Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Transkriptio

1 TIETOTURVALLISUUDEN KEHITTÄMINEN Opettaja: Tuija Kyrölä Toimintaohjeistus Tietoturvallisuusohjeistus I-TASO II-TASO III-TASO Ylin johto hyväksyy Konsernihallinto valmistelee Toimintayksiköiden vastuulla TIETOTURVASUUNNITELMAT Tietoturvaperiaatteet Verkon tietoturva - periaatteet Internetin tietoturvapolitiikka TIETOTURVAVASTUUT esimiesvastuut henkilöstön vastuut omistajuusroolit sopimuksiin liitettävät tietoturvavelvoitteet TIETOTURVAOHJEET tietojen turvaluokitusohje käyttövaltuusmenettelyt sähköpostiviestintä varajärjestelyjen suunnittelu tietojen käytön valvonta etätyöstä sopiminen poikkeamien hallinta ja raportointi toimittajien turvamenettelyjen auditointi sisäisten turvamenettelyjen auditointi TEKNIIKKAAN LIITTYVÄT LISÄOHJEET etätyö menettelyt, kannettavien suojaus tietoliikenteen rajaus, salaus ja valvonta huolto- ja muut yhteydet ja takaisinsoitto tietojen lokaus ja raportointi virheiden hallinta ja raportointi virusten torjuntaohjelmistot varmistuskeinot TARKENTAVAT TOIMINTAOHJEET konkretisoidaan omistajuusvastuut tunnistetaan tietoriskit ja suojattavat kohteet arvioidaan turvaamistarve hankitaan tarvittavat tekniset turvamenettelyt valmennetaan henkilöstö ja huolehditaan varahenkilöjärjestelyistä varmistetaan toiminta häiriötilanteissa ERITYISOHJEET varmistusmenettelyt toipumissuunnitelmat toiminnan seuranta ja poikkeamien hallinta muutosten ja versioiden hallinta sovellus/järjestelmäkehityksen tietoturva Tietoturvapolitiikka ja -periaatteet Tietoturvaohjeet Tietoturvakäsikirjat Toipumissuunnitelmat Jatkuvuussuunnitelmat Valmiussuunnitelmat TIETOTURVAPOLITIIKKA TIETOTURVAOHJEET Koko organisaation kattava politiikka Tietoliikenteen tietoturvapolitiikka Internet politiikka Virustorjuntapolitiikka Muita periaatteita henkilöstön tietoturvaohjeet esimiehen tietoturvaohjeet PC-käyttäjän tietoturvaohjeet sihteerin tietoturvaohjeet tietojärjestelmän omistajan ohjeet

2 TIETOTURVAKÄSIKIRJAT JATKUVUUSSUUNNITELMA koostuu erilaisista ohjeista ja politiikkapapereista usein myös järjestelmän rakentamiseen liittyvistä tietoturva-asioista suunnitelmat toiminnan yllättävän ja äkillisen keskeytymisen varalle TOIPUMISSUUNNITELMA VALMIUSSUUNNITELMA suunnitelmat atk-toiminnan yllättävän ja äkillisen keskeytymisen varalle suunnitelmat alueellisen tai valtakunnallisen kriisin, sodan tai sodan uhkan varalle TIETOTURVAPOLITIIKKA TIETOTURVAN MÄÄRITTELY Tietoturvan määrittely Tarkoitus Tavoite Laajuus Vastuut Yleiset periaatteet Tieto Turvallisuus käytettävyys luottamuksellisuus eheys

3 LAAJUUS TIETOTURVATYÖN ORGANISOINTI Koko organisaatio vai osa Pelkkä atk vai kaikki tieto Ulkomaat / kotimaa Omat yhtiöt / tytäryhtiöt Johto Tietoturvapäällikkö Henkilöstö Linjaorganisaatio Tietohallinto Järjestelmän omistaja Tarkastus JOHTO TIETOTURVAPÄÄLLIKKÖ Valvonta Seuranta Kehittäminen tietoturvan kehittäminen koordinointi kouluttaminen HENKILÖSTÖ TIETOHALLINTO oma työskentely-ympäristö oma tietojen käsittely tekninen toteutus kouluttaminen

4 JÄRJESTELMÄN OMISTAJA JÄRJESTELMÄN OMISTAJA henkilö, joka vastaa siitä toiminnasta, jota varten järjestelmä pääasiassa on olemassa suojaustason määrittely käyttövaltuuksista päättäminen lakisääteiset tehtävät ohjeistus JÄRJESTELMÄN OMISTAJA YLEISET PERIAATTEET määrittelee järjestelmän haavoittuvuusasteen vastaa järjestelmän ja sen tietojen luokittelusta arvioi kontrollien riittävyyden standardit direktiivit, toimintamallit riskienhallinta toiminnan jatkuvuus tietojärjestelmien turvaaminen tilojen turvaaminen laitteiden turvaaminen ohjelmien ja tiedostojen turvaaminen tiedonsiirron turvaaminen YLEISET PERIAATTEET TIETOTURVAPERIAATTEET henkilöstöpolitiikka pääsy tietoisuuden kohottaminen ja koulutus tietoturvarikkomustapausten käsittely lainvaatimukset tietojen luokittelu tarkastus yksityiskohtaisemmat periaatteet, joilla politiikkatasolla määritellyt asiat saavutetaan

5 TIETOJÄRJESTELMIEN TURVAAMINEN käyttöoikeudet ja -valtuudet käyttövaltuutuspolitiikka tietojärjestelmien turvaluokitus ja turvaluokituksen mukaiset käsittelysäännöt ja valvonta laitteistojen suojaus varmuuskopiointi jne