaavankäytettyihin tekniikoihin. Haavoittuvuus voi olla virusohjelman taipääsynvalvonnan puuttuminen [Kovacich, 2003]. Riskin Kovacich [2003]puolestaan määrittelee mahdollisuudeksi, että uhka toteutuu haavoittuvuudentakia.Tässä tutkimuksessa uhka määritellään tunnistetuksi tapahtumaksi, jokavoi aiheuttaa riskin. Riski puolestaan on toteutumiseltaan todennäköinen uhka.Termiä haavoittuvuus ei käytetä tässä yhteydessä lainkaan, koska uhkiin

32otetaan mukaan tekniset viat. Määritelmäni siis noudattaa VAHTInmäärittelyä.Tarvitaan systemaattista tietoriskien arviointia ja sitä kautta voidaan tarttuayleisimpiin tietoturvaongelmiin, joista Johdanto-luvussa tunnistettiin isoimpinahallinnolliseen turvallisuuteen ja henkilöstöturvallisuuteen liittyviä riskejä.Tärkeimmät kysymykset, joihin etsitään vastauksia ovat: (1) mitä tietoakäsitellään? (2) mikä tietoa saattaisi uhata? (3) miten tietoon liittyvä mahdollistariskiä tulisi hallita eri keinoin [Wirman, 2006]?2.4.2. Riskien hallintaSäännöllinen riskien tarkastelu on tietoturvallisuuden hallinnan normaalitoimenpide, jossa kiinnitetään huomiota toiminnan vaatimuksiin jatärkeysjärjestyksiin. Yleensä riskianalyyseja käytetään kokonaistentietojärjestelmien tai palvelujen arvioinnissa, mutta analyysi voidaan kohdistaamyös järjestelmän yksittäiseen komponenttiin tai palveluun, jos se onkäytännöllistä, realistista ja hyödyllistä. [Kajava, 2003].Riskien hallinnan (risk management) prosessiin kuuluvat Boycen jaJenningsin [2002] mukaan seuraavat vaiheet: riskien analyysi ja vaikutustenarviointi, suojamekanismien valinta, tulosten arviointi ja korjaavat toimenpiteettarvittaessa. Peltier [2001]puhuu riskianalyysistä (risk analysis) ja määritteleesen vaiheiksi omaisuuden tunnistamisen, omaisuuteen kohdistuvien uhkientunnistamisen, riskien vaikutusten arvioinnin, suojamekanismien valinnan jaseurannan. Kyrölä puolestaan nimeää samaisen prosessin riskikartoitukseksi,joka sisältää seuraavat tehtävät: mahdollisten tietoriskien ja yllättävientilanteiden tunnistaminen ja vaikutusten ja menetysten analysointi sekänykyisten suojausmekanismien riittävyyden ja kehittämistarpeidentunnistaminen. VAHTI [Valtiovarainministeriö, 2003a] määrittelee riskienhallinnan päävaiheittain:1. Uhkien tunnistaminen ja niiden merkityksen arviointi eli riskianalyysi2. Riskien torjunnan suunnittelu ja toimenpiteiden valinta3. Valmius- ja toipumissuunnittelu4. Seuranta.Riskien hallinta, riskien arviointi ja riskianalyysi näyttävät olevan käsitteitä,joita käytetään toisinaan eri merkityksissä ja niiden suhde toisiinsa vaihtelee.

337.Riskien hallinnan alakäsitteiden eräs hierarkia on hyvin nähtävissä kuvassaKuva 7. Riskien hallinnan osa-alueet [Sosiaali- ja terveysministeriö, 2003, s.4].Tässä tutkimuksessa riskianalyysillä tarkoitetaan uhkien tunnistamista jariskien merkittävyydestä päättämistä sekä näistä vaiheista saatujen tulostenperusteella esitettyä riskikarttaa. Tämä on riskien arviointivaihetta. Riskienhallinta on näiden kahden edellä mainitun vaiheen yläkäsite ja siihen sisältyyedellisten lisäksi suojamekanismeista päättäminen.Riskien hallinnassa lähtökohdaksi on otettava organisaation toiminnankehittäminen, kuten toimintatapojen, osaamisen ja johtamisen kehittäminen.Sen jälkeen tulevat tekniset suojamekanismit. [Valtiovarainministeriö, 2003].Myös Aarnio sanoo haastattelussa, että tietojen käsittely ei ole vain tekniikkaa;se on suuressa määrin oikeus-, koulutus-, suunnittelu- ja käyttökysymys.Tietosuoja tulee integroida organisaation kaikkeet toimintaan. [Sipola, 2006].2.4.3. Uhkien tunnistaminenUhkat riippuvat mm. siitä, missä organisaatio sijaitsee maantieteellisesti ja mikäon sen toiminta-alue. Aiemmin mainittiin, että riskejä voivat aiheuttaa ihmiset,

34tekniset viat tai sääilmiöt. [Valtiovarainministeriö, 2003]. Koska riski ontoteutunut uhka, on uhkia tunnistettaessa lähtökohtaisesti siis tarkasteltavaihmisten, tekniikan tai sääilmiöiden aiheuttamia tapahtumia.Uhkatekijät voivat olla entuudestaan tuttuja, jolloin niiden selvittäminen onhelppoa. Vaikeampaa on tunnistaa sellaisia uhkia, jotka eivät ole ennestääntiedossa.Uhkia voidaan tunnistaa skenaarioanalyysi-tekniikalla. Siinä muodostetaanpieniä sanallisia kertomuksia eli skenaarioita, joissa kuvataan erilaisiauhkatilanteita. Tämän jälkeen organisaation johto hylkää tai hyväksyy ne.Prosessin lopputuloksena on löydetty käyttökelpoisimmat skenaariot, joistakootaan uhkat. [Miettinen ja Kajava, 1994].Potentiaalisten ongelmien analyysilla voidaan myös tunnistaa uhat. Tässämenetelmässä ideoidaan esimerkiksi aivoriihessä kohteen onnettomuusvaarojaja luokitellaan ne. [VTT, 2007]. Tässä tutkimuksessa on käytetty kyseistämenetelmää, koska se on suoraviivaisempi ja nopeampi toteuttaa kuinesimerkiksi skenaarioanalyysi.Uhkien tunnistamisessa voidaan käyttää olemassa oleviaavainsanaluetteloita, joita löytyy useimmista riskianalyyseja käsittelevistäjulkaisuista. Luettelot voivat olla otsikon uhka tai riski alla. Taulukossa 3 onyksi esimerkkiotos tällaisesta listasta.KohdeIlmiöt, ongelmatIhmiset- Sairaana – Huolimattomuus – Stressi– Rikos – Loppuunpalaminen – Kiire –Ei paikalla – Virheet – Osaaminen –Kielitaito – Toimintaohjeet –Skandaali – Moraali – Viina –Koulutus - LakkoIlmasto, sää Sade – Vesi – Tulva – Lumi – Jää –Routa – Pakkanen – Helle – Aurinko –Ukkonen – SalamaMuut Palo – Räjähdys – Vuoto – Säteily –Sähköisku – Melu - TärinäTuotantoprosessi Käyttöhäiriö – Keskeytyminen –Kunto – Tuotteen laatu –Rikkoutuminen – Väärinkäyttö –KapasiteettiTiedonkulku ja tiedonhallinta Ymmärtäminen – Luottamuksellisuus– Tärkeät tiedot – Konsultit –InsinöörikieliTaulukko 3. Osa yleisestä avainsanaluettelosta. Muokattu lähteestä [PK-RH –hanke, 2000].

352.4.4. Riskien arviointiJotta riskien merkittävyyttä voitaisiin vertailla, on arvioitava uhkantodennäköisyyttä sekä sen toteutuessaan aiheuttaman vahingon suuruutta.Riski on yhtä kuin näiden yhdistelmä. On käytännöllistä antaa riskillelukuarvo, jotta voidaan tunnistaa avainriskit ja vertailla riskien suuruutta.Suominen [2003]esittää menetelmäksi riskitulon: Riskitulo on suure, joka kuvaariskien suuruutta ja parantaa niiden vertailtavuutta. Riskituloon tuleesuhtautua kuitenkin myös kriittisesti; esimerkiksi katastrofaalisen riskin, kutentulipalon, merkittävyyttä ei välttämättä voida arvioida tämän suureen avulla[Suominen, 2003]. Riskitulo saadaan kertomalla keskenään uhkantodennäköisyys- ja vahinkovaikutusluvut. Peltier puolestaan laskee nämä luvutyhteen.Uhkan todennäköisyyttä voidaan arvioida esimerkiksi taulukossa 4esitetyillä arvoilla.Riskin esiintyminen Kerroin TodennäköisyysKerran 100 vuodessa 0,01 EpätodennäköinenKerran 25 vuodessa 0,04 EpätodennäköinenKerran 5 vuodessa 0,20 EpätodennäköinenKerran 2 vuodessa 0,50 MahdollinenVuosittain 1,0 MahdollinenKaksi kertaa vuodessa 2,0 MahdollinenKuusi kertaa vuodessa 6,0 MahdollinenKerran kuussa 12,0 TodennäköinenKerran viikossa 52,0 TodennäköinenKerran päivässä 365,0 TodennäköinenTaulukko 4. Uhkan todennäköisyyslukuja [Peltier, 2001, s.16].Taulukossa kertoimeksi tulee luku väliltä 0 – 365 ja luku voidaan johtaasuoraan arvioidusta uhkan toteutumistiheydestä: kerran viikossa toteutuvaksiarvioitu uhka siis toteutuu 52 kertaa vuodessa ja kerroin on tällöin 52.Todennäköisyysluvuksi voidaan myös antaa esimerkiksi luku väliltä 1 – 5.Luvut voidaan tulkita seuraavasti: 1 – äärimmäisen harvinainen, 2 –harvinainen, 3 – melko harvinainen, 4 – melko todennäköinen, 5 – erittäintodennäköinen [Suominen, 2003].

36Lisäksi tarvitaan vahingon suuruutta kuvaava luku, jotta voidaan laskeariskitulo tai riskilukujen summa. Vahingon suuruutta arvioidaan esimerkiksilukuasteikolla 1 – 5, jolloin luvut tarkoittavat seuraavaa: 1 – mitätön vahinko, 2– vähäinen vahinko, 3 – tuntuva vahinko, 4 – suuri vahinko, 5 –katastrofivahinko [Suominen, 2003].Kun uhkan todennäköisyys ja vahinkoseuraamukset on arvioitu voidaanriskiluvun laskemisen sijasta asettaa tapahtuma alla esitettyynristiintaulukkoon (taulukko 5), jossa on käytössä kolmiarvoiset määritelmät.Riskin sanallinen määritelmä kertoo tällöin, minkälaisesta riskistä on kysymys.Tapahtuman seurauksetTapahtumantodennäköisyys Vähäiset (1) Haitalliset (2) Vakavat (3)Epätodennäköinen(1)MerkityksetönriskiVähäinen riskiKohtalainen riskiMahdollinen(2)Vähäinen riski Kohtalainen riski Merkittävä riskiTodennäköinen(3)Kohtalainen riski Merkittävä riski Sietämätön riskiTaulukko 5. Riskien arviointitaulukko. Muokattu lähteestä [PK-RH -hanke,2000].Peltier [2001] korostaa, että uhkia kartoitettaessa tulee myös määritellälöydetyt uhat sanallisesti, jotta analyysin lukija tietää, mitä löydetyillä uhkilla jariskeillä tarkoitetaan. Esimerkiksi julkitulo voidaan määritellä seuraavasti:arkaluonteisen tiedon julki tuleminen ennenaikaisesti tai luvatta [Peltier, 2001].

373. Tietoturvallisuuden osa-alueetTietoturvallisuuskäsitettä on pyritty selkeyttämään jakamalla tietoturvallisuusosa-alueisiin tai kategorioihin. Karkean jaottelun esittelin jo luvussa 2.1., jossatotean tietoturvallisuuden osatekijöiksi ihmiset, teknologian ja organisaationsisältäen operaatiot. Tämä kolmijako viittaa tietoturvallisuudenlähestymiskulmiin ja se voidaan pilkkoa hienojakoisemmaksi kategorisoinniksi,jotta tietoturvallisuuden yksityiskohtaisimmatkin tekijät pystytään helpomminottamaan huomioon tietoturvatyössä. Tietoturvallisuuden nykytilanne onyksinkertaisinta kartoittaa osa-alueittain tehtävin auditoinnein.Tietoturvallisuus jaetaan usein kahdeksaan osa-alueeseen kuvan 8mukaisesti. VAHTIn [Valtiovarainministeriö, 2006b] ohjeessaTietoturvallisuuden arviointi valtionhallinnossa on liitteenä tarkistuslistat eriosa-alueiden arviointiin, joita on käytetty tämän tutkimuksen empiriankeräämisessä.Seuraavissa alaluvuissa käydään läpi eri osa-alueiden sisältöjä. Teknisiä jaehkä tunnetumpia osa-alueita, kuten ohjelmisto-, käyttö-, laitteisto-,tietoliikenne- ja fyysinen turvallisuus, on käsitelty suppeammin, koska niidenosalta tietoturvallisuus on usein helpommin ymmärrettävissä ja niidenmääritelmät ovat suhteellisen selkeitä. Toisaalta tässä tutkimuksessa ei oletarkoitus keskittyä yksittäisten osa-alueiden tarkasteluun. Hallinnolliseen jatietoaineistoturvallisuuteen olen ottanut mukaan tärkeitä tietoturvallisuudenhallintaan liittyviä seikkoja, jotka ovat tutkimukseni kannalta keskeisiä.

38Hallinnollinen turvallisuusHenkilöturvallisuusFyysinen turvallisuusTietoliikenneturvallisTietoaineistoturvallisuusKäyttöturvallisuusLaitteistoturvallisuusOhjelmisto-turvallisuusKuva 8. Tietoturvallisuuden osa-alueet [Paavilainen, 1999].3.1. KäyttöturvallisuusKuvan 8 keskellä on neljä osa-aluetta, joiden ympärille muodostuu viitekehysneljästä muusta osa-alueesta. Keskiössä oleva käyttöturvallisuus koskettaa sekätietoaineisto-, laitteisto- että ohjelmistoturvallisuuden alueita.Käyttöturvallisuus sisältää käyttöperiaatteet, käyttöympäristön,tietojenkäsittelytapahtumien valvonnan ja jatkuvuuden turvaamisen. Osittainnämä asiat voivat olla päällekkäisiä jonkin toisen osa-alueen kanssa, kutenkuvasta käy ilmi eri renkaiden limittymisenä. Paavilainen [1999] sijoittaakäyttöturvallisuuden osa-alueelle käyttöympäristön ylläpidon, lokitiedostojenkäyttämisen valvonnan apuna sekä pääsynvalvonnan ja jatkuvuudenturvaamisen.

393.2. TietoaineistoturvallisuusTietoaineistoturvallisuus on erittäin keskeinen turvallisuuden osa-alue, jokakunnassa koskettaa läheisesti asiakirjahallintoa ja arkistotointa. Se käsittää sekäsähköisten- että paperiasiakirjojen ja muiden tietoaineistojen käytettävyyden,eheyden ja luottamuksellisuuden [Valtiovarainministeriö, 2006b].Tietoaineiston turvaamisen keinoina ovat mm. tietoaineistojen tunnistaminen,luokittelu ja luettelointi sekä käsittelyprosessien hyvä hallinta tiedon elinkaareneri vaiheissa. Tässä yhteydessä käsittelen tietoaineistoturvallisuuteen liittyviätoimintoja melko yksityiskohtaisesti, koska siihen kuuluvat toiminnot tietojentunnistaminen ja luokittelu ovat tietoturvallisuuden hallinnan ja vaatimustenkeräämisen peruslähtökohtia.Tietoaineistoturvallisuutta tarkasteltaessa tulee ottaa huomioon useita erilakeja, jotka säätelevät kunnan toimintaa. Esimerkiksi henkilötietolaissa[Henkilötietolaki, 1999] ja arkistolaissa [Arkistolaki, 1994] on useita eri kohtia,joiden noudattamista kunnassa tulee arvioida - kuten säädöksethenkilörekisteriselosteista ja arkistonmuodostussuunnitelmasta.3.2.1. Tiedon elinkaari ja tiedon käsittelyprosessiAsiakirjallisen tiedon elinkaari alkaa siitä, kun tieto laaditaan taivastaanotetaan ja elinkaari päättyy erilaisten käsittelyvaiheiden jälkeen jokotiedon hävittämiseen sille määritellyn säilytysajan umpeuduttua tai tiedonpysyvään säilyttämiseen. Asiakirjallisen tiedon säilytysmuoto ja -paikka voivatmuuttua elinkaaren aikana: sähköisistä järjestelmistä saatetaan tulostaa tietojapaperille tai tallentaa eri tallennusvälineille. Tiedon käsittelyprosessi saadaanselville organisaation tehtävien prosessikuvauksista ja niihin kirjatuistatiedoista ja asiakirjoista. Hyvä tiedonhallintatapa edellyttää, että tärkeättehtävät on kuvattu ja dokumentoitu. [Arkistolaitos, 2005b].Tiedon muutos tallennettavasta muodosta toiseen aiheuttaa riskejä, koskatieto ensinnäkin kopioituu ja toiseksi vanhan tallenteen käsittelyyn ei ehkä enääkiinnitetä tarpeeksi huomiota. Kolmanneksi jokainen kopiointitapahtuma lisäätietoturvariskiä, koska suojattavien kohteiden määrä kasvaa kopioitaessa.[Paavilainen, 1999].

