TEKNILLINEN KORKEAKOULU Tietotekniikan osasto Tietoliikenneohjelmistojen ja multimedian laboratorio Anna Hosia Tietojärjestelmän jatkuvuudenhallinta prosessimallin avulla Diplomityö, joka on jätetty opinnäytteenä tarkastettavaksi diplomi-insinöörin tutkintoa varten Espoossa 12. 5. 2004 Valvoja Ohjaaja Prof. Teemupekka Virtanen DI Markku Asikainen
TEKNILLINEN KORKEAKOULU Tietotekniikan osasto DIPLOMITYÖN TIIVISTELMÄ Tekijä Työn nimi Päiväys Anna Hosia 11. toukokuuta 2004 Tietojärjestelmän jatkuvuudenhallinta prosessimallin avulla Sivumäärä 95 + 5 Professuuri Työn valvoja Työn ohjaaja Koodi Tietoliikenneohjelmistot T-110 Professori Teemupekka Virtanen DI Markku Asikainen Atk-palveluiden jatkuvuudenhallinnan tarkoituksena on turvata tietojenkäsittely ja tiedonsiirto siten, että organisaation toiminta voi jatkua myös häiriötilanteissa. Tämän diplomityön tavoitteena on tukea Maanmittauslaitoksen JAKO-tietojärjestelmän jatkuvuudenhallinnan käynnistämistä. Jatkuvuudenhallintaan on kehitetty erilaisia projekti- ja prosessimalleja ja myös jotkin tietoturvastandardit käsittelevät aihetta. Menetelmien painotukset ja kattavuus vaihtelevat, eikä mikään niistä sovellu suoraan Maanmittauslaitoksen käytettäväksi. Diplomityössä on muodostettu oma prosessimalli tietojärjestelmien jatkuvuudenhallintaan käyttäen hyväksi olemassa olevia menetelmiä sekä BS 7799 -tietoturvallisuusstandardin ohjeita tietoturvallisuuden hallintajärjestelmän luomisesta. Tavoitteena on ollut kehittää tietojärjestelmäkeskeinen, prosessiorientoitunut ja ratkaisun vaikuttavuuden säilyttävä toimintamalli. Prosessimallin sisältämät tehtävät voidaan jakaa neljään osaan: Suunnitteluvaiheessa prosessi käynnistetään, suoritetaan liiketoimintavaikutus- ja riskianalyysit sekä muodostetaan näiden pohjalta jatkuvuusstrategia. Toteutusvaiheessa suunnitellut ratkaisut toteutetaan ja aloitetaan koulutus. Tarkistusvaiheessa prosessin tilasta tuotetaan tietoa valvonnan, testauksen, katselmointien ja auditointien sekä raportoinnin avulla. Kehitysvaiheessa ratkaisuja parannetaan kerättyjen tietojen perusteella. Tietojärjestelmien jatkuvuudenhallintaan tulee kiinnittää huomiota järjestelmän koko elinkaaren ajan. Diplomityössä tutkitaan, miten esitetyn prosessimallin tehtävät nivoutuvat elinkaaren eri vaiheisiin. Lisäksi esitetään, miten jatkuvuudenhallintaan liittyvät roolit ja vastuut voidaan organisoida, ja miten elinkaaren aikaiset jatkuvuustehtävät kohdistuvat eri rooleille. Prosessimallin työvaiheita sovelletaan lisäksi Maanmittauslaitoksen JAKO-järjestelmään. Maanmittauslaitoksessa ei kuitenkaan diplomityön kirjoittamisen aikana perusteta jatkuvuudenhallinnan prosessia, joten tarkastelu ulottuu vain suunnittelua ja arviointia koskeviin tehtäviin. Prosessimallin soveltamista arvioidaan SSE-CMM -kypsyysmallin avulla. Tämän lisäksi tarkastellaan prosessin toteuttamisen kannattavuutta, jäännösriskejä sekä jatkotyötä MML:ssa. Lopullinen selvitys työn laadusta saadaan kuitenkin vasta, kun prosessi perustetaan. Avainsanat jatkuvuudenhallinta, BS 7799, SSE-CMM ii
HELSINKI UNIVERSITY OF TECHNOLOGY Department of Computer Science and Engineering ABSTRACT OF MASTER S THESIS Author Date Anna Hosia 11 May 2004 Pages 95 + 5 Title of thesis Information system continuity management by application of process model Professorship Professorship Code Telecommunications Software T-110 Supervisor Professor Teemupekka Virtanen Instructor Markku Asikainen, M.Sc.(Tech.) The purpose of the IT service continuity management is to secure information processing and data transfer so that organisations can continue to operate even in exceptional situations. The goal of this Master s thesis was to support the initiation of continuity management activities for the JAKO information system of the National Land Survey of Finland (NLS). Several project and process models for continuity management and information security standards treat the subject. However, the methods cover and emphasize different issues, and none of them is suitable for the NLS as such. This thesis presents a new process model for continuity management. The model is based on existing methods and on a description of the BS 7799 information security standard about setting up an information security management system. The goal was to create a process oriented operations model to manage information systems and to ensure that the solution remains effective. The tasks included in the process model can be divided into four phases: The Plan phase initiates the process to perform business impact and risk analyses and develop a continuity strategy. The Do phase implements the solutions identified in the