TIETOTURVA Hoiva- ja hoitoalan asettamat vaatimukset yrityksen tietoturvalle

Laura Niiranen, Elsa Väistö TIETOTURVA Hoiva- ja hoitoalan asettamat vaatimukset yrityksen tietoturvalle Opinnäytetyö Tietojenkäsittelyn koulutusohjelma Toukokuu 2007

KUVAILULEHTI Opinnäytetyön päivämäärä 9.5.2007 Tekijä(t) Laura Niiranen Elsa Väistö Koulutusohjelma ja suuntautuminen Tietojenkäsittelyn koulutusohjelma, Ohjelmistotuotanto Nimeke Tietoturva Hoiva- ja hoitoalan asettamat vaatimukset yrityksen tietoturvalle Tiivistelmä Opinnäytetyön aiheena on tietoturva. Työssä kerrotaan ensin tietoturvasta yleisesti, minkä jälkeen tutustutaan tarkemmin vaatimuksiin, joita laki asettaa hoiva- ja hoitoalalle. Lopuksi työssä on esitelty pienelle hoiva-alan yritykselle toteutettu yleinen tietoriskikartoitus ja ohjeistus. Yleisen tietoturva osuuden alussa on selvitetty, mitä yleisesti tarkoitetaan tiedolla ja tietoturvalla. Tämän jälkeen tutustutaan tietoturvasuunnitteluun sekä niihin toimenpiteisiin, joilla yritykset voivat vaikuttaa tietoturvatasoonsa. Tämä osa sisältää esimerkiksi henkilö- ja toimitilaturvallisuuteen liittyviä huomioitavia asioita ja suojauskeinoja. Kun tietoturva on tullut yleisellä tasolla tutuksi, siirrytään käsittelemään hoiva- ja hoitoalan tietoturvaa. Tämän osuuden pääasiallinen sisältö on tarkastella, mitä vaatimuksia Suomen lait asettavat hoiva- tai hoitoalan tietoturvalle. Osuudessa tutustutaan esimerkiksi potilas- ja asiakastietojen käsittelyyn sekä potilas- ja asiakasrekistereihin. Teoriaosuuden jälkeen työssä esitellään pienelle hoiva-alan yritykselle toteutettu yleinen tietoriskikartoitus ja tietoriskien arviointi. Lopuksi on ohjeistus, jonka avulla yritys voi poistaa kartoituksessa esiin tulleita tietoriskejä. Asiasanat (avainsanat) Tietoturva, suunnittelu, hoitoala, hoivatyö, potilasasiakirjat Sivumäärä Kieli URN 51 s. + 2 liitettä Suomi URN:NBN:fi:mamkopinn200724532 Huomautus (huomautukset liitteistä) Ohjaavan opettajan nimi Opinnäytetyön toimeksiantaja Olavi Liukkonen

DESCRIPTION Date of the bachelor's thesis May 9, 2007 Author(s) Laura Niiranen Elsa Väistö Degree programme and option Business Information Technology Software engineering Name of the bachelor's thesis Data security in health care and nursing Abstract The subject of this bachelor s thesis is data security. The work can be divided in three parts. The first part handles data security in general. The Second part tells about data security in health care and nursing. The third part is a data security risk survey which is made for a small company. At the beginning of the data security part it is told what data and data security mean. Then the thesis discusses information security policies and data security planning. In this part it is also told how companies can improve their protection level against data security risks. The second part of this thesis studies the Finnish law and looks at what kind of demands it sets to the data security on health care and nursing. The third part contains a data security risk survey which is made for a small company in the nursing industry. After the survey there are instructions which help the company to remove most of the data security risks that came up during the survey. Subject headings, (keywords) Data security, planning, caring industry, nursing, patient documents Pages Language URN 51 p + 2 app Finnish URN:NBN:fi:mamkopinn200724532 Remarks, notes on appendices Tutor Bachelor s thesis assigned by Olavi Liukkonen

SISÄLTÖ 1 JOHDANTO... 1 2 MITÄ ON TIETO?... 2 3 TIETOTURVALLISUUS... 3 4 TIETOTURVASUUNNITTELU... 5 4.1 Systeemityön vaihejakomalli tietoturvasuunnittelussa... 8 4.2 Miellekarttatekniikan käyttö tietoturvasuunnittelussa... 10 4.3 Kustannusten arviointi... 15 5 TIEDON SUOJAAMINEN... 16 5.1 Hallinnollinen turvallisuus... 16 5.2 Henkilöturvallisuus... 17 5.3 Kiinteistö- ja toimitilaturvallisuus... 19 5.4 Tietoaineistoturvallisuus... 22 5.4.1 Tietojen luokittelu... 23 5.4.2 Tietoaineiston käytön lopettaminen ja aineiston hävittäminen... 24 5.5 Tietojenkäsittelyn turvallisuus... 25 5.5.1 Tietokoneiden fyysinen suojaaminen... 25 5.5.2 Käytettävät ohjelmistot... 26 5.5.3 Tietoliikenteen suojaaminen... 27 5.6 Käyttöturvallisuus... 29 5.6.1 Käyttöoikeuksien hallinta... 30 5.6.2 Varmuuskopiointi... 31 5.6.3 Toipumissuunnitelmat... 31 6 HOIVA- JA HOITOALAN TIETOTURVAN ERITYISPIIRTEITÄ... 32 6.1 Asiakas- ja potilasrekisterit... 33 6.2 Asiakas- ja potilasasiakirjat... 37 6.3 Yksityisyyden suoja ja tietojen luovuttaminen... 38 7 HOIVA- JA HOITOALAN KOULUTUS JA TIETOTURVA... 38 8 ESIMERKKITAPAUS: HOIVA-ALAN YRITYKSEN YLEINEN TIETORISKIKARTOITUS JA -ARVIOINTI... 40 8.1 Yrityksen esittely... 40

9 YRITYKSEN NYKYINEN TIETOTURVATILANNE... 41 9.1 Henkilöturvallisuus... 41 9.2 Toimitilojen turvallisuus... 42 9.3 Tietoaineistoturvallisuus... 42 9.4 Tietotekninen turvallisuus... 43 10 UHKATEKIJÖIDEN ARVIOINTI JA KORJAAVAT TOIMENPITEET... 44 11 TIETOTURVAOHJEISTUS... 46 11.1 Henkilöturvallisuus... 46 11.2 Toimitilojen turvallisuus... 47 11.3 Tietoaineistoturvallisuus... 47 11.4 Tietokoneiden käyttö... 49 12 JATKOTOIMENPITEET... 49 13 PÄÄTÄNTÖ... 50 LÄHTEET... 52 LIITTEET

1 JOHDANTO 1 Tämä opinnäytetyö käsittelee yrityksen tietoturvaa hoiva- ja hoitoalan näkökulmasta. Määrittelimme työtä aloittaessamme tutkimusongelmaksi kysymyksen: Mitä erityisvaatimuksia tietoturvalle asettaa se, että yritys toimii hoiva- tai hoitoalalla. Työssä on aluksi selvitetty, mitä yleisesti tarkoitetaan tiedolla ja tietoturvalla. Tämän jälkeen tutustutaan tietoturvasuunnitteluun. Työssä on esitelty kaksi erilaista suunnittelumenetelmää: systeemityön vaihejakomalli ja miellekarttatekniikka. Suunnitteluvaiheen jälkeen esitellään varsinaiseen tiedon suojaamiseen liittyvät asiat. Tämä osa sisältää esimerkiksi henkilö- ja toimitilaturvallisuuteen liittyviä huomioitavia asioita ja suojauskeinoja. Kun tietoturva on tullut yleisellä tasolla tutuksi, selvitetään, mitä tietoturvan erityisvaatimuksia on hoiva- ja hoitoalalla. Tässä osassa selvitetään lähinnä, mitä vaatimuksia laki asettaa hoiva- ja hoitoalan tietoturvalle. Jotta hoiva- ja hoitoalan tietoturva ei jäisi vain lakimääräyksiin, on työssä mukana haastattelu, jonka avulla selvitettiin, mitä tietoturva asioita lähihoitaja -opiskelijoille on opetettu heidän koulutuksensa aikana ja millä menetelmillä opetus tapahtui. Teoriaosuuden jälkeen työssä esitellään pienelle hoiva-alan yritykselle toteutettu yleinen tietoturvakartoitus ja sen perusteella tehty tietoriskien arviointi. Yrityksen nimeä ei mainita opinnäytetyössä tehdyn kartoituksen luonteen vuoksi. Tämä osuus on alun perin tehty tietoturvakurssin harjoitustyöksi ja tämän jälkeen laajennettu aina opinnäytetyöksi asti perehtymällä tarkemmin hoiva- ja hoitoalan tietoturvan asettamiin vaatimuksiin. Arvioinnin jälkeen työssä on ohjeistus, jolla yrityksen tietoturvaa voidaan parantaa.