40Tietoturvariskit ovat suurimpia elinkaaren alussa ja lopussa (kuva 9).Tiedon hyväksikäytön aikana tietoturva on yleensä hoidettu paremmin[Paavilainen, 1999].Kuva 9. Tiedon elinkaari [Paavilainen, 1999].Tiedon luottamuksellisuus saattaa muuttua tiedon elinkaaren aikana:esimerkiksi tietoa käsiteltäessä tieto voi olla luottamuksellista (kutentilinpäätöstiedot) ja julkaisuvaiheessa tieto saattaakin muuttua julkiseksi[Kyrölä, 2001].Tietojen käsittelyn laajuus käy hyvin ilmi, kun pohditaan seuraaviakysymyksiä:o Mitkä tiedot ovat tärkeitä tai kriittisiä tai muuten suojattavia?o Missä olomuodoissa tietoja on?o Ketkä kaikki tietävät asioista?o Keillä ja missä tiedoista on asiakirjoja?o Missä tietoja on sähköisenä: Keillä henkilöillä niitä on työasemien taikannettavien tietokoneiden kovalevyillä tai muilla tietovälineillä?Millä toimiston palvelimella tai muulla tietovälineellä?o Keillä sidosryhmillä tietoja on? [Kyrölä, 2001].Kunnan asiakirjahallinnon ja arkistotoimen on oltava tietohallinnon kanssakiinteästi yhteistyössä tietoturvallisuuden kehittämisessä. Asiakirjan elinkaartahallitaan ja ohjeistetaan asiakirjahallinnossa ja arkistotoimessa. Tietojenkäsittelyprosessit sähköisissä järjestelmissä ovat puolestaan tietohallinnon

41vastuualuetta. Myös muiden kuin vain tietojenkäsittelyprosessienprosessikuvaukset on käytävä läpi tiedon elinkaarta analysoitaessa.3.2.2. Tieto-omaisuuden tunnistaminen / tiedon auditointiOrganisaation tieto-omaisuus (information assets) tulee tunnistaa, jotta voidaantehdä tähän omaisuuteen kohdistuvien riskien analyysi [Boyce and Jennings,2002]. Tunnistetusta tieto-omaisuudesta tulee löytää se tieto-omaisuus, joka onkriittisintä ja haavoittuvinta ja tämän jälkeen päätetään tiedonsuojaamiskeinoista [Moeller, 2007]. Tietoon liitettävää omaisuutta onorganisaatiossa olemassa hyvin erityyppisenä. Suojattavia kohteita voivat olla:a) tieto: tietokantoina ja tiedostoina, sopimuksina, dokumentaatioina,tutkimustietona, ohjeistoja koulutusmateriaaleina, suunnitelmina,tehtäväkuvauksina sekä arkistoituna informaationab) ohjelmistot: sovellusohjelmistot, järjestelmäohjelmistot, kehitystyökalutja apuohjelmatc) fyysiset kohteet: laitteistot, siirrettävät tietovälineet ja oheislaitteistotd) palvelut: tietojenkäsittely- ja tietoliikennepalvelut, yleishyödyllisetpalvelut, esim. lämmitys, valaistus, energia ja ilmastointie) ihmiset ja heidän pätevyytensä, taitonsa ja kokemuksensaf) aineettomat asiat, kuten organisaation maine ja imago [SFS, 2006].Peltier [2001] jakaa tieto-omaisuuden kolmella tavalla. Hänen mukaansayleensä kiinnitetään liikaa huomioita vain fyysiseen omaisuuteen. [Peltier,2001].:1) fyysinen tieto-omaisuus, jonka voi nähdä, ja looginen tieto-omaisuus,joka on organisaation intellektuaalista omaisuutta2) ihmiset, fyysinen omaisuus ja ympäristö, televiestintä, laitteistot,ohjelmistot ja data tai informaatio3) laitteistot, ohjelmistot, data tai informaatio, ihmiset ja menettelytavat.Tieto-omaisuuden tunnistamisessa voidaan hyödyntääinformaatiotutkimuksesta tuttua tiedon auditointi (information audit) –menetelmää. Tiedon auditointi on systemaattista tutkimusta, jossa kartoitetaanorganisaation tietoresurssit, tiedon käyttö, tietovirrat ja näiden johtaminen.

42Siihen liittyvät myös käyttäjien tiedontarpeet ja se, miten hyvin niihinpystytään vastaamaan. Lisäksi määritellään tiedon arvo organisaatiolle.Tavoitteena auditoinnissa on tutkia ja kehittää tietohallinnon periaatteita japroseduureja, jotta organisaation kilpailukyky kasvaa. [Botha and Boon, 2003].Tiedon auditointi ei ole vain vaihtoehto, vaan se tulisi aina toteuttaa, jottatietoresurssien hyödyntäminen organisaatiossa olisi optimaalista [Buchananand Gibb, 1998].Vaikkakin Botha ja Boon [2003] painottavat, että tiedon auditointi ei oletietoresurssien tai –omaisuuden listaamista, voidaan tiedon auditoinnissakäytettyjä metodologioita hyödyntää tietoturvatyössä tehtävässä tietoomaisuudenkartoittamisessa. Taulukossa 6 esittelen muutaman artikkelissaesitetyn metodologian, joista voi nähdä tieto-omaisuuden tunnistamisenvaiheet. Etenkin tiedon keräämisen menetelmät ja tiedonarvottamiskysymykset on ovat tärkeitä tietoturvallisuuskartoituksen vaiheita.Operationaalinen neuvova auditointi Maantieteellinen auditointi Hybridi-lähestymistapaMäärittele organisaation ympäristö:Tunnista organisaation päätavoitteet jamäärittele mitkä rajoitteet vaikuttavatorganisaation tietojärjestelmiin.Analysoi käyttäjäntiedontarpeet: Tunnistaorganisaation tiedonkäyttäjien tiedontarpeet.Pidä mielessä, että nämäheijastavat organisaationtiedontarpeita.Markkinoi tiedonauditointiprosessiorganisaatiolle.Suunnittele: Kunnollinen jayksityiskohtainen suunnitelma ononnistuneen tiedon auditointiprosessinelinehto.Tunnista käyttäjien tiedontarpeet:Määrittele mitä tietoa käyttäjättarvitsevat tehtäviensä suorittamiseksi(siten, että organisaation tavoitteettoteutuvat).Suunnittele kysely: Kysely on työkalu,jota käytetään auditoinnin aikaisentiedon keruuseen.Lähetä muistiot haastateltaville ja soviaikataulusta: Kun sopivatasiantuntijuuden omaavat haastateltavaton valittu, pitää sopia aikataulusta.Tutki teknologiaa: Tunnista teknologia,jota käytetään organisaationtietoresurssien käsittelyssä ja hallinnassa.Analysoi: Analysoi tiedon auditoinnintulokset.Tee tiedon inventointi:Arvioi organisaationtietolähteet, -järjestelmät ja –palvelut.Vertaile tiedontarpeita jatunnistettuja tietolähteitä:Tiedon auditoija löytää tässävaiheessa mahdollisetongelmat tiedontarpeidentäyttymisessä sekä tiedot,joista on duplikaatteja.Apuna voidaan käyttääorganisaation tietovirtojenkuvauksia.Suunnittele ratkaisu: Tähänmennessä kerättyä tietoakäytetäänongelmanratkaisussa.Teeimplementointisuunnitelma:Kun ratkaisut onsuunniteltu, tehdäänaikataulusuunnitelma.Määrittele organisaationympäristö (mm. poliittiinen,taloudellinen, sosiaalinen jateknologinen ympäristö.)Suunnittele.Kerää tieto: Keinoinahaastattelut, tietovirtojentunnistaminen, organisaationtarkkailu, dokumentaatioihintutustuminen, tiedontarpeidentunnistaminen tai sisäisten jaulkoisten tietolähteidentunnistaminen.Analysoi.Hinnoittele: Arvioiinvestointien tuottavuutta.Laadi loppuraportti.

43Hinnoittele ja arvota: Tunnistettujentietoresurssien hinta ja arvo tuleelaskea/määritellä.Testaa avainkohdat: Testaaorganisaation tietojärjestelmienavainkohdat. Tämä auttaa löytämäänjärjestelmien häiriötilanteet.Laadi vaihtoehtoisia ratkaisuja, arvioivaihtoehtoja: Laadi vaihtoehtoisiametodeja, joilla voi ratkaista järjestelmänongelmia, jotka on havaittu. Arvioi näitämetodeja tarkoin, ennen lopullistapäätöksentekoa.Seuraa olemassa olevien standardien jasääntöjen noudattamista: Varmistu siitä,että että aiemmassa vaiheessa tehdytpäätökset ovat linjassa organisaationstandardien ja sääntöjen kanssa.Kirjoita loppuraportti: Laadi tiedonauditoinnissa saatujen tulostenmukainen yksityiskohtainen raportti.Taulukko 6. Tiedon auditoinnin metodologioita. Koottu lähteestä [Botha andBoon, 2003].Onnistuneen tiedon auditoinnin esiehdot ovat Ornan (1990) mukaan:o johdon tukio asiantuntevan henkilöstön saaminen mukaan auditointiprosessiino riittävät ajalliset resurssito vapaa pääsy tarvittavaan tietoono standardisoitu projektin johtamis- ja raportointikäytäntö [Botha andBoon, 2003].On myös esitetty, että yhtenä kohtana edellisten lisäksi mukana tulisi ollatiedon arvottaminen (hinnoittelu). Arvottamista pidetään kuitenkin vaikeanatehtävänä ja siksi sen käyttökelpoisuudesta ei olla yhtä mieltä. Erimielisyydetkertovat siitä, että yhtenäistä metodologiaa tiedon auditointiin on vaikeaalaatia ja yleistä onkin, että metodologiat muokkautuvat organisaatiokohtaisiksi.Lisätutkimusta esitetään tehtäväksi mm. juuri tiedon arvottamisen alueella.[Botha and Boon, 2003].Tunnistettu omaisuus luetteloidaan. Luetteloa voidaan tarvita myös muihinerilaisiin organisaation tarpeisiin muussa tietohallinnossa, terveydenhuollon jaturvallisuuden ylläpitämiseen sekä taloushallinnon tarpeisiin [SFS, 2006].Arkistolaissa säädetään, että arkistonmuodostajan on ylläpidettäväarkistonmuodostussuunnitelmaa, jossa vähintään määritellään tehtävienhoidon tuloksena syntyvien asiakirjojen säilytysajat ja –tavat. Lisäksiarkistonmuodostajan on suunniteltava ja vastuutettava arkistonhoidon

44käytännön työt [Arkistolaki, 1994]. Näitä dokumentteja kannattaa hyödyntäätietohallinnossakin. Tietoturvallisuuden kehittämishankkeessa kerätty tietoomaisuusluettelosekä tietojen luokitukset on hyvä tallentaaarkistonmuodostussuunnitelmaan.3.2.3. Tiedon luokitteluTiedon arvottaminen on tiedon luokittelemista. Tiedon arvottamista sivuttiin johieman edellisessä kappaleessa. Tässä yhteydessä pohditaan tarkemmin, mitentietoa tulisi luokitella, jotta voitaisiin saada aikaan asianmukaiset tiedonturvaamismekanismit.Tieto on siis yritykselle tärkeää omaisuutta, jonka elinkaaren jakäsittelyprosessin aikana käytetään useita työtunteja sekä järjestelmiä,ohjelmistoja ja teknisiä resursseja. Nämä muodostavat organisaatiossa suurenkustannuserän. Kun organisaatiossa halutaan konkretisoida tiedonsuojaamistahto, tulee tiedot tunnistaa ja luokitella ja luoda niillekäsittelysäännöt ja varmistaa työntekijöiden toiminnan oikeellisuus. [Kyrölä,2001].Tietoa luokitellaan ensinnäkin sen arkaluonteisuuden mukaan;arkaluonteisen tiedon luottamuksellisuus ja eheys ovat tärkeitä suojattaviaperusvaatimuksia. Toinen luokitus tehdään tiedon käytettävyysvaatimusten jakriittisyyden mukaan. Organisaation perustoiminnot ovat riippuvaisia näistäkriittisistä tiedoista. Kriittisen tiedon osalta painotetaan eniten käytettävyyttätiedon perusvaatimuksena. [Boyce and Jennings, 2002]. Esimerkkiensimmäisestä on henkilötiedot ja jälkimmäisestä Coca-Colan resepti [Wirman,2006].Miten tiedon arvoa voidaan sitten määritellä? Rahallisesti tietoja voidaanarvottaa silloin, kun tiedetään, mitä menetyksiä aiheutuu jonkin tietyn palvelunkeskeytymisestä. Toisaalta tiedolla on myös poliittista ja eettistä arvoa, jotapuolestaan on hyvin vaikea arvottaa. [Boyce and Jennings, 2002].Tiedon arvo olisikin siis parasta määritellä usean eri näkökulman kautta.Esimerkiksi seuraava Peltierin [2001] laatima lista arvoa määrittävistä asioistaauttaa tiedon luokittelussa. Tiedon arvo voi määräytyä seuraavasti:o Tiedon tuottamisen kuluto Tiedon arvo avoimilla markkinoillao Tiedon uudelleentuottamisen kulut, jos tieto tuhoutuisi

45o Tiedon tuottama hyöty organisaation tavoitteiden toteutumiselleo Vaikutukset organisaatiolle, jos tieto ei olisi saatavillao Hyöty, jonka kilpailija saisi, jos tieto joutuisi yleiseen levitykseen, sitämuutettaisiin tai se tuhoutuisio Asiakkaan luottamuksen menetys, jos tietoa ei säilytetä tai käsitelläturvallisestio Uskottavuuden mmenetys yleisön silmissä, jos tieto ei ole turvattuaTiedon arvo määritellään siinä liiketoimintayksikössä, jossa tietoakäytetään. [Peltier, 2001].Boyce ja Jennings [2002] puolestaan esittävät seuraavia kysymyksiämääritellessään tiedon arvoa:o Kuinka eksklusiivista tieto on? Onko tiedon saamiseksi olemassavaihtoehtoisia tietolähteitä?o Kuinka käyttökelpoista tieto on? Saavutetaanko sen avulla asetetuttavoitteet? Onko tieto käytettävissä riittävän kauan, jotta lopputulosvoidaan saavuttaa?o Mitkä ovat tiedon uudelleentuottamisen kulut?o Mitkä ovat lakiseuraamukset, jos tieto katoaa, ei ole oikein tai ei olekäytettävissä tarvittaessa?o Mitä tieto edustaa ja miten muunneltavaa tai siirrettävää se on?o Mitkä ovat toiminnalliset seuraamukset, jos tieto ei ole käytettävissä,se on väärää?Keskeisimmät arvoa määrittävät seikat ovat siis tiedon tuottamisen kulut,tiedon ainutkertaisuus, lakivelvoitteet, jotka tiedon käsittelyyn kohdistuvatsekä tiedon merkitys toiminnalle. Arvoluokitus voidaan tehdä näillä kriteereilläesimerkiksi numeroilla 1-5.3.3. OhjelmistoturvallisuusOhjelmistoturvallisuudella varmistetaan, että käyttöjärjestelmät sekäohjelmistot ja sovellukset sisältävät tarvittavat turvallisuus-, valvonta- jalokimenettelyt mukaan lukien haittaohjelmien torjunnan. Lisäksi varmistetaanylläpidon ja päivitysten turvallisuusseikat. Järjestelmien ja ohjelmistojen

46turvallisuuspiirteet tulee selvittää jo ennen järjestelmähankintoja. [Haarmanen,1998].Järjestelmien käyttöä arvioidaan operatiivisen käytön lisäksi, pääkäytön jamuun erikoiskäytön näkökulmista. Arvioitavina kohteina ovat myös lisenssi- jadokumentointikäytännöt. [Valtiovarainministeriö, 2006b].3.4. LaitteistoturvallisuusLaitteistoturvallisuuden tehtävänä on laitteiston käytettävyyden, toiminnan,turvaominaisuuksien, yhteensopivuuden, ylläpidon sekä laitteiden jatarvikkeiden saatavuuden varmistaminen [Haarmanen, 1998].Laitteistoturvallisuuteen luetaan toisinaan kuuluvaksi käyttöjärjestelmät sekäsähkönsaannin varmistus, jotka tässä yhteydessä on katsottu osaksiohjelmistoturvallisuutta tai fyysistä turvallisuutta.3.5. TietoliikenneturvallisuusTietoliikenneturvallisuudessa tavoitteena on tietoliikenneyhteyksienkäytettävyyden ylläpito ja yhteyksien varmistaminen sekä tiedon suojaaminenja salaaminen tiedonsiirrossa ja käyttäjien tunnistaminen. Tietoliikenne onnopeasti muuttuva turvaamisen kohde ja siten myös ongelmallinen.Turvallisuudesta vastaavien henkilöiden on seurattava jatkuvasti alan kehitystäja hankittava laitteistoja ja ohjelmistoja, joilla suojaudutaan uusia uhkia vastaan[Paavilainen, 1999]. Kunnissa on usein tietoliikenneverkot ulkoistettu, mikäaiheuttaa useita riskejä; on varmistuttava toimittajan tietoturvallisuudentasosta, saatava käyttöön dokumentaatio verkoista sekä oltava itse tietoinenverkon kokoonpanosta ja muutoksista. Oma asiantuntijuus tulee pitää ajantasalla, vaikkakin asiantuntijatyö on ulkoistettu. Lisäksi verkonhäiriötilanteisiin tulisi kyetä varautumaan, mikä voi hajautetussaorganisaatiossa olla toisinaan hyvin hankalaa.

473.6. Fyysinen turvallisuusFyysisen turvallisuuden arviointi sisältää organisaation tietojenkäsittelynkäyttöympäristön ja sen tilojen suojaamisen fyysisiltä vahingoilta ja häiriöiltäsekä luvattomalta pääsyltä tiloihin, laitteille ja tietoihin sekä ympärystekniikantoimintavarmuuden. Osa-alueeseen kuuluu mm. kulunvalvonta, tekninenvalvonta, palo-, vesi-, sähkö-, ilmastointi-, murto- yms. vahinkojen torjunta javahinkojen estäminen sekä tietoaineistoja sisältävien lähetysten turvallisuus.[Haarmanen, 1998].Kunnassa selkeitä ongelmakohtia voivat olla esimerkiksi opasteet janeuvonta toimitiloissa, laitetilojen järjestelyt, tulostinlaitteiden ja sisäistenpostilaatikoiden sijoittelu, sähkönvarmistus ja poikkeustilanteiden hallinta.3.7. HenkilöturvallisuusHenkilöturvallisuus on erittäin tärkeä ja myös vaikeasti hallittava osaorganisaation tietoturvallisuutta. Tällä osa-alueella pyritään hallitsemaanhenkilöstöstä johtuvia riskejä. Arvioitavana kohteina ovat mm. henkilöstönsoveltuvuus, sijaisjärjestelyt, työsopimusmenettelyt, salassapitosopimukset,työturvallisuus ja koulutus [Haarmanen, 1998]. Henkilöturvallisuuden arviointitulee laajentaa myös ulkoistettujen toimintojen palveluhenkilöstöön.Henkilöstöhallinto on keskeisessä roolissa henkilöstön työtyytyväisyyden jamotivaation ylläpitämisessä. Työmotivaation puute alentaa työn tulosta javakavien virheiden määrä lisääntyy. Tyytymätön työntekijä saattaa vaarantaaorganisaation tietoturvallisuuden jopa tahallisesti. Toisaalta tyytyväinenhenkilöstö on pysyvämpää, eikä avainhenkilöriskejä tällöin synny.[Valtiovarainministeriö, 2006b].Kunnissa ollaan tällä hetkellä huolestuneita henkilöstön ikääntymisestä,joka aiheuttaa tietoturvariskin: avainhenkilöitä jää eläkkeelle ja heidäntietämyksensä tulisi saada siirrettyä eteenpäin. Myös organisaation muutoksetovat riski. Organisaatiossa tapahtuvia muutoksia tulisi hallita niin, ettähenkilöstö ei koe muutosta uhkana. Muutosprojektien hallintaan jamarkkinointiin tulisi siis kiinnittää erityistä huomioita.