Plan phase and starts training. The Check phase collects information about the process by surveillance, testing, reviews, audits, and reporting. The Act phase improves the solutions according to the collected information. Continuity management should be taken into consideration during the whole life cycle of the information system. This thesis studies how the tasks of the presented process model are related to different stages of the life cycle. Furthermore the thesis shows how various roles and responsibilities required by continuity management can be organised, and how continuity tasks are assigned to them during the life cycle. The stages of the process model are also applied to the JAKO information system of the NLS. However, the continuity process was not actually initiated during the writing of the thesis. Thus the study covered only tasks related to planning and assessment. Process model application was evaluated by using the SSE-CMM maturity model. Additionally, the thesis studied the profitability of initiating the process and identified residual risks and further work required in the NLS. However, the actual quality of the thesis is to be seen only after the process is initiated. Keywords continuity management, BS 7799, SSE-CMM iii
Alkulause Olen tehnyt diplomityöni Maanmittauslaitoksen Atk-keskuksessa. Työn aikana olen saanut perehtyä oma-aloitteisesti jatkuvuudenhallintaan, ja työn tekeminen on antanut minulle erinomaisen mahdollisuuden tutustua Atk-keskukseen ja sen tietojärjestelmiin ja työtapoihin. Kiitänkin atk-tuotantopäällikkö Ari Huvista diplomityön aiheesta sekä valmistuvan työn kommentoimisesta. Kiitän ylitarkastaja Markku Asikaista diplomityöni kärsivällisestä ohjaamisesta. Kiitokset lisäksi professori Teemupekka Virtaselle työn valvomisesta sekä kommenteista sen loppuunsaattamiseksi. Kiitän avusta myös yli-insinööri Olli Jokista. Kiitokset lisäksi Jukka Vuoksiselle sekä Aija ja Martti Hosialle parannusehdotuksista ja valtaisasta oikoluku-urakasta. Haluan kiittää vielä kaikkia niitä maanmittauslaitoslaisia, jotka ovat jaksaneet vastata kysymyksiini. Helsingissä 11. 5. 2004 Anna Hosia iv
Sisällysluettelo ALKULAUSE... IV SISÄLLYSLUETTELO...V KÄSITTEET JA LYHENTEET...VII 1 JOHDANTO... 1 1.1 Atk-palveluiden jatkuvuudenhallinta... 1 1.2 Maanmittauslaitos ja JAKO... 2 1.2.1 Maanmittauslaitoksen tehtävät... 2 1.2.2 JAKO-tietojärjestelmä... 3 1.3 Tutkimusongelma... 3 1.4 Tutkimuskysymykset ja tavoite... 3 1.5 Työn arviointi... 4 1.6 Rajaukset... 4 2 OHJEITA JA MENETELMIÄ JATKUVUUDENHALLINTAAN... 5 2.1 ITIL... 5 2.2 NIST... 6 2.3 Jon Toigon projektimalli... 7 2.4 Helvi Salmisen liiketoiminnan jatkuvuussuunnittelumenetelmä... 9 2.5 BS 7799... 10 2.6 Teemupekka Virtasen tietojärjestelmien luokittelumenetelmä... 11 2.7 VAHTI... 12 2.8 SSE-CMM... 13 2.9 Jatkuvuudenhallintamenetelmien ja -ohjeiden vertailu... 15 2.9.1 Projekti- ja prosessimallien ominaisuudet... 15 2.9.2 Muut ominaisuudet... 16 2.10 Yhteenveto jatkuvuudenhallintamenetelmistä ja -ohjeista... 17 3 TIETOJÄRJESTELMIEN JATKUVUUDENHALLINNAN PROSESSIMALLI 18 3.1 PDCA-toimintamallin ja BS 7799 -standardin käyttö... 18 3.2 Tietoturvallisuuden hallintajärjestelmän mukainen jatkuvuudenhallintaprosessi. 19 3.2.1 Suunnittele (jatkuvuudenhallintaprosessin luonti)... 20 3.2.2 Toteuta (jatkuvuudenhallintaprosessin toteutus ja käyttö)... 24 3.2.3 Tarkista (jatkuvuudenhallintaprosessin seuranta ja katselmointi)... 26 3.2.4 Kehitä (jatkuvuudenhallintaprosessin ylläpito ja parantaminen)... 28 4 JATKUVUUDENHALLINTA JÄRJESTELMÄN ELINKAAREN AIKANA... 30 4.1 Käytettävä elinkaarimalli... 30 4.2 Jatkuvuustehtävät elinkaaren eri vaiheissa... 32 4.2.1 Esitutkimus... 32 4.2.2 Määrittely... 32 4.2.3 Suunnittelu... 33 4.2.4 Toteutus... 34 4.2.5 Käyttöönotto... 34 4.2.6 Käyttö... 35 4.2.7 Ylläpito... 35 v
4.2.8 Version vaihto... 35 4.2.9 Käytöstä poisto... 36 4.2.10 Testaus ja laadunvarmistus... 36 4.3 Jatkuvuudenhallinnan roolit ja vastuut elinkaaren aikana... 37 4.3.1 Prosessiin liittyvät roolit ja vastuut... 38 4.3.2 Tietojärjestelmään liittyvät roolit ja vastuut... 39 4.3.3 Vastuut jatkuvuustehtävistä elinkaaren eri vaiheissa... 40 5 ARVIOINTIKRITEERIT... 42 6 PROSESSIMALLIN SOVELTAMINEN MML:N JAKO-JÄRJESTELMÄÄN.. 44 6.1 Jatkuvuussuunnittelun käynnistäminen MML:ssa... 44 6.2 JAKO-järjestelmän arviointi... 46 6.2.1 JAKO:n vaikutus MML:n toimintaan... 46 6.2.2 JAKO:on kohdistuvat riskit... 48 6.3 Ohjeistuksen ja prosessien luonti... 49 6.3.1 Organisointi ja päätösvalta poikkeustilanteissa... 50 6.3.2 Toiminta häiriötilanteissa... 53 6.4 Tekniset suojatoimenpiteet... 60 6.4.1 Toimenpiteet JAKO:n jatkuvuuden turvaamiseksi... 60 6.4.2 Järjestelmä- ja varmistusratkaisun kehittäminen... 61 6.4.3 Muut suojatoimenpiteet... 70 6.5 Muut työvaiheet... 71 6.5.1 Jatkuvuussuunnitelman kirjoitus... 72 6.5.2 Jatkuvuussuunnitelman ylläpito... 74 7 ARVIOINTI... 76 7.1 Prosessin arviointi... 76 7.1.1 Arviointi SSE-CMM:n perusteella... 76 7.1.2 Yhteenveto prosessin arvioinnista... 80 7.2 Lisätarkastelu arviointiin... 82 7.2.1 Toteutuksen kannattavuuden arviointi... 82 7.2.2 Jäännösriskit... 83 7.2.3 Jatkotyö MML:ssa... 83 8 YHTEENVETO... 85 LÄHDEVIITTEET... 86 LIITTEET Liite A: JAKO-sovellusperhe ja sen tietovarannot Liite B: SSE-CMM -tietoturvaprosessialueiden peruskäytännöt vi
