Tietoturvapolitiikat. Riitta Mäkinen. Extended Abstract. Helsinki HELSINGIN YLIOPISTO Tietojenkäsittelytieteen laitos

Samankaltaiset tiedostot
Tietoturvapolitiikat. arvostelija. Riitta Mäkinen. Helsinki HELSINGIN YLIOPISTO Tietojenkäsittelytieteen laitos

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Seminaariaiheet. Tietoturvaseminaari, kevät 03 Lea Viljanen, Timo Karvi

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

Järjestelmätoimitusprosessin tietoturva Mikko Jylhä

Lapin yliopiston tietoturvapolitiikka

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka

Vihdin kunnan tietoturvapolitiikka

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

Tämän kyselyn määritelmät on kuvattu sopimuksessa.

Tietoturvakoulutus Tietojenkäsittelyn koulutusohjelmassa

Yritysturvallisuuden perusteet

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Tietoturvapolitiikka

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Tietoturvapolitiikka. Hattulan kunta

JHS 179 ICT-palvelujen kehittäminen: Kokonaisarkkitehtuurimenetelmä

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Sovelto Oyj JULKINEN

PK-yrityksen tietoturvasuunnitelman laatiminen

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Tietoturvapäivä

Palvelunestohyökkäykset

Tietoturvapolitiikka Porvoon Kaupunki

Tietoturvallisuuden johtaminen

TEUVAN KUNNAN TIETOTURVAPOLITIIKKA JA -OHJEET ALKAEN

Kyberturvallisuus kiinteistöautomaatiossa

TIETOTURVA- POLITIIKKA

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

T Yritysturvallisuuden

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

TIETOTURVAPOLITIIKKA

Itä-Savon sairaanhoitopiirin kuntayhtymän KYS erityisvastuualue-tasoinen Tietosuoja- ja tietoturvapolitiikka

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Espoon kaupunkikonsernin tietoturvapolitiikka

T Yritysturvallisuuden seminaari

SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques. Tietoturvallisuuden hallinta ISO/IEC Reijo Savola Johtava tutkija VTT

TIETOTURVAPOLITIIKKA

Tietoturvakoulutus Turun ammattikorkeakoulun Tietojenkäsittelyn koulutusohjelmassa (AMK) ja DP in Business Information Systems issä (YAMK)

Standardisarja IEC Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

KanTa. Kelan KanTa-palvelujen tietoturvapolitiikka. v. 1.1

Tietoturva osana oppilaitosturvallisuutta ja EUn tietosuoja-asetuksen velvoitteet

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Joroisten kunnan tietoturvapolitiikka. Tietoturvapolitiikka. Joroisten kunta

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

Kunnanvaltuusto: Kunnanhallitus: Pyhännän kunnan tietoturvapolitiikka

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka

Tietoturva Kehityksen este vai varmistaja?

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

Sähköi sen pal l tietototurvatason arviointi

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

Yritysturvallisuuden perusteet

Tietoturvallisuuden ja tietoturvaammattilaisen

Riskienhallinta prosessina ja käytännössä Sertifioinnilla kilpailuetua - Inspectan tietopäivä Jyrki Lahnalahti, tuotepäällikkö

Tietoturva ja viestintä

PCI DSS 3.0. Merkittävimmät muutokset Seppo Heikkinen, QSA Nixu

Tietoturvapolitiikan käsittely / muutokset:

Pentti Mäkinen

Automaatiojärjestelmän hankinnassa huomioitavat tietoturva-asiat

ICT kehitysnäkymät. Pelastustoimen ajankohtaispäivät Ylitarkastaja Teemu Luukko

Karkkilan kaupungin tietoturvapolitiikka

TIETOTURVA JA TIETOSUOJAPOLITIIKKA

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Pahin tietoturvauhka istuu vieressäsi Tietoturvatietoisuuden kehittämisestä vauhtia tietoriskien hallintaan

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Tietoturvakartoitus yrityksen Internet-palveluja tuottavassa yksikössä

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Ulkoistamisen hallittu prosessi. Veli-Pekka Kuparinen valmiuspäällikkö