483.8. Hallinnollinen turvallisuusHallinnollisen turvallisuuden tarkoituksena on ensisijaisesti tietoturvallisuudenperusasioiden sisällyttäminen johtamistoimintaan [Haarmanen, 1998].Hallinnollisen turvallisuuden kehittäminen on todettu keskeiseksi kohteeksiniin julkishallinnossa kuin yksityiselläkin sektorilla. Hallinnollisenturvallisuuden tehtävänä on määritellä suuntaviivat ja toimenpiteet sekätietoturvavastuut [Paavilainen, 1999]. Perustana hallinnolliselle turvallisuudelleovat tietoturvapolitiikka sekä riskianalyysit [Valtiovarainministeriö, 2006b].Alla käydään läpi tietoturvapolitiikan roolia, riskianalyyseja käsitelläänseuraavassa luvussa.Tietoturvapolitiikka on johdon lausunto siitä, miten organisaatiossa tuleetoteuttaa tietoturvallisuutta. Politiikka toimii ohjeistona tietoturvaa kehittävälleja ylläpitävälle henkilöstölle ja se on yhtä lailla sitova kuin organisaationtoimintaa säätelevät lait ja muut säädökset. Standardista politiikka eroaa siinäsuhteessa, että politiikka on korkeamman tason lausuma, joka on voimassauseita vuosia, kun taas standardissa määritellään teknologioita, metodologioita,käytäntöjä ja muita tarkempia yksityiskohtia. [Boyce and Jennings, 2002].Blakley ja muut [2001] määrittelevät politiikan yksinkertaisestidokumenttina, jossa määritellään luottamuksellisen tiedon käyttövaltuudet:”policies describe who should be allowed to do what to sensitive information.”Organisaation on itse luotava tietoturvapolitiikka, koska ulkopuolinenpystyy korkeintaan luomaan kehyksiä, joiden mukaan toimintaa kehitetään.Johdon tuki ja sitoutuminen on kaikkein tärkeintä tietoturvatyössä ja se näkyyorganisaatiossa esimerkiksi siten, että tietoturvatyöhön on varattu tarvittavatresurssit ja tarvittaviin toimenpiteisiin ryhdytään viivytyksettä. [Kajava, 2003].

494. Tutkimuksen toteutusOlen valinnut tutkimusmenetelmäksi konstruktiivisen, suunnittelutieteellisentutkimusotteen, jota käydään läpi Johdanto-luvussa. Suunnittelutieteellisestätutkimuksesta syntyy tuloksena käsitteistöjä, malleja, metodeja ja realisointeja.Käsitteistö on tutkimusaiheen sanasto, malli ilmaisee käsitteiden välisetsuhteet, metodi on joukko askelia, joilla tehtävä saadaan suoritettua jarealisointi on on artefaktin toteutus ympäristössään [Järvinen & Järvinen, 2004].Tässä tutkimuksessa tuloksena on kirjallisesti kuvattu metodi sekä senrealisointi ympäristössään. Toimintatutkimus metodina pureutuukäytännönläheisesti ongelmanratkaisuun ja kehittämiseen. Tutkija on osallisenaorganisaation toiminnassa tehden havaintoja ja ohjaten muutosprosessia.Seuraavassa kuvaan tutkimuksen kulkua todellisessa ympäristössään.4.1. Asiakasorganisaatio ja tietoturvallisuusAsiakasorganisaatio on etelä-suomalainen, runsaan 6000 asukkaanmaalaiskunta. Kunta on yhdistynyt naapurikunnan kanssa muutama vuosisitten. Kunnan palveluksessa on noin 400 työntekijää, kuudella eri toimialalla.Kunnassa on lähes kolmekymmentä eri toimipistettä.Kunnan tietoturvallisuuden taso arvioitiin kypsyystasolle yksi (vrt. kuva 3).Toisin sanoen kunnan tietohallinto itse arvioi, että tietoturvallisuustoiminta ontällä hetkellä ad hoc –toimintaa: harvat toiminnot on selkeästi määritelty jatulokset riippuvat yksilöiden onnistumisesta ja ”sankaruudesta”. Kunnasta eilöytynyt mitään tietoturvan hallintaan liittyvää dokumentaatiota.Tietojärjestelmien ja tietoverkkojen dokumentaatio oli myös puutteellista.Prosesseja ei ole tunnistettu, eikä myöskään organisaation toiminnalle kriittisiäjärjestelmiä. Lisäksi esimerkiksi lakisääteiset tietojärjestelmä- jahenkilörekisteriselosteet puuttuivat. Arkistonmuodostussuunnitelma kunnassaoli tekeillä, mutta vielä vailla lopullista hyväksyntää. Teknisiätietoturvaratkaisuja kunnassa oli kuitenkin käytössä ja jonkin verran oliohjeistettu henkilökuntaa esimerkiksi sähköpostin käytössä. Ohjeistusta eikuitenkaan ollut kirjallisena. Nämä lähtötilanteessa selvinneet asiat vahvistavat

50Johdanto-luvussa esitettyjä tuloksia, joissa mm. ohjeistaminen ja kehittämisenkoordinointi ovat organisaatioiden tietoturvallisuuden hallinnan heikoimmatlenkit. Nykytilanne kartoitettiin prosessin aikana tarkemmin ja tilannettakuvataan luvussa 4.3.3.4.2. Tutkimuksen motivointiTutkimukseen motivoi selkeä tarve kehittää tietoturvallisuutta seutukunnankunnissa. Yksi kunta ilmoittautui tietoturvakartoitukseen pilottikunnaksi japrojektin tavoitteeksi kirjattiin, että lopputuloksena on toistettavissa olevametodi, jolla voidaan kartoittaa pienessä kunnassa tietoturvallisuuden nykytilaja saada aikaan tietoturvallisuuden hallintajärjestelmä. Tutkimus toteutettiinaikavälillä marraskuu 2006 – elokuu 2007.Lopputuotteena kehitettyä metodia on tarkoitus käyttää tietoturvallisuudenkehittämiseen kaikissa seutukunnan kunnissa ja metodin kuvaus on luovutettutyön tilaajalle syksyllä 2007.Seutukunnan kunnat ovat keskimäärin 3000 asukkaan pieniämaalaiskuntia. Seutukunnan ainoassa kaupungissa on noin 13 000 asukasta.Koko Suomessa alle 15 000 asukkaan kuntia oli vuoden 2007 kesäkuussa345 ja alle 6000 asukkaan kuntia 238 kappaletta. Yhteensä kuntia oli 416kappaletta. [VRK, 2007]. Yli puolet kunnista siis on huomattavan pieniä japienissä kunnissa tietohallinto voi olla hyvinkin organisoimatonta toimintaa.Selkeät ja helppokäyttöiset tietohallinnon metodit ovat näissä kunnissavarmasti tarpeellisia käytännön työvälineinä.4.3. Tietoturvallisuuden kehittämisen prosessi kohdeorganisaatiossaTietoturvallisuuden hallinnan prosessi on suunniteltu käyttäen apuna VAHTIohjeistoasekä tässä tutkimuksessa viitattuja muita lähdeteoksia. Saavutettutulosprosessi on esitetty kuvassa 10.

51Tietoturvakartoituksen prosessin vaiheetDokumentaatioVaihe 1. Prosessin käynnistäminenResurssien hankkiminenprojektiin- henkilöt *- aika- raha- lähtötiedot* tietoturva-asiantuntemus, prosessien asiantuntemusProjektinaikatauluttaminen jaaloituskokousAloitusluentoTiedotusLuentomateriaaliProjektisuunnitelmaVaihe 2. Vaatimusten kerääminenTietojen auditointi- tieto-omaisuudentunnistaminen- tieto-omaisuudenluokittelu- käsittelyprosessintunnistaminen- omistajuuden määrittelyRiskien arviointi- mahdollisten uhkientunnistaminen- uhkien todennäköisyysarvio- uhkien merkittävyysarvio- avainriskien tunnistaminenProsessikaaviot(optio)RiskikarttaVaihe 3. Tietoturvallisuuden nykytilan kartoitusTietojen keruu- haastattelut- tarkistuslistat- tilojen tarkastus- dokumentaatioontutustuminenDokumentointiNykytilankuvausVaihe 4. TietoturvallisuussuunnitteluKehittämistoimenpiteidenvalinta, kontrollien valintaja aikataulutusTietoturvapolitiikanlaatiminen jahyväksyttäminenTietoturvallisuussuunnitelmaVaihe 5. Toteutus ja seurantaTietoturvapolitiikkaTietoturvallisuussuunitelmanmukainentoteutusTietoturvatoimienseuranta ja arviointiMuutostenyhteydessäuudelleenarvioinnitKoulutusmateriaalitjaohjeistuksetSeurantaraportitKuva 10. Tietoturvakartoituksen prosessi vaiheistettuna.

524.3.1. Vaihe 1. Prosessin käynnistäminenProsessi käynnistyi resurssien kartoittamisella ja varaamisella projektiin.Resursseista tärkeimmät ovat henkilöresurssit: tietoturva-asiantuntemus jaorganisaation toiminnan tuntemus tulee ottaa huomioon henkilövalintojatehtäessä. Tietoturva-asiantuntemus voidaan hankkia ulkopuoliseltatoimittajalta, mutta organisaation toiminnan tuntemus löytyy vainorganisaation sisältä. Tietoturvaprojektin vetäjän (pääauditoijan) ominaisuudettakaavat pitkälti projektin onnistuneen toteutuksen: henkilön asenteet,esiintyminen, ammattitaito ja osaaminen vaikuttavat muun ryhmän jaorganisaation suhtautumiseen projektiin [Valtiovarainministeriö, 2003b].Tietojen tunnistaminen toteutettiin pilottikunnassa toimialoittain neljässäryhmässä. Kahden toimialan ryhmässä käytiin läpi ensimmäinen kierros, jonkajälkeen metodia hieman korjattiin ja se käytiin läpi vielä kahdella eritoimialalla. Muutoksen suorittajien tulee olla kehitettävän toiminnanasiantuntijoita ja heidät tulee vapauttaa riittävässä määrin omista töistään[Roukala, 1998]. Lisäksi projektille tulee saada johdon tuki. Eri toimialoiltaotettiin mukaan henkilöitä eri tietojenkäsittelytehtävistä, joilla siis oliorganisaation toiminnan asiantuntemusta. Projektin johtohenkilöt olivatlisäkseni talousjohtaja, joka oli käynnistänyt projektin, sekä atk-vastaava.Johdon tuki näkyi talousjohtajan aktiivisena osallistumisena projektiin.Aikataulusuunnittelu voi osoittautua ongelmalliseksi. Tässäesimerkkitapauksessa projekti käynnistettiin marraskuussa aloituskokouksella,mutta työryhmät saatiin koolle vasta loppukeväällä. Erilaiset kunnantalousarvioihin, tukipäätöksiin ym. liittyvät tehtävät sitoivat henkilökuntaasiten, että työryhmien saaminen koolle oli alkuvuodesta hankalaa, vaikka itsetyöryhmäkokoontumiseen tarvittiin aikaa vain muutama tunti.Tietoturvakartoituksen ajankohtaa kannattaakin pohtia tarkkaan ja sijoittaa seajankohtaan, jolloin operatiivinen toiminta organisaatiossa on hiljaisimmillaantai varata kartoitukseen pitempi ajanjakso. Palautekeskustelussatietohallinnossa todettiin, että käytännön työ menee aina kehittämistyön edelleja siksi aikatauluttaminen on aina vaikeaa.Rahallisia resursseja on hankala arvioida, ennen kuin tiedetään, mitäkehittämistoimenpiteitä tarvitaan. Kustannusarvio kannattaakin laatia siinävaiheessa, kun kehittämissuunnitelma on saatu valmiiksi ja aikataulutettu.

53Alkuvaiheessa rahoitusta tarvitaan, mikäli käytetään ulkopuolistaasiantuntijaa.Aloituskokoukseen valmistauduin pääauditoijan ominaisuudessatutkimalla tietoturvallisuuden hallinnan menetelmiä ja näistä erityisestialkuvaiheen toimenpiteitä (Peltier ym.). Aloituskokouksessa käytiin läpilyhyesti tietoturvallisuuden osa-alueet, jotta asiakas ymmärtää, mitä kaikkeatietoturvallisuuden hallinnassa on otettava huomioon. Tutustuinasiakasorganisaation hallintorakenteeseen ja fyysiseen toimipisteidensijoitteluun ennalta, jotta voisin suunnitella projektin ositusta. Haarmanen[1998] toteaa, että on järkevää toteuttaa auditointi hallintokunnittain taijärjestelmäkokonaisuuksien mukaisesti. Omien näkemysteni jaasiakaspalautteen perusteella rajattiin projektin kohdealue osa-alueiksi.Aloituskokouksessa myös nimettiin työryhmiin henkilöt sekä laadittiinprojektille aikataulu.Haarmasen [1998] mukaan turvallisuusanalyysi alkaa osanottajieninformoinnilla tietoturvallisuudesta ja analyysista. Tiedon auditoinnin hybridilähestymistapaesittää ensimmäisenä vaiheena auditointiprosessinmarkkinoinnin (ks. taulukko 6). Projektiin nimetyt henkilöt kutsuttiinaloitusluennolle, joka pidettiin maaliskuussa. Luennolle valmistelintietoturvallisuutta käsittelevän perusaineiston (liite 1) sekä kävin läpisuunnitellun prosessin. Kaksituntiselle luennolle osallistui 12 henkilöäkohdeorganisaatiosta sekä muutaman muun kunnan tietohallinnonhenkilöstöä. Kaikki työryhmiin nimetyt henkilöt eivät päässeet luennolle, mikähieman hankaloitti työryhmätyöskentelyn aloittamista. Työryhmätyöskentelyedellytti tietoturvallisuuden perusasioiden ja kartoituksen ideanymmärtämistä, mitä tietoisuutta pyrittiin edistämään toteuttamalla em.luentojakso. Toisaalta luennon tarkoituksena oli myös toimia markkinointi- jatiedotuskanavana. Olisi tarkoituksenmukaista ottaa aloitukseen mukaan myöskunnan johto, jotta johdon sitoutuminen projektiin varmistettaisiin edesjollakin tasolla heti alkuvaiheessa.Yhdeksi resurssiksi olen prosessin pilottitoteutuksen jo päätyttyä lisännytlähtötietoresurssit. Lähtötietoresurssit ovat niitä tietoja, joiden perusteellavoidaan arvioida tietoturvallisuuden tasoa ja joita voidaan käyttääpohjadokumentteina projektidokumentaatiota tehtäessä. Lähtötietoresurssejaovat esimerkiksi arkistonmuodostussuunnitelma, arkistointiohje,tietojärjestelmädokumentaatiot, prosessikaaviot jne. Tässä vaiheessa on syytätehdä myös tietoturvallisuuden osa-alueiden katselmointi osaksilähtötietoresursseja: organisaation edustajan kanssa käydään läpi, mitätietoturvallisuuden osa-alueita on syytä auditoida ja mitä ei. Esimerkiksi tässä

54projektissa ei arvioitu etätyötä, sähköistä asiointia ja tietojärjestelmientoteutusta, koska näitä prosesseja ei asiakasorganisaatiossa ole olemassa.4.3.2. Vaihe 2. Vaatimusten kerääminenTietoturvallisuuden kehittämisen vaatimukset saadaan tiedonauditointiprosessista, organisaation ympäristöstä sekä riskien arvioinnista.Keinoina ovat tiedon auditoinnin hybridi-lähestymistavan (ks. taulukko 3)mukaan haastattelut, tietovirtojen tunnistaminen, organisaation tarkkailu,dokumentaatioihin tutustuminen, tiedontarpeiden tunnistaminen tai sisäistenja ulkoisten tietolähteiden tunnistaminen. Pilottikunnasta ei löytynytmerkittävästi dokumentaatiota tietoturvatoiminnasta taitietojenkäsittelyprosesseista. Vaatimukset kerättiin siis tietojen auditoinnistasekä riskianalyysistä.4.3.2.1 Tietojen auditointiprosessiOrganisaatiolle tärkeät tiedot tulee tunnistaa ja luokitella. Luokittelutehdään arvon mukaan (käytettävyysluokka, tärkeysluokka) jasalassapitovaatimusten mukaan (salassapitoluokka). Kun tiedot on tunnistettuja luokiteltu, tiedetään, mitä tietoa organisaatiossa käsitellään ja missä tiedotsijaitsevat. Luokiteltu tieto voidaan suojata asianmukaisesti: Organisaationtoiminnan kannalta tärkeä tai salassapidettävä tieto suojataan vahvemmin kuinvähemmän tärkeä tai julkinen tieto.Tiedolle määritellään arvo sen mukaan, miten tärkeää tieto onorganisaatiolle. Arvonmääritys ei ole itsetarkoitus, vaan käytäntö ohjaatoimintayksikköä ja henkilöitä tunnistamaan organisaation toiminnallearvokkaan ja huolellisesti käsiteltävän tiedon [Kyrölä, 2001].Tietojen tunnistaminen ja luokittelu oli työryhmien tehtävänä. Ensimmäisentyöryhmän kokoontuessa ei ollut käytössä arkistonmuodostussuunnitelmaa jatietojen tunnistus tehtiin ideariihessä. Henkilöt kirjasivat yhdessä isollepaperille tietoja, joita he tunnistivat omalta toimialueeltaan. Tunnistamisenapuna käytettiin avainsanaluetteloita, joissa oli esimerkinomaisesti esitetty,minkälaisista tietoja organisaatioissa yleensä käsitellään. Kun tiedot oli kirjattu,ne luokiteltiin ensinnäkin tärkeysluokkiin ja sen jälkeen salassapitoluokkiin.