Käsitteet ja lyhenteet BS 7799 British Standard 7799. Brittiläinen kaksiosainen tietoturvastandardi. ISO/IEC 17799 ks. BS 7799 ISO/IEC 21827 ITIL JAKO MML NAS NIST PDCA PTS RAID snapshot SSE-CMM VAHTI WAN ks. SSE-CMM Information Technology Infrastructure Library Maanmittauslaitoksen tuotantoon ja tietopalveluun käyttämä tietojärjestelmä. Maanmittauslaitos Network Attached Storage. Tietoverkkoon liitetty itsenäinen tallennuspalvelin. National Institute of Standards and Technology. USA:n standardointiviranomainen. Plan, Do, Check, Act ( suunnittele, toteuta, tarkista, kehitä ). Mm. prosessien parantamisessa käytetty ongelmanratkaisumalli. Puolustustaloudellinen suunnittelukunta Redundant Array of Independent Disks. Tekniikka, jossa useita kiintolevyjä yhdistetään levyjärjestelmäksi, joka on vikasietoisempi ja/tai suorituskykyisempi kuin yksittäiset kiintolevyt. Tilannevedos kiintolevyn tiedoista joltain tietyltä ajanhetkeltä. Systems Security Engineering Capability Maturity Model Valtionhallinnon tietoturvallisuuden johtoryhmä Wide Area Network vii
1 Johdanto 1.1 Atk-palveluiden jatkuvuudenhallinta Ei riitä, että tietojenkäsittelyn varmistaminen aloitetaan vasta häiriön sattuessa. Jatkuvuuden varmistaminen edellyttää ennalta toteutettuja tietoturvallisuuden ja fyysisen turvallisuuden toimenpiteitä sekä perusteellista suunnittelua ja harjoittelua valmiuden luomiseksi häiriötilanteista toipumiseksi. [16] Yritysten ja organisaatioiden toiminta tukeutuu yhä selkeämmin tietotekniikan käyttöön. Riippuvuus tietojärjestelmistä ja tiedonsiirrosta on samalla muodostunut haavoittuvuudeksi, kun ongelmat atk-palveluissa voivat vahingoittaa organisaation toimintaa ja johtaa merkittäviin taloudellisiin tappioihin. Riippuvuus on kuitenkin tiedostettu, ja organisaatiot panostavat enenevissä määrin atk-palveluiden jatkuvuudenhallintaan. Sen tarkoituksena on turvata tietojenkäsittely ja tiedonsiirto siten, että organisaation toiminta voi jatkua myös häiriöiden aikana ja niiden jälkeen. Atk-palveluiden jatkuvuudenhallinta pohjautuu organisaation perustietoturvallisuudelle. Sen tavoitteena on hallita normaalioloihin liittyviä uhkia ja riskejä siten, että toiminnan jatkuvuus ei vaarannu sisäisten tai ulkoisten tapahtumien takia. Toimintaa haittaava tapahtuma voi olla esimerkiksi tietojärjestelmän häiriö, tietoliikennekatkos, inhimillinen virhe, väärinkäytös, tulipalo, vesivahinko tai avainhenkilön menetys. Normaaliolojen jatkuvuussuunnittelu toimii pohjana myös varautumiselle poikkeusoloihin, joita ovat valmiuslain (22.7.1991/1080) määrittämät vakavat erityistilanteet. Kuitenkin jo normaalioloissa voi syntyä erityistilanteita, joissa atk-palveluiden käytön varmistamiseen on varauduttava joiltakin osin samoin kuin poikkeusoloissa. Puolustustaloudellisen suunnittelukunnan [16] mukaan raja normaali- ja poikkeusolojen varmistamistarpeiden välillä on tietotekniikkariippuvuuden vuoksi jopa häviämässä. Nykyiset järjestelmät edellyttävät jo normaalioloissa varautumista erilaisiin laajavaikutteisiin häiriöihin ja keskeytyksiin. Kuva 1.1 Toiminnan jatkuvuuden varmistaminen. [16] 1
Atk-palveluiden jatkuvuudenhallinta on osa laajempaa liiketoiminnan jatkuvuudenhallintaa. Toimintaa ei voi käsitellä irrallaan liiketoimintanäkemyksestä, koska sen tavoitteet juontuvat liiketoiminnan tarpeista: tietojenkäsittely ja tiedonsiirto on turvattava niin, ettei liiketoiminta esty häiriötilanteissakaan. 1.2 Maanmittauslaitos ja JAKO Maanmittauslaitos (MML) on Maa- ja metsätalousministeriön alainen valtion virasto. Laitoksella on pitkät perinteet Suomessa maanmittaus alkoi jo 1630-luvulla. Viime vuosina laitoksen toimintatavat ovat muuttuneet suuresti JAKO-tietojärjestelmän käyttöönoton vuoksi. 