2 MITÄ ON TIETO? 2 Usein tieto, data ja informaatio sekoitetaan keskenään. Arkikielessä tieto ja informaatio tarkoittavat yleensä samaa asiaa. Data on raakatietoa, jolla saattaa olla informatiivista arvoa. (Paavilainen 1998, 1.) Data käsitetään yleensä koodatuksi merkkijonoksi, käytännössä jonoksi ykkösiä ja nollia, joka sijaitsee esimerkiksi tietokoneen kovalevyllä. Dataa voi olla myös esimerkiksi salakirjoitus ilman purkua. Informaatiolla tarkoitetaan mahdollista tietoa. Kyseessä voi olla datan tai muun merkkijonon sisältämä viesti. Tietona voidaan pitää tulkittua ja sisäistettyä informaatiota. Informaatio muuttuu tiedoksi siinä vaiheessa, kun vastaanottaja tajuaa informaation sisällön ja osaa käyttää sitä hyväksi. (Pirkko 2007.) Kyrölän (2001) mukaan Tieto on käsite, joka tarkoittaa kaikkea sitä tietoa, jota yrityksen toiminnassa syntyy ja käsitellään. Tietoturvan kannalta vaikeita ongelmia aiheuttavat tiedon abstraktisuus ja fyysinen olemattomuus, sillä turvatoimet koskevat melkein aina fyysisesti olemassa olevia asioita, esimerkiksi tiedon tallennusvälinettä. Toisen ongelmakohdan aiheuttaa tiedon rahallisen arvon määrittely. Tulisiko tiedon arvo määritellä sen median mukaan, jossa tieto on, vai pitäisikö käyttää määrittelyn perustana tiedon käyttöarvoa? Mikäli tiedon rahallista arvoa määritellään käyttöarvon perusteella, tulee huomioida se, että käyttöarvo on erittäin riippuvainen tiedon käyttäjästä ja haltijasta. Mikäli tiedon saaja ei ymmärrä sen sisältöä, on se pelkkää dataa, jolla ei ole merkitystä. Jos tiedolla on suuri informatiivinen uutuusarvo, nousee sen rahallinen arvo nopeasti korkeaksi. (Paavilainen 1998, 4-5.) Suojeltavan tiedon määrittely riippuu paljon yrityksen toimialasta, laajuudesta sekä asiakaskunnasta. Yrityksen omistajat ja työntekijät tuottavat ja käsittelevät liiketoimintaan liittyviä, yrityksen omistuksessa olevia tietoja, mutta yleensä näiden lisäksi käsitellään myös asiakkaiden ja sidosryhmien tietoja (Kyrölä 2001, 24). Yleisesti voidaankin todeta, että suojeltavaa tietoa on kaikki, mikä vaikuttaa yrityksen toimintaan suoraan tai välillisesti. Yrityksen kannalta tieto on kaikista tärkeimpiä suojattavia kohteita. Toiminnassa käytettävät koneet ja toimitilat voidaan yleensä korvata, mutta kadotettua tietoa ei välttämättä koskaan saada takaisin.

3 Kaikella tiedolla on elinkaari eli kyseisen tiedon aikaan sidottu elinaika, jonka alussa tieto luodaan ja lopussa hävitetään. Tiedon luottamuksellisuus ja näin ollen myös käsittelytapa monesti muuttuu tiedon elinkaaren aikana. (Kyrölä 2001, 68.) Pyrittäessä turvalliseen tietojenkäsittelyyn on varmistuttava tiedon koko elinkaaren ajan tiedon oikeanlaisesta käsittelystä. Tietoa saa käsitellä vain ne henkilöt, joilla on tietoon oikeus. Tietoja ei myöskään saa viedä sellaiseen tilaan tai järjestelmään, joka ei vastaa tiedon turvaluokitusta. (Paavilainen 1998, 39.) Elinkaaren ääripäät ovat kaikista ongelmallisimpia tietoturvallisuuden kannalta. Tiedon syntyvaiheessa saatetaan tehdä monia luonnoksia tai kokeiluja, joita kaikkia tulisi käsitellä asianmukaisesti. Elinkaaren päättyessä tulisi huolehtia tietoja sisältävän tallenteen asianmukaisesta tuhoamisesta. (Paavilainen 1998, 44.) 3 TIETOTURVALLISUUS Tietoturvallisuus ymmärretään yleensä tietokoneisiin ja tietoliikenteeseen liittyvänä käsitteenä, vaikka todellisuudessa kyseessä on paljon laajempi asia, joka koskettaa jollain tavalla kaikkia. Törmäämme jokapäiväisissä toimissamme tietoturvaan liittyviin asioihin, vaikka emme sitä välttämättä aina tiedostakaan. Pankkiautomaatilla asioidessa tai sähköpostia lukiessa käytetään turvalukuja ja salasanoja, jotka ovat osa tietoturvaa. Tässä työssä käsitellään tietoturvaa lähinnä yrityksen näkökulmasta ja lisäksi tarkastellaan, mitä lisävaatimuksia tietoturvalle asettaa se, että yritys toimii hoito- tai hoiva-alalla. Tietoturvallisuudella tarkoitetaan tietojen, järjestelmien ja palveluiden suojaamista sekä normaali- että poikkeusoloissa lainsäädännön ja muiden toimenpiteiden avulla. Tietoturvallisuus on tietoriskejä käsittelevä turvallisuuden osa-alue, jonka tarkoituksena on taata tietojen luottamuksellisuus, käytettävyys sekä eheys suojaamalla niitä laitteisto- ja ohjelmistovioilta, luonnonkatastrofeilta sekä tahallisilta ja vahingosta aiheutuneilta uhilta ja vahingoilta. (Paananen 2001, 354.) Luottamuksellisuudella tarkoitetaan, että tieto on vain niiden saatavilla, joilla on sen käyttöön oikeus. Mikäli tiedot paljastuvat ulkopuolisille, menetetään niiden luottamuksellisuus. (Paavilainen 1998, 7-8.) Luottamuksellisuutta voidaan ylläpitää suojaa-

4 malla tietojärjestelmien laitteet ja tietovarastot käyttäjätunnuksin ja salasanoin. Arkaluontoisten tai erityisen arvokkaiden tietojen suojaamiseen voidaan käyttää myös erilaisia salakirjoitusmenetelmiä. (Hakala ym. 2006, 4.) Käytettävyys tarkoittaa, että tieto on niihin oikeutettujen henkilöiden tai järjestelmien käytettävissä tai saatavilla (Paavilainen 1998, 8). Käytettävyyttä voidaan ylläpitää huolehtimalla, että tietoliikennejärjestelmien laitteet ovat riittävän tehokkaita. Käytettävien ohjelmistojen tulee myös soveltua mahdollisimman hyvin järjestelmään tallennettujen tietojen käsittelyyn. (Hakala ym. 2006, 4.) Eheys tarkoittaa sitä, että tieto pysyy alkuperäisessä muodossaan ja virheettömänä koko sen elinkaaren ajan (Miettinen 1999, 26). Tiedon eheyden vaatimukset kuulostavat melko vaatimattomalta, mutta käytännössä ne aiheuttavat ongelmia tietotekniikalle. Tästä syystä tiedon eheyden varmistaminen tulisi ottaa huomioon jo tietojärjestelmiä suunniteltaessa. (Paavilainen 1998, 10.) Edellä mainittujen luottamuksellisuuden, käytettävyyden ja eheyden lisäksi tietoturvallisuuden perustekijöihin voidaan lukea myös kiistämättömyys, tarkastettavuus sekä todentaminen. Kiistämättömyys tarkoittaa eri menetelmien avulla saatavaa varmuutta siitä, että tietty henkilö on lähettänyt tietyn viestin (alkuperän kiistämättömyys) tai että viesti on jätetty käsiteltäväksi. Tarkastettavuus tarkoittaa, että muodostuneen aineiston perusteella voidaan tutkia, esiintyykö tiedossa virheitä tai epäsäännöllisyyttä. Tässä käytetään monesti hyödyksi kirjausketjua (tositteiden, syöttötietojen ja tulosteiden aukoton ketju, jonka avulla voidaan jäljittää yksittäisen tiedon käsittelyvaiheet). Todentamisella tarkoitetaan viestinnässä toisen osapuolen tunnistamista. (Paananen 2001, 355.) Kyrölän (2001) mukaan Tietoturvallisuus on yrityksessä ja sen jokaisessa toimintayksikössä vallitseva olotila, joka voidaan tunnistaa ja arvioida ja joka muuttuu. Monesti ajatellaan, että tietoturva on vain alan asiantuntijoiden vastuulla. Tehokas tietoturva on ryhmätyöskentelyä, jossa kokonaisuus riippuu kaikkien osapuolten osallistumisesta. Jokaisen yksittäisen työntekijän sitoutuminen hyvän tietoturvallisuustason ylläpitämiseksi on tärkeää. (Paavilainen 1998, 56.) Tietoturvallisuuden voidaankin