Espoon kaupunki Tietoturvapolitiikka

VALVO JA VARAUDU PAHIMPAAN

Yritysturvallisuuden perusteet

Hallitus HÄMEENKYRÖN HYVÄN HALLINNON OHJE

1.2 Mahdollista joustava muutos suojaustasolta toiselle tilanteen mukaan myös ylöspäin

Muutos ja tietoturvallisuus, alueellistamisesta ulkoistamiseen -hallittu prosessi

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Seinäjoen kaupungin tietoturvapolitiikka. Kh , 149

Politiikka: Tietosuoja Sivu 1/5

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

VIRTU ja tietoturvatasot

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Tietoturvavastuut Tampereen yliopistossa

Eläketurvakeskuksen tietosuojapolitiikka

Kansainvälisen ISO/IEC sertifioinnin toteuttaminen CSC:llä

Aika: Perjantai klo Kollegion kokoushuone, Rehtoraatti, yliopiston päärakennus

Yritysturvallisuuden seminaari, T Esitys 1(2) Esko Kaleva

Yritysturvallisuuden perusteet

Tietoturvapolitiikka

AEO-Toimijapäivä. Toimitusketjujen uhkien analysointi ja riskienhallinta yhteistyössä sopimuskumppanien kanssa

Virtu tietoturvallisuus. Virtu seminaari

Industrial Fire Protection Handbook

Kertausta lähtökohtiin liittyen

Aikamatka digitaaliseen tulevaisuuteen: olemmeko turvassa? Pekka Jykes &

Auditoinnit ja sertifioinnit

Tietoturva. 0. Tietoa kurssista P 5 op. Oulun yliopisto Tietojenkäsittelytieteiden laitos Periodi / 2015

Luottamuksen ja maineen rooli palveluperustaisten yhteisöjen muodostamisessa

Transkriptio:

Tietoturvapolitiikat Riitta Mäkinen Extended Abstract Helsinki 4.3.2003 HELSINGIN YLIOPISTO Tietojenkäsittelytieteen laitos Tietoturva nykyaikaisessa liiketoimintaympäristössä -seminaari

1. Johdanto 1 Yritysturvallisuuden tavoitteena on taata yrityksen toiminnan häiriötön jatkuminen sekä normaalioloissa että poikkeustilanteissa. Tietoturvallisuus on olennainen osa yritysturvallisuutta. Tieto on yrityksen omaisuutta ja tietoa on suojattava samoin menetelmin kuin yrityksen muutakin omaisuutta. Tietoturvallisuuden ytimen muodostavat tietoturvapolitiikat, joiden avulla määritellään tietoturvan kohteet ja periaatteet sekä määritellään vastuut. Koska tietoturvapolitiikat koskettavat tavalla tai toisella yrityksen koko henkilöstöä, ne ovat sidoksissa yrityskulttuuriin ja yrityksen henkilöstön tietoturvatietämyksen tasoon. 2. Tietoturvallisuus Tietoturvallisuus on kiinteä osa yritysturvallisuutta ja siten se koskee kaikkia työntekijöitä. Valtioneuvoston periaatepäätöksessä [Val99] tietoturvallisuus on määritelty seuraavasti: Tietoturvallisuudella tarkoitetaan tietojen, järjestelmien, palveluiden ja tietoliikenteen asianmukaista suojaamista sekä normaali- että poikkeusoloissa hallinnollisilla, teknisillä ja muilla toimenpiteillä. Tietojen luottamuksellisuutta, eheyttä ja käytettävyyttä turvataan laitteisto- ja ohjelmistovikojen, luonnontapahtumien sekä tahallisten, tuottamuksellisten tai tapaturmaisten tekojen aiheuttamilta uhkilta tai vahingoilta. Samassa periaatepäätöksessä [Val99] tietoturvallisuus on suunnittelun, toteutuksen ja valvonnan helpottamiseksi jaoteltu osa-alueisiin seuraavasti: hallinnollinen tietoturvallisuus, henkilöstöturvallisuus, fyysinen turvallisuus, tietoliikenneturvallisuus, ohjelmistoturvallisuus, tietoaineistoturvallisuus sekä käyttöturvallisuus. 3. Tietoturvapolitiikka Tietoturvapolitiikka on yrityksen johdon näkemys siitä, mitä tavoitteita yrityksen tietoturvalle tulee asettaa. Tietoturvapolitiikassa määritellään tietoturvan kohteet ja periaatteet sekä määritellään vastuut. Tietoturvapolitiikassa on otettava huomioon lakien ja sopimusten toiminnalle asettamat vaatimukset. Tietoturvapolitiikkaa ei voi tehdä ilman yrityksen ydinprosessien määrittelyä ja riskianalyysiä. Kun on tunnistettu uhat, joita vastaan on suojauduttava voidaan riskianalyysin avulla tehdä päätökset riskien pienentämiseksi, siirtämiseksi tai hyväksymiseksi.