1.2.1 Maanmittauslaitoksen tehtävät Maanmittauslaitoksen tehtävänä on huolehtia Suomen kiinteistötietojärjestelmästä ja yleisistä kartastotöistä sekä edistää paikkatietojen yhteiskäyttöä. Toimintaa ohjaa mm. laki maanmittauslaitoksesta (8.3.1991/505). Laitoksesta sekä maanmittauksesta saa tietoa MML:n [12] sekä Maa- ja metsätalousministeriön [7] WWW-sivuilta. Kiinteistöjärjestelmässä kuvataan kaikkien Suomen kiinteistöjen perustiedot, kuten pinta-ala ja sijainti. Se on osa yhteiskunnan tietoinfrastruktuuria ja mahdollistaa monipuolisen paikkatietojen käytön. Kiinteistöjärjestelmä muodostuu kolmesta elementistä: - Kiinteistörekisterikartta (eli lyhyemmin kartta) ilmaisee kiinteistöjen rajojen ja tilusten sijainnin. - Katasteri eli kiinteistörekisteri on luettelo, johon merkitään kaikki kiinteistöt ja niissä tapahtuvat muutokset. - Kiinteistökirja sisältää kiinteistöihin kohdistuvien oikeuksien luettelon. Kiinteistökirjan pidosta vastaa Oikeusministeriön hallinnonala. Kiinteistörekisteri lukeutuu yhteiskunnan perusrekistereihin. Muista perusrekistereistä sekä väestötietojärjestelmä että lainhuuto- ja kiinnitysrekisteri perustuvat siihen osittain. Kiinteistörekisterin tärkeys korostuu siinä, että se toimii edellytyksenä rahoitusmarkkinoiden vaatimalle vakuusjärjestelmälle. Rekisterin pidosta ohjeistetaan kiinteistörekisterilaissa (16.5.1985/392) ja sen sisältämät tiedot ovat julkisia. Kiinteistöjärjestelmää ylläpidetään maanmittaustoimituksissa syntyvillä tiedoilla. Toimituksia ovat mm. lohkominen, halkominen ja rajankäynti. Toimitusten suorittaminen on Maanmittauslaitoksen mittavin tehtävä. Maanmittauslaitoksen huolehtimiin kartastotöihin lukeutuvat kiintopiste- ja perusmaastotietojen kerääminen ja ylläpito sekä erimittakaavaisten karttojen tuottaminen. Toiminnassa keskeinen käsite on maastotietojärjestelmä, joka sisältää valtakunnalliset maastotiedot sekä työkalut tietojen hallintaan ja maastotietotuotteiden tuotantoon. Maastotiedot ovat erilaisia paikkatietoja, jotka kuvaavat esimerkiksi maa- ja vesialueita tai korkeus- ja syvyyssuhteita. Tiedot kerätään maastomittauksen, ilmakuvakartoituksen ja satelliittikuvatulkinnan avulla. 2
1.2.2 JAKO-tietojärjestelmä JAKO on Maanmittauslaitoksen keskeisin tietojärjestelmä. Sitä käytetään kiinteistörekisterin, kiinteistörekisterikartan ja maastotietokannan ylläpitämiseen, maanmittaustoimitusten tekemiseen ja tietopalveluun. JAKO:n toimintaa ja käyttöä esitellään tämän WWW-sivuilla [8]. Erilaisten käyttökohteidensa vuoksi järjestelmä sisältää useita sovelluksia; näitä on kuvattu liitteessä A. JAKO on tärkeä MML:n tuotantotoiminnalle, koska se mahdollistaa työprosessin, jossa yksi ainoa henkilö tekee kiinteistötoimituksen työvaiheet aina toimituksen vireilletulosta rekisteröintiin. Järjestelmän käyttöastetta kuvaa se, että MML suorittaa vuosittain n. 25 000 kiinteistötoimitusta, joissa muutetaan n. 200 000 kiinteistöyksikön tietoja. [26] Järjestelmä on olennainen myös siksi, että MML:n ylläpitämät Suomen kiinteistö- ja maastotiedot on tallennettu juuri JAKO:n tietokantoihin. Järjestelmän suunnittelu alkoi vuonna 1990 esitutkimuksella. Vuonna 1994 järjestelmän kehitysalustaksi valittiin Smallworld GIS -paikkatieto-ohjelmisto. Ensimmäiset sovellukset otettiin tuotantokäyttöön 1998. Maanmittauslaitos kehittää järjestelmää edelleen. 1.3 Tutkimusongelma JAKO on kriittinen järjestelmä, jota käytetään lähes kaikessa Maanmittauslaitoksen tuotanto- ja tietopalvelutoiminnassa. Tästä huolimatta järjestelmälle ei ole jatkuvuussuunnitelmaa, eikä laitoksessa ole yleistä jatkuvuudenhallinnan prosessia. Näille on kuitenkin selkeä tarve: JAKO:ssa on usein eri syistä johtuvia lyhyitä käyttökatkoja, ja etenkin pidempiaikaisten häiriöiden kustannukset nousevat merkittäviksi. Jatkuvuudenhallintaan on kehitetty useita erilaisia malleja ja menetelmiä, mutta nämä eivät ole suoraan sovellettavissa JAKO:n tapauksessa. Käyttökelpoisen mallin tulisi tukea prosessinäkökulmaa ja ottaa huomioon laitoksen olemassa oleva toimintaympäristö ja johtamisjärjestelmä. Malli ei saisi olla raskas lukuisten työvaiheiden vuoksi, muttei myöskään liian ylimalkainen ja pintapuolinen. Mallien sovellettavuutta tarkasteltaessa on lisäksi muistettava, että kohteena on yksi tietojärjestelmä eikä koko organisaation liiketoiminnan jatkuvuudenhallinta. 1.4 Tutkimuskysymykset ja tavoite Diplomityön tavoitteena on tukea JAKO-järjestelmän jatkuvuudenhallinnan käynnistämistä. Tästä voidaan muotoilla seuraavat kysymykset: 1. Millainen on MML:n ympäristöön soveltuva atk-palveluiden jatkuvuudenhallintaprosessi? 2. Mikä on mallin suhde tietojärjestelmän elinkaareen? 3. Miten mallia voidaan soveltaa JAKO-järjestelmään? Tarkoituksenani on perehtyä olemassa oleviin jatkuvuudenhallintamalleihin ja luoda näiden pohjalta MML:een sopiva malli hallitusti toteutettavasta atk-palveluiden jatkuvuudenhallintaprosessista. Koska työn taustalla on yksittäinen tietojärjestelmä, tarkastelen mallin yhteyttä järjestelmän elinkaareen. Tämän jälkeen esitän, miten mallia sovelletaan JAKO-järjestelmän tapauksessa. 3
