Saatavana elektronisessa muodossa - TietojenkÃ¤sittelytieteiden ...

More documents

Recommendations

Info

54projektissa ei arvioitu etätyötä, sähköistä asiointia ja tietojärjestelmientoteutusta, koska näitä prosesseja ei asiakasorganisaatiossa ole olemassa.4.3.2. Vaihe 2. Vaatimusten kerääminenTietoturvallisuuden kehittämisen vaatimukset saadaan tiedonauditointiprosessista, organisaation ympäristöstä sekä riskien arvioinnista.Keinoina ovat tiedon auditoinnin hybridi-lähestymistavan (ks. taulukko 3)mukaan haastattelut, tietovirtojen tunnistaminen, organisaation tarkkailu,dokumentaatioihin tutustuminen, tiedontarpeiden tunnistaminen tai sisäistenja ulkoisten tietolähteiden tunnistaminen. Pilottikunnasta ei löytynytmerkittävästi dokumentaatiota tietoturvatoiminnasta taitietojenkäsittelyprosesseista. Vaatimukset kerättiin siis tietojen auditoinnistasekä riskianalyysistä.4.3.2.1 Tietojen auditointiprosessiOrganisaatiolle tärkeät tiedot tulee tunnistaa ja luokitella. Luokittelutehdään arvon mukaan (käytettävyysluokka, tärkeysluokka) jasalassapitovaatimusten mukaan (salassapitoluokka). Kun tiedot on tunnistettuja luokiteltu, tiedetään, mitä tietoa organisaatiossa käsitellään ja missä tiedotsijaitsevat. Luokiteltu tieto voidaan suojata asianmukaisesti: Organisaationtoiminnan kannalta tärkeä tai salassapidettävä tieto suojataan vahvemmin kuinvähemmän tärkeä tai julkinen tieto.Tiedolle määritellään arvo sen mukaan, miten tärkeää tieto onorganisaatiolle. Arvonmääritys ei ole itsetarkoitus, vaan käytäntö ohjaatoimintayksikköä ja henkilöitä tunnistamaan organisaation toiminnallearvokkaan ja huolellisesti käsiteltävän tiedon [Kyrölä, 2001].Tietojen tunnistaminen ja luokittelu oli työryhmien tehtävänä. Ensimmäisentyöryhmän kokoontuessa ei ollut käytössä arkistonmuodostussuunnitelmaa jatietojen tunnistus tehtiin ideariihessä. Henkilöt kirjasivat yhdessä isollepaperille tietoja, joita he tunnistivat omalta toimialueeltaan. Tunnistamisenapuna käytettiin avainsanaluetteloita, joissa oli esimerkinomaisesti esitetty,minkälaisista tietoja organisaatioissa yleensä käsitellään. Kun tiedot oli kirjattu,ne luokiteltiin ensinnäkin tärkeysluokkiin ja sen jälkeen salassapitoluokkiin.
55Kahdella jälkimmäisellä työryhmällä oli käytössäänarkistonmuodostussuunnitelma, johon on jo valmiiksi tunnistettuorganisaatiossa käsiteltävät tiedot. Työryhmien tehtäväksi jäi luokitella tiedot.Tärkeysluokitus on kuvattu taulukossa 7. Arvo määriteltiin Peltierinkysymyslistan avulla (ks. 31-32).TärkeysmääriteTärkeysMääritelmäluokkaMERKITYKSETÖN 1 Menetyksellä ei ole vaikutusta toimintaan,tuloksellisuuteen,tuottavuuteen,maineeseen.MERKITTÄVÄ 2 Menetys tai tiedon vaarantuminen aiheuttaaajan tai resurssien menetystä.RATKAISEVA 3 Menetys tai tiedon vaarantuminenvaikeuttaa toimintaa ja vaikuttaa maineeseennegatiivisesti.ELINTÄRKEÄ 4 Menetys tai tiedon vaarantuminen vaikuttaanegatiivisesti perustoimintaan ja maineeseen.KRIITTINEN 5 Menetys tai tiedon vaarantuminen aiheuttaamerkittävää haittaa toiminnalle ja maineelle.Taulukko 7. Tiedon luokitus tärkeysluokkiin.Tiedon tunnistamisessa ja luokittelussa oli huomattavasti apuaarkistonmuodostussuunnitelmasta, joka tänä päivänä tulisi jo olla kaikissakunnissa. Joissakin kunnissa suunnitelmaan on jo saatettu kirjata luokitukset,mutta jos ne puuttuvat, on luokittelu tehtävä. Liitteessä 2 on esimerkkiarkistonmuodostus- ja tiedonhallintasuunnitelman tiedoista