55Kahdella jälkimmäisellä työryhmällä oli käytössäänarkistonmuodostussuunnitelma, johon on jo valmiiksi tunnistettuorganisaatiossa käsiteltävät tiedot. Työryhmien tehtäväksi jäi luokitella tiedot.Tärkeysluokitus on kuvattu taulukossa 7. Arvo määriteltiin Peltierinkysymyslistan avulla (ks. 31-32).TärkeysmääriteTärkeysMääritelmäluokkaMERKITYKSETÖN 1 Menetyksellä ei ole vaikutusta toimintaan,tuloksellisuuteen,tuottavuuteen,maineeseen.MERKITTÄVÄ 2 Menetys tai tiedon vaarantuminen aiheuttaaajan tai resurssien menetystä.RATKAISEVA 3 Menetys tai tiedon vaarantuminenvaikeuttaa toimintaa ja vaikuttaa maineeseennegatiivisesti.ELINTÄRKEÄ 4 Menetys tai tiedon vaarantuminen vaikuttaanegatiivisesti perustoimintaan ja maineeseen.KRIITTINEN 5 Menetys tai tiedon vaarantuminen aiheuttaamerkittävää haittaa toiminnalle ja maineelle.Taulukko 7. Tiedon luokitus tärkeysluokkiin.Tiedon tunnistamisessa ja luokittelussa oli huomattavasti apuaarkistonmuodostussuunnitelmasta, joka tänä päivänä tulisi jo olla kaikissakunnissa. Joissakin kunnissa suunnitelmaan on jo saatettu kirjata luokitukset,mutta jos ne puuttuvat, on luokittelu tehtävä. Liitteessä 2 on esimerkkiarkistonmuodostus- ja tiedonhallintasuunnitelman tiedoista kehittämisenjälkeen.Tässä yhteydessä tulee tunnistettua myös kriittisimmät tietojärjestelmät janiistä tuotetaan elintärkeiden tietojärjestelmien luettelo, mikäli sellaista ei vieläole. Luettelo voidaan laatia tässä yhteydessä tai kirjata sen laatiminentietoturvallisuussuunnitelmaan kehittämistoimenpiteenä. Esimerkiksi, kuntaloushallinnossa pankkiohjelma ja maksatukset on luokiteltu arvolla 5,voidaan tästä johtaa, että pankkiohjelma on organisaation kriittinentietojärjestelmä ja sen turvaamiseen on erityisesti panostettava. Kriittisistätiedoista on hyvä täyttää omat tietolomakkeensa, joihin kirjataan tietoakoskevat tietoturvavaatimukset. Tietoturvasuunnittelu sekä jatkuvuus- jatoipumissuunnittelu helpottuvat, kun kriittiset tiedot on analysoitu hyvin.Esimerkiksi Octave-S metodioppaan [Alberts et. al., 2005] lomake on tietojenkirjaamiseen käyttökelpoinen. Lomakkeen muokattu versio on liitteessä 3.

56Tiedon salassapitoluokituksen perusteena on kunnassa lähinnälainsäädäntö. Asiakkaiden henkilötiedot, terveydentilaa tai taloudellista tilaakoskevat tiedot yms. ovat erittäin arkaluonteista aineistoa, jonka suojaaminenluvattomalta pääsyltä on hyvin tärkeää. Esimerkiksi sosiaalitoimen tiedoistasuurin osa luokiteltiin erittäin salaiseksi. Myös sopimuksissa ja hankintaanliittyvissä asiakirjoissa saattaa olla asiakkaiden liikesalaisuuksia, jolloin kyseisetasiakirjat luokitellaan erittäin salaisiksi. Lisäksi erittäin salaiseksi luokiteltiinmm. organisaation turvallisuutta koskeva aineisto, kutentietoturvasuunnitelmat. Salassapitoluokitus on kuvattu taulukossa 8.Salassapitoluokka Lyhenne EsimerkkejäERITTÄINES esim. henkilöön liittyvät terveystiedot taihenkilölle maksetut etuudet. Ks. LakiSALAINENviranomaisten toiminnan julkisuudesta621/1999 §24. Tieto on erittäinluottamuksellista ja väärinkäytettynä se voiaiheuttaa merkittävää vahinkoa. Tietoa ei saanäyttää ulkopuolisille ja omallehenkilöstöllekin erittäin rajoitetusti.SALAINEN S esim. valmistelussa olevat asiat. Tiedonpaljastamisesta koituu haittaa organisaatiolle.Tietoa ei saa näyttää ulkopuolisille, muttaomalle henkilöstölle sen voi näyttääorganisaation toiminnan turvaamiseksi.SISÄINEN Si esim. organisaation sisäinenkoulutusmateriaali. Tiedon paljastamisesta eiole hyötyä eikä haittaa organisaatiolle. Tietoon organisaation sisäiseen käyttöön luotua jakoskee organisaation toimintaa. Tietoa saajulkistaa vapaasti organisaation sisällä jatarvittaessa ulkopuolisille.JULKINEN J esim. www-sivustolla olevat tiedot japöytäkirjat. Julkishallinnossa kaikki tieto onpääsääntöisesti julkista. Julkisen tiedonpaljastaminen on hyödyllistä organisaatiolle.Julkinen tieto on tarkoitettu näytettäväksi jasaataville.Taulukko 8. Salassapitoluokitus.Salaisen ja erittäin salaisen aineiston erottelu ei ole yksiselitteistä. Käytössäsiis oli asiakasorganisaatiossa neliportainen asteikko, mutta selkeämpää onkäyttää kolmiportaista asteikkoa, jolloin yhdistetään nämä kaksisalaisuusluokkaa ja otetaan käyttöön vain luokka salainen. Lopullisessa

57prosessimallissa, jonka toimitin tilaajalle, käytin kolmiportaistasalassapitoluokittelua: julkinen tieto, salainen tieto ja sisäinen tieto.Sisäistä tietoa ovat tiedot, joita käytetään organisaation toiminnassa, muttajotka eivät liity organisaation ydintoimintaan. Sisäinen tieto ei lain[Julkisuuslaki, 1999] mukaan ole julkista tai salaista.Viranomaisen tieto on salassa pidettävää ainoastaan julkisuus- jasalassapitosäädösten mukaisesti, muuten se on julkista [Julkisuuslaki, 1999]. Onsiis tärkeää tunnistaa salassapidettävä aineisto, koska kansalaisilla on oikeussaada tieto julkisesta asiakirjasta ja tällaisessa tilanteessa on tiedettävä, mitätietoa pyydettäessä voidaan antaa ja mitä ei. Huomattava on se, että julkisessaasiakirjassa saattaa olla myös salaista tietoa, esimerkiksi henkilötunnus, jokajulkisesta asiakirjasta on peitettävä, kun kansalainen pyytää muuten julkistaasiakirjaa nähtäväkseen. Selkeintä on, että tiedon omistaja tuottaa tällaisestaasiakirjasta julkisen version.Salassapitoluokitus kirjataan arkistonmuodostussuunnitelmaan. Lisäksiolisi hyvä kirjata salassapidon peruste, esimerkiksi lainkohta, johon perustuensalassapito on määritelty.Salassapitoluokitus on perusteena tietojen käsittelysääntöjen luomiselle.Asiakasorganisaatiossa käsittelysääntöjen luominen kirjattiintietoturvallisuussuunnitelmaan kiireellisenä kehittämiskohteena. Tämänprosessin aikana saatiin siis aikaan luokitus, mutta sääntöjen ja ohjeidenlaatiminen ovat jatkotoimenpiteitä, eivätkä osa tätä tutkimusprosessia.Tietojenkäsittelyprosessien tunnistaminen tehdään tässä prosessinvaiheessa. Tämän tutkimuksen aikana käytiin vain pääpiirteittäin sanallisestiläpi tiedon omistajien kanssa, missä tietoja kulkee ja missä niitä säilytetään.Oma projektinsa asiakasorganisaatiossa tulisikin olla tulevaisuudessa tärkeidenprosessien kuvaaminen ja tietovirtojen tunnistaminen sekä tiedon elinkaarenmäärittely näistä prosesseista.Hyvän tiedonhallintatavan asettama perusvaatimus on, että kaikillaorganisaation tiedoilla ja tietoja hallinnoivilla järjestelmillä on vastuullinenomistaja [Valtiovarainministeriö, 2006c]. Työryhmissä määriteltiin tiedoilleomistaja, jonka tehtävä määriteltiin asiakasorganisaatiossa alustavastiseuraavasti:Tiedolle on määriteltävä omistaja, joka vastaa siitä, että tieto on oikein jaajan tasalla. Tiettyyn tehtävään tai prosessiin liittyvä tieto voi ollasovelluksessa, asiakirjoissa tai henkilöstön tiedossa muutoin. Omistaja onhenkilö, joka ensisijaisesti luo tai tuottaa tiedon. Omistaja on yleensä sehenkilö, joka tuntee parhaiten kyseisen tiedon käsittelyprosessin.Tietojärjestelmähankkeissa tiedon omistaja on mukana tiedonkäsittelyprosessin

58asiantuntijana ja hän arvioi tietojärjestelmän soveltuvuutta tiedon käsittelyyn jaluottamuksellisuusvaatimuksiin. Omistaja katselmoi tietyin väliajoin tietojen jajärjestelmien pääsyoikeudet. Omistaja luo asiakirjoista julkisen version, jokavoidaan pyydettäessä antaa kansalaisen nähtäväksi (salaisen tiedonpeittäminen muuten julkisesta asiakirjasta).Edellä mainittu lauseke on kirjattu tietoturvapolitiikkaan, joka tulee vielähyväksyttää kuntajohdolla.Omistajuuden määrittely vaihtelee eri julkaisuissa. Omistajan määrittelyosoittautui välillä työryhmässä jopa vaikeaksi, koska omistajan tehtäviä ei ollutennalta määritelty tarkkaan. Yllä oleva tehtävämäärittely syntyi vastatyöryhmätyöskentelyn jälkeen. Tietoturvapolitiikkaan määriteltiin erikseenesimiehen tehtäviin kuuluvia asioita, jotka monissa julkaisuissa oli määriteltyomistajan tehtäviin, kuten sääntöjen noudattamisen valvonta, tietoturvaasioihinperehdyttäminen työhönoton yhteydessä sekä käyttäjänhallinnankontrollointi omassa yksikössään. Usein kuitenkin esimies ja omistaja ovatsama henkilö, jolloin tehtävänkuva on laajempi.4.3.2.2 Riskien arviointiprosessiRiskien arviointi on osa organisaation tietoturvallisuusvaatimustenkeräämistä. Riskien arviointiin kuuluivat uhkien tunnistaminen, riskientodennäköisyys- ja vaikutusarvioinnit sekä näiden perusteella tehty riskienpriorisointi riskikarttaan. Riskien arviointi toteutettiin vain projektin vetäjienkeskinäisessä palaverissa kertaalleen. Työryhmään olisi kuitenkin hyvä ottaamukaan otetaan ainakin yksi henkilö jokaisesta organisaationtoimintayksiköstä, jotta erilaiset riskitilanteet pystytään kartoittamaankattavasti.Saadut tulokset dokumentoitiin ja tarkistettiin vielä lopuksi tulostenrealistisuus keskustelussa. Tulokset käytiin elokuussa läpi myös kunnanjohtoryhmässä. Ryhmä kommentoi jonkin verran uhkientodennäköisyysarvioita. Esimerkiksi laiterikon todennäköisyys, kerranvuodessa, herätti kysymyksiä. Ehkä jollakin toimialalla laiterikko onaiheuttanut enemmänkin päänvaivaa ja riskejä arvioivat henkilöt eivät tästäolleet tietoisia. Tällaisten epätarkkuuksien välttämiseksi riskejä arvioimassatulisi olla henkilöt kaikista toimintayksiköistä.

59Uhkien tunnistamisessa käytettiin apuna avainsanaluetteloita. Kuvassa 12oleva kaavio osoittautui erittäin käyttökelpoiseksi luetteloksi pieninmuutoksin.Kuva 12. Tietoon kohdistuvia uhkia [If, 2003].Tätä luetteloa tarkennettiin poistamalla muutama kohta, yhdistämälläkohtia sekä tarkentaen kohtien merkitystä. Sen jälkeen arvioitiin uhkientodennäköisyys sekä toteutuessaan uhan vahinkovaikutukset. Todennäköisyysarvioitiin sillä perusteella, että suojamekanismeja ei olisi lainkaan. Esimerkiksivirukset ovat avainriski, mutta todellisuudessa tällä hetkellä suojamekanismitovat organisaatiossa jo olemassa, mikä pienentää riskiä. Riskilista, joka syntyi,on kokonaisuudessaan liitteessä 5. Taulukkoon 9 on koottu muutamaavainriskiksi noussut riski määritelmineen.RiskiKäyttö-, käsittely- jaoperointivirheVirukset,haittaohjelmatOmien palvelujensaantihäiriöUlkoisten palvelujensaantihäiriöOhjelmisto- jaylläpitovirheRiskin kuvausKäytetään väärin järjestelmää vahingossa tai huolimattomuutta.Aiheutuu prosessien hidastumista, laiterikkoja,eheysrikkomuksia tai järjestelmässä olevat tiedot muuttuvat.Vrt. Osaamisen puute.Virus tai haittaohjelma pääsee järjestelmään. Palvelutkeskeytyvät tai hidastuvat, aiheutuu resurssien menetystä.Omat järjestelmät poissa käytöstä. Palvelut keskeytyvät,aiheutuu resurssien menetystä.Ulkoiset järjestelmät poissa käytöstä. Palvelut keskeytyvät,aiheutuu resurssien menetystä.Koodivirhe tai versionvaihto aiheuttaa järjestelmän vakavanvirheen. Voi aiheuttaa tietojen menetyksiä.

60Jakeluverkon häiriö(sähkö,tietoverkko...)Luvaton käyttö taipääsyJakeluverkon häiriö aiheuttaa palvelun keskeytyksen. Aiheutuuresurssien menetystä.Käytetään luvatta käyttäjätunnuksia, järjestelmiä tai laitteita.Mm. luottamuksellisuus vaarantuu.Taulukko 9. Avainriskejä määritelmineen.Riskit on priorisoitu riskilukujen (todennäköisyys ja vakavuus) summalla. Sekätodennäköisyys- että vakavuusluku annettiin asteikolla 1-3. Integroin aiemminesitetyt taulukot 5 ja 6, ja laadin analyysissa käytetyn taulukon 10.Epätodennäköinen -1(0,01-0,02)Mahdollinen - 2(0,5-6)Todennäköinen - 3(12-365)Vähäinen - 1 Haitallinen - 2 Vakava - 3MerkityksetönriskiVähäinen riski Kohtalainen riskiVähäinen riskiKohtalainenriskiMerkittävä riskiKohtalainen riski Merkittävä riski Sietämätön riskiTaulukko 10. Analyysissa käytetty taulukko.Lopullinen riskiluku vaihteli 3 ja 6 välillä. Riskiluvulla 6 (3+3) ovatsietämättömät riskit eli avainriskit, joihin asiakasorganisaatiossa on välittömästipuututtava.Saatuja tuloksia on lopuksi vielä hyvä tarkastella muidentietoturvatutkimustulosten rinnalla, jotta voi arvioida omien tulostenrealistisuutta ja oikeellisuutta; arviohan on kuitenkin vain arvailua jatodennäköisyyksien etsintää.Esimerkiksi Paavilainen [2000] on koostanut tekemästään tietoturvankyselytutkimuksesta epäillyt ja tunnetut tietoturvarikkomukset ja kyseisentutkimuksen tulokset ovat hyvin linjassa tässä tutkimuksessa saatujen tulostenkanssa. Paavilaisen tutkimuksessa suurimmat riskit ovat käyttäjän virhe,virukset, järjestelmävirhe ja luvaton käyttö. Tutkimuksessa arvioitiin uhkienaiheuttajista ykkössijalle työntekijät ja alhaisen tietoturvatason syyksipuolestaan arvioitiin henkilökunnan vähäisyys, osaamisen ja ohjeistustenpuutteet, johdon sitoutumattomuus sekä riskikartoitusten puuttuminen.[Paavilainen, 2000.]Riskien arviointivaihetta on syytä hieman vielä kehittää, koska riskilistasaattaa jäädä irralliseksi dokumentiksi, jonka implementointi hallintaprosessiinvoi olla vaikeaa. On löydettävä riskilistalle käytännön merkitys. ISO 17799 –standardissa korostetaan riskilistan ja organisaation tavoitteiden välistäsuhdetta [SFS, 2006]. Listaa tulee siis vielä tarkastella organisaation kriittistentoimintojen ja palvelutavoitteiden näkökulmasta ja pohtia yksittäisen riskin

61vaikutuksia näihin. Riskilistan hyödyntäminen käytännössä tehdäänkehittämissuunnitelmaa laadittaessa. Suunnitelmassa tulisi näkyätoimenpiteitä, jotka puuttuvat kriittisiin toimintoihin kohdistuviinavainriskeihin. Asiakasorganisaatiossa esimerkiksi merkittävimmän riskin,käyttö-, käsittely- ja operointivirheet, vähentämiseksi aiotaan kehittääohjeistoja, dokumentaatioita sekä kouluttaa henkilökuntaa. Lisäksijärjestelmähankintojen yhteydessä on kiinnitettävä entistä enemmän huomiotajärjestelmien helppokäyttöisyyteen.4.3.3. Vaihe 3. Nykytilan kartoitusTietoturvallisuuden nykytilanne asiakasorganisaatiossa arvioitiinkäyttämällä VAHTI-julkaisun Tietoturvallisuuden arviointi valtionhallinnossa[Valtiovarainministeriö, 2006b] tarkistuslistoja, jotka kattavattietoturvallisuuden eri osa-alueet. Muissa julkaisussa olevat kysymyslistatolivat sisällöltään hyvin samankaltaiset VAHTIn tarkistuslistojen kanssa, jotenVAHTIn lista riittää yksin kartoitusvälineeksi. Kysymykset käytiin läpitalousjohtajan ja atk-vastaavan kanssa. Osaan kysymyksistä tarvittiinvastauksia hallintojohtajalta. Tietoliikenneturvallisuuden arviointi oli hankalaa,koska tietoliikenne on ulkoistettu ja toimittajalta ei ole saatu verkondokumentaatiota. Tietoliikennejärjestelyt todettiinkin tästä syystä sekäjakeluverkon häiriöriskin suuruuden vuoksi erittäin kiireelliseksikehittämiskohteeksi.Tarkistuslistoista karsittiin osa kysymyksistä pois, mikäli katsottiin, että neolivat hyödyttömiä organisaation nykytilanteessa. Esimerkiksi etätyö eikartoitushetkellä ollut organisaatiossa mahdollista, joten päätettiin, ettäetätyötä koskeva analyysi tehdään siinä vaiheessa, kun etätyön tekomahdollistetaan työntekijöille. Sähköistä asiointia puolestaan ei ole arvioitu,koska sähköisen asioinnin ratkaisuja organisaatiossa ei vielä ole käytössä.VAHTIn tarkistuslistoissa on kysymyksiä yhteensä 730 kappaletta, joistakartoitusvaiheessa käytiin läpi noin 80 prosenttia.Vaatimusten keräämiseen kuului myös tilojen tarkastaminen ja olemassaolevan dokumentaation läpikäynti. Tilojen tarkastuksessa löytyi muutamaselkeä kehittämiskohde, kuten sisäisen postilaatikon sijoituspaikka,kunnanviraston asiakasneuvonta ja laitteistotilojen siisteys. Dokumentaatiotatietojärjestelmistä, käytännöistä, tietoturvasta tms. ei löytynyt.