1.5 Työn arviointi Käsiteltyäni tutkimuskysymyksiä arvioin JAKO:n jatkuvuudenhallinnan käynnistämistä seuraavien asioiden kannalta. Näistä prosessin laatu on tärkein arviointiperuste; muu tarkastelu tarjoaa lisätietoa jatkuvuudenhallinnan soveltamisesta MML:ssa. - Prosessin laatu Jatkuvuudenhallinnan prosessin tulee sisältää olennaiset tietoturvallisuustoiminnot. - Prosessin kannattavuus Prosessin toteuttamisen tulee olla MML:lle kannattavaa. - Prosessin toteuttaminen Toteuttamisesta voidaan käsitellä jäännösriskejä ja jatkotyötä. Käsittelen arviointikriteereitä tarkemmin omassa luvussaan. 1.6 Rajaukset Diplomityön aiheena on atk-palveluiden jatkuvuudenhallinta eikä liiketoiminnan jatkuvuudenhallinta yleisesti. Rajauksesta johtuen termit "jatkuvuudenhallinta" ja "jatkuvuussuunnittelu" viittaavat atk-palveluihin. Sanoja käytetään lisäksi toisiaan korvaavasti. Työ rajoittuu normaaliolojen jatkuvuussuunnittelun käsittelyyn, eli poikkeusolot jäävät tarkastelun ulkopuolelle. Olen hyödyntänyt jatkuvuudenhallintamallin kehittämisessä ja arvioinnissa ohjeita ja standardeja, joista osaa ei ole suomennettu. Tämän takia osa kuvista on esitetty alkuperäiskielellään englanniksi. 4
2 Ohjeita ja menetelmiä jatkuvuudenhallintaan Jatkuvuussuunnitteluun on kehitetty useita projekti- ja prosessimalleja, ja myös jotkin standardit sivuavat aihetta. Mallien taso on kuitenkin kirjava, ja jo WWW:stä löytyy lukuisia, muutamasta työvaiheesta koostuvia ohjeita. Tässä luvussa kuvaan neljä jatkuvuudenhallinnan prosessi- tai projektimallia: ITIL:n, NIST:n, Jon Toigon ja Helvi Salmisen. Tämän lisäksi esittelen BS 7799 -tietoturvastandardin ohjeistuksen liiketoiminnan jatkuvuudenhallinnasta, Teemupekka Virtasen esittämän tietojärjestelmien luokittelumenetelmän, suomalaisen valtionhallinnon tietoturvallisuuden johtoryhmän VAHTI:n sekä työn arvioinnissa käytettävän SSE-CMM -kypsyysmallin. 2.1 ITIL ITIL (Information Technology Infrastructure Library) [15] on kokoelma parhaita käytäntöjä atk-palveluiden hallintaprosessien optimoimiseksi. Toimintatavat on koonnut Britannian Office of Government Commerce. Ohjeistamisen motiivina toimi havainto siitä, että organisaatiot ovat yhä riippuvaisempia tietojärjestelmistään, mikä puolestaan nostaa näille asetettavia laatuvaatimuksia. Ohjeistus oli alun perin tarkoitettu Britannian keskushallinnolle, mutta nykyisin sitä käytetään useissa erikokoisissa organisaatioissa niin julkisella kuin yksityiselläkin sektorilla. ITIL-mallin jatkuvuudenhallintaosan tavoitteena on esittää prosessimalli (kuva 2.1), jonka avulla organisaatio pystyy myös häiriötilanteissa tuottamaan sovituntasoisia tietotekniikkapalveluita määrätyn aikarajan sisällä. ITIL painottaa sitä, että atkpalveluiden jatkuvuudenhallinnan on pohjauduttava liiketoiminnan tarpeisiin, joten se lähestyy aihetta liiketoiminnan jatkuvuuden kannalta. Mallin ensimmäisessä vaiheessa käynnistetään koko organisaation kattava jatkuvuudenhallintaprosessi. Tämä pohjautuu kriittisten liiketoimintaprosessien tunnistamiseen ja niiden resurssitarpeiden analysointiin. Toisessa vaiheessa arvioidaan liiketoimintaa uhkaavia tekijöitä ja tunnistetaan riskit. Näiden pohjalta muodostetaan jatkuvuusstrategia. Kolmannessa vaiheessa jatkuvuusratkaisut implementoidaan. Työvaiheessa myös kirjoitetaan toipumissuunnitelmat ja testataan ratkaisut. Neljäs vaihe kattaa operatiivisen hallinnoinnin, kun implementaatio on otettu käyttöön. ITIL suosittaa jatkuvuudenhallintaan hierarkkista organisointia, joka on integroitava osaksi olemassa olevaa johtorakennetta. Se esittää suurille organisaatioille olevan tyypillistä, että liiketoiminnan jatkuvuudenhallinnan johto ohjaa atk-palveluiden jatkuvuudenhallinnan johtoa, jonka alla toimii puolestaan useita jatkuvuustiimejä. ITIL myös painottaa ylimmän johdon sitoutumisen tärkeyttä: Jatkuvuudenhallintaa on tuettava organisaation johtoryhmästä lähtien. 5
Kuva 2.1 ITIL:n liiketoiminnan jatkuvuuden prosessimalli. [15] 2.2 NIST NIST (National Institute of Standards and Technology) on mm. standardeja ja teknologiaa kehittävä yhdysvaltalainen virasto. Sen tietoturvaosasto on tehnyt oman jatkuvuudenhallintaa käsittelevän julkaisunsa Contingency Planning Guide for Information Technology (IT) Systems [23]. Julkaisu kuvaa seitsenvaiheisen jatkuvuudenhallintaprosessin, joka on esitetty kuvassa 2.2. 6