kehittämisenjälkeen.Tässä yhteydessä tulee tunnistettua myös kriittisimmät tietojärjestelmät janiistä tuotetaan elintärkeiden tietojärjestelmien luettelo, mikäli sellaista ei vieläole. Luettelo voidaan laatia tässä yhteydessä tai kirjata sen laatiminentietoturvallisuussuunnitelmaan kehittämistoimenpiteenä. Esimerkiksi, kuntaloushallinnossa pankkiohjelma ja maksatukset on luokiteltu arvolla 5,voidaan tästä johtaa, että pankkiohjelma on organisaation kriittinentietojärjestelmä ja sen turvaamiseen on erityisesti panostettava. Kriittisistätiedoista on hyvä täyttää omat tietolomakkeensa, joihin kirjataan tietoakoskevat tietoturvavaatimukset. Tietoturvasuunnittelu sekä jatkuvuus- jatoipumissuunnittelu helpottuvat, kun kriittiset tiedot on analysoitu hyvin.Esimerkiksi Octave-S metodioppaan [Alberts et. al., 2005] lomake on tietojenkirjaamiseen käyttökelpoinen. Lomakkeen muokattu versio on liitteessä 3.
Page 1 and 2:
Tietoturvallisuuden hallinnan kehit
Page 3 and 4:
iiiSisällys1. Johdanto ...........
Page 5 and 6:
v6. Yhteenveto ....................
Page 8 and 9:
2Kuva 1. Tietoturvallisuuden hallin
Page 10 and 11: 4Sähköisen viestinnän tietosuoja
Page 12 and 13: 6Private sectorPublic sectorCompeti
Page 14 and 15: 1.4. Tietoturvallisuuden tila kunni
Page 22 and 23: 16Kuva 4. Tietojärjestelmätieteen
Page 24 and 25: 18organisaatiota muutoksen toteutuk
Page 26 and 27: 202. Tietoturvallisuuden hallinnan
Page 28 and 29: 22tietoturvallisuutta tarkastelevia
Page 30 and 31: 24Varsinainen CIA-lyhenne on voinut
Page 32 and 33: 262.2.3. KäytettävyysTässä tutk
Page 34 and 35: 28Kuva 5. Tietoturvallisuuden halli
Page 36 and 37: 30Kuva 6. Sisäisen valvonnan vastu
Page 38 and 39: 32otetaan mukaan tekniset viat. Mä
Page 40 and 41: 34tekniset viat tai sääilmiöt. [
Page 42 and 43: 36Lisäksi tarvitaan vahingon suuru
Page 44 and 45: 38Hallinnollinen turvallisuusHenkil
Page 46 and 47: 40Tietoturvariskit ovat suurimpia e
Page 48 and 49: 42Siihen liittyvät myös käyttäj
Page 50 and 51: 44käytännön työt [Arkistolaki,
Page 52 and 53: 46turvallisuuspiirteet tulee selvit
Page 54 and 55: 483.8. Hallinnollinen turvallisuusH
Page 56 and 57: 50Johdanto-luvussa esitettyjä tulo
Page 58 and 59: 524.3.1. Vaihe 1. Prosessin käynni
Page 62 and 63: 56Tiedon salassapitoluokituksen per
Page 64 and 65: 58asiantuntijana ja hän arvioi tie
Page 66 and 67: 60Jakeluverkon häiriö(sähkö,tie
Page 68 and 69: 62Nykytilanne on kuvattu liitteess
Page 70 and 71: 64Kohdeorganisaatio arvioi prosessi
Page 72 and 73: 66muutama avainhenkilö esimerkiksi
Page 74 and 75: 685. Tietoturvallisuuden johtamis-
Page 76 and 77: 70o Asiakokonaisuuso Asiakirjan nim
Page 78 and 79: 72oleviin toimintamalleihin. Esimer
Page 80 and 81: 745.4. Vaihe 4. Tietoturvallisuussu
Page 82 and 83: 76Tietoturvapolitiikka laaditaan vi
Page 84 and 85: 786. Yhteenveto6.1. Tutkimuksen tot
Page 86 and 87: 80ottaa tarkasteluun vieläkin pien
Page 88 and 89: 82projekti on organisaatiokohtainen
Page 90 and 91: 84Viiteluettelo[Alberts et. al., 20
Page 92 and 93: 86[Henkilötietolaki, 1999] Henkil
Page 94 and 95: 88Computer Security Conference, Oct
Page 96 and 97: 90[Sosiaali- ja terveysministeriö,
Page 98 and 99: LukuAlaluku Toiminnot Asiakokonaisu
Page 100 and 101: UHKARiskiluku =Todennäköisyys1+ V
show all

Saatavana elektronisessa muodossa - TietojenkÃ¤sittelytieteiden ...

Create successful ePaper yourself

Delete template?

Save as template?