Saatavana elektronisessa muodossa - TietojenkÃ¤sittelytieteiden ...

More documents

Recommendations

Info

524.3.1. Vaihe 1. Prosessin käynnistäminenProsessi käynnistyi resurssien kartoittamisella ja varaamisella projektiin.Resursseista tärkeimmät ovat henkilöresurssit: tietoturva-asiantuntemus jaorganisaation toiminnan tuntemus tulee ottaa huomioon henkilövalintojatehtäessä. Tietoturva-asiantuntemus voidaan hankkia ulkopuoliseltatoimittajalta, mutta organisaation toiminnan tuntemus löytyy vainorganisaation sisältä. Tietoturvaprojektin vetäjän (pääauditoijan) ominaisuudettakaavat pitkälti projektin onnistuneen toteutuksen: henkilön asenteet,esiintyminen, ammattitaito ja osaaminen vaikuttavat muun ryhmän jaorganisaation suhtautumiseen projektiin [Valtiovarainministeriö, 2003b].Tietojen tunnistaminen toteutettiin pilottikunnassa toimialoittain neljässäryhmässä. Kahden toimialan ryhmässä käytiin läpi ensimmäinen kierros, jonkajälkeen metodia hieman korjattiin ja se käytiin läpi vielä kahdella eritoimialalla. Muutoksen suorittajien tulee olla kehitettävän toiminnanasiantuntijoita ja heidät tulee vapauttaa riittävässä määrin omista töistään[Roukala, 1998]. Lisäksi projektille tulee saada johdon tuki. Eri toimialoiltaotettiin mukaan henkilöitä eri tietojenkäsittelytehtävistä, joilla siis oliorganisaation toiminnan asiantuntemusta. Projektin johtohenkilöt olivatlisäkseni talousjohtaja, joka oli käynnistänyt projektin, sekä atk-vastaava.Johdon tuki näkyi talousjohtajan aktiivisena osallistumisena projektiin.Aikataulusuunnittelu voi osoittautua ongelmalliseksi. Tässäesimerkkitapauksessa projekti käynnistettiin marraskuussa aloituskokouksella,mutta työryhmät saatiin koolle vasta loppukeväällä. Erilaiset kunnantalousarvioihin, tukipäätöksiin ym. liittyvät tehtävät sitoivat henkilökuntaasiten, että työryhmien saaminen koolle oli alkuvuodesta hankalaa, vaikka itsetyöryhmäkokoontumiseen tarvittiin aikaa vain muutama tunti.Tietoturvakartoituksen ajankohtaa kannattaakin pohtia tarkkaan ja sijoittaa seajankohtaan, jolloin operatiivinen toiminta organisaatiossa on hiljaisimmillaantai varata kartoitukseen pitempi ajanjakso. Palautekeskustelussatietohallinnossa todettiin, että käytännön työ menee aina kehittämistyön edelleja siksi aikatauluttaminen on aina vaikeaa.Rahallisia resursseja on hankala arvioida, ennen kuin tiedetään, mitäkehittämistoimenpiteitä tarvitaan. Kustannusarvio kannattaakin laatia siinävaiheessa, kun kehittämissuunnitelma on saatu valmiiksi ja aikataulutettu.
53Alkuvaiheessa rahoitusta tarvitaan, mikäli käytetään ulkopuolistaasiantuntijaa.Aloituskokoukseen valmistauduin pääauditoijan ominaisuudessatutkimalla tietoturvallisuuden hallinnan menetelmiä ja näistä erityisestialkuvaiheen toimenpiteitä (Peltier ym.). Aloituskokouksessa käytiin läpilyhyesti tietoturvallisuuden osa-alueet, jotta asiakas ymmärtää, mitä kaikkeatietoturvallisuuden hallinnassa on otettava huomioon. Tutustuinasiakasorganisaation hallintorakenteeseen ja fyysiseen toimipisteidensijoitteluun ennalta, jotta voisin suunnitella projektin ositusta. Haarmanen[1998] toteaa, että on järkevää toteuttaa auditointi hallintokunnittain taijärjestelmäkokonaisuuksien mukaisesti. Omien näkemysteni jaasiakaspalautteen perusteella rajattiin projektin kohdealue osa-alueiksi.Aloituskokouksessa myös nimettiin työryhmiin henkilöt sekä laadittiinprojektille aikataulu.Haarmasen [1998] mukaan turvallisuusanalyysi alkaa osanottajieninformoinnilla tietoturvallisuudesta ja analyysista. Tiedon auditoinnin hybridilähestymistapaesittää ensimmäisenä vaiheena auditointiprosessinmarkkinoinnin (ks. taulukko 6). Projektiin nimetyt henkilöt kutsuttiinaloitusluennolle, joka pidettiin maaliskuussa. Luennolle valmistelintietoturvallisuutta käsittelevän perusaineiston (liite 1) sekä kävin läpisuunnitellun