Kuva 2.2 NIST:n jatkuvuudenhallintaprosessi. Prosessin työvaiheet ovat seuraavat: 1. Jatkuvuudenhallintaprosessi alkaa sen tavoitteiden, puitteiden ja vastuiden määrittelyllä. Työvaiheessa määritetään myös prosessin resurssivaatimukset ja aikataulut. Johdon tulee hyväksyä suunnitelmat. 2. Erityistilanteiden vaikutus yrityksen liiketoimintaan analysoidaan. Näin saadaan määriteltyä toipumisvaatimukset ja -prioriteetit. 3. Valitaan ja toteutetaan turvamekanismit, jotka pienentävät tai poistavat edellisessä työvaiheessa havaittuja vaikutuksia ennaltaehkäisevästi. 4. Kehitetään toimintastrategiat ja varaudutaan toipumistilanteiden varalle. Ratkaisut integroidaan järjestelmäarkkitehtuuriin. 5. Kirjoitetaan varsinainen jatkuvuussuunnitelma. Tämä sisältää kuvauksen rooleista, vastuista, tiimeistä ja proseduureista toipumistilanteissa. 6. Testaan suunnitelma ja koulutetaan toimintaan osallistuva henkilöstö. 7. Ylläpidetään suunnitelmaa organisaation muutoksenhallintaprosessin mukaisesti. Vastuu prosessista keskitetään jatkuvuussuunnittelukoordinaattorille. Tämä kehittää jatkuvuusstrategian yhteistyössä niiden toimintojen johtajien kanssa, joiden työhön suojattava prosessi tai järjestelmä liittyy. Koordinaattori myös ylläpitää suunnitelmaa ja vastaa sen sisältämien ohjeiden seuraamisesta häiriötilanteissa. Julkaisu keskittyy etenkin toipumissuunnitelman luontiin ja varajärjestelmäratkaisuihin. Se käsittelee erikseen myös erityyppisille järjestelmille soveltuvia teknisiä jatkuvuusratkaisuja. Käsiteltäviä aiheita ovat työasemat ja kannettavat tietokoneet, palvelimet, verkkosivuja ylläpitävät järjestelmät, lähiverkot, WAN-verkot, hajautetut järjestelmät sekä keskustietokonejärjestelmät. 2.3 Jon Toigon projektimalli Jon Toigo esittää kirjassaan Disaster Recovery Planning: preparing for the unthinkable [25] projektiorientoituneen lähestymistavan toipumissuunnitteluun. Projektin vaiheet on esitetty kuvassa 2.3. Toigo painottaa käsittelevänsä toipumissuunnittelua siten, että sen tavoitteet ovat yhteneväiset jatkuvuussuunnittelun kanssa. 7
Kuva 2.3 Jon Toigon malli toipumissuunnitteluprojektille. [25] Toipumissuunnitteluprojekti etenee seuraavasti: 1. Projektin ensimmäinen vaihe on riskianalyysi, jossa tunnistetaan uhkat ja haavoittuvuudet. Työvaiheessa myös arvioidaan erityistilanteiden vaikutus liiketoimintaan ja sovelluksiin. Näin saadaan tunnistettua kriittiset liiketoimintaprosessit ja näitä tukeva infrastruktuuri sekä määritettyä toipumisen prioriteetit, tavoitteet ja vaatimukset. 2. Analyysien perusteella muodostetaan toipumisstrategiat. 3. Strategiasuunnitelmat katselmoidaan ja hyväksymisen jälkeen niistä muodostetaan tarkemmat toteutussuunnitelmat. Näille tehdään budjetti, joka liiketoimintajohdon tulee hyväksyä. 4. Toteutusvaiheessa hankitaan tarvittavat tuotteet ja palvelut sekä kehitetään ja dokumentoidaan toipumisproseduurit. 5. Suunnitelmat testataan ja toimintaan osallistuva henkilöstö koulutetaan. 6. Viimeisenä vaiheena suunnitelmat otetaan käyttöön, minkä jälkeen niitä tulee ylläpitää. Ylläpito vaatii suunnitelmien integroimista yrityksen muutoksenhallintajärjestelmään. Toipumissuunnitelman ylläpito tulee Toigon mukaan keskittää toipumissuunnittelukoordinaattorille. Koordinaattorin työssä vaaditaan laajapohjaista tietämystä, suunnittelu- ja kommunikointikykyjä sekä projektinjohtotaitoja. Keskisuurissa ja suurissa yrityksissä toimi on kokopäiväinen. Toigo keskittyy etenkin laitteistojen ja toimitilojen fyysiseen suojaamiseen, tietojen varmistamiseen sekä tietojärjestelmien, käyttäjäympäristöjen ja tietoverkkojen toipumisstrategioiden kehittämiseen. Hän antaa runsaasti käytännönläheisiä kannanottoja strategioiden muodostamiseen. Kirjassa paneudutaan myös onnettomuustilanteiden toimintaproseduureihin, ja kirja sisältää useita esimerkkejä pääasiassa Yhdysvalloissa tapahtuneista onnettomuuksista, näiden seurauksista ja toipumistoimenpiteistä. Toigo tuo esille myös tiedonhankinnan ja oppimisen tärkeyden toipumissuunnittelijoille, ja on varannut aiheelle oman lukunsa. Tässä hän käsittelee tiedonhankintaa kirjallisuuden, haastatteluiden sekä erilaisten toipumissuunnittelijoiden ammatillisten ja muiden yhdistysten avulla, ja kehottaa tutustumaan mm. puhelinyritysten varmistuskäytäntöihin sekä paikallisten toipumissuunnitteluviranomaisten toimintaan. Tutustumisen tarkoituksena on auttaa paitsi ymmärtämään onnettomuuksien vaikutuk- 8