62Nykytilanne on kuvattu liitteessä 6. Tilannekuvaus on laadittu tekstinä, jokakäytiin läpi tietohallinnon kanssa ja eri toimintojen taso arvioitiin seuraavinarvosanoin (taulukko 11):ArvosanaSelite+ + Ei kehittämistarvetta tällä hetkellä. Hyväksyttävätsuojamekanismit olemassa.+ Asiaa kehitettävä jonkin verran- Asiaa kehitettävä- - Asia vaatii paljon kehittämistäTaulukko 11. Nykytilanteen arviointitaulukko.Eri toiminnot on puolestaan otsikoitu dokumenttiin VAHTIn[Valtiovarainministeriö, 2006b] tarkistuslistojen kysymysrakenteen mukaisesti.4.3.4. Vaihe 4. TietoturvallisuussuunnitteluKehittämistoimenpiteet aikatauluineen ja vastuutuksineen on kirjattutietoturvallisuussuunnitelmaan (liite 7). Toimenpiteet on valittu nykytilananalyysin ja vaatimusten keräämisvaiheessa tuotetun tiedon perusteella jajäsennys on sama kuin nykytilan kuvauksessa. Toimenpiteidenkirjaamisvaiheessa haettiin vielä hyviä käytäntöjä kartoituksessa käytetyistätarkistuslistoista sekä eri tietoturvakäytäntöjä kuvaavista lähteistä jastandardeista. Lisäksi suunnitteluvaiheessa tulee tarkastella riskilistaa, jottaerityisesti avainriskeihin saadaan aikaan suojamekanismit.Tietoturvallisuussuunnitelman vastuutus ja aikataulutus jäävätasiakasorganisaation tehtäväksi.Tietoturvapolitiikan luonnos (liite 4) käsiteltiin kunnan johtoryhmässäelokuussa. Laatimani politiikkaluonnos herätti melko vähän keskustelua jahyväksyttiin sellaisenaan. Johdon kiinnostus ja sitoutuminentietoturvallisuuden kehittämiseen voisi olla parempi ja asiasta tulisi saadaaikaan enemmän keskustelua. Johtoryhmä ei kommentoinut prosessin tuloksiajuurikaan. Tietohallinnon kanssa pohdittiin prosessin jälkeen johtoryhmänroolia ja mukaansaamista prosessiin. Johtoryhmä tulisi ottaa mukaanaktiivisemmassa roolissa jo prosessin alkuvaiheessa esimerkiksivalmistelemaan tietoturvapolitiikkaa ja arvioimaan riskianalyysin tuloksia.

63Lisäksi johtoryhmän jäsenten tulisi olla mukana aloitusluennolla. Tietoisuuttavoidaan lisätä vielä esimerkiksi teettämällä tietoturvakysely.Tietoturvapolitiikka viedään syksyn aikana hyväksyttäväksikunnanhallitukseen ja se julkaistaan ja tiedotetaan sen jälkeen henkilöstöllesekä sidosryhmille.4.3.5. Vaihe 5. Toteutus ja seurantaToteutus- ja seurantavaihe on jatkuva työprosessi, jota valvootietoturvallisuudesta vastaava henkilö. Vastuuhenkilö on määritelty aiemmintietoturvapolitiikassa. Hänellä on valtuudet delegoida toteutukseen javalvontaan liittyviä tehtäviä eteenpäin. Onkin hyvä harkitatietoturvallisuudesta vastaavan ryhmän kokoamista, johon kuuluvat tärkeidentietojärjestelmien omistajat, tärkeimpien käyttäjien edustajat,tietoturvallisuuden ja tietosuojan asiantuntijat, atk-pääkäyttäjät ja kiinteistöistävastaava henkilö [Haarmanen, 1998].Seuranta on toimenpiteiden toteutumisen, niiden vaikutusten jatoteutuneiden riskien seurantaa [Haarmanen, 1998]. Seurantaa tulee tehdäpalveluyksiköissä ja siitä vastaavat palveluesimiehet. Heidän vastuullaan onmyös raportoida säännöllisesti tietoturvasta vastaavalle henkilölle tuloksista.Raportointiin on hyvä kehittää formaalit käytännöt, jotta se tulee toteutettuaasianmukaisesti. Henkilöstölle voidaan luoda esimerkiksi intranetiin lomake,jolla voi raportoida tietoturvarikkomuksista. Tietoturvallisuudesta vastaavalaatii raporteista ja saadusta palautteesta johdolle esitettävät koosteetesimerkiksi puolivuosittain.4.4. Muutamia poimintoja kohdeorganisaatiosta prosessin jälkeenProsessin jälkeen kohdeorganisaatiossa on käyty keskustelua asiantuntijanpalkkaamisesta toteuttamaan laadittua tietoturvallisuudenkehittämissuunnitelmaa, mm. tekemään dokumentointia ja ohjeistuksia.Edelleenkin organisaatiossa on resurssipula; kehittämistyö jää jälleenrutiinitöiden varjoon.Tietoturvapolitiikka on hyväksytty kunnanhallituksessa ja se tiedotetaankunnan www-sivuilla kaikille kuntalaisille sekä henkilöstölle.

64Kohdeorganisaatio arvioi prosessin jälkeen kypsyystasonsa tasolle 2.Kunnassa on olemassa tietoturvapolitiikka, tietoturvallisuudenkehittämissuunnitelma ja on myös ryhdytty toteuttamaan suunnitelmaankirjattuja toimintoja: Isoksi ongelmaksi koettu tietoliikenteen ulkoistaminen onpäätetty lopettaa ja kunta rakentaa itse oman lähiverkon ja hallinnoi sitä itse.Kaiken kaikkiaan prosessiin on oltu tyytyväisiä ja erityisen hyväksi koettiinse, että mukana oli ulkopuolinen henkilö. Ainoa ongelma ei kunnassa ole siisse, että ei ole selkeätä toimintamallia, vaan vaikeimmaksi ongelmaksi kiteytyyaina henkilöresurssien tai osaamisen puuttuminen.

655. ToimintamalliTässä luvussa käyn läpi toimintamallin pelkistettynä ja yleistettynä sekäperustelen tekemiäni valintoja.Mallin vaiheet ovat samat kuin esimerkiksi standardissa ISO/IEC 17799 taiVAHTIn ohjeistoissa. Vaiheet on kuitenkin koottu nyt yhdeksi selkeäksiprojektikokonaisuudeksi, jollaista em. lähteistä on ollut vaikea löytää.5.1. Vaihe 1. Prosessin käynnistäminenProsessi käynnistyy projektin asettamisella sekä perehdytyksellä jatiedotuksella. Ensimmäisestä vaiheesta syntyvät konkreettisina tuloksinaprojektisuunnitelma sekä luento- ja tiedotusmateriaalit.Kuva 13. Vaihe 1: prosessin käynnistäminen.5.1.1. Projektin asettaminen ja resurssointiKunnassa tehtävän tietoturvallisuuden kehittämisen ensimmäinen vaihe onprojektin asettaminen ja resurssointi sekä projektisuunnitelman laatiminen.Projektina kartoituksen läpivienti on tehokkainta ja kartoitusprosessin hallintahelpottuu. Aloituskokoukseen otetaan mukaan organisaation johto sekä

66muutama avainhenkilö esimerkiksi tietohallinnosta. Projektiin on hyvä ottaaulkopuolinen tietoturva-asiantuntija johtamaan prosessia, jotta organisaationrutiinityöt eivät liiaksi hidastaisi kartoituksen rutiineja ja jotta projetktissa olisiriittävä tietoturvallisuuden asiantuntemus. Ulkopuolinen henkilö allekirjoittaasalassapitosopimuksen asiakkaan kanssa. Kohdeorganisaatiosta valitaanmukaan prosessia johtamaan henkilö, jolla on organisaation laaja-alainentuntemus sekä tietoa ja kiinnostusta tietoturva-asioista. Näin turvataanprojektille tarvittava kohdealueen tuntemus sekä motivaatio.Prosessissa on oltava mukana organisaation eri palvelujen asiantuntijat,jotta saadaan kartoitettua eri toimintoihin liittyvät tietojenkäsittelyprosessit jatietoresurssit mahdollisimman tarkasti. Toisaalta laaja-alainen osallistujajoukkoon myös tietoturva-asioiden markkinoinnin kannalta tärkeää; jokaisenosallistujan tietoisuus tietoturvallisuuden merkityksestä lisääntyy jo prosessinmyötä ja he ovat jatkossa suurena apuna tietoturvallisuusasioidenmarkkinoinnissa organisaatiossa.Projektille määritellään henkilöresurssien lisäksi aikataulu. Todellisuudessaorganisaation aikaa projektiin ei kulu paljoa, mikäli projektia johtaa ja toteuttaaulkopuolinen henkilö. Haastatteluihin sekä vaatimusten keräämiseen kuluueniten projektia johtavan henkilön aikaa. Kuluvan ajan määrä riippuu paljoltisiitä, minkälaisia lähtötietoja on käytettävissä ja kuinka suuri kohdealue onarvioitavana.Kohdealue kannattaa rajata hyvin, jotta projekti pysyy hallinnassa ja tuleetoteutettua laadukkaasti. Lähtötiedot, eli organisaatiossa aiemmin laaditut,prosessia tukevat asiakirjat, puolestaan helpottavat nykytilanteenanalyysivaihetta sekä kehittämissuunnitelman laatimista, kun kaikkia tietoja eitarvitse kerätä haastatteluin tai auditoinnen organisaationtoimintaympäristöstä. Hyödyllisiä asiakirjoja ovat mm.o arkistonmuodostussuunnitelmao arkistointiohjeo tietoturvaohjeistoto tietojärjestelmädokumentaatioto tietoliikennedokumentaatioto käyttäjänhallinnan dokumentaatioto tietoriskien analyysito tehtäväkuvaukseto toipumissuunnitelmao prosessikaavioto muut ohjeet ja dokumentit, joissa viitataan johonkintietoturvallisuuden osa-alueeseen.

67Rahalliset resurssit voidaan arvioida tässä vaiheessa tarkasti: jos mukana onulkopuolinen projektinvetäjä, kuluu rahaa lähinnä konsultointikuluihin. Tässävaiheessa ei budjetoida tietoturvallisuuden suojamekanismeihin, koska nemääritellään vasta itse projektin tuloksena.Projektisuunnitelmaan määritellään arvioitava kohde eli organisaationtoiminnot, joihin kehittämistyö kohdistetaan. Kohde ei saa olla liian suurikokonaisuus, ettei projektin hallinnasta tule liian monimutkaista. Kunnassa onselkeintä ottaa kartoitettavaksi yksi palveluala kerrallaan. Projektinvetäjäntulee arvioida, onko mahdollista kartoittaa useampi kohde (palveluala)rinnakkain samanaikaisesti. Tähän vaikuttaa lähinnä projektinvetäjän omaosaaminen ja tietämys; kuinka hyvin hän tuntee kohteen toimintaa ja kulttuuriaentuudestaan. Aloituskokouksessa hyväksytään projektisuunnitelma, johon onkirjattu projektin osallistujat, aikataulu, rahalliset resurssit sekä kohde jalähtötietojen kartoituksessa löytyneet prosessia tukevat asiakirjat.Aloitusvaiheessa tehdään myös organisaation tietoturvallisuudenkypsyystason arviointi. Projektin päätyttyä voidaan arvioida, onkokypsyystasoissa edetty seuraavalle tasolle. Tietoturvallisuuden tilannearvioidaan ja asetetaan organisaatio jollekin seuraavista kypsyystasoista (vrt.kuva 3):1. ”Tietoturvatyö on pitkälti organisoitumatonta ja reaktiivista.Ohjeistoja tuotetaan, mutta sekä ohjeistot että vastuut ovathajanaisia. Organisaatio luo itselleen tietoturvapolitiikan sekämäärittää tietoturvavastuut.2. Oleellinen piirre on tehtävien toistettavuus. Organisaatiossa onkehitetty tietoturvallisuuden hallintaan säännönmukaisiamenettelyjä. Siitä kertovat paitsi laadittu tietoturvapolitiikka, myösvoimassa oleva tietoturvallisuuden kehittämissuunnitelma.Tietoturvallisuuden systemaattinen kehittäminen on käynnistynyt.3. Syntyy organisaation tietoturvallisuuden hallintajärjestelmä, jollointietoturvaprosessit ja vastuut on määritelty. Tietoturvaohjeisto onkattavaa, henkilöstön tietoturvakoulutus on oleellinen osatoimintamallia ja organisaatio toimeenpanee laadittuakehittämissuunnitelmaa.4. Toimitaan laaditun tietoturvallisuuden hallintajärjestelmänmukaisesti ja toiminnalle on asetettu sen tuloksellisuuden jakehittämistarpeiden arviointia kuvaavat mittarit. Tässä vaiheessavoidaan puhua tietoturvallisuuden johtamis- ja hallintajärjestelmänolemassaolosta.

685. Tietoturvallisuuden johtamis- ja hallintajärjestelmä optimoituuauditointien, muissa organisaatioissa saatujen kokemusten ja muunoppimisen kautta. Tullakseen luontevaksi osaksi organisaationtoimintaa turvallisuusasioiden on oltava kiinteä osa organisaationtoimintakulttuuria.” [Valtiovarainministeriö, 2006a, s. 21 - 22].5.1.2. Perehdytys aiheeseenProjektin alkamisesta tiedotetaan organisaatiossa esimerkiksi sisäisissätiedotusvälineissä ja viikkopalavereissa. Tiedottaminen ja markkinointi ontärkeää, jotta organisaation henkilöstö tietää, mitä projekteja organisaatiossa onkäynnissä, ja miten ne vaikuttavat heidän toimintaansa. Tiedottamisessa tuleetuoda esille, miten projekti vaikuttaa organisaatiossa ja mitä muutoksia projektituo mukanaan. Kaikki kehittämisprojektit ovat muutosprojekteja, ja yleensäuudistukset aiheuttavat jonkin verran muutosvastarintaa. Tätä voidaanpuolestaan vähentää aktiivisella tiedotuksella.Prosessiin mukaan valitut henkilöt kutsutaan aloitusluennolle, jonkatarkoituksena on lisätä kyseisten henkilöiden tietoisuutta tietoturva-asioistasekä tutustuttaa heistä prosessin kulkuun. Luennolle kutsutaan mukaan myösorganisaation johto; luennon yksi funktio on tiedottaminen ja markkinointi.Luento on paras tapa tiedottaa ja toisaalta tietoturvallisuus kaikkine osaalueineenon monessa organisaatiossa tuntematon alue, johon tarvitaankoulutusta.Luennon sisältö on esimerkiksi seuraavanlainen1. Mitä tietoturva on2. Miksi tietoturvaa tulee kehittää organisaatiossa3. Tietoturvallisuuden keskeiset käsitteet4. Tietoturvallisuuden osa-alueet5. Tietoturvallisuuden kehittämisprosessi käytännössä5.2. Vaihe 2. Vaatimusten kerääminenKun projekti on käynnistetty, kerätään ja dokumentoidaanorganisaatiokohtaiset tietoturvavaatimukset. Vaatimukset kerätään tietojen

69auditoinnissa sekä riskianalyysillä. Näiden vaatimusten perusteella voidaananalysoida, mitkä tiedot ja prosessit ovat organisaation toiminnalle tärkeimmätsekä mihin erilaisiin riskeihin tulee varautua. Vaiheesta 2 tuloksena syntyytiedonhallintasuunnitelma, jossa on luetteloitu ja luokiteltu organisaatiossakäsiteltävät tiedot sekä riskikartta.Kuva 14. Vaihe 2: Vaatimusten kerääminen.5.2.1. Tietojen auditointiTietojen tunnistaminen ja luokittelu on aloituskokouksessa asetettujentyöryhmien tehtävänä. Ennen kokoontumista tarkistetaan, onko kunnassaolemassa arkistonmuodostussuunnitelma (AMS) ja käytetään sitä tietojenluokittelun pohjana. Arkistonmuodostussuunnitelmaan on jo kertaalleentunnistettu organisaation tiedot ja samaa työtä ei ole mielekästä tehdäuudelleen. Periaatteessa jokaisesta kunnasta tulee jo arkistolain nojalla löytyäkyseinen suunnitelma. AMSista käydään läpi palvelukohtaisesti organisaationtietosisällöt ja ne luokitellaan. AMS päivitetään arkistonmuodostus- jatiedonhallintasuunnitelmaksi (THS), jonka pohjatiedostoksi voidaan käyttääexcel-tiedostoa. Excel-tiedostoa siksi, että tiedostoon on myöhemmin helppolisätä tietokenttiä ja siitä voidaan tuottaa tietokanta ja erilaisia raportteja jatulosteita. Vähintään seuraavat kentät tulee löytyä AMS/THS:sta:o Toiminto tai tehtäväryhmä (Esim. toimeentuloturva)o Tunnistekenttä, esimerkiksi luku ja alaluku