prosessin. Kaksituntiselle luennolle osallistui 12 henkilöäkohdeorganisaatiosta sekä muutaman muun kunnan tietohallinnonhenkilöstöä. Kaikki työryhmiin nimetyt henkilöt eivät päässeet luennolle, mikähieman hankaloitti työryhmätyöskentelyn aloittamista. Työryhmätyöskentelyedellytti tietoturvallisuuden perusasioiden ja kartoituksen ideanymmärtämistä, mitä tietoisuutta pyrittiin edistämään toteuttamalla em.luentojakso. Toisaalta luennon tarkoituksena oli myös toimia markkinointi- jatiedotuskanavana. Olisi tarkoituksenmukaista ottaa aloitukseen mukaan myöskunnan johto, jotta johdon sitoutuminen projektiin varmistettaisiin edesjollakin tasolla heti alkuvaiheessa.Yhdeksi resurssiksi olen prosessin pilottitoteutuksen jo päätyttyä lisännytlähtötietoresurssit. Lähtötietoresurssit ovat niitä tietoja, joiden perusteellavoidaan arvioida tietoturvallisuuden tasoa ja joita voidaan käyttääpohjadokumentteina projektidokumentaatiota tehtäessä. Lähtötietoresurssejaovat esimerkiksi arkistonmuodostussuunnitelma, arkistointiohje,tietojärjestelmädokumentaatiot, prosessikaaviot jne. Tässä vaiheessa on syytätehdä myös tietoturvallisuuden osa-alueiden katselmointi osaksilähtötietoresursseja: organisaation edustajan kanssa käydään läpi, mitätietoturvallisuuden osa-alueita on syytä auditoida ja mitä ei. Esimerkiksi tässä
Page 1 and 2:
Tietoturvallisuuden hallinnan kehit
Page 3 and 4:
iiiSisällys1. Johdanto ...........
Page 5 and 6:
v6. Yhteenveto ....................
Page 8 and 9: 2Kuva 1. Tietoturvallisuuden hallin
Page 10 and 11: 4Sähköisen viestinnän tietosuoja
Page 12 and 13: 6Private sectorPublic sectorCompeti
Page 14 and 15: 1.4. Tietoturvallisuuden tila kunni
Page 22 and 23: 16Kuva 4. Tietojärjestelmätieteen
Page 24 and 25: 18organisaatiota muutoksen toteutuk
Page 26 and 27: 202. Tietoturvallisuuden hallinnan
Page 28 and 29: 22tietoturvallisuutta tarkastelevia
Page 30 and 31: 24Varsinainen CIA-lyhenne on voinut
Page 32 and 33: 262.2.3. KäytettävyysTässä tutk
Page 34 and 35: 28Kuva 5. Tietoturvallisuuden halli
Page 36 and 37: 30Kuva 6. Sisäisen valvonnan vastu
Page 38 and 39: 32otetaan mukaan tekniset viat. Mä
Page 40 and 41: 34tekniset viat tai sääilmiöt. [
Page 42 and 43: 36Lisäksi tarvitaan vahingon suuru
Page 44 and 45: 38Hallinnollinen turvallisuusHenkil
Page 46 and 47: 40Tietoturvariskit ovat suurimpia e
Page 48 and 49: 42Siihen liittyvät myös käyttäj
Page 50 and 51: 44käytännön työt [Arkistolaki,
Page 52 and 53: 46turvallisuuspiirteet tulee selvit
Page 54 and 55: 483.8. Hallinnollinen turvallisuusH
Page 56 and 57: 50Johdanto-luvussa esitettyjä tulo
Page 60 and 61: 54projektissa ei arvioitu etätyöt
Page 62 and 63: 56Tiedon salassapitoluokituksen per
Page 64 and 65: 58asiantuntijana ja hän arvioi tie
Page 66 and 67: 60Jakeluverkon häiriö(sähkö,tie
Page 68 and 69: 62Nykytilanne on kuvattu liitteess
Page 70 and 71: 64Kohdeorganisaatio arvioi prosessi
Page 72 and 73: 66muutama avainhenkilö esimerkiksi
Page 74 and 75: 685. Tietoturvallisuuden johtamis-
Page 76 and 77: 70o Asiakokonaisuuso Asiakirjan nim
Page 78 and 79: 72oleviin toimintamalleihin. Esimer
Page 80 and 81: 745.4. Vaihe 4. Tietoturvallisuussu
Page 82 and 83: 76Tietoturvapolitiikka laaditaan vi
Page 84 and 85: 786. Yhteenveto6.1. Tutkimuksen tot
Page 86 and 87: 80ottaa tarkasteluun vieläkin pien
Page 88 and 89: 82projekti on organisaatiokohtainen
Page 90 and 91: 84Viiteluettelo[Alberts et. al., 20
Page 92 and 93: 86[Henkilötietolaki, 1999] Henkil
Page 94 and 95: 88Computer Security Conference, Oct
Page 96 and 97: 90[Sosiaali- ja terveysministeriö,
Page 98 and 99: LukuAlaluku Toiminnot Asiakokonaisu
Page 100 and 101: UHKARiskiluku =Todennäköisyys1+ V
show all

Saatavana elektronisessa muodossa - TietojenkÃ¤sittelytieteiden ...

Create successful ePaper yourself

Delete template?

Save as template?