sia myös huomaamaan ulkoisia tekijöitä, jotka voivat vaikuttaa organisaation oman toipumissuunnitelman toteuttamiseen. 2.4 Helvi Salmisen liiketoiminnan jatkuvuussuunnittelumenetelmä Helvi Salmisen liiketoiminnan jatkuvuussuunnittelumenetelmä [19] pohjautuu aiemmin tehtyjen jatkuvuussuunnittelumallien vertailuun ja niiden hyvien puolien ja puutteiden tutkimiseen. Vertailussaan Salminen päätyi siihen, että olemassa olevat menetelmät rajoittuvat liiaksi tietojärjestelmien toiminnan varmistamiseen ja ovat näin lähinnä toipumissuunnittelumenetelmiä. Omassa mallissaan hän pyrki ottamaan selkeämmin huomioon liiketoiminnan tarpeet, ja sanoi tavoitteekseen tukea jatkuvuussuunnittelun liittämistä osaksi yrityksen toiminnan suunnittelua ja päätöksentekoa. Malli on esitetty kuvassa 2.4. Kuva 2.4 Salmisen jatkuvuussuunnittelumenetelmä. [19] Julkaisu sisältää sanallisen kuvauksen kustakin työvaiheesta sekä näihin liittyviä työlomakkeita. Yrityksen johdon rooli on tuotu esille, ja johdolle raportointi nostettu 9
omaksi työvaiheekseen. Salmisen sanoo lisäksi kiinnittäneensä huomiota etenkin jatkuvuussuunnitelmien ylläpidon ohjeistamiseen. Salmisen tavoitteena on ollut, että menetelmä soveltuu käytettäväksi erilaisissa toimintaympäristöissä ja organisaatioissa. Työvaiheiden kuvauksissa mainitaan erikokoisten yritysten tarpeiden eroavaisuuksia, ja julkaisu sisältää luvun menetelmän yrityskohtaisesta soveltamisesta. Toiminnan organisoimiseksi Salminen ehdottaa seuraavaa mallia: - Yrityksen johto määrittää jatkuvuussuunnittelun tavoitteet ja laajuuden ja tekee merkittävät jatkuvuussuunnittelua koskevat päätökset. - Jatkuvuussuunnitteluvastaava huolehtii siitä, että eri liiketoimintojen jatkuvuussuunnitelmat tehdään, tukee ja kehittää jatkuvuussuunnittelun toimintatapoja sekä vastaa mm. testauksen ja koulutuksen järjestämisestä. - Jatkuvuussuunnitteluryhmä vastaa jatkuvuussuunnitelmien käytännön toteutuksesta. - Jatkuvuussuunnittelun ohjausryhmä ohjaa ja valvoo jatkuvuussuunnittelutoimintoa. - Erityistilanneorganisaatio vastaa vakavien häiriötilanteiden hallinnasta. Pienissä organisaatioissa tai jatkuvuussuunnittelun kohdistuessa rajoitettuun kohteeseen tarvitaan kevyttä organisointia. Salminen toteaa, että tarvittaessa johdon ja ohjausryhmän tehtävät voidaan yhdistää, erillinen jatkuvuussuunnitteluryhmä ei ole välttämätön ja johto voi vastata erityistilanteiden hallinnasta apunaan tarvittavia asiantuntijoita. 2.5 BS 7799 BS 7799 on kansainvälisesti tunnettu brittiläinen tietoturvastandardi. Se koostuu kahdesta osasta: - Osa 1: Tietoturvallisuuden hallintaa koskeva menettelyohje. [20] - Osa 2: Tietoturvallisuuden hallintajärjestelmät. Vaatimukset ja soveltamisohjeet. [21] Standardin pohjalta on kehitetty myös ISO-standardi ISO/IEC 17799. Standardin ensimmäisen osan tarkoituksena on esitellä monipuolinen tietoturvallisuuden hallintajärjestelmä, joka kattaa parhaimmat tietoturvallisuuteen liittyvät käytännöt. Se on tarkoitettu palvelemaan yksittäisenä viiteasiakirjana tunnistettaessa eri tilanteisiin sopivia turvamekanismeja, ja sen tulisi soveltua kaikenkokoisille organisaatioille. Standardi on muodoltaan opastava ja ohjeellinen. Ensimmäinen osa käsittelee yhtenä tietoturvallisuuden osa-alueena myös liiketoiminnan jatkuvuudenhallintaa. Se esittää viisi jatkuvuudenhallintaa tukevaa turvamekanismia: 1. Liiketoiminnan jatkuvuuden hallintaprosessi. Liiketoiminnan jatkuvuuden kehittämiseksi ja ylläpitämiseksi on luotava koko organisaation kattava prosessi. 2. Liiketoiminnan jatkuvuus- ja vaikutusanalyysi. Jatkuvuussuunnittelu on aloitettava tunnistamalla liiketoimintaa uhkaavat riskit ja arvioimalla niiden vaikutukset. Näiden pohjalta on luotava jatkuvuuden strategiasuunnitelma, jolle on saatava johdon hyväksyntä. 3. Jatkuvuussuunnitelmien laatiminen ja toteuttaminen. Liiketoiminnan ylläpitoon ja palauttamiseen häiriöiden jälkeen on kehitettävä suunnitelmat. 10
4. Liiketoiminnan jatkuvuussuunnittelun puitteet. Suunnitelmat tulee pitää yhtenäisissä puitteissa koskien mm. suunnitelmien käynnistysehtoja, hätätilanteita ja palautumista koskevia menettelyohjeita, ylläpitoa, koulutusta ja vastuuhenkilöitä. Kullakin suunnitelmalla tulee lisäksi olla vastuullinen omistaja. 5. Liiketoiminnan jatkuvuussuunnitelmien testaus, ylläpito ja uudelleenarviointi. Suunnitelmat on testattava ja katselmoitava säännöllisesti. Standardin toinen osa esittää yleisen prosessipohjaisen mallin tietoturvallisuuden hallintajärjestelmän luomiseksi. Tätä käsitellään tarkemmin esitettäessä tämän työn jatkuvuudenhallinnan prosessimalli. 