70o Asiakokonaisuuso Asiakirjan nimio Tietojärjestelmäo Omistajao Sarjao Säilytysjärjestyso Säilytysaikao Säilytetään pysyvästi (arvo K/E tai 1/0)o Säilytysaikaohjeen kohta (Esim. VA = valtionarkiston päätöskunnallisten asiakirjojen hävittämisestä + ohjeen kohta)o Tärkeysluokka (1-5)o Salassapitoluokka (J, S, Si)o LisätietojaMikäli työryhmillä ei ole käytössä arkistonmuodostussuunnitelmaa tai se onvanhentunut, on kunnassa harkittava ams-työryhmän perustamista ja näintuotettava tietoturvallisuusprojektin ohessa arkistonmuodostussuunnitelma.Mikäli AMSia ei ole käytettävissä, tietojen tunnistaminen voidaan tehdäideariihessä seuraavasti: osallistujat kirjaavat yhdessä isolle paperille tietoja,joita he tunnistivat omalta toimialueeltaan. Tunnistamisen apuna käytetäänavainsanaluetteloita, joissa on esimerkinomaisesti esitetty, minkälaisia tietojaorganisaatioissa yleensä käsitellään. Lisäksi apuna voidaan käyttääprosessikaavioita, jos sellaisia on tehty, sekä tehtäväkuvauksia. Kun tiedot onkirjattu, ne luokitellaan ensinnäkin tärkeysluokkiin (taulukko 7) ja sen jälkeensalassapitoluokkiin. Samalla tunnistetaan organisaation elintärkeät, suojattavattiedot ja tietojärjestelmät.Tässä yhteydessä tulee tunnistettua myös kriittisimmät tietojärjestelmät.Esimerkiksi, kun taloushallinnossa pankkiohjelma ja maksatukset on luokiteltuarvolla 5, voidaan tästä johtaa, että pankkiohjelma on organisaation kriittinentietojärjestelmä ja sen turvaamiseen on erityisesti panostettava.Tietoturvasuunnittelu sekä jatkuvuus- ja toipumissuunnittelu helpottuvat, kunkriittiset tiedot on analysoitu hyvin. Kriittiset tietojärjestelmät dokumentoidaanliitteessä 3 olevaan lomakkeeseen. Dokumentaatio hyödyttää jatkossa kokotietohallintoa.Tiedon salassapitoluokituksen perusteena on kunnassa lähinnälainsäädäntö. Asiakkaiden henkilötiedot, terveydentilaa tai taloudellista tilaakoskevat tiedot yms. ovat erittäin arkaluonteista aineistoa, jonka suojaaminenluvattomalta pääsyltä on hyvin tärkeää. Salassapidettävää tietoa ovatesimerkiksi sosiaalitoimen tiedoista suurin osa sekä sopimuksissa ja hankintaanliittyvissä asiakirjoissa olevat asiakkaiden liikesalaisuudet. Salaiseksi

71luokitellaan myös organisaation turvallisuutta koskeva aineisto, kutentietoturvasuunnitelmat. Salassapitoluokitus on alla olevassa taulukossa.Salassapitoluokka Lyhenne EsimerkkejäSALAINEN S esim. henkilöön liittyvätterveystiedot tai henkilölle maksetutetuudet ym. salassa pidettävä tieto.Ks. Laki viranomaisten toiminnanjulkisuudesta 621/1999 §24. Tieto onerittäin luottamuksellista javäärinkäytettynä se voi aiheuttaamerkittävää vahinkoa. Tietoa ei saanäyttää ulkopuolisille ja omallehenkilöstöllekin erittäin rajoitetusti.SISÄINEN Si esim. organisaation sisäinenkoulutusmateriaali. Tiedonpaljastamisesta ei ole hyötyä eikähaittaa organisaatiolle. Tieto onorganisaation sisäiseen käyttöönluotua ja koskee organisaationtoimintaa. Tietoa saa julkistaavapaasti organisaation sisällä jatarvittaessa ulkopuolisille.JULKINEN J esim. www-sivustolla olevattiedot ja pöytäkirjat.Julkishallinnossa kaikki tieto onpääsääntöisesti julkista. Julkisentiedon paljastaminen on hyödyllistäorganisaatiolle. Julkinen tieto ontarkoitettu näytettäväksi jasaataville.Taulukko 12. Kolmiportainen salassapitoluokitus.Salassapitoluokitus kirjataan arkistonmuodostussuunnitelmaan. Lisäksiolisi hyvä kirjata salassapidon peruste, esimerkiksi lainkohta, johon nojautuensalassapito on määritelty.Salassapitoluokitus on perusteena tietojen käsittelysääntöjen luomiselle.Käytännöistä tulee laatia sellaiset, että niiden toteuttaminen ei vaikeutarutiinitoimintaa, ja että ne on helposti sovitettavissa organisaation olemassa

72oleviin toimintamalleihin. Esimerkiksi luokkamerkintää varten kannattaa laatiaasiakirjapohjat siten, että merkintä tulee automaattiseksi ja pakolliseksi.Tiedoille määritellään omistaja, joka vastaa siitä, että tieto on oikein ja ajantasalla. Lisäksi omistaja luo asiakirjoista julkisen version, joka voidaanpyydettäessä antaa kansalaisen nähtäväksi. Tiedon omistajan vastuutmääritellään tarkemmin tietoturvapolitiikassa.5.2.2. Riskien arviointiRiskien arviointivaiheessa tunnistetaan uhat, tehdään riskien todennäköisyysjavaikuttavuusarvioinnit sekä priorisoidaan riskit riskikarttaan. Riskejäarvioidaan ryhmässä, jossa on mukana avainhenkilöt organisaation eritoimintayksiköistä, jolloin erilaiset riskitilanteet voidaan tunnistaamahdollisimman kattavasti.Uhkien tunnistamisessa käytetään apuna avainsanaluetteloa (kuva 12).Avainsanaluettelo on yksinkertainen helppo ja nopea analyysimenetelmä jatässä tutkimuksessa käytetty luettelo on erittäin kattava.Seuraavaksi arvioidaan löydettyjen riskien todennäköisyys ja vaikutuksetriskin toteutuessa (taulukko 10). Saatuja tuloksia on hyvä vertailla muihintietoturvatutkimustuloksiin, jotta voidaan arvioida tulosten realistisuutta.Aikaansaatuja tuloksia on lopuksi vielä hyvä tarkastella muidentietoturvatutkimustulosten rinnalla, jotta voi arvioida omien tulostenrealistisuutta ja oikeellisuutta; arviohan on kuitenkin vain arvailua jatodennäköisyyksien etsintää.Avainriskien listaa tulee vielä tarkastella organisaation kriittistentoimintojen ja palvelutavoitteiden näkökulmasta ja pohtia yksittäisen riskinvaikutuksia näihin.Saadut tulokset dokumentoidaan ja tulokset käydään läpi kunnan johdonkanssa, jotta johto pysyy projektin tuloksista tietoisena ja saa mahdollisuudenkommentoida tuloksia.Riskilistan hyödyntäminen käytännössä tehdään kehittämissuunnitelmaa jatoipumissuunnitelmaa laadittaessa. Suunnitelmissa tulisi näkyä toimenpiteitä,jotka puuttuvat kriittisiin toimintoihin kohdistuviin avainriskeihin.

735.3. Vaihe 3. Tietoturvallisuuden nykytilan kartoitusTietoturvallisuuden nykytilanne arvioidaan käyttämällä VAHTI-julkaisunTietoturvallisuuden arviointi valtionhallinnossa tarkistuslistoja, jotka kattavattietoturvallisuuden eri osa-alueet. Muissa alan julkaisussa olevat kysymyslistatovat sisällöltään hyvin samankaltaiset VAHTIn tarkistuslistojen kanssa, jotenVAHTIn lista riittää yksin kartoitusvälineeksi. Nykytilanteen kartoitukseenotetaan mukaan henkilöt, jotka vastaavat kulloinkin kartoituksessa mukanaolevasta osa-alueesta. Isoon osaan kysymyksistä saadaan vastaustietohallinnolta, mutta on osa-alueita, joissa myös muiden asiantuntemustatarvitaan (esim. henkilöturvallisuus/henkilöstöjohtaja).Tarkistuslistoista karsitaan osa kysymyksistä pois, mikäli katsotaan että neovat hyödyttömiä organisaation nykytilanteessa. Esimerkiksi, jos etätyö eikartoitushetkellä ollut organisaatiossa mahdollista, tehdään etätyötä koskevaanalyysi vasta siinä vaiheessa, kun etätyön teko mahdollistetaan työntekijöille.VAHTIn tarkistuslistoissa on kysymyksiä yhteensä 730 kappaletta.Vaatimusten keräämiseen kuuluvat myös fyysisten tilojen tarkastaminen jaolemassa olevan dokumentaation läpikäynti.Nykytilanne dokumentoidaan. Dokumentaatioon kirjataan nykytilannesanallisesti, arvioidaan kehittämistarve ja kirjataan lopuksikehittämisehdotukset, jotka kootaan projektin loppuvaiheessakehittämissuunnitelmaan.Kuva 15. Vaihe 3: Tietoturvallisuuden nykytilan kartoitus.

745.4. Vaihe 4. TietoturvallisuussuunnitteluKehittämistoimenpiteet aikatauluineen ja vastuutuksineen kirjataantietoturvallisuussuunnitelmaan/-strategiaan. Toimenpiteet valitaan nykytilananalyysin ja vaatimusten keräämisvaiheessa tuotetun tiedon perusteella.Dokumentti on hyvä jäsentää ja otsikoida samoin kuin nykytilan kuvaus –dokumentti luettavuuden ja jatkokäytettävyyden takaamiseksi. Toimenpiteidenkirjaamisvaiheessa etsitään hyviä käytäntöjä kartoituksessa käytetyistätarkistuslistoista sekä eri tietoturvakäytäntöjä kuvaavista lähteistä jastandardeista. Tässä vaiheessa voidaan käyttää apuna ulkopuolisiaasiantuntijoita niiden osa-alueiden suunnittelussa, joista organisaatiossa ei oleriittävästi osaamista. Suunnitteluvaiheessa tulee tarkastella riskilistaa, jottaerityisesti avainriskeihin saadaan aikaan suojamekanismit.Tietoturvallisuussuunnitelman vastuutus, aikataulutus ja resurssointi ovatosa suunnittelua. Taulukossa 13 on esimerkkejä toimenpiteistä, joita on kirjattutietoturvallisuussuunnitelmaan. Tietoturvallisuussuunnitelma kannattaa laatiaexcel-tiedostoon tai tietokannaksi jatkokäytettävyyden turvaamiseksi.Kuva 16. Vaihe 4: Tietoturvallisuussuunnittelu.

75Kehittämiskohde3.4.Laitetilojenturvallisuus3.5.LaitetilojenturvallisuusvalvontaNykytilanneKeinot+ 1.Laitteet ylöslattiasta.Palosammutin japalovaroitinlaitetilaan.2.Laiterekisterintekeminen, johonliitetäänhuoltopäiväkirja.3.Henkilöllisyydentarkastaminenlaitetiloissaliikkuvilta,ohjeistus4.Pölyjen puhdistuspaineilmallahuoltotoimenpiteenä.Jäähdytinlaitteessa on omapölynsuodatus.5.Laitetiloihintaskulamput.+ 1.Ulkopuolistenkulkuoikeudet:henkilö taiyrityskortintarkistus,Vastuutus.2.Ylläpitopäiväkirjalaitetiloissatehdyistä töistä.SKPSPPSKSKPPPSAikatauluToteutunutsyyskuu-07Kustannuksetjatyömääräarvio40 eur1 tuntimarraskuu-07 15 tuntiamarraskuu-07 4 tuntiasyyskuu-070,5 tuntiaelo-kuu-07 15 euroalokakuu-074 tuntialokakuu-07 1 tuntiTaulukko 13. Esimerkkiotos kehittämissuunnitelmasta.Vastuuhenkilöt

76Tietoturvapolitiikka laaditaan viimeistään tässä vaiheessa.Tietoturvapolitiikan luonnos käydään läpi kuntajohdon (kunnan johtoryhmä,kunnanhallitus) kanssa. Vahvistettu tietoturvapolitiikka julkaistaan jatiedotetaan sen jälkeen henkilöstölle sekä sidosryhmille.Tietoturvapolitiikka on johdon lausunto siitä, miten organisaatiossa tuleetoteuttaa tietoturvallisuutta. Politiikka toimii ohjeistona tietoturvaa kehittävälleja ylläpitävälle henkilöstölle ja se on yhtä lailla sitova kuin organisaationtoimintaa säätelevät lait ja muut säädökset. Standardista politiikka eroaa siinäsuhteessa, että politiikka on korkeamman tason lausuma, joka on voimassauseita vuosia, kun taas standardissa määritellään teknologioita, metodologioita,käytäntöjä ja muita tarkempia yksityiskohtia.Organisaation on itse luotava tietoturvapolitiikka, koska ulkopuolinenpystyy korkeintaan luomaan kehyksiä, joiden mukaan toimintaa kehitetään.Johdon tuki ja sitoutuminen on kaikkein tärkeintä tietoturvatyössä ja se näkyyorganisaatiossa esimerkiksi siten, että tietoturvatyöhön on varattu tarvittavatresurssit ja tarvittaviin toimenpiteisiin ryhdytään viivytyksettä.Tietoturvapolitiikkaan kirjataan ainakin seuraavat asiat:- Tietoturvallisuuden tavoitteet ja päämäärät kunnassa- Tietoturvallisuuden roolit ja vastuuto Tietoturvallisuussuunnitelmao Johdon vastuuo Tietoturvallisuudesta vastaavan henkilön vastuuto Esimiesten vastuuto Tiedon omistajan vastuuto Henkilöstön vastuut5.5. Vaihe 5. Toteutus ja seurantaToteutus- ja seurantavaihe on jatkuva työprosessi, jota valvootietoturvallisuudesta vastaava henkilö. Vastuuhenkilö on määritelty aiemmintietoturvapolitiikassa. Hänellä on valtuudet delegoida toteutukseen javalvontaan liittyviä tehtäviä eteenpäin. Onkin hyvä harkitatietoturvallisuudesta vastaavan ryhmän kokoamista, johon kuuluvat tärkeidentietojärjestelmien omistajat, tärkeimpien käyttäjien edustajat,

77tietoturvallisuuden ja tietosuojan asiantuntijat, atk-pääkäyttäjät ja kiinteistöistävastaava henkilö. Näin varmistetaan tiedonkulku tietoturvaryhmältähenkilöstölle.Seuranta on toimenpiteiden toteutumisen, niiden vaikutusten jatoteutuneiden riskien seurantaa. Seurantaa tulee tehdä palveluyksiköissä jaseurannasta vastaavat palveluesimiehet. Heidän vastuullaan on myösraportoida säännöllisesti tietoturvasta vastaavalle henkilölle tuloksista.Raportointiin on hyvä kehittää formaalit käytännöt, jotta se tulee toteutettuaasianmukaisesti. Henkilöstölle voidaan luoda esimerkiksi intranetiin lomake,jolla voi raportoida tietoturvarikkomuksista. Tietoturvallisuudesta vastaavalaatii raporteista ja saadusta palautteesta johdolle esitettävät koosteetesimerkiksi puolivuosittain. Raportoinnin käytännöt voidaan kirjataesimerkiksi tietoturvapolitiikkaan.Seurantaan laaditaan mittareita, joiden avulla seuranta helpottuu. Mittareitavoivat olla esimerkiksi toteutuneet tietoturvapoikkeamat, havaittujen virustenmäärä jne.Tietoturvallisuuden hallinnan tulee olla jatkossa osa organisaationnormaalia arkitoimintaa. Organisaatiossa tehtävien muutosten ja uudistustenyhteydessä tulee tehdä tietoturvakartoitus kyseisetä kokonaisuudesta ja laatiasuunnitelma uuden tai uudistetun palvelun tietoturvallisuudentoteuttamisesta. Esimerkiksi otettaessa käyttöön sähköisen asioinnin ratkaisuja,tehdään kartoitus kyseisestä kokonaisuudesta ja toteutetaan suojamekanismitennen ratkaisun käyttöönottoa.Kuva 17. Vaihe 5. Toteutus ja seuranta.

786. Yhteenveto6.1. Tutkimuksen toteutunut viitekehysmalliTietojärjestelmätieteellisen tutkimuksen viitekehysmallin voisi täydentää, kuntutkimus on saatu päätökseen, kuvan 18 mukaiseksi. Viitekehys muodostuuselkeästi ympäristön määrittelystä kartoittamalla nykytilanne, laaditunmenetelmän testuksesta ja parantelemisesta iteratiivisesti sekä tietämyskannankartoittamisesta.Ympäristöksi tässä tutkimuksessa muodostui kunnan henkilöstö,organisaatio sekä käytetyt teknologiat. Tämä vahvistaa käsityksentietoturvallisuuden hallinnan strategisesta kolmiosta, jossa kolmion kärjet ovatihmiset, organisaatio ja teknologia.Tutkimusosassa laadin prosessimallin käyttäen apuna tietämyskanta-osassamainittuja lähteitä. Prosessimalli tarkentui käytännön kokemusten tuomantietämyksen ohjaamana nykyiseen muotoonsa.Tuloksena on menetelmä, joka voidaan toistaa muissa sopivissaympäristöissä sekä tietämyksen lisääntyminen. Tutkimuksen perusteellisuus jarelevanssi on taattu, kun toteutus on tämän viitekehyksen mukainen. Hevnerinja muiden malli on mielestäni erittäin käyttökelpoinen tietojärjestelmätieteentutkimuksen kehysmallina.

