Saatavana elektronisessa muodossa - TietojenkÃ¤sittelytieteiden ...

More documents

Recommendations

Info

60Jakeluverkon häiriö(sähkö,tietoverkko...)Luvaton käyttö taipääsyJakeluverkon häiriö aiheuttaa palvelun keskeytyksen. Aiheutuuresurssien menetystä.Käytetään luvatta käyttäjätunnuksia, järjestelmiä tai laitteita.Mm. luottamuksellisuus vaarantuu.Taulukko 9. Avainriskejä määritelmineen.Riskit on priorisoitu riskilukujen (todennäköisyys ja vakavuus) summalla. Sekätodennäköisyys- että vakavuusluku annettiin asteikolla 1-3. Integroin aiemminesitetyt taulukot 5 ja 6, ja laadin analyysissa käytetyn taulukon 10.Epätodennäköinen -1(0,01-0,02)Mahdollinen - 2(0,5-6)Todennäköinen - 3(12-365)Vähäinen - 1 Haitallinen - 2 Vakava - 3MerkityksetönriskiVähäinen riski Kohtalainen riskiVähäinen riskiKohtalainenriskiMerkittävä riskiKohtalainen riski Merkittävä riski Sietämätön riskiTaulukko 10. Analyysissa käytetty taulukko.Lopullinen riskiluku vaihteli 3 ja 6 välillä. Riskiluvulla 6 (3+3) ovatsietämättömät riskit eli avainriskit, joihin asiakasorganisaatiossa on välittömästipuututtava.Saatuja tuloksia on lopuksi vielä hyvä tarkastella muidentietoturvatutkimustulosten rinnalla, jotta voi arvioida omien tulostenrealistisuutta ja oikeellisuutta; arviohan on kuitenkin vain arvailua jatodennäköisyyksien etsintää.Esimerkiksi Paavilainen [2000] on koostanut tekemästään tietoturvankyselytutkimuksesta epäillyt ja tunnetut tietoturvarikkomukset ja kyseisentutkimuksen tulokset ovat hyvin linjassa tässä tutkimuksessa saatujen tulostenkanssa. Paavilaisen tutkimuksessa suurimmat riskit ovat käyttäjän virhe,virukset, järjestelmävirhe ja luvaton käyttö. Tutkimuksessa arvioitiin uhkienaiheuttajista ykkössijalle työntekijät ja alhaisen tietoturvatason syyksipuolestaan arvioitiin henkilökunnan vähäisyys, osaamisen ja ohjeistustenpuutteet, johdon sitoutumattomuus sekä riskikartoitusten puuttuminen.[Paavilainen, 2000.]Riskien arviointivaihetta on syytä hieman vielä kehittää, koska riskilistasaattaa jäädä irralliseksi dokumentiksi, jonka implementointi hallintaprosessiinvoi olla vaikeaa. On löydettävä riskilistalle käytännön merkitys. ISO 17799 –standardissa korostetaan riskilistan ja organisaation tavoitteiden välistäsuhdetta [SFS, 2006]. Listaa tulee siis vielä tarkastella organisaation kriittistentoimintojen ja palvelutavoitteiden näkökulmasta ja pohtia yksittäisen riskin
61vaikutuksia näihin. Riskilistan hyödyntäminen käytännössä tehdäänkehittämissuunnitelmaa laadittaessa. Suunnitelmassa tulisi näkyätoimenpiteitä, jotka puuttuvat kriittisiin toimintoihin kohdistuviinavainriskeihin. Asiakasorganisaatiossa esimerkiksi merkittävimmän riskin,käyttö-, käsittely- ja operointivirheet, vähentämiseksi aiotaan kehittääohjeistoja, dokumentaatioita sekä kouluttaa henkilökuntaa. Lisäksijärjestelmähankintojen yhteydessä on kiinnitettävä entistä enemmän huomiotajärjestelmien helppokäyttöisyyteen.4.3.3. Vaihe 3. Nykytilan kartoitusTietoturvallisuuden nykytilanne asiakasorganisaatiossa arvioitiinkäyttämällä VAHTI-julkaisun Tietoturvallisuuden arviointi valtionhallinnossa[Valtiovarainministeriö, 2006b] tarkistuslistoja, jotka kattavattietoturvallisuuden eri osa-alueet. Muissa julkaisussa olevat kysymyslistatolivat sisällöltään hyvin samankaltaiset VAHTIn tarkistuslistojen kanssa, jotenVAHTIn lista riittää yksin kartoitusvälineeksi. Kysymykset käytiin läpitalousjohtajan ja atk-vastaavan kanssa. Osaan kysymyksistä tarvittiinvastauksia hallintojohtajalta. Tietoliikenneturvallisuuden arviointi oli hankalaa,koska tietoliikenne on ulkoistettu ja toimittajalta ei