sanoa olevan mukana yrityksen ja sen sidosryhmien kaikissa päivittäisissä toiminnoissa (Miettinen 1999, 23 24). 5 4 TIETOTURVASUUNNITTELU Tietoturvasuunnittelu perustuu yrityksen tai organisaation liiketoimintaturvallisuuteen ja siihen liittyvään kokonaisturvallisuuspolitiikkaan, joka määrittelee tietoturvallisuuden tavoitteet osana suurempaa kokonaisuutta (Hakala ym. 2006, 17). Tietoturvasuunnittelu ja ohjeistus on pohjana yrityksen kaikelle tietoturvaan liittyvälle toiminnalle. Suunnittelun rakennetta voidaan kuvata esimerkiksi seuraavanlaisesti. Politiikat Yrityksen johdon kannanottoja, joiden avulla määritellään toiminnan puitteet sekä linjaukset. Standardit Periaatetason kuvaus asian käytännön toteutuksesta Toimintaohjeet Yksityiskohtainen soveltamisohje asian käytännön toteutuksesta KUVA 1. Tietoturvasuunnittelun ja ohjeistuksen rakenne (Miettinen 1999, 104) Tietoturvasuunnittelun avulla yritykselle tai organisaatiolle luodaan toimiva tietoturvapolitiikka. Se muodostuu ylimmän johdon hyväksymistä käytännöistä, joiden avulla haluttu tietoturvallisuuden taso saavutetaan. Tietoturvapolitiikka kuvaa yleisellä tasolla mikä on organisaation eri liiketoimintaprosessien edellyttämä tietojen turvaamisaste, sekä millä menetelmillä haluttuun turvatasoon pyritään. Tietoturvapolitiikassa kerrotaan myös miten tietoturvallisuutta hallinnoidaan ja kehitetään jatkossa. Tietoturva-

6 politiikka laaditaan kirjalliseen muotoon ja se toimii ohjeena tietojärjestelmien suunnittelijoille ja eri liiketoimintaprosessien vastuullisille esimiehille. Vaikka politiikka laaditaan useammalle vuodelle kerrallaan (5-10 vuotta), se tarkistetaan vähintään kerran vuodessa vastaamaan organisaation nykyistä toimintaa ja turvallisuustarpeita. (Hakala ym. 2006, 7.) Tietoturvapolitiikkaan tulevien tietojen pitää olla luonteeltaan sellaisia, että ne voidaan julkistaa eli politiikka ei saa sisältää tietoa, joka mahdollistaisi hyökkäyksen tai tietomurron suunnittelun yritystä vastaan. Politiikka tulisi aina kirjoittaa sellaiseen muotoon, että kaikki yrityksen työntekijät voivat ymmärtää sen sisällön. Tietoturvapolitiikkaa voidaan myös jakaa asiakkaille ja yhteistyökumppaneille osoittamaan yrityksen vakavasta pyrkimyksestä suojata omat ja sidosryhmiensä tiedot. (Hakala ym. 2006, 9.) Tietoturvapolitiikka asettaa lähtökohdat tietoturvasuunnitelmalle. Tietoturvasuunnitelma sisältää käytännössä ne toimenpiteet, joiden avulla haluttuun tietoturvallisuuden tasoon pyritään. Siinä määritellään kirjallisesti ne työmenetelmät ja tekniset ratkaisut, joita kussakin tietojärjestelmässä käytetään. Vaikka tietoturvasuunnitelma laaditaan yleensä 2-5 vuodelle, toimintaprosesseissa tapahtuvat muutokset ja uuden teknologian käyttöönotto edellyttävät kuitenkin tietoturvasuunnitelman jatkuvaa päivittämistä. Tietoturvasuunnitelman laatimisesta vastaavat yrityksen tai organisaation turvallisuudesta huolehtivat henkilöt yhdessä tietohallinnon, tietojenkäsittelyn ja tietotekniikan ammattilaisten kanssa. Koska suunnitelmassa kuvataan yksityiskohtaisesti käytettäviä menetelmiä ja teknisiä ratkaisuja, tulisi se luokitella joko luottamukselliseksi tai salaiseksi. (Hakala ym. 2006, 9.) Tietoturvallisuuden organisoimista varten on kehitetty kansallisia ja kansainvälisiä standardeja, joita kutsutaan yleisesti tietoturvastandardeiksi vaikka ne eivät asetakkaan vaatimuksia itse tietoturvalle vaan tietoturvasuunnittelun menettelytavoille. Tietoturvastandardien hyödyllisyys ilmenee erityisesti tietoturvasuunnittelun dokumentoinnissa sillä ne tarjoavat selkeän ja vertailukelpoisen rakenteen suunnittelussa syntyneille dokumenteille. Standardien noudattaminen ei yksin kuitenkaan takaa riittävää turvallisuutta vaan niiden tehtävänä on määritellä ainoastaan, mitä suunnittelutyöhön sisältyy ja missä muodossa sen tulokset esitetään. Suomessa ei vielä ole käytössä kansallisia

standardeja ja sen vuoksi suomalaisten organisaatioiden kannattaa toiminnassaan noudattaa kansainvälisiä ja eurooppalaisia standardeja. (Hakala ym. 2006, 46.) 7 Tietoturvasuunnitelmalla määritellään ja toteutetaan myös perusturvallisuuteen liittyvät asiat. Tämä on erittäin tärkeä osa turvallisuutta, koska suurin osa vahingoista tapahtuu perusturvallisuuden laiminlyönneistä. (Paavilainen 1998, 49.) Tietoturvasuunnitelma monesti muodostuu pelkäksi ohjesäännön kaltaiseksi asiakirjaksi. Hyvin laadittu tietoturvasuunnitelma voidaan kuitenkin helposti muuttaa poistamalla teknisiä yksityiskohtia ja korvaamalla ne käyttäjien työhön liittyvillä esimerkeillä, jonka jälkeen se voi toimia peruskäyttäjän ohjeena. (Hakala ym. 2006, 10.) Tietoturvasuunnittelun organisointi riippuu suunnittelutehtävän laajuudesta. Mikäli ollaan laatimassa täysin uuttaa tietoturvasuunnitelmaa tai olemassa olevaa suunnittelua muutetaan olennaisesti, päädytään yleensä suunnittelutiimin tai suunnitteluprojektin perustamiseen. Vuosittain toteutettava suunnitelmien ja ohjeistuksen tarkastus tapahtuu yleensä tietoturvallisuudesta vastaavan yksikön ja tietohallinnon yhteistyönä. (Hakala ym. 2006, 19.) Tietoturvallisuuden suunnittelu on suuritöinen projekti, joka edellyttää kaikkien tietojärjestelmien ja toimintojen kartoittamista. Uuden tietoturvasuunnitelman ja siihen liittyvän seurantajärjestelmän luominen edellyttävät, että suunnitteluprojekti jaetaan helpommin hallittaviin kokonaisuuksiin. Tietoturvasuunnitelman valmistumisen jälkeen projektimuotoinen työskentely päättyy, mutta turvallisuuden ylläpito ja kehittäminen jatkuvat. Suunnitteluprojektista pitäisi päästä joustavasti jatkuvaan tietojärjestelmän kehittämisprosessiin. (Hakala ym. 2006, 22.) Tietoturvallisuuden suunnittelussa voidaan käyttää apuna useita eri lähestymistapoja, joista tässä esitellään kaksi. Systeemityön vaihejakomallin ideana on järjestelmällinen eteneminen alusta loppuun, kun taas miellekarttatekniikassa edetään isommasta kokonaisuudesta pienempään.