79Kuva 18. Toteutetun tutkimuksen viitekehys.6.2. Toimintamallin kehittäminenTutkimuksen tulos eli luvussa 5 kiteytetty malli tietoturvallisuudenhallinnan kehittämiseen pienessä kuntaorganisaatiossa, on saatu aikaanyhdistelemällä useita eri standardeja, ohjeita ja tutkimustuloksia. Näidenlähteiden läpikäyminen on ollut aikaavievä prosessi; lähteissä on käsiteltysamoja asioita toisinaan hyvinkin laajasti ja niistä olen pyrkinyt kokoamaantärkeimmät kohdat yhteen, helppokäyttöiseen dokumenttiin.Hallintajärjestelmiä kuvaavien ohjeistojen ja standardien kritiikki on ollutoikeutettua; niiden käyttöönotto sellaisenaan pienessä kunnassa ei olisi voinutonnistua ilman raskasta kehittämishanketta, aikaavievää perehtymistämenetelmiin ja melkoista resurssointia, mikä voi olla mahdotonta, kuntietoturvallisuuden kokonaisvaltaista asiantuntemustakaan organisaatioissa eiaina ole. Toivon, että tuottamani malli antaa mahdollisuuden jokaiselle pienellekunnalle kehittää tietoturvallisuutta niillä resursseilla, joita kunnassa onkäytettävissä ja luoda hallinnan menetelmät kohtuullisessa ajassa.Prosessin käynnistämisvaiheessa tehtävä kohteen pilkkominen pienempiinkokonaisuuksiin helpottaa jatkotyöskentelyä. Esimerkkikunnassa olisi voitu

80ottaa tarkasteluun vieläkin pienempi osa kunnan toiminnoista yhteenprojektiin, jolloin toimintayksikön koko henkilöstö olisi saatu kiinteämminmukaan työhön. Tällöin prosessin aikana olisi jo saatu aikaan oppimista jatietoisuuden lisääntymistä tietoturvallisuuden perusasioista. Nyt, kunprosessissa oli mukana vain muutama tai vain yksi avainhenkilö usealtatoimialalta, jäi projekti irralliseksi toimintayksiköiden arkipäivän toiminnasta.Haasteena onkin nyt kehittämistoimenpiteiden jalkauttaminen siten, ettäjokainen työntekijä tiedostaa tietoturvallisuuden merkityksen ja myös sen,miten mittava projekti on aiheesta jo käyty organisaatiossa läpi. Tiedottamisellaja esimiesten painotuksilla on tässä suuri merkitys.Vaatimusten keräämisessä oli huomattavasti apuaarkistonmuodostussuunnitelmasta, jota laadittaessa on jo kertaalleenkartoitettu kunnassa käsiteltävät tiedot. Arkistonmuodostussuunnitelmankäyttö tässä vaiheessa nopeutti projektia merkittävästi ja toisaalta senkäyttäminen viestitti henkilöstölle, että arkistonmuodostussuunnitelmanlaatiminen aikanaan on ollut useita tietojenkäsittelytoimintoja palvelevaponnistus. Toivon, että tämä tutkimus saisi lukijat ajattelemaan tietohallintoa jaasiakirjahallintoa kiinteässä yhteistyössä toimivina palveluina. Tutkimuksenaikana on useasti noussut esiin arkistonmuodostussuunnitelma sekä asioidenkäsittelyprosessit, jotka ovat perinteisesti asiakirjahallinnon toimialuetta. Neovat kuitenkin tietohallinnon keskeisin asia: tiedot ja tietojen käsittely sekä asiatja asioiden käsittely tulisi siis nähdä yhtenä ja samana asiana, hieman erinäkökulmasta. Asiakasorganisaatiossa tämä asia nousi vahvasti esiin jaasiakkaalle kirjattiin myös kehittämiskohteeksi tietohallinnon jaasiakirjahallinnon sekä arkiston yhteistyön lisääminen. Lisäksiarkistonmuodostussuunnitelma nimettiin arkistonmuodostus- jatiedonhallintasuunnitelmaksi, joka palvelee myös tietohallintoa ja kaikkiatoimialoja organisaatiossa.Tietojen kerääminen tarkistuslistojen avulla oli selkeän suoraviivaista jajopa yksinkertaista. Tarkistuslistat on aikanaan laadittu VAHTI-julkaisuihinhuolella ja niiden vertailu muissa ohjeistoissa ja standardeissa olevien listojenkanssa osoitti, että VAHTIn tarkistuslistat ovat erittäin kattavat. Näin ollenmuiden ohjeistojen tarkistuslistoja ei ole tarpeen käydä läpi tietoturvallisuuttaarvioitaessa. Dokumentoinnin menetelmät ja muodot oli mietittävä erikseen,siihen ei löytynyt ohjeistoista apuvälineitä. Kuitenkin dokumentaationkäytettävyys on tärkeä seikka ja mallissa on nyt laadittuna yksinkertaisetdokumentointikäytännöt. Esimerkiksi arkistonmuodostussuunnitelmasiirrettiin tekstitiedostosta excel-tiedostoon, jotta sitä on jatkossa helpompiylläpitää ja tarvittaessa sitä voidaan hyödyntää tietokantana.

81Tietoturvallisuussuunnittelussa on tärkeää tarkastella rinnakkainnykytilannetta ja tietojen auditoinnin sekä riskianalyysin tuloksia, jotta saadaanaikaan juuri kyseiseen organisaatioon ja tilanteeseen soveltuvat käytännöt.Riskilistojen hyödyntäminen tässä prosessin vaiheessa jäi toteutuksessanipinnalliseksi ja kuten aiemmin mainitsin, riskilista ylipäätään jäi hiemanirralliseksi dokumentiksi prosessissa. Olenkin korjannut toimintamallia tämänkokemuksen perusteella. Riskilistan merkityksestä kannattaa keskustella josiinä vaiheessa, kun listaa lähdetään laatimaan ja avainriskejä tulisi analysoidatarkemmin organisaation näkökulmasta. Myös avainriskeistä tiedottamallavoidaan saada lisättyä riskitietoisuutta organisaatiossa.Tietoturvallisuussuunnitelmasta ja tietoturvapolitiikasta muodostuipilottikunnassa tärkeät jatkokehittämistä ohjaavat dokumentit. Ne ovatkonkreettisimmat tulokset koko prosessista ja pilottikunnassa ne otettiinvastaan suurella innostuksella. Toisinaan kehittämisprojektin aikana tehtävävaativa työ voi olla turhauttavaa, kun rutiinityöt kärsivät, mutta lopuksi käsilläolevat konkreettiset tulokset palkitsevat tekijänsä.6.3. Mallin pilottikokeilu ja yleistettävyysMallia pilotoitiin pienessä kuntaorganisaatiossa. Samankaltaisia kuntia kuintässä tutkimuksessa on ollut mukana, on Suomessa useita. Toisaalta mikätahansa kaupunki tai kunta on melko samanlainen rakenteeltaan kuinpilottikunta: monialainen, lakisääteisiä palveluja kaikille kohderyhmilletarjoava julkishallinnon organisaatio. Malli on pyritty kehittämään niinyleiseksi, että sitä voidaan käyttää isompaan joukkoon samankaltaisiatapauksia; tapaus siis voi tässä yhteydessä olla mikä tahansa suomalainenkuntaorganisaatio.Organisaatiokohtaiset piirteet tietoturvallisuuden hallinnan kehittämisessätulevat esiin projektin suunnittelussa, ympäristön analyysivaiheessa sekänykytilan kuvaamisessa ja tietoturvatoiminnan suunnittelussa. Itsetoimintamalli voi olla sama, oli kyseessä minkälainen organisaatio tahansa.Olen aikeissa kehittää mallista markkinoitavan tuotteen. Mallin esittelytällaisenaan ei ole markkinoinnillisesti hyvä tuote, koska sen sisältöönperehtyminen ei onnistu kuvaa silmäilemällä, vaan vaatii perehtymistä jonkinverran. Tarkoituksena onkin laatia mallista erilaisia versioita ja lähteämarkkinoimaan organisaatioille esimerkiksi yhtä osakokonaisuutta kerrallaan.Tämä vaatii vielä tuotteistamista jonkin verran. Joka tapauksessa kukin

82projekti on organisaatiokohtainen ja projekti tulee suunnitellaasiakasorganisaation kanssa yhdessä heti yhteistyön alkuvaiheessa.6.4. Mallin hyödyllisyys ja jatkokehitysKäytännön hyötyjä tästä tutkimuksesta saatiin paljon.Asiakasorganisaatiossa tunnistettiin tietoturvallisuuden puutteet ja lähdettiinaktiivisesti kehittämään tietoturvaa ja asiakirjahallintoa. Lisäksi seutukunnassaon käytössä tietoturvallisuuden kehittämisen työvälineet ja kuntientietoturvallisuustietoisuus lisääntyy pikku hiljaa, kun prosessi käynnistyymuissa kunnissa. Kuntatasolla tunnistetut heikkoudet (kuva 2): ohjeistaminen,tietoisuus, koulutus ja riskien hallinta, on nyt huomioitu ja kuntietoturvallisuussuunnitelma on toteutettu kauttaaltaan, voisi kyseiset heikotkohdat arvioida uudelleen ja toivottava tulos on, että kuntatasolla on päästylähemmäs valtionhallinnossa jo vallitsevaa korkeaa tietoturvatasoa.Tietoturvallisuuden kehittämisessä kunnissa on vielä paljon haasteita.Johtotasolta lähtevä asenteiden muutos ja tietoisuuden lisääminen ovatvarmasti suurimmat haasteet; aivan kuten on todettu jo aiemmissatutkimuksissakin. Lisäksi kuntaorganisaatioita ravistelevat muutostilanteet,kuten palvelurakenteiden uudistaminen, aiheuttavat tietoturvariskejä, joihintulisi muutosprojekteissa kiinnittää entistä enemmän huomiota.Tietoturvallisuus tulee huomioida kaikissa arkipäivän rutiinitöissä, joitakunnassa toteutaan, liittyyhän lähes kaikkeen työhön tieto, tietojen käsittely jaluottamuksellisuusvaatimus. Toisaalta kunnassa tavoiteltava avoimuudentoteuttaminen on luottamuksellisuuden vihollinen; miten toteuttaa lakisääteistäavoimuutta ja julkisuusperiaatetta siten, että yksityisyyden suoja ei vaarannu,mutta kuitenkin kuntalaisten oikeudet tietoon turvataan.Tässä tutkimuksessa ei analysoitu tarkemmin esimerkiksi avainriskejä janykytilannetta, koska omalta osaltani keskityin prosessiin, en niinkääntuloksiin. Asiakasorganisaatiossa nämä asiat luonnollisesti analysoitiin ja senperusteella laadittiin tietoturvallisuussuunnitelma. Tutkimusaiheena riskientarkempi analyysi olisi mielenkiintoinen; nousevatko kaikissa kunnissa samatriskit avainriskeiksi, mistä nämä riskit johtuvat ja miten niihin tulisi puuttua.Toisaalta olisi hyödyllistä vertailla kuntien nykytilanteen analyyseja, ovatkosamat asiat eri kunnissa kehittämisen tarpeessa vai vaihteleeko tilanne. Mikälieri kunnissa havaitaan samankaltaisia ongelmakohtia, olisi hyvä ohjata kuntientietoturvatyötä näiltä osin esimerkiksi valtakunnallisesti kuntanäkökulmasta.

83Ohjaavana viranomaisena näkisin tässä yhteydessä Kuntaliiton, jonka kunnatmieltävät ehkä paremmin omaa toimintaansa ohjaavaksi viranomaiseksi kuinvaltiovarainministeriön.Prosessi todennäköisesti käydään läpi muissa seutukunnan kunnissa. Olisihyvä koota näistä projekteista raportit, joiden perusteella mallia voisi kehittääedelleen. Tähän minulla saattaa olla mahdollisuuskin, mikäli jatkanseutukunnassa vastaavien projektien asiantuntijana.6.5. Omat kokemuksetItselleni tutkimuksen tekeminen on ollut oppimisprosessi. Olen oppinutpaljon mm. tietoturvallisuuden kehittämisen haasteista ja asiakirjahallinnosta,asiakasorganisaation kanssa toimimisesta, dokumentointikäytännöistä,tutkimuksen kirjoittamisesta sekä ajankäytön hallinnasta. Suuren osanoppimastani olen siirtänyt eteenpäin asiakasorganisaatiossa sekä kokoseutukunnassa. Toivon, että voisin jatkossa myös työllistää itseni vastaavissaprojekteissa ja toiveeni näyttää tällä hetkellä toteutuvankin.Tutkimukseni yhdistää pääaineeni tietojenkäsittelyopin sekä sivuaineeniinformaatiotutkimuksen hedelmällisellä tavalla. Informaatiotutkimuksesta olenammentanut tietoa asiakirjahallinnon ja arkistoinnin tutkimuksesta sekä tiedonauditointimenetelmistä. Lisäksi tutkimukseni palvelee myös kuntatutkimuksenja johtamistieteen alaa. Asetelma on laaja ja monitieteinen, lisäksi toivottavastimyös keskustelua herättävä.

84Viiteluettelo[Alberts et. al., 2005] Christopher Alberts, Audrey Dorofee, James Stevens,Carol Woody, OCTAVE®-S Implementation Guide, Version 1. Volume 5:Critical Asset Worksheets for Information. January 2005. Carnegie MellonSoftware Engineering Institute, Pittsburgh. Also available as:http://www.cert.org/octave/osig.html.[Appleyard, 2003] Jim Appleyard, Information Classification: A CorporateImplementation Guide. In: Harold F. Tipton and Micki Krause (eds.),Information Security Management Handbook 5 th edition. Auerbach Publishers,Incorporated, 2003, 715-725.[Arkistolaitos, 2001] Arkistolaitos, Arkistolaitoksen ohje arkistolain piiriinkuuluvien sähköisten tietojärjestelmien ja tietoaineistojen käsittelystä.Arkistolaitoksen määräys 22.5.2001. (Ohje 126/40/01 (Dnro)). Liite 1. Alsoavailable as http://www.narc.fi/sahk/.[Arkistolaitos, 2007] Arkistolaitoksen www-sivusto, etusivu.http://www.narc.fi/index.html. Luettu 20.9.2007.[Arkistolaitos, 2005a] Arkistolaitos, Asiankäsittelyjärjestelmiin sisältyvienpysyvästi säilytettävien asiakirjallisten tietojen säilyttäminen yksinomaansähköisessä <strong>muodossa</strong>. Arkistolaitoksen määräys 20.12.2005 (KA1486/40/2005). Also available as http://www.narc.fi/Arkistolaitos/pdfohjeet/akj_maarays.pdf.[Arkistolaitos, 2005b] Arkistolaitos, Opas arkistonmuodostussuunnitelmanlaatimiseksi ja ylläpitämiseksi. Also available as http://www.narc.fi/amsopas/ams-opas-print.pdf[Arkistolaki, 1994] Arkistolaki 23.9.1994/831. http:www.finlex.fi, luettu22.8.2007.[Beachboard et. al., 2006] John. C. Beachboard, Alma Cole, Mike Mellor, StevenHernandez, Kregg Aytes, and Nelson Massad, A tentative proposal:improving information assurance risk analysis models for small- andmedium-sized enterprises through adoption of an open development

85model. In: Proceedings of the 3rd Annual Conference on information SecurityCurriculum Development (Kennesaw, Georgia, September 22 - 23, 2006).InfoSecCD '06. ACM Press, New York, NY, 194 – 196.[Blakley, et. al., 2001] Bob Blakley and Ellen McDermott and Dan Geer,Information security is information risk management. In: Proceedings ofthe 2001 workshop on New security paradigms, Cloudcroft, New Mexico,2001, 97 – 104.[Botha and Boon, 2003] Hanneri Botha and J.A. Boon, The information audit:Principles and guidelines. Libri. 53 (2003) 23 – 38.[Boyce and Jennings, 2002] Joseph G. Boyce and Dan W. Jennings, Informationassurance: managing organizational IT security risks. Elsevier Science, USA,2002.[Buchanan and Gibb, 1998] Steven Buchanan and Forbes Gibb, The informationaudit: an integrated strategic approach. International Journal of InformationManagement. 18 (1998),1, 29-47.[Calder, 2007] Alan Calder, Information Security and ISO27001 – anIntroduction. Priefing paper, Copyright © IT Governance Ltd 2005 – 2007.Also available as:http://www.itgovernance.co.uk/files/download/Infosec_101v1.2.pdf.[CERT, 2007] CERT www-sivusto, OCTAVE® Information Security RiskEvaluation. http://www.cert.org/octave/. Luettu 15.8.2007.[Eskola ja Suoranta, 1996] Jari Eskola ja Juha Suoranta, Johdatus laadulliseentutkimukseen. Lapin yliopistopaino, Rovaniemi, 1996.[Haarmanen, 1998] Pertti Haarmanen, Kunnallishallinnon tietoturvallisuus.Suomen Kuntaliitto, Kuntaliiton painatuskeskus, Helsinki, 1998.[Harmaakorpi et. al., 2004] Vesa Harmaakorpi, Helinä Melkas, Timo Pihkala,Tomi Tura ja Tuomo Uotila, Päijät-Hämeen palvelurakenne –tulevaisuustarkastelu. Päijät-Hämeen Liitto A147, 2004.

86[Henkilötietolaki, 1999] Henkilötietolaki 22.4.1999/523. http:www.finlex.fi,luettu 22.8.2007.[Hevner et. al., 2004] Hevner, A. R., March, S T., Park, J., Ram, S. 2004. Designscience in information systems research. MIS Quarterly. 28 (2004), 1, 75 –105.[If, 2003] If-vahinkovakuutusyhtiö, PowerPoint-esitys, Tiina Danilotschkin-Forsman. Luettu 17.4.2007. Also available as:http://www.if.fi/web/fi/corporate.nsf/noframes/8DEA6E6F8D8F5D97C1256D94003C3A37/$FILE/Viruksetko%20merkitt%C3%A4vin%20tietoriski%20%5BRead-Only%5D.pdf[ISO/IEC 21827] International Standards Organization (ISO) ISO/IEC21827:2002 Capability Maturity Model (SSE-CMM®). Carnegie MellonUniversity, Pennsylvania. Also available as http://www.ssecmm.org/docs/ssecmmv3final.pdf.[ITSEC, 1991] Commission of the European communities, Informationtechnology security evaluation criteria, provisional harmonised criteria:version 1.2. Office for Official Publications of the European Communities,Luxembourg, 6.6.1991.[JUHTA, 2003] Julkisen hallinnon tietohallinnon neuvottelukunta, JUHTA,Kuntien tietoturvallisuuden hallinnollisten vastuiden selvittäminen.Raportti 15.1.2003. Also available as:http://www.intermin.fi/intermin/images.nsf/files/3A3566B6E6483336C2256CB50049F9D2/$file/JUHTA_julkaisu2.pdf.[Julkisuuslaki, 1999] Laki viranomaisten toiminnan julkisuudesta21.5.1999/621. http:www.finlex.fi, luettu 22.8.2007.[Järvinen ja Järvinen, 2004] Pertti Järvinen ja Annikki Järvinen, Tutkimustyönmetodeista. Tampereen yliopistopaino Oy, Tampere 2004.[Kajava, 2003] Jorma Kajava, Tietoturvallisuuden hallinnan kriittisetmenestystekijät: ylimmän johdon sitoutuminen ja organisaationtietoturvatietoisuusohjelma. Hallinnon tutkimus. 1 (2003), 18 – 33.