ole saatu verkondokumentaatiota. Tietoliikennejärjestelyt todettiinkin tästä syystä sekäjakeluverkon häiriöriskin suuruuden vuoksi erittäin kiireelliseksikehittämiskohteeksi.Tarkistuslistoista karsittiin osa kysymyksistä pois, mikäli katsottiin, että neolivat hyödyttömiä organisaation nykytilanteessa. Esimerkiksi etätyö eikartoitushetkellä ollut organisaatiossa mahdollista, joten päätettiin, ettäetätyötä koskeva analyysi tehdään siinä vaiheessa, kun etätyön tekomahdollistetaan työntekijöille. Sähköistä asiointia puolestaan ei ole arvioitu,koska sähköisen asioinnin ratkaisuja organisaatiossa ei vielä ole käytössä.VAHTIn tarkistuslistoissa on kysymyksiä yhteensä 730 kappaletta, joistakartoitusvaiheessa käytiin läpi noin 80 prosenttia.Vaatimusten keräämiseen kuului myös tilojen tarkastaminen ja olemassaolevan dokumentaation läpikäynti. Tilojen tarkastuksessa löytyi muutamaselkeä kehittämiskohde, kuten sisäisen postilaatikon sijoituspaikka,kunnanviraston asiakasneuvonta ja laitteistotilojen siisteys. Dokumentaatiotatietojärjestelmistä, käytännöistä, tietoturvasta tms. ei löytynyt.
Page 1 and 2:
Tietoturvallisuuden hallinnan kehit
Page 3 and 4:
iiiSisällys1. Johdanto ...........
Page 5 and 6:
v6. Yhteenveto ....................
Page 8 and 9:
2Kuva 1. Tietoturvallisuuden hallin
Page 10 and 11:
4Sähköisen viestinnän tietosuoja
Page 12 and 13:
6Private sectorPublic sectorCompeti
Page 14 and 15:
1.4. Tietoturvallisuuden tila kunni
Page 22 and 23: 16Kuva 4. Tietojärjestelmätieteen
Page 24 and 25: 18organisaatiota muutoksen toteutuk
Page 26 and 27: 202. Tietoturvallisuuden hallinnan
Page 28 and 29: 22tietoturvallisuutta tarkastelevia
Page 30 and 31: 24Varsinainen CIA-lyhenne on voinut
Page 32 and 33: 262.2.3. KäytettävyysTässä tutk
Page 34 and 35: 28Kuva 5. Tietoturvallisuuden halli
Page 36 and 37: 30Kuva 6. Sisäisen valvonnan vastu
Page 38 and 39: 32otetaan mukaan tekniset viat. Mä
Page 40 and 41: 34tekniset viat tai sääilmiöt. [
Page 42 and 43: 36Lisäksi tarvitaan vahingon suuru
Page 44 and 45: 38Hallinnollinen turvallisuusHenkil
Page 46 and 47: 40Tietoturvariskit ovat suurimpia e
Page 48 and 49: 42Siihen liittyvät myös käyttäj
Page 50 and 51: 44käytännön työt [Arkistolaki,
Page 52 and 53: 46turvallisuuspiirteet tulee selvit
Page 54 and 55: 483.8. Hallinnollinen turvallisuusH
Page 56 and 57: 50Johdanto-luvussa esitettyjä tulo
Page 58 and 59: 524.3.1. Vaihe 1. Prosessin käynni
Page 60 and 61: 54projektissa ei arvioitu etätyöt
Page 62 and 63: 56Tiedon salassapitoluokituksen per
Page 64 and 65: 58asiantuntijana ja hän arvioi tie
Page 68 and 69: 62Nykytilanne on kuvattu liitteess
Page 70 and 71: 64Kohdeorganisaatio arvioi prosessi
Page 72 and 73: 66muutama avainhenkilö esimerkiksi
Page 74 and 75: 685. Tietoturvallisuuden johtamis-
Page 76 and 77: 70o Asiakokonaisuuso Asiakirjan nim
Page 78 and 79: 72oleviin toimintamalleihin. Esimer
Page 80 and 81: 745.4. Vaihe 4. Tietoturvallisuussu
Page 82 and 83: 76Tietoturvapolitiikka laaditaan vi
Page 84 and 85: 786. Yhteenveto6.1. Tutkimuksen tot
Page 86 and 87: 80ottaa tarkasteluun vieläkin pien
Page 88 and 89: 82projekti on organisaatiokohtainen
Page 90 and 91: 84Viiteluettelo[Alberts et. al., 20
Page 92 and 93: 86[Henkilötietolaki, 1999] Henkil
Page 94 and 95: 88Computer Security Conference, Oct
Page 96 and 97: 90[Sosiaali- ja terveysministeriö,
Page 98 and 99: LukuAlaluku Toiminnot Asiakokonaisu
Page 100 and 101: UHKARiskiluku =Todennäköisyys1+ V
show all

Saatavana elektronisessa muodossa - TietojenkÃ¤sittelytieteiden ...

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?