4.1 Systeemityön vaihejakomalli tietoturvasuunnittelussa 8 Suunnittelussa voidaan käyttää apuna systeemityön vaihejakomallia, jossa tietojärjestelmän rakentaminen jaetaan seitsemään työvaiheeseen, joihin jokaiseen kuuluu olennaisena osana tehdyn työn dokumentointi. Työvaiheet ovat: - esitutkimus - määrittely - suunnittelu - toteutus - testaus - käyttöönotto - ylläpito. (Hakala ym. 2006, 22.) Esitutkimuksessa kerätään projektissa tarvittavat tietolähteet, kuten aiempien tietojärjestelmien dokumentoinnit, noudatettavien standardien kuvaukset sekä erilaiset ohjelmisto- ja laitemanuaalit. Esitutkimuksen tarkoituksena on yleisellä tasolla kartoittaa aloitettavan projektin sisältö. Tutkimuksen perusteella laaditaan tarkempi projektisuunnitelma ja alustava aikataulu. Esitutkimuksen suorittaa yleensä projektin vastuuhenkilö yhdessä eri osa-alueiden asiantuntijoiden kanssa. (Hakala ym. 2006, 23.) Määrittelyvaiheen tarkoituksena on selvittää tietojärjestelmältä vaadittavat turva- ja palveluominaisuudet. Tähän vaiheeseen liittyvät olennaisesti erilaiset kartoitukset ja analyysit. Rakennettaessa täysin uutta tietojärjestelmää, tarvittavia analyysejä ovat esimerkiksi: - tietotarveanalyysi - tietovarastoanalyysi - tietovuoanalyysi. Tietotarveanalyysin avulla määritellään, mitä tietoja yrityksen tai organisaation sisällä tapahtuvat eri toiminnot tarvitsevat. Tiedot luokitellaan yleensä ensin karkeasti syöttöja tulostietoihin. Tietotarveanalyysiä jatketaan jakamalla tiedot tietoturvapolitiikan mukaisiin turvaluokkiin. Yritykseen laadittu tietoturvaluokitus määrittelee yleensä

tietojen luottamuksellisuuden ja saatavuuden. (Hakala ym. 2006, 24.) Tietojen luokittelua käsitellään tarkemmin kohdassa 5.4 Tietoaineistoturvallisuus. 9 Tietovarastoanalyysi käsittelee löydettyjen tietojen säilyttämistä. Tiedoille pyritään löytämään sopiva tallennusmuoto. Tiedon varastointitavan määrittelyn yhteydessä tarkistetaan sen soveltuvuus sekä tietojen saatavuuden että luottamuksellisuuden näkökulmasta. Tietovuoanalyysin avulla selvitetään tietojen kulku yrityksen tai organisaation sisällä. (Hakala ym. 2006, 24.) Mikäli kyseessä on vanhan tietojärjestelmän päivitys tai korvaaminen tehokkaammalla, voidaan tehdä myös ongelma-analyysi, jonka avulla pyritään selvittämään vanhan järjestelmän puutteita sekä syy-seuraus analyysi, joka selvittää, mistä esille tulleet ongelmat johtuvat (Hakala ym. 2006, 25). Määrittelyvaihetta seuraavassa suunnitteluvaiheessa pyritään löytämään ratkaisuja määrittelyssä asetettujen ominaisuuksien saavuttamiseksi. Olennainen osa suunnitteluvaihetta on erilaisten vaihtoehtojen vertailu. Tietojärjestelmät ovat nykyisin niin monimutkaisia, että kaikkia määrittelyssä esille tulleita vaatimuksia ei voida täyttää. Välillä joudutaan tekemään valinta kahden tai useamman halutun ominaisuuden välillä, sillä jonkin ominaisuuden toteuttaminen saattaa vaikuttaa epäsuotuisasti joihinkin toisiin tarpeellisiin ominaisuuksiin. Suunnitteluvaiheeseen kuuluvat myös kustannuskysymykset. Kustannus-hyöty-analyysin avulla päätetään, mitkä halutuista ominaisuuksista voidaan saavuttaa taloudellisesti järkevällä panostuksella. Suunnitteluvaiheen tavoitteena on selvittää, miten haluttuihin ominaisuuksiin ja tavoitteena olevaan turvallisuustasoon päästään. (Hakala ym. 2006, 25 26.) Toteutusvaiheessa alkaa tietojärjestelmän, ja siihen mahdollisesti liittyvän tietoverkon rakentaminen. Käytännössä tämä tarkoittaa, että suunnitteluvaiheessa valittuja vaihtoehtoja aletaan toteuttaa. Toteutusvaiheessa joudutaan usein vielä muuttamaan suunnitelmia joidenkin yksityiskohtien osalta. Tietoturvasuunnittelussa ei yleensä rakenneta täysin uusia järjestelmiä, vaan otetaan käyttöön tai liitetään tiedon luottamuksellisuutta, käytettävyyttä tai eheyttä parantavia ominaisuuksia jo olemassa oleviin tietojärjestelmiin. Puuttuvat ominaisuudet voidaan usein toteuttaa erillisillä laitteilla tai ohjelmistoilla. Usein myös käytettävien työrutiinien muutoksilla voidaan vaikuttaa turvalli-

10 suustasoon. Toteutusvaiheessa dokumentoinnin tärkeys korostuu, sillä tuotettuja dokumentteja käytetään järjestelmän ylläpidon ja jatkossa tehtävän kehittämisen pohjana. (Hakala ym. 2006, 27.) Testausvaiheessa varmistetaan tietojärjestelmien ja niihin liitettyjen laitteiden toiminta. Testauksessa voidaan jaotella seuraavasti: - toiminnallinen testaus (asennettujen laitteiden ja ohjelmistojen yleisen toiminnan testausta) - määritystenmukaisuustestaus (selvitetään, täyttääkö toteutus järjestelmälle asetetut vaatimukset) - standardinmukaisuustestaus (asennettua järjestelmää verrataan siihen liittyviin standardeihin) Testien toteuttaminen edellyttää testiaineiston luomista. Testiaineisto sisältää tietojärjestelmän testaamista varten syöttötiedot ja valmiiksi lasketut tulostiedot. Käytännössä testaus tapahtuu niin, että syöttötiedot syötetään tietojärjestelmään ja verrataan sen laskemia tietoja aineiston valmiiksi laskettuihin tietoihin. Testauksen jälkeen laaditaan testausdokumentit, joista tulee minimissään käydä ilmi testin lopputulos: hyväksyminen tai hylkäys. (Hakala ym. 2006, 27 28.) Käyttöönottovaiheessa tietojärjestelmä ja siihen kuuluvat laitteistot otetaan käyttöön. Tähän vaiheeseen tulisi aina liittyä tarkkailujakso, jonka aikana järjestelmän toimintaa seurataan ja käyttäjiä neuvotaan. Käyttöönottovaiheeseen kuuluvat myös luovutus- ja loppudokumenttien laatiminen. Dokumenteissa kuvataan ne muutokset, joita tietoturvakäytäntöihin on tehty suunnitteluvaiheen jälkeen. (Hakala ym. 2006, 28.) 4.2 Miellekarttatekniikan käyttö tietoturvasuunnittelussa Miellekarttatekniikassa (liite 1) ei heti alussa pyritä tarkasti jäsenneltyyn rakenteeseen, vaan ideana on luovasti käsitellä eri henkilöiden käytännön kokemuksia ja näkemyksiä tietoturvan tasosta. Miellekarttatekniikkaa voidaan hyödyntää tietoturvasuunnittelussa käyttämällä kolmivaiheista tarkastelua. Ensimmäiseksi pyritään tunnistamaan tietojärjestelmään liittyvät riskit, toisena vaiheen on ratkaisujen löytäminen havaittujen riski-