87[Kasanen et. al., 1993] Eero Kasanen, Kari Lukka, Arto Siitonen, Theconstructive approach in management accounting research. Journal ofManagement Accounting Research. 5 (1993), 243-264.[Kerko, 2001] Pertti Kerko, Turvallisuusjohtaminen. WS Bookwell Oy, Porvoo,2001.[Kovacich, 2003] Gerald L. Kovacich, The Information Systems Security Officer’sGuide: Establishing and Managing an Information Protection Program. SecondEdition. Butterworth-Heinemann, Elsevier Science (USA), 2003.[Kuntalaki, 1995] Kuntalaki 17.3.1995/365. http:www.finlex.fi, luettu 22.8.2007.[Kuula, 1999] Arja Kuula, Toimintatutkimus, Kenttätyötä ja Muutospyrkimyksiä.Vastapaino, Tampere, 1999.[Kuuluvainen, 2006] Antero Kuuluvainen, Peruskäsitteistö ja historia. In: AtteHolopainen, Eila Koivu, Antero Kuuluvainen, Keijo Lappalainen, JarmoLeppiniemi, Matti Mikola ja Keijo Vehmas, Sisäinen Tarkastus.Tietosanoma Oy, Helsinki, 2006, 15-22.[Kyrölä, 2001] Tuija Kyrölä, Esimies ja Tietoriskien Hallinta. WS Bookwell OY,Juva, 2001.[Laaksonen et. al., 2006] Mika Laaksonen, Terho Nevasalo, Karri Tomula,Yrityksen Tietoturvakäsikirja: Ohjeistus, Toteutus ja Lainsäädäntö. EditaPublishing Oy, Oy Nordprint Ab, Helsinki 2006.[Laki yksityisyyden suojasta työelämässä] Laki yksityisyyden suojastatyöelämässä 13.8.2004/759. http:www.finlex.fi, luettu 23.10.2007.[Lappalainen, 2006] Keijo Lappalainen, Sisäisen tarkastuksen erityispiirteitäerilaisissa ympäristöissä : Kaupungit. In: Atte Holopainen, Eila Koivu,Antero Kuuluvainen, Keijo Lappalainen, Jarmo Leppiniemi, Matti Mikolaja Keijo Vehmas, Sisäinen tarkastus. Tietosanoma Oy, Helsinki, 2006, 140-158.[McCumber, 1994] John McCumber, Information systems security: acomprehensive model. Extracted from the Proceedings of the 14 th National

88Computer Security Conference, October 1991. Published in: nationaltraining standard for information systems security professionals, 1994.Also available as: http://www.cnss.gov/Assets/pdf/nstissi_4011.pdf.[Miettinen ja Kajava, 1994] Juha E. Miettinen ja Jorma Kajava, Tietoriskienarviointi: Risk analysis and risk assessment – an overview of basic ideas andcommonly used techniques. Research papers series A20. Oulun yliopisto,Oulu, May 1994.[Moeller, 2007] Robert Moeller, Improving regulatory compliance usingeffective content protection controls. Managing Information, 14, 2 (2007), 4-6.[Oinas-Kukkonen ja Siponen, 2007] Harri Oinas-Kukkonen ja Mikko T.Siponen, A review of information security isuues and respective researchcontributions. SIGMIS Database, 38, 1, (Feb. 2007), 60 – 80.[Paavilainen, 1999] Juhani Paavilainen, Tietoturva. Suomen ATK-kustannus Oy,Gummerus Kirjapaino Oy, Jyväskylä, 1999.[Paavilainen, 2000] Juhani Paavilainen, Tietoturva 2000, tietoturvankyselytutkimus, kalvoesitys. Also available as:http://www.tietoturva.fi/downloads/TituKysely.pdf. Luettu 24.7.2007.[Parker, 1983] Donn B. Parker. 1983. Testimony. SIGSOFT Softw. Eng. Notes 8, 5(Oct. 1983), 10-17.[Peltier, 2001] Thomas Peltier, Information Security Risk Analysis. AuerbachPublishers, 2001.[PK-RH –hanke, 2000] Laatijat: Vuori, Suominen, Lepistö ja muututkimusryhmä, Kokeiletko aina onneasi? Riskienhallinnan perusteet pkyrityksilleja työntekijöille. PK-RH –hanke, 2000. Also available ashttp://www.pk-rh.fi/pdf/kir-yle-rhnperusteet.pdf[Porvari, 2004] Paavo Porvari, Vakuutusyhtiöiden ratkaisuja yritysasiakkaidentietoturvallisuuden kehittämiseen. Teknillinen korkeakoulu, sähkö- jatietoliikennetekniikan osasto, Espoo 2004. Sarja E: Elektronisia julkaisujaE4. Also available as: http://sel18.hut.fi/reports/E4.pdf.

89[Public Law, 2002] Public Law 107- 347 . Dec. 17 2002. Also available as:http://frwebgate.access.gpo.gov/cgibin/getdoc.cgi?dbname=107_cong_public_laws&docid=f:publ347.107.pdf.[Puhakainen, 2006] Petri Puhakainen, A design theory for information securityawareness. Oulun yliopisto, Oulu, 2006. Lisensiaattityö. Also available as:http://herkules.oulu.fi/isbn9514281144/isbn9514281144.pdf .[Roukala, 1998] Veikko Roukala, Toiminnan muutoksen toteutus. Suomen ATKkustannusOy, , Gummerus Kirjapaino Oy, Jyväskylä, 1998.[Schellong and Goethe, 2005] Alexander Schellong and Johann WolfgangGoethe, CRM in the public sector – Towards a conceptual recearchframework. In: Proceedings of the 2005 National Conference on DigitalGovernment Research (Atlanta, Georgia, May 15 - 18, 2005). ACMInternational Conference Proceeding Series. 89. Digital GovernmentResearch Center, 326-332.[SFS, 2006] Suomen standardisoimisliitto, SFS, ISO/IEC 17799:fi,Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintaa koskevamenettelyohje, Vahvistettu 2006-06-26. 1. painos.[Sipola, 2006] Sinikka Sipola, Tietotilinpäätös on päätös organisaationmenestymisestä. Tietosuoja. 1, 2006, 16-17.[Siponen, 2002] Mikko Siponen, Designing secure information systems andsoftware. Department of Information Processing Science, University ofOulu. Report A 387. Also available as:http://herkules.oulu.fi/isbn9514267907/isbn9514267907.pdf.[Siponen, 2006] Mikko Siponen, Information security standards focus on theexistence of process, not its content. Communications of the ACM. 49 , 8(2006), 97-100.[Siponen, 2007] Mikko Siponen, Tietoturvapolitiikka yrityskohtaiseksi.Helsingin Sanomat 10.4.2007.

90[Sosiaali- ja terveysministeriö, 2003] Sosiaali- ja terveysministeriö,työsuojeluosasto, Riskien arviointi. Tampere 2003. Also available as:http://www.stm.fi/Resource.phx/publishing/store/2003/11/hm1069310947478/passthru.pdf.[SSE-CMM, 2003] Systems Security Engineering Capability Maturity Model,SSE-CMM, Model Description Document Version 3.0, June 15, 2003.[Tietosuojavaltuutetun toimisto, 2007] Tietosuojavaltuutetun toimiston wwwsivusto,Lait. http://www.tietosuoja.fi/1556.htm. Luettu 20.9.2007.[Valtiovarainministeriö, 2003a] Valtiovarainministeriö, Valtionhallinnontietoturvallisuuden johtoryhmä (VAHTI), Ohje riskien arvioinnistatietoturvallisuuden edistämiseksi valtionhallinnossa, VAHTI 7/2003. Alsoavailable as :http://www.vm.fi/vm/fi/04_julkaisut_ja_asiakirjat/01_julkaisut/05_valtionhallinnon_tietoturvallisuus/53828/53827_fi.pdf.[Valtiovarainministeriö, 2003b] Valtiovarainministeriö, Valtionhallinnontietoturvallisuuden johtoryhmä (VAHTI), Tietoturvallisuudenhallintajärjestelmän arviointisuositus, VAHTI 3/2003. Also available as:http://www.vm.fi/vm/fi/04_julkaisut_ja_asiakirjat/01_julkaisut/05_valtionhallinnon_tietoturvallisuus/53808/53805_fi.pdf.[Valtiovarainministeriö, 2003c] Valtiovarainministeriö, Valtionhallinnontietoturvallisuuden johtoryhmä (VAHTI), Valtionhallinnontietoturvakäsitteistö, VAHTI 4/2003. Also available as:http://www.vm.fi/vm/fi/04_julkaisut_ja_asiakirjat/01_julkaisut/05_valtionhallinnon_tietoturvallisuus/50903/50902_fi.pdf[Valtiovarainministeriö, 2006a] Valtiovarainministeriö, Valtionhallinnontietoturvallisuuden johtoryhmä (VAHTI), Tietoturvatavoitteidenasettaminen ja mittaaminen, VAHTI 6/2006. Also available ashttp://www.vm.fi/vm/fi/04_julkaisut_ja_asiakirjat/01_julkaisut/05_valtionhallinnon_tietoturvallisuus/20060720Tietot/Vahti_6_06.pdf.[Valtiovarainministeriö, 2006b] Valtiovarainministeriö, Valtionhallinnontietoturvallisuuden johtoryhmä (VAHTI), Tietoturvallisuuden arviointivaltionhallinnossa, VAHTI 8/2006. Also available as:

91http://www.vm.fi/vm/fi/04_julkaisut_ja_asiakirjat/01_julkaisut/05_valtionhallinnon_tietoturvallisuus/20060802Tietot/A_vahti_08_netti.pdf.[Valtiovarainministeriö, 2006c] Valtiovarainministeriö, Valtionhallinnontietoturvallisuuden johtoryhmä (VAHTI), Käyttövaltuushallinnonperiaatteet ja hyvät käytännöt, VAHTI 9/2006 . Also available ashttp://www.vm.fi/vm/fi/04_julkaisut_ja_asiakirjat/01_julkaisut/05_valtionhallinnon_tietoturvallisuus/20061122Kaeyttoe/vahti_9_06.pdf.[Valtiovarainministeriö, 2006d] Valtiovarainministeriö, Valtionhallinnontietoturvallisuuden johtoryhmä (VAHTI), Muutos ja tietoturvallisuus -alueellistamisesta ulkoistamiseen - hallittu prosessi, VAHTI 7/2006. Alsoavailable as: http://www.vm.fi/vm/fi/04_julkaisut_ja_asiakirjat/1_julkaisut/05_valtionhallinnon_tietoturvallisuus/20060724Muutos/Vahti_7_06.pdf[Viestintävirasto, 2002] Viestintävirasto, Kansallinen tietoturvallisuuskatsaus13.6.2002. Also available as:http://www.ficora.fi/attachments/suomi_R_Y/1156442790229/ Files/CurrentFile/tietoturvakatsaus.pdf.[VRK, 2007] Väestörekisterikeskuksen www-sivusto, Kuntien asukasluvutkuukausittain suuruusjärjestyksessä 2006-2007.http://www.vaestorekisterikeskus.fi/vrk/home.nsf/pages/255791D028A62772C225724B0057AA82. Luettu 20.7.2007.[VTT, 2007] VTT:n ja työsuojelurahaston www-sivusto, Riskianalyysit.http://www.vtt.fi/proj/riskianalyysit/index.jsp. Luettu 18.7.2007.[Wirman, 2006] Kari Wirman, Suojaamisen taso tiedon arvon mukaan,Tietosuoja. 3, 2006, 10-11.

LukuAlaluku Toiminnot Asiakokonaisuus Asiakirjan nimi Omistaja Järjestelmä Sarja Säilytysjärjestys Säilytysaika SPSäilytysaikaohjeen kohtaTärkeysluokitusSalassapitoluokitus Lisätietoja Arkistotunnus9 19 1Avohuolto jatoimeentuloturvaAvohuolto jatoimeentuloturvaHuollon tarpeenarviointiasiakirjatHuoltosuunnitelmatym.Sosiaalikertomus/huoltokertomus SosiaalityönjohtajaSosiaalikertomus/huoltokertomus Sosiaalityönjohtaja SosiaaliEfficaOma sarja:asiakasaktit aakkosjärjestysOma sarja:asiakasaktit aakkosjärjestys25 v.viimeisestämerkinnästä VA 89 5/1.1.1 5 ES25 v.viimeisestämerkinnästä VA 89 5/1.1.1 5 ESSamaa asiakasta tai perhettä koskevatasiakirjat liitetään yhteen asiakirjavihoksi / -kokonaisuudeksi. Otos säilytetäänpysyvästiSamaa asiakasta tai perhettä koskevatasiakirjat liitetään yhteen asiakirjavihoksi / -kokonaisuudeksi. Otos säilytetäänpysyvästi9 1Avohuolto jatoimeentuloturva8., 18. ja 28. päivinäsyntyneidensosiaalikertomuksetSosiaalikertomus/huoltokertomus Sosiaalityönjohtaja SosiaaliEfficaOma sarja:asiakasaktit aakkosjärjestys 1 VA 89 5/1.1.1 5 ES

Kriittisen tieto-omaisuuden kirjaamislomakeOrganisaation nimi:_______________________________Kirjaajan nimi:____________________________Kirjauspäivä:__________________________Kriittinen tieto-omaisuus; mikätieto on kyseessäPerustelu; miksi tieto on kriittinenEsim. pankkiohjelma, Opus Capita.Liitännäiset tietoresurssit jatietovälineet; mitkä tiedot liittyvättähän tietoon, missä tietoa onkopioituna. (ohjelmistot,järjestelmät, muut)Kuvaus; kuka tietoakäyttää.Kuvaus; kuka tiedostavastaa.Turvallisuusvaatimukset; Mitkäovat turva-vaatimukset tälletiedolle.LuottamuksellisuusVain valtuutetut henkilötsaavat nähdä tiedonEheysVain valtuutetut henkilötsaavat muokata tietoaKäytettävyys Lait ja säädökset Muut vaatimuksetTäytyy olla käytettävissä, jottahenkilöstö voi suorittaa tehtävänsä.Katkos ei saa kestää enempää kuintuntia.Seuraavia lakejasovelletaan tiedonkäsittelyyn:

UHKARiskiluku =Todennäköisyys1+ Vaikutukset Riskin merkittävyys Riskin kuvausKäyttö-, käsittely- ja operointivirhe 6 Sietämätön riski Käytetään väärin järjestelmää vahingossa tai huolimattomuutta. Aiheutuu prosessien hidastumista, laiterikkoja,eheysrikkomuksia tai järjestelmässä olevat tiedot muuttuvat. Vrt. Osaamisen puuteVirukset, haittaohjelmat 6 Sietämätön riski Virus tai haittaohjelma pääsee järjestelmään. Palvelut keskeytyvät tai hidastuvat, aiheutuu resurssien menetystäOmien palvelujen saantihäiriö 6 Sietämätön riski Omat järjestelmät poissa käytöstä. Palvelut keskeytyvät, aiheutuu resurssien menetystä.Ulkoisten palvelujen saantihäiriö 6 Sietämätön riski Ulkoiset järjestelmät poissa käytöstä. Palvelut keskeytyvät, aiheutuu resurssien menetystä.Ohjelmisto- ja ylläpitovirhe 6 Sietämätön riski Koodivirhe tai versionvaihto aiheuttaa järjestelmän vakavan virheen. Voi aiheuttaa tietojen menetyksiä.Jakeluverkon häiriö (sähkö,tietoverkko...)6 Sietämätön riski Jakeluverkon häiriö aiheuttaa palvelun keskeytyksen. Aiheutuu resurssien menetystä.Luvaton käyttö tai pääsy 6 Sietämätön riski Käytetään luvatta käyttäjätunnuksia, järjestelmiä tai laitteita. Luottamuksellisuus vaarantuu.Laiterikko 5 Merkittävä riski Kiintolevy tai verkkolaite hajoaa. Aiheutuu resurssien menetystä.Osaamisen puute 5 Merkittävä riski Ei osata käyttää järjestelmiä tai ei tiedetä säännöistä ja ohjeista. Vrt. KäyttövirheLuottamuksellisten tietojenpaljastuminen vahingossa4 Merkittävä riski Näyttöruutu on sijoitettu siten, että ohikulkija voi nähdä luottamuksellisia tietoja. Verkkotulostin on asetettu siten, että kukatahansa voi nähdä luottamuksellisia tietoja.Tekijänoikeuksien rikkominen 4 Merkittävä riski Käytetään ohjelmistoja ilman lisenssiä, kopioidaan tekijänoikeuksin suojattua aineistoa.Henkilöresurssien puute 5 Merkittävä riski Ei ole tarpeeksi henkilöstä purkamaan ongelmatilannetta, esimerkiksi tulostimen vikaa. Palvelut voivat olla poissa käytöstäpitkään.Lumimyrsky, myrsky 5 Merkittävä riski Myrsky aiheuttaa sähkökatkoksen tai tietoliikennekatkoksen: aiheutuu palvelun keskeytys.Yhteensopimattomat laitteet jajärjestelmät5 Merkittävä riski Esim. laskutusjärjestelmästä siirretään laskut reskontraan ja laskun numero ja summa eivät enää täsmää. Aiheutuu mm.eheysrikkomuksia.Tiedostoyhteensopimattomuus 4 Kohtalainen riski Ei saada auki pdf-tiedostoa tai works-tiedostoa. Aiheutuu resurssien menetystä.Tuottamuksellinen salakuuntelu tai -katselu4 Kohtalainen riski Kuunnellaan salaa keskustelua.tai katsellaan salaa asiakirjoja hyötymistarkoituksessa. Luottamuksellisuus vaarantuu.Esiintyminen toisena 4 Kohtalainen riski Esitetään puhelimessa tai sähköpostissa toista henkilöä. Luottamuksellisuus vaarantuu.Raha ym. resurssien puute 4 Kohtalainen riski Ei ole esim. tarpeeksi hyviä tekniikoita käytössä. Käytettävyys vaarantuu.Tuhotyö, ilkivalta 4 Kohtalainen riski Ilmoitustaulu rikotaan tai maalataan niin, että sitä ei voi lukea. Roskapostitus tukkii verkon. Aiheutuu resurssien menetystä japalvelujen keskeytyksiä.Palvelunestohyökkäys 4 Kohtalainen riski Verkko ei ole käytössä. Aiheutuu palvelujen keskeytys.

Avainhenkilön eroaminen, sairaus,kuolema4 Kohtalainen riski Avainhenkilön tietämys katoaa organisaatiosta. Aiheutuu resurssien menetystä ja palvelujen keskeytyksiä.Tulipalo, savu 4 Kohtalainen riski Tulipalo vahingoittaa omaisuutta. Aiheutuu tärkeiden tietojen tuhoutumista sekä vaaraa henkilöstölle.Tietomurto 4 Kohtalainen riski Murtaudutaan verkkoon. Luottamuksellisuus vaarantuu, käytettävyys vaarantuu.Kiristys 4 Kohtalainen riski Saadaan tietoja henkilöstöltä kiristämällä. Luottamuksellisuus vaarantuu.Räjähdys 4 Vähäinen riski Pommi tai kaasuräjähdys. Aiheutuu tietojen tuhoutumista sekä vaaraa henkilöstölle.Väärennys 4 Vähäinen riski Väärennetään asiakirja. Luottamuksellisuus ja eheys vaarantuu.Ylikuormitus 3 Vähäinen riski Verkko hidastuu. Aiheutuu palvelujen keskeytyksiä.Lakko 3 Vähäinen riski Oma tai toimittajan henkilöstö ei ole käytettävissä. Aiheutuu palvelujen keskeytyksiä.Rankkasade, vesivahinko, vuoto 3 Vähäinen riski Vesivahinko vaurioittaa laitteita ja paperidokumentteja. Aiheutuu tärkeiden tietojen tuhoutumista.Salaisuuden paljastaminen 3 Vähäinen riski Paljastetaan luottamuksellista tietoa hyötymistarkoitukseen. Luottamuksellisuus vaarantuu.

Saatavana elektronisessa muodossa - TietojenkÃ¤sittelytieteiden ...

Create successful ePaper yourself

Delete template?

Save as template?