Yrityksen johdon vahvistama tietoturvapolitiikka toteutetaan tietoturvaperiaatteiden, alemman tason tietoturvapolitiikkojen sekä toimintaohjeiden, oppaiden ja koulutuksen avulla. 2 4. Tietoturvapolitiikkahierarkia Politiikat muodostavat yrityksen tietoturvaohjeistuksen perustan. Niiden avulla määritellään se, mitä tulee suojata. Yrityksen johdon hyväksymän tietoturvapolitiikan alle laaditaan alemman tason politiikat, joista johdetaan yksityiskohtaiset toimintaohjeet ja järjestelmien turvamääritykset. Alemman tason politiikat ovat yksittäisille osa-alueille määriteltyjä tietoturvaperiaatteita, jotka ohjaavat tietoturvan toteutusta. Tietoturvaperiaatteet ovat sääntöjä ja määritelmiä, jotka ohjaavat tietoturvapolitiikkojen toteutusta. Toimintaohjeet ovat yksityiskohtaisia soveltamisohjeita. Ne kertovat, miten politiikoissa suojattaviksi määritellyt kohteet turvataan. Toimintaohjeissa kuvataan vaihe vaiheelta, miten tietyssä toiminnossa säilytetään haluttu tietoturvan taso. Ohjenuorat, oppaat, ovat yleisiä suosituksia tai ehdotuksia tietoturvapolitiikkojen ja standardien käyttöönotosta. Ne eivät ole pakollisia. Niitä noudatetaan, ellei ole erityistä syytä niistä poikkeamiseen. 5. Tietoturvapolitiikkojen laatimisen periaatteet Turvapolitiikoissa on pohjimmiltaan kysymys luottamuksen ja valvonnan välisestä tasapainosta. Kehen luotetaan ja milloin. Luotetaanko kaikkiin, ei kehenkään vai joihinkin joissakin tilanteissa. Tietoturvapolitiikat koskettavat jokaista työntekijää. Kaikkien osapuolten, niin käyttäjien, ylläpitäjien kuin yritysjohdonkin, yksimielisyyttä on vaikea saavuttaa. Liian rajoittavia politiikkoja on vaikea toteuttaa: niistä joko ei välitetä tai keksitään keinot niiden kiertämiseksi. Politiikkojen tekeminen vaatii sovittelua ja erilaisten vaihtoehtojen vertailua. Turvapolitiikat voivat olla myös keskenään ristiriitaisia tai tietyissä olosuhteissa yhden säännön noudattaminen rikkoo toista sääntöä. Siponen [Sip00] esittää viisi lähtökohtaa turvaohjeiden laatimiseksi siten, että ristiriidat voidaan välttää: 1. Kiellettyä on kaikki, mikä ei ole erikseen sallittua 2. Sallittua on kaikki, mikä ei ole erikseen kiellettyä