en välttämiseksi. Kolmantena pohditaan, miten toimitaan, jos riski toteutuu varotoimista huolimatta. (Hakala ym. 2006, 29.) 11 Miellekarttaa käytetään niin, että siihen kirjataan asioita sitä mukaan kun ne tulevat ilmi keskustelun edetessä. Lopuksi miellekartta voidaan piirtää selvemmin jaoteltuna uudelleen. Jotta miellekarttatekniikkaa voidaan käyttää, on ensin ymmärrettävä, mitä tarkoitetaan tietoriskillä. Tietoriskiksi voidaan määritellä liiketoiminnassa tapahtuva tilanne, jolloin tieto tai sen osa ei ole käytettävissä tai se on muuttunut, vääristynyt, hävinnyt tai joutunut asiattomalle taholle. Tilanne voi myös uhata tiedon oikeellisuutta, käyttöä tai luottamuksellisuutta. Käytännössä tämä voi tarkoittaa esimerkiksi sitä, että tärkeä asiakirja tai tiedosto joutuu sellaiselle taholle, jolla ei kyseisiin tietoihin ole oikeutta. Tietoriskiksi voidaan luokitella myös tilanne, jossa tietyn asian osaava tai tietävä henkilö ei ole tavoitettavissa. Tietoriski aiheuttaa toteutuessaan toiminnassa katkoksen, joka voi rajoittua pienelle alueelle tai pahimmassa tapauksessa vaikuttaa koko yrityksen tai yhteisön toimintaan. Toiminnan kannalta tulee ottaa teknisten ratkaisujen lisäksi huomioon myös inhimillisten virheiden, laiminlyöntien ja jopa tahallisen toiminnan vaikutukset. (Kyrölä 2001, 25 27.) Tietoriskejä voidaan luonnehtia kolmen elementin: uhan, epävarmuuden ja mahdollisuuden avulla (Miettinen 1999, 50). Yrityksen yleisen riskien hallinnan ja tietoturvallisuuden välillä on aina jonkinlainen riippuvuussuhde. Tämä ilmenee esimerkiksi siten, että riskit, uhat ja niiden tunnistamisessa käytettävät menetelmät ovat yleensä samanlaisia. (Miettinen 1999, 53 54.) Riskien tunnistaminen Riskien tunnistaminen toteutetaan riskianalyysin avulla. Riskianalyysi on tekninen tutkintaprosessi, jossa selvitetään tutkinnan kohteeseen kohdistuvat ei-toivotut tapahtumat. Riskianalyysi on teknisempi käsite kuin riskien arviointi tai -hallinta ja siihen kuuluu useita työvaiheita. (Miettinen 1999, 51.) Riskianalyysi voidaan jakaa karkeasti kahteen vaiheeseen: riskikartoitukseen, jossa haetaan systemaattisesti toimintaan liittyvät riskit ja uhkakuvat, ja riskien arviointiin, jossa löydettyjen riskien ja uhkakuvien vaikutusta organisaation toimintaan pyritään arvioimaan sopivilla mittareilla. (Hakala

ym. 2006, 80.) Riskikartoituksen avulla olemassa olevat uhat saadaan paikallistetuiksi mahdollisimman hyvin (Paavilainen 1998, 49). 12 Ennen tarkempien, tietojärjestelmäkohtaisten riskianalyysien laatimista kannattaa tehdä yleinen tietoturvariskien kartoitus. Sen avulla selvitetään yleisellä tasolla, mitä riskejä tietojenkäsittelyyn sisältyy missä tahansa tietojärjestelmässä. (Hakala ym. 2006, 80.) Yleisen riskikartoituksen tekijöiden valinnassa kannattaa pyrkiä mahdollisimman edustavaan poikkileikkaukseen yrityksen henkilöstöstä. (Hakala ym. 2006, 81). Mikäli tietoriskejä tarkastellaan vain tietohallinnon asiantuntijoiden kanssa, saadaan suppea käsitys siitä, mitä todella pitäisi tehdä. (Kyrölä 2001, 33). Riskikartoituksessa voidaan käyttää apuna miellekarttoja. Niiden avulla esille tulleet riskit ja uhkakuvat saadaan koottua samaan dokumenttiin ja ne voidaan nopeasti järjestää riskiluokitusten mukaisesti. (Hakala ym. 2006, 81.) Yleisen tietoturvariskien kartoituksen jälkeen voidaan lähteä hakemaan tietojärjestelmäkohtaisia riskejä ja uhkakuvia. Mikäli tietoturvasuunnittelu ei kata yrityksen kaikkia tietojärjestelmiä, on muita järjestelmiä kartoitettava ainakin siltä osin, kuin ne aiheuttavat riskejä tarkasteltaville järjestelmille. Jos muita järjestelmiä ei kartoiteta, voi tietojen siirto niihin aiheuttaa riskin tietojen luottamuksellisuudelle. Myös yhteyksiä yrityksen ulkopuolisten tahojen, kuten tavarantoimittajien ja palveluntarjoajien, tietojärjestelmiin on tarkasteltava. (Hakala ym. 2006, 81).

Riskien arviointi 13 Kun kaikki uhkakuvat ja riskit on kartoitettu, aloitetaan riskien arviointi. (Hakala ym. 2006, 81). Tietoriskien arvioinnissa voidaan käyttää apuna nelikenttämallin muunnosta, jossa verrataan riskin toteutumistodennäköisyyttä ja tapahtuman seurausvaikutuksia toisiinsa. SUURI Tapahtuman seurausvaikutus VAKAVAT SEURAUKSET PIENI TODENNÄKÖISYYS VÄHÄISET SEURAUKSET PIENI TODENNÄKÖISYYS VAKAVAT SEURAUKSET SUURI TODENNÄKÖISYYS VÄHÄISET SEURAUKSET SUURI TODENNÄKÖISYYS SUURI Riskin toteutumistodennäköisyys KUVA 2. Nelikenttämalli (Miettinen 1999, 58) Tavoitteena on päästä tilanteeseen, jossa riskin toteutumisen seuraukset ovat vähäiset ja toteutumisen todennäköisyys pieni. Mitä lähempänä kaavion oikeaa ylänurkkaa ollaan, sitä suurempi on todennäköisyys riskin toteutumiselle ja vakaville seurauksille. (Miettinen 1999, 58 59.) Vaikutusten arvioinnissa tietojärjestelmän tiedot tulisi sijoittaa tietojen luokitusjärjestelmään, sillä se toimii lähtökohtana pohdittaessa, kuinka vakavia vahinkoja eheys-, käytettävyys- ja luottamuksellisuusriskit voivat aiheuttaa yritykselle. (Hakala ym. 2006, 81).

Haettaessa sopivaa riskien arvioinnin lähestymistapaa pitää miettiä mitä lopputulokselta halutaan. Tärkeitä valintakriteereitä ovat esimerkiksi: 14 1. Lähestymistapa (Toivotaanko lopputulokselta laadullista arviointia, kvalitatiivinen, vai tarkkoja numeroarvoja, kvantitatiivinen.) 2. Lopputuloksen luonne sekä saatujen tulosten esitystapa 3. Käytön helppous (Kvantitatiivisten tulosten arviointiin vaaditaan hyvää matemaattista tietämystä.) 4. Lähestymistavan raportointiominaisuudet (Paavilainen 1998, 65.) Valittiinpa mikä tahansa lähestymistapa, täytyy kuitenkin muistaa, että riskien arvioinnissa on aina myös omat riskinsä. Mikäli käytettävää menetelmää ei tunneta tai osata, voi lopputulos olla virheellinen ja johtaa vääriin toimenpiteisiin. (Paavilainen 1998, 65.) Kartoitusvaiheen jälkeen luodaan tarvittava ohjeistus ja toimintaohjeet. (Paavilainen 1998, 49.) Riskien hallinta Kun riskit ja niiden merkittävyys yrityksen tai organisaation toiminnan jatkuvuuden kannalta on selvitetty, voidaan siirtyä etsimään menetelmiä niiden välttämiseksi. Riskit sisältävästä miellekartasta valitaan ne riskit, jotka edellyttävät toimenpiteitä. Tämän jälkeen kuhunkin riskiin mietitään vaihtoehtoisia ratkaisuja, sekä teknisiä että toiminnallisia. (Hakala ym. 2006, 31.) Tietoriskien hallinnan pääasiallisena tehtävänä on kehittää toimintamenetelmiä ja ohjeita sekä teknisiä suojauskeinoja tietojen suojaamiseksi (Kyrölä 2001, 27). Riskien hallinnan tavoitteena on myös yrityksen toimintaan kohdistuvien riskien luonteen ja laajuuden ymmärtäminen, hyväksyttävän riskitason määrittely sekä olemassa olevan riskitason alentaminen määritellylle tasolle (Miettinen 1999, 50). Kun tietoriskit on tunnistettu ja asetettu tärkeysjärjestykseen, voidaan riskien hallinnan voimavarat keskittää olennaisten riskien hallintaan (Miettinen 1999, 59 60). Yritys voi yrittää hallita riskejä siirtämällä niitä ulkopuolisille tahoille. Tietoturvallisuusriskejä voidaan siirtää ulkoistamalla tietojenkäsittelytoimintoja niitä tuottaville

