Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Transkriptio

1 Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa Mitä on tietoturva Lainsäädännön rooli ja vaatimukset Liiketoiminnan tarpeet ja tietoturvallisuus Tietoturva ja lainsäädännöllinen ympäristö Tietoturvaan liittyvän lainsäädännön taustaa Kansainvälinen normisto ja ohjeistus OECD Sarbanes-Oxley Act SOX EU-lainsäädäntö Kansallinen lainsäädäntö Perustuslaki Laki viranomaisten toiminnan julkisuudesta (julkisuuslaki) Henkilötietolaki Laki kansainvälisistä tietoturvallisuusvelvoitteista Laki yksityisyyden suojasta työelämässä Sähköisen viestinnän tietosuojalaki Liike- ja ammattisalaisuudet Laki tietoyhteiskunnan palvelujen tarjoamisesta Laki sähköisestä asioinnista viranomaistoiminnassa

2 Laki sähköisestä allekirjoituksesta Viestintämarkkinalaki Yhteenveto tietoturvallisuuteen liittyvästä lainsäädännöstä Tietoturvan hallinnointiin liittyvät standardit ja toimintamallit Standardit ISO BS ISO ISO ISO ISO ISO ISO ISF The Standard of Good Practice for Information Security Toimintamallit Tietojärjestelmien hallinnoinnin viitekehys COBIT ITIL ITIL ja tietoturvallisuus GASSP, GAISP Mallien ja standardien merkitys tietoturvallisuuden hallinnalle Tietoturvallisuuden hallintajärjestelmän sertifiointi Sertifioinnin hyödyt ja haitat Parhaiden tietoturvakäytäntöjen poiminta standardeista ja toimintamalleista Laatujärjestelmän ja tietoturvaohjelman yhtymäkohdat Tietoturvan johtaminen ja hallinnointi yrityksessä Tietoturvallisuuden johtamisen laajuus Hyvä tietohallintotapa (IT Governance) Fyysinen ympäristö Tilojen suojaus Lämpötila, kosteus ja varavirta

3 4.4 Tietoturvan toteuttaminen käytännössä tietoturvaohjelma Tietoturvallisuuden hallinnan roolit ja vastuut Ylin johto Tietoturvaorganisaatio Tietojen omistajat Prosessien omistajat Järjestelmien pääkäyttäjät Tietohallinto Sisäinen ja ulkoinen tarkastus Työntekijät Ulkoiset sidosryhmät Henkilöturvallisuus Henkilöstön palkkaaminen tai yhteistyökumppanien valinta Taustatarkastukset Luottotietokyselyt Sopimukset Työntekijän toimenkuvan muutokset Työtehtävien suorittamisessa huomioon otettavat asiat Työsuhteen päättyminen Tietoturvaohjeistus ja -dokumentaatio Hyvän ohjeistuksen tuntomerkit Tietoturvapolitiikka ja sen luominen Prosessikuvaukset ja muut tietoturvaan liittyvät dokumentit Riskien arviointi ja tietoturvallisuuden testaaminen Käyttöoikeuksien hallintaprosessi Lisenssien ja laitteiden hallinta Muutostenhallintaprosessi Tietoturva-aukkojen ja päivitysten seuranta Tietojen ja järjestelmien luokittelu Tietoturvaloukkausten ja -heikkouksien raportointi Toimintaohjeet loppukäyttäjille Tietojen luokittelu Tietovälineiden käsittelyn tietoturvallisuus Haittaohjelmien torjunta Internetin käytön periaatteet

4 4.7.5 Sähköpostin avaaminen ja käytön periaatteet Käyttäjätunnus ja salasanaohjeistus Matkakäyttö ja etätyöohjeistus Puhtaan pöydän periaate Varmistuskäytännöt Tietoturvan tekninen toteuttaminen Identiteetinhallinta Identiteetinhallintaan tarkoitetut järjestelmät Käyttäjän tunnistus ja todennus Ylläpitotunnusten suojaaminen Salasanojen testaaminen Ulkoistukseen liittyvät erityiskysymykset identiteetinhallinnassa Tietoverkon tekninen suojaaminen Verkon looginen rakenne Palomuurit Tunkeutumisen havaitseminen ja torjunta Verkon valvonta Tietojen salaus ja muut salaustekniset menetelmät Kiintolevyn salaaminen Ylläpitoyhteyksien salaaminen Sähköpostin salaaminen Organisaatiovarmenne ja sähköpostivarmenne Laskutusdirektiivin asettamat vaatimukset (2001/115/EY) Virustorjunta Työasemien virustorjunta Palvelinten ja tuotannollisten järjestelmien virustorjunta Selainliikenteen virustorjunta Virustorjunnan tarkastuslista Roskapostin ja sähköpostin mukana tulevien haittaohjelmien torjunta Roskapostin suodatuksen vaikutukset Keinot roskapostin torjumiseksi Loppukäyttäjän toimenpiteet roskapostin torjumiseksi Tietojärjestelmien turvallisuus

5 5.6.1 Turvalliset standardiasennukset Järjestelmien auditointi Mobiililaitteet ja siirrettävät mediat Mobiililaitteisiin liittyvät riskit Mobiililaitteiden suojaamiseksi tehtävät toimet Massamuistien ja muiden PED-laitteiden käytön estäminen Laite- ja ohjelmistorekisterit Hyvä IT-omaisuuden hallinta Laitteiden ja ohjelmistojen inventointi Hyvän IT-omaisuuden hallinnan vaikutukset tietoturvallisuudelle Etäyhteydet ja langattomat yhteydet Laitteiden standardointi Laitteiden vaatimusten mukaisuus ja käyttäjien itsepalvelupiste Liiketoiminnan jatkuvuus- ja toipumissuunnitelmat Jatkuvuus- ja toipumissuunnitelmien määritelmät Miksi laatia jatkuvuus- ja toipumissuunnitelmat Liiketoiminnan jatkuvuussuunnitelman laatiminen Liiketoiminnan toipumissuunnitelman laatiminen Valmiussuunnittelu Ulkoistuksen asettamat tietoturvavaatimukset ja toimenpiteet Ulkoistuksen roolit ja vastuunjako Ulkoistuksen auditointi Tietoturvavelvoitteet ulkoistussopimuksissa Ohjeistuksen ja teknisen toteutuksen implementointi ja henkilöstön sitouttaminen Henkilöstön tietoturvakäyttäytymiseen vaikuttavat tekijät Työntekijöiden motivoiminen tietoturva työhön Koulutus ja tietoisuuden lisääminen Pohjana dokumentaatio

6 8.3.2 Käytännön esimerkkien merkitys osana koulutusta Säännöllisyys ja vaihtelevat menetelmät Vaihtoehtoisia koulutusstrategioita Esimies kouluttaa alaisensa Tietoturvaorganisaation järjestämä keskitetty koulutus Tietoiskut Tietoturvallisuuden valvonta, seuranta ja mittaaminen Valvonta Seuranta Tietoturvallisuuden mittaaminen Syitä tietoturvallisuuden mittaamiselle Mittaaminen vai arviointi Hyvän tietoturvallisuuden mittarin ominaisuudet Tietoturvallisuuden mittaamisen ongelmat Keinoja tietoturvallisuuden mittaamiseksi Kypsyysmallit Tietoturvallisuuden tasapainotettu tuloskortti (Balanced Scorecard) Työntekijöiden toiminta Riskianalyysit, kontrollikartoitukset ja haavoittuvuustestaukset Järjestelmien hälytykset Raportointi Tietoturvallisuusrikkomukset ja seuraukset Rikkomusten lähteet ja kohteet Vaikutukset ja seuraukset Yhteenveto kokonaisuuden hallinta Tietoturvallisuuden tarpeen tunnistaminen ja ensimmäiset toimet tietoturvallisuuden systemaattiseksi kehittämiseksi Riskien ja kehityskohteiden tunnistaminen sekä hyväksyttävän riskitason määrittely Tietoturvapolitiikan laatiminen

7 11.4 Korjaavat toimenpiteet ensimmäisen riskikartoituksen jälkeen Hallinnolliset toimet tietoturvallisuuden kehittämiseksi Tekniset ratkaisut tietoturvallisuuden parantamiseksi Tietoturvallisuuden hallintajärjestelmän sertifiointi Liitteet Sähköisen viestinnän tietosuojalaki Laki yksityisyydensuojasta työelämässä Lähteet Hakemisto