2.6 Teemupekka Virtasen tietojärjestelmien luokittelumenetelmä Teemupekka Virtanen esittelee julkaisussaan Design Criteria to Classified Information Systems Numerically [34] tietojärjestelmien luokitteluun tavan, joka mahdollistaa järjestelmän uudelleenarvioinnin automaattisesti, kun jokin sen komponenteista muuttuu. Menetelmässä johto asettaa tavoitteet järjestelmän saatavuudelle, eheydelle tai luotettavuudelle. Alempi taso tarkistaa tavoitteiden toteutumisen eri komponenteissa ja tarvittaessa parantaa näiden toimintaa itsenäisesti siten, että ylemmän tason ei tarvitse tietää ratkaisumenetelmää. Ensimmäisessä vaiheessa (kuva 2.5) liiketoiminnan johto asettaa numeeriset tavoitteet tärkeille toiminnoille. Tavoitteena voi olla esim. sen todennäköisyys, että haluttu palvelu tuotetaan sovitussa ajassa. Tämän jälkeen tunnistetaan toimintojen onnistumisen vaatimat osatoiminnot, ja asetetaan näille tavoitteet: Välttämättömien osatoimintojen tavoitearvo on sama kuin päätoiminnon ja vaihtoehtoisten pienempi. Tunnistetut toiminnot jaetaan aina pienempiin kokonaisuuksiin, joille asetetaan tavoitearvot, kunnes päästään lopputason toimintakomponentteihin, joilla tavoitteiden toteutuminen on mitattavissa. Toiminnot kuvataan lohkokaaviona. 90 Get requirement from the upper level The mail service has to work Assign the requirements for the subprocesses 90 The Internetconnection has to work 90 The Intranetconnection has to work 45 45 Mail server A has to work Mail server B has to work 90 The workstation has to work Send the requirements to the lower level Kuva 2.5 Tietojärjestelmien luokitteluprosessi. [34] Toisessa vaiheessa (kuva 2.6) määritetään, miten alimman tason komponenttien tavoitteet toteutuvat. Tulosten avulla lasketaan ylemmän tason toteutuma. Näin jatketaan, kunnes alkuperäisen tavoitteen toteutumiselle on saatu numeerinen tulos. Jos yhden komponentin tiedot muuttuvat, voidaan uusi toteutuma laskea automatisoidusti. 11
90 90 40 65 35 45 40 30 50 50 45 30 35 40 50 50 Kuva 2.6 Tietojärjestelmien saatavuuden arviointi. [34] Jos saadut tulokset eivät vastaa asetettuja tavoitteita, tilanteeseen voidaan reagoida kahdella tavalla: Olemassa olevien, alemman tason komponenttien toimintaa voidaan parantaa, tai ongelmakohtiin voidaan kehittää uusia vaihtoehtoisia toimintatapoja, jotka ilmenevät lohkokaavioissa rinnakkaisina aliprosesseina. 2.7 VAHTI Valtiovarainministeriön (VM) tehtävänä on ohjata valtionhallinnon tietoturvallisuutta ja sen kehittämistä. Tarvittavasta ohjeistuksesta vastaa VM:n asettama valtionhallinnon tietoturvallisuuden johtoryhmä (VAHTI), jonka on tarkoitus edustaa laajapohjaista tietoturvallisuuden asiantuntemusta. [27] VAHTI käsittelee ohjeistuksessaan tietoturvallisuutta kahdeksanosaisen jaon mukaisesti. Siinä tietoturvallisuuden osa-alueiksi katsotaan hallinnollinen tietoturvallisuus, henkilöstöturvallisuus, fyysinen turvallisuus, tietoliikenneturvallisuus, laitteistoturvallisuus, ohjelmistoturvallisuus, tietoaineistoturvallisuus ja käyttöturvallisuus. Ryhmän laatima ohjeistus sisältää mm. valtion viranomaisen tietoturvallisuustyön yleisohjeen. Suurin osa ohjeista käsittelee kuitenkin spesifisempiä aiheita, ja niillä pyritään vastaamaan tietoturvallisuuden haasteisiin ajankohtaisissa kehityskohteissa kuten tietohallintotoimien ulkoistamisessa ja etätyöskentelyssä. [27] VAHTI-ryhmällä ei ole erillistä jatkuvuudenhallintaohjetta, mutta aihetta sivutaan useissa eri julkaisuissa: Valtion tietohallintotoimintojen ulkoistamisen tietoturvallisuussuositus (VAHTI 2/1999) käsittelee toiminnan jatkuvuuden varmistamista ulkoistettaessa, Valtionhallinnon lähiverkkojen tietoturvallisuussuositus (VAHTI 2/2001) kehottaa ottamaan jatkuvuussuunnittelussa huomioon lähiverkkojen erityispiirteet, ja toiminnan jatkuvuus on yksi kriteeri Valtion tietotekniikkahankintojen tietoturvallisuuden tarkistuslistalla (VAHTI 6/2001). Kattavimmin VAHTI puuttuu jatkuvuudenhallintaan ohjeessaan Valtionhallinnon tietojärjestelmäkehityksen tietoturvallisuussuositus (VAHTI 3/2000). Suositus auttaa organisaatioita ottamaan tietoturvallisuusvaatimukset huomioon koko järjestelmän elinkaaren ajan. Käytännössä suositus jakaa järjestelmän elinkaaren kymmeneen eri vaiheeseen, ja esittelee kuhunkin vaiheeseen kuuluvat tietoturvallisuustehtävät, näissä syntyvät tuotokset sekä näihin liittyvät vastuut. Ohjeessa käsitellään jatkuvuudenhallintaa vain niiltä osin, jotka liittyvät suoraan tietojärjestelmän kehitysprojektiin. Työvaiheita käsitellään lisäksi erittäin lyhyesti: Jatkuvuussuunnittelu ja jatkuvuussuunnitelmien laatiminen mainitaan yksittäisinä tehtävinä ilman, että niiden tarkempaan merkitykseen tai sisältöön paneudutaan. Ohjeistus ei myöskään käsittele sitä, kuinka mainitut tehtävät suoritetaan. Vastuut jatku- 12
vuudenhallintatöistä on jaettu järjestelmän kehityksestä ja tietoturvasta vastaavalle henkilöstölle. 2.8 SSE-CMM Systems Security Engineering Capability Maturity Model (SSE-CMM) on erityisesti tietoturvallisuutta varten kehitetty kypsyysmalli, joka tunnetaan myös standardina ISO/IEC 21827. Standardi on vapaasti saatavilla WWW-sivuiltaan [22]. Mallin kuvauksessa käytetyt suomennokset ovat peräisin Ville Taposen