15 palveluyrityksille. Myös vakuutusten ottaminen on osa riskien ulkoistamista. Mikäli näin toimitaan, tulee muistaa, että ulkoistettu riski on hoitamattomana yhtä vakava kuin se olisi omassa yrityksessä. Palveluntarjoajan toimintaa tulee pystyä seuraamaan, jotta varmistutaan sen turvallisuuden riittävästä tasosta. (Hakala ym. 2006, 90.) Joskus yrityksessä päätetään hyväksyä ilmenneet riskit, eikä niiden hallitsemiseksi tehdä minkäänlaisia toimenpiteitä. Tällaiseen ratkaisuun voidaan päätyä silloin kuin riski on pieni tai vähän merkitsevä, sen toteutumisen todennäköisyys on pieni tai riski on luonteeltaan sellainen, että sille ei yksinkertaisesti voida tehdä mitään. (Miettinen 1999, 57.) Tietoturvaratkaisuihin turvaudutaan siinä vaiheessa kun riskejä ei haluta ottaa, eikä niitä voida siirtää yrityksen ulkopuolelle. Erilaisia ratkaisuvaihtoehtoja pohdittaessa on syytä pitää mielessä, että riskejä ei yleensä voida poistaa kokonaan. (Hakala ym. 2006, 91.) 4.3 Kustannusten arviointi Tietoriskien hallinta ja tietoturvan toteuttaminen on kallista. Periaatteena kustannuksia arvioitaessa voidaan pitää sitä, että riskienhallintaan käytettyjen toimenpiteiden kustannusten tulisi olla pienemmät kuin niillä suojattujen kohteiden ja tietojen arvo. (Paavilainen 1998, 54 55.) Vertailussa on hyvä käyttää apuna riskianalyysin tulosten lisäksi organisaation tietojen luokitusta ja varmistaa, että suojauskustannukset eivät ylitä tiedon todellista arvoa (Hakala ym. 2006, 94). Taloudellisesti parhaimman ratkaisun valintaan vaikuttaa oleellisesti yrityksen maksuvalmius (Hakala ym. 2006, 96). Kustannusten arvioinnissa voidaan käyttää apuna mallia, jonka avulla kustannukset on helppo eritellä. Kustannukset Ratkaisu Hankinta Kertakustannus Poisto Välittömät Välilliset Yhteensä KUVA 3. Kustannusten arviointi (Hakala ym. 2006, 94) Käyttö ( /vuosi)

16 Hankintakustannukset syntyvät tietoturvaratkaisun, esimerkiksi virustentorjuntaohjelmiston, käyttöönotosta, ja ne maksetaan vain kerran. Käyttökustannukset voivat olla kiinteitä (määrästä riippumattomia) tai muuttuvia (määrästä riippuvia). Välittömät kustannukset liittyvät suoraan itse tietoturvaratkaisuun (esimerkiksi ohjelmistolle tarvittavat lisenssit). Välillisiksi kustannuksiksi määritellään esimerkiksi ratkaisun käyttöön liittyvän koulutuksen järjestämiskustannukset tai käyttämisestä aiheutuva työajan menetys. (Hakala ym. 2006, 95.) Ratkaisujen lopullista, taloudellista vaikutusta arvioitaessa on usein syytä laskea kustannukset pidemmältä ajanjaksolta, esimerkiksi viideltä vuodelta. (Hakala ym. 2006, 96). 5 TIEDON SUOJAAMINEN Tiedon suojaamisen toimenpiteet voidaan jakaa osiin sen perusteella, mihin aiheeseen ne liittyvät. Tässä opinnäytetyössä suojaamisen käsittely on jaettu seuraavasti: - Hallinnollinen turvallisuus - Henkilöturvallisuus - Kiinteistö- ja toimitila- turvallisuus - Tietoaineistoturvallisuus - Tietojenkäsittelyn turvallisuus - Käyttöturvallisuus 5.1 Hallinnollinen turvallisuus Hallinnollinen turvallisuus on tietoturvallisuuden osa-alue, joka kokoaa muut tietoturvallisuuden osat yhtenäiseksi ja helpommin käsiteltäväksi kokonaisuudeksi. Hallinnollinen turvallisuus käsittelee esimerkiksi johtamista sekä organisointia. (Miettinen 2002, 131.) Hallinnollisen turvallisuuden pääasiallisena tarkoituksena on luoda yritykseen toimintatapa, jonka avulla pystytään välttämään tai estämään tietoturvaan liittyviä riskejä. Hallinnollisen turvallisuuden tehtävänä on myös määritellä vastuuhenkilöt turvalli-

suus-, toipumis-, ja valmiussuunnitteluun ja niihin kuuluviin toimenpiteisiin. (Paavilainen 1998, 48 49.) 17 Tietoturvallisuuteen liittyvien uhkien ja riskien tunnistaminen on myös yksi tärkeimmistä hallinnollisen turvallisuuden tehtävistä. Mikäli tunnistaminen on tehty puutteellisesti tai sitä ei ole tehty ollenkaan, saatetaan päätyä käyttämään vääriä suojausmenetelmiä, taikka suojaus osoitetaan vääriin kohteisiin väärässä laajuudessa. (Miettinen 1999, 40.) 5.2 Henkilöturvallisuus Henkilöturvallisuuden pääasiallisena tarkoituksena on estää inhimillisestä toiminnasta aiheutuvat tietoturvavahingot (Paavilainen 1998, 89). Henkilöturvallisuus on tärkeä osa tietoturvaa ja sen parantamiseksi on sekä organisaation rakenteen että henkilöstön koulutustason oltava turvallisuusvaatimusten mukainen (Paavilainen 1998, 94). Henkilöturvallisuus kohdistuu ihmisiin samalla tavalla kuin työsuojelu. Suurin ero näiden kahden välillä on se, mihin asioihin kiinnitetään huomiota. Työsuojelu keskittyy tapaturmien ehkäisemiseen, kun taas henkilöturvallisuuteen liittyviä asioita ovat esimerkiksi taustatietojen tarkistus, erilaiset salassapito- ja vaitiolositoumukset sekä yrityksen henkilöstön, vierailijoiden ja yhteistyökumppanien fyysisen koskemattomuuden suojaaminen. (Miettinen 2002, 15.) Henkilöturvallisuuteen liittyvä asia on myös yrityksen henkilöstöön liittyvien tietoturvariskien hallinta, jota voidaan toteuttaa esimerkiksi käyttöoikeuksien- ja toimenkuvien määrittelyn, sekä koulutuksen avulla (Paavilainen 1998, 87). Tietoturvakoulutus mahdollistaa opittujen asioiden säilymisen sekä uusien asioiden oppimisen. Yrityksen tietoturvallisuuden kehittämisohjelmassa määritellään millaista koulutusta tarjotaan, missä laajuudessa sekä mille kohderyhmälle. Käytännössä koulutusta on tarjottava koko henkilökunnalle, jotta kaikki ymmärtävät ainakin tietoturvallisuuden perusteet sekä sen merkityksen yrityksen liiketoiminnalle. (Miettinen 1999, 158.)

18 Yrityksen palkatessa uusia henkilöitä palvelukseensa, tarkastetaan yleensä myös hakijoiden taustatiedot ja luotettavuus (Paavilainen 1998, 92). Henkilön taustatietojen tarkistamisella pyritään varmistumaan siitä, henkilö on se kuka hän väittää olevansa. Samalla voidaan selvittää, että tarkistettavan antamat tiedot esimerkiksi aikaisemmasta työ- ja koulutushistoriasta pitävät paikkansa. Monesti tarkastetaan myös, että henkilöllä ei ole rikollista taustaa tai rikollisia yhteyksiä, jotka voisivat vaikuttaa hänen rekrytointiinsa. (Miettinen 2002, 104.) Luotettavuuden tarkastamiseen on useita erilaisia tapoja. Aikaisemmin yleisessä käytössä ollut tapa, luotettavuuslausunnon pyytäminen poliisilta, on korvattu 1.9.2002 voimaan tulleella lailla, jossa määritellään tarkasti, mitkä tahot voivat hakeutua turvallisuustarkastuksen piiriin. Turvallisuusselvitysmenettely on lakiin perustuva (Laki turvallisuusselvityksistä) hallintomenettely, jonka tavoitteena on tarjota yhteiskunnallisesti ja kansantaloudellisesti keskeisille toimijoille paremmat mahdollisuudet suojautua rikollista toimintaa vastaa. Turvallisuusselvityksen hakijalle on laissa määritelty useita velvollisuuksia ja selvityksen tekemiseen on aina saatava työntekijän suostumus. Turvallisuusselvityksiä on kolmea eri tyyppiä: suppea-, perusmuotoinen -, ja laaja turvallisuusselvitys. (Poliisi 2006.) Luotettavuuden tarkastamisen lisäksi lasten kanssa työskentelevien rikostausta tulee selvittää (Laki lasten kanssa työskentelevien rikostaustan selvittämisestä). Rikostaustaote annetaan vain sitä pyytävälle henkilölle ja se on tarkoitettu ainoastaan työnantajalle tai lupaviranomaiselle näytettäväksi. Otteeseen tulee merkintä lapseen kohdistuvista rikoksista sekä seksuaali-, väkivalta- ja huumausainerikoksista. (Oikeusrekisterikeskus 2006.) Uudesta työntekijästä saatetaan lisäksi tarkastaa verotustietoja verohallinnolta taikka sukulaistietoja esimerkiksi seurakuntien kautta (Miettinen 2002, 105). Usein yritykset käyttävät uusien henkilöiden palkkauksessa apuna myös psykologisia testejä, joissa henkilön henkisiä ominaisuuksia ja soveltuvuutta haettuun toimeen mitataan monella eri tavalla. (Paavilainen 1998, 92.) Henkilön poistuessa yrityksen palveluksesta menee hänen mukanaan aina jonkin verran yrityksen tietoja. Monesti avainhenkilöiden siirtyminen kilpailevaan yritykseen

19 estetään työehtosopimuksessa olevalla huomautuksella, joka kieltää henkilöä toimimasta samalla toimialalla seuraavien 3-5 vuoden aikana. (Paavilainen 1998, 92 93.) Riippumatta siitä, miten henkilön työsuhde on päättynyt, tulee aina huolehtia, että kaikki hänen käytössään olleet kulkuluvat, luottokortit ja tunnistuksessa käytetyt tunnukset takavarikoidaan ja niiden voimassaolo lopetetaan. Monesti varsinkin tilapäisille työntekijöille tehdyt tunnukset jäävät voimaan, vaikka henkilö poistuu yrityksen palveluksesta. Henkilöturvallisuuden toimenpiteet alkavatkin uuden työntekijän palkkauksesta ja päättyvät tämän työsuhteensa päättymisen jälkeen (Paavilainen 1998, 93 94). 5.3 Kiinteistö- ja toimitilaturvallisuus Kiinteistö- ja toimitilaturvallisuuden avulla pyritään varmistamaan, että tuotanto- ja toimitiloihin on pääsy vain niillä henkilöillä, joilla on siihen oikeus, varmistetaan tiloissa työskentelevien henkilöiden fyysinen turvallisuus sekä huolehditaan, että tiloissa sijaitseva omaisuus on asianmukaisesti suojattu. (Miettinen 2002, 91). Voidaan sanoa, että kiinteistö- ja toimitilaturvallisuus käsittää kaikki ne toimenpiteet, joilla pyritään estämään tiedolle aiheutuneet fyysiset vahingot. Kaikki yrityksen käytössä olevat tilat eivät ole suojaamisen kannalta samanarvoisia sillä tiloissa suoritettava toiminta asettaa omat vaatimuksensa suojaamiselle. Alhainen suojaustaso riittää yleensä asiakaspalvelu- ja neuvottelutiloille, jotka ovat yleisessä käytössä. Korkeaa suojaustasoa vaativia kohteita ovat esimerkiksi atk-laitetilat ja tuotekehittelytilat. Oleellisinta yrityksen tilojen luokittelussa on, että ymmärretään luokittelun merkitys ja osataan sen pohjalta laittaa käytössä olevat tilat tärkeysjärjestykseen. Valmiita tärkeysluokitusmalleja on olemassa ainakin pankkitoimialalla ja kaupanalalla. (Miettinen 2002, 92 94.) Kiinteistö- ja toimitilaturvallisuuden perussuojauskeinoja on tilojen murtosuojaus. Se toteutetaan yleensä joko mekaanisen lukituksen tai sähköisen murtosuojausjärjestelmän tai näiden yhdistelmän avulla. Murtosuojaukseen vaikuttaa myös fyysisten tilojen rakenteet. Sähköinen murtosuojausjärjestelmä muodostuu rikosilmoitinkeskuksesta sekä siihen kytketyistä ilmaisimista. Rikosilmoituskeskuksen ja ilmaisimien väliset yhteydet on toteutettu yleensä kaapeloinneilla tai vaihtoehtoisesti radiotekniikkaan

20 perustuvilla langattomilla yhteyksillä. Ilmaisimet voivat olla esimerkiksi liikeilmaisimia, lämpöilmaisimia, magneettikoskettimia, paineilmaisimia tai ääntä tunnistavia ilmaisimia. Järjestelmän ollessa aktivoituna, ilmaisimet reagoivat ympäristössään tapahtuviin muutoksiin ja lähettävät tiedon muutoksista rikosilmoitinkeskukselle. Keskus tulkitsee ilmaisimilta tulevan signaalin ja tekee tarvittaessa hälytyksen esimerkiksi vartiointiliikkeen hälytyskeskukseen. (Miettinen 1999, 182.) Kulunvalvonnan tarkoituksena on valvoa kaikkien ihmisten liikkumista yrityksen tiloissa ja piha-alueilla. Valvonta kattaa yrityksen oman henkilöstön lisäksi yrityksen tiloissa liikkuvat vierailijat sekä ulkopuoliset työntekijät. (Miettinen 2002, 98.) Paavilaisen (1998) mukaan: Kulunvalvonnan tärkein tehtävä on taata, että henkilöt, joilla on oikeus päästä kohteeseen voivat sinne mennä, mutta asiaankuulumattomat eivät sinne pääse. Kulunvalvontaa voidaan käyttää myös muihin tarkoituksiin. Esimerkiksi vyöhykelaskennan avulla voidaan määritellä kuinka paljon ihmisiä tietyssä rakennuksessa tai sen osassa on. Näillä tiedoilla voi olla ratkaiseva merkitys tulipalon tai jonkin muun onnettomuuden sattuessa. (Paavilainen 1998, 98.) Ammattimaisesti toteutettu kulunvalvonta perustuu yleensä sähköisten lukitusten- ja kulkukorttien käyttöön, joiden hallinta voidaan tehdä helposti tietokoneen avulla. (Miettinen 2002, 98.) Yrityksissä, joiden henkilöstön määrä on suuri tai joiden työntekijät työskentelevät asiakaspalvelutehtävissä, olisi hyvä olla käytössä kuvallinen henkilökortti, josta työntekijät voidaan luotettavasti tunnistaa. Henkilökorttiin, tyypistä riippuen, voidaan yhdistää yleensä myös avainkorttiominaisuudet. Palosuojelu on tärkeä osa toimitilaturvallisuutta. Sen avulla yritys huolehtii käytössään olevien toimi- sekä tuotantotilojen suojaamisesta palovahinkoja vastaan. Paloturvallisuudesta on pääsääntöisesti huolehdittu hyvin, sillä Suomessa kiinteistöjen tekniset rakennemääräykset ovat varsin tiukat erityisesti paloturvallisuusvaatimuksissa. Vakuutusyhtiöt ovat asettaneet myös tiukkoja vaatimuksia paloturvallisuudelle. (Miettinen 1999, 183.)

21 Halvimmillaan yritys voi huolehtia paloturvallisuudestaan hankkimalla asianmukaisia alkusammutusvälineitä kuten käsisammuttimia ja sammutuspeitteitä, sekä järjestämällä henkilöstölle koulutusta niiden käytöstä (Miettinen 1999, 184). Yksi yleisimmin käytetyistä, alkusammutusvälineitä kalliimmista palosuojelun menetelmistä on automaattinen paloilmoitinjärjestelmä joka löytyy useimmista toimistorakennuksista. Järjestelmä sisältää ympäröivää tilaa tarkkailevia ilmaisimia, sekä keskusyksikön, joka tekee tarvittaessa palohälytyksen. Ilmaisimet seuraavat joko savun muodostusta tai lähiympäristön lämpötilaa. Mikäli määrät ylittävät ennalta asetetut raja-arvot, lähettää ilmaisin tiedon keskusyksikölle, joka välittää hälytyksen eteenpäin joko palolaitokselle tai vartiointiliikkeeseen. Hankintahinnaltaan automaattinen paloilmoitinjärjestelmä on suhteellisen edullinen. (Miettinen 1999, 183.) Automaattinen sammutusjärjestelmä on toinen yleinen palosuojelun menetelmä. Sitä käytetään sammuttamaan alkanut tulipalo joko korkealla paineella ruiskutettavalla vesijohtovedellä, paloa tukahduttavalla kaasulla tai vaahdolla. Vettä sammutusaineena käyttävää sammutusjärjestelmää kutsutaan yleisesti Sprinkler -järjestelmäksi. Automaattiseen sammutusjärjestelmään kuuluu myös ilmaisimet tulipalon havaitsemiseksi, aivan kuten automaattiseen paloilmoitinjärjestelmäänkin ja se käynnistää sammutuksen ilmaisimien tietojen perusteella. Korkean hankintahintansa vuoksi automaattisten sammutusjärjestelmien käyttö on selvästi paloilmoitinjärjestelmiä harvinaisempaa. Yleensä niitä käytetään sellaisten kohteiden suojaamiseen, joissa palo pitää saada sammutettua tai rajattua mahdollisimman nopeasti (esimerkiksi tehtaiden tuotantolinjat ja materiaalivarastot). (Miettinen 1999, 183 184.) Mikäli yrityksen toiminnassa käytetään tulta, on näitä tehtäviä suorittavilla henkilöillä oltava tulityölupa (Miettinen 1999, 184). Tulitöiksi luokitellaan työt, joissa syntyy kipinöitä tai joissa käytetään liekkiä tai muuta lämpöä ja jotka voivat aiheuttavat palovaaran. Tulitöitä tekevällä henkilöllä on oltava Suomen Pelastusalan Keskusjärjestön (SPEK) myöntämä voimassa oleva tulityökortti. Suomessa myönnetty tulityökortti on voimassa myös muissa pohjoismaissa ja vastaavasti muissa pohjoismaissa myönnetty tulityökortti hyväksytään Suomessa. Tulityökoulutusta järjestävät esimerkiksi pelastusliitot, pelastuslaitokset, oppilaitokset ja koulutusalan yrittäjät. (Pelastustoimi 2006.)

22 Energian saannin varmistaminen on myös osa kiinteistö- ja toimitilaturvallisuutta. Varmistamisen avulla yritys pystyy sähkökatkoksen aikana turvaamaan tärkeimpien sähköllä toimivien laitteiden toiminnan tarvittaessa jopa useiden vuorokausien ajaksi. Yleensä energiansaannin varmistamisella pyritään turvaamaan atk-laitteiden sekä tietoverkkojen toiminta. (Miettinen 2002, 100.) 5.4 Tietoaineistoturvallisuus Tietoaineistoturvallisuuden tehtäviä ovat tietojen tunnistaminen ja turvaluokituskäytännöt (Miettinen 2002, 132). Käytännössä tämä tarkoittaa sitä, että tarkastellaan jokapäiväisessä toiminnassa tarvittavia tietoja sekä niiden suojaamista. Tieto voi ilmetä monessa eri olomuodossa ja näin ollen sen suojaamiseen joudutaan käyttämään monia erilaisia menetelmiä. Nykyään tietoa säilytetään paljon sähköisessä muodossa kuten tiedostoina ja tietokantoina. Tiedon säilytyspaikkana on monesti tietokone tai siirrettävä tietoväline kuten CD- tai DVD- levy, muistitikku tai kovalevy. Tietoa voi olla myös fyysisessä olomuodossa kuten asiakirjat, mallipiirustukset sekä valokuvat. Kaksi edellä mainittua ilmenemismuotoa ovat vielä suhteellisen helposti suojattavissa. Kolmas olomuoto, ihmisen muisti, onkin sitten hankalammin suojattavissa ja monesti sanotaan, että yrityksen tai työyhteisön suurin tietoturvariski löytyy sen työntekijöistä. (Kyrölä 2001, 25.) Tieto on suojattava asianmukaisesti sen kaikissa ilmenemismuodoissa niin, että sitä ei voida käyttää väärin ja se ei aiheuta vahinkoa yrityksen toiminnalle (Miettinen 1999, 24). Tietojen käsittelyn säännöt riippuvat tiedon arkaluonteisuudesta eivätkä siitä millaista tiedon tallennustapaa käytetään (Paavilainen 1998,31). Tietojen tunnistaminen on edellytys sille, että osataan suojata tärkeät tiedot oikein ja näin ehkäistä niiden muuttuminen, asiaton käsittely, häviäminen ja paljastuminen (Kyrölä 2001, 24). Tietoaineistoturvallisuuden toteutuksen perustana toimii tietojen turvaluokitusjärjestelmä, missä kuvataan minkä tyyppisiä ja miten tärkeitä tietoja yrityksen toimintaan liittyy sekä miten eri luokkien tiedot merkitään ja käsitellään tietojen elinkaaren eri vaiheissa (Miettinen 1999, 22).

5.4.1 Tietojen luokittelu 23 Tietojen turvaluokitus tarkoittaa sitä, että yritys merkitsee käyttämänsä tiedot järjestelmällisesti ja näin osoittaa tietojen arvon itselleen ja ulkopuolisille. Turvaluokituskäytäntö muodostuu tärkeysluokista ja jokaista luokkaa koskevista käsittelysäännöistä. Käsittelysäännöt saattavat vaihdella tilanteen mukaan. Kaikkia yrityksen käyttämiä tietoja ei tarvitse luokitella, vaan ainoastaan ne joiden sisällöllinen arvo edellyttää sitä. Turvaluokituskäytäntö koskee kaikkia tietoja riippumatta niiden tallennusmuodosta. (Miettinen 2002, 133.) Mitä arkaluontoisempaa tieto on, sitä korkeampi on turvaluokka. Turvaluokan kasvaessa pienenee mahdollisuus tiedon julkistamiseen. (Paavilainen 1998, 33.) Normaalisti turvaluokituksessa käytetään kolmea tai neljää tärkeysluokkaa ja yksityiskohtaisia käsittelysääntöjä kunkin luokan tietojenkäsittelytehtäville. Tiedot voidaan luokitella esimerkiksi julkisiin, sisäisiin, luottamuksellisiin ja salaisiin seuraavasti: TURVALUOKKA KUVAUS Julkinen Tietoja voidaan luovuttaa vapaasti kaikille, myös yrityksen ulkopuolelle. Tietojen virheettömyydestä ja ajantasaisuudesta tulee huolehtia. Sisäinen Tiedot on tarkoitettu kaikkien työntekijöiden käyttöön eikä niiden joutumisesta yrityksen ulkopuolisille koidu vahinkoa. Tietojen luovutus yrityksen ulkopuolelle edellyttää kuitenkin tietojen haltijan lupaa. Luottamuksellinen Tietoja voivat käsitellä ne työntekijät, jotka tarvitsevat tietoja tehtäviensä hoitamiseen. Tietojen jakelu on rajoitettua ja tietojen omistaja päättää kuka tietoja voi käsitellä. Salainen Yrityksen toimintaan liittyviä arkaluonteisia tietoja, jotka ovat vain niiden työntekijöiden saatavilla, jotka tarvitsevat tietoja tehtäviensä hoitoon. Salaisia tietoja työssään käsittelevä joukko on paljon pienempi kuin luottamuksellisia tietoja käsittelevä joukko. KUVA 4. Tiedon turvaluokitus