3. Yhtä tietoturvaohjetta voidaan muodollisesti rikkoa, jos se tuo enemmän hyötyä tietoturvallisuudelle tai liiketoiminnalle kuin ohjeen noudattaminen 4. Ohjeet ovat suosituksia, joita ei ole pakko noudattaa 5. Yleistettävyyden malli, jossa toiminnan hyväksyttävyyden mittarina on käyttäjän kuvitelma siitä, sallittaisiinko toiminto kaikille muillekin. 3 6. Tietoturvapolitiikkojen käyttöönotto Tietoturvapolitiikat on otettava käyttöön koko yrityksessä. Yritys muodostuu työntekijöistä, joten työntekijät ovat ensisijaisia myös silloin, kun määritellään yrityksen tietoturvan taso, toteaa Virtanen [Vir2002]. Turvapolitiikkojen ja toimintaohjeiden noudattaminen riippuu työntekijöiden tietoturvaosaamisen tasosta ja vallitsevasta yrityskulttuurista. Yrityskulttuuri määrää myös sen, millä tasoilla tietoturvapolitiikkojen noudattamista valvotaan. Jatkuva koulutus ja tietoturvatietoisuuden lisääminen ovat välttämättömiä edellytyksiä hyvän tietoturvatason saavuttamiseksi. 7. Tietoturvapolitiikkojen elinkaari Howard [How03] on esitellyt elinkaarimallin tietoturvapolitiikkojen laatimisen ja ylläpidon helpottamiseksi. Howardin [How03] mukaan turvapolitiikkojen elinkaari muodostuu politiikan kehittämisestä, käyttöönotosta, ylläpidosta ja käytöstä poistamisesta. Kukin vaihe jakaantuu tehtäviin. Kehittämistehtäviä ovat politiikan luominen, tarkistaminen ja hyväksyminen. Käyttöönottovaiheeseen kuuluu tiedottaminen, politiikan käyttöönotto ja poikkeusten käsittely. Ylläpitovaiheen tehtäviä ovat politiikasta muistuttaminen, käytön valvonta, rikkomusten käsittely ja politiikan ajantasaisuudesta huolehtiminen. Politiikka poistetaan käytöstä silloin, kun yrityksessä ei enää käytetä tekniikkaa, johon politiikka on liittynyt tai kun on otettu käyttöön korvaava politiikka. 8. Esimerkkejä tietoturvapolitiikoista

9. Lähteet 4 Dav03 Har03 HoP03 How03 Lan01 Sip00 SmN00 Val99 Vir02 Davidson, K.,A framework for certification testing. Teoksessa Information Security Management Handbook, vol 4, 4th edition, toim. Tipton, H., Krause, M., Auerbach Publications, USA, 2003, sivut 509-539. Hare, C., Firewalls, ten percent of the solution: a security architecture primer. Teoksessa Information Security Management Auerbach Publications, USA, 2003, sivut 699-781. Hoefelmeyer, R., Phillips, T., Malicious code: the threat, detection and protection. Teoksessa Information Security Management Auerbach Publications, USA, 2003, sivut 541-563. Howard, P., The security policy life cycle: functions and responsibilities. Teoksessa Information Security Management Auerbach Publications, USA, 2003, sivut 297-311. Landwehr, C., Computer Security. International Journal of Information Security, vol 1, issue 1, Springer-Verlag, 2001. [Myös http://link.springer.de/link/service/journals/10207/ tocs/t1001001.htm] Siponen, M., Policies for Construction of Information Systems Security Guidelines, Five approaches, Proc. IFIP TC11 16 th Annual Working Conference on Information Security: Information Security for Global Information Infrastructures, Beijing, China, elokuu 2000, sivut 111-120. Smith, G.,Newton, R., A taxonomy of organisational security policies, Proc. 23 rd National Information Systems Security Conference, Baltimore, MD, USA, lokakuu 2000, sivut 225-233. [Myös http://csrc.nist.gov/nissc/2000/proceedings/ papers/052.pdf] Valtioneuvoston periaatepäätös valtionhallinnon tietoturvallisuudesta, VM 0024:00/02/99/1998, Helsinki, 1999. [Myös http://www.vm.fi/tiedostot/pdf/fi/6294.pdf] Virtanen, T., Four views on security. Väitöskirja, Teknillisen korkeakoulun tietoliikenneohjelmistojen ja multimedian julkaisuja, Otamedia Oy, Espoo 2002. [Myös http://www.tml.hut.fi/~tpv/ opiskelijat/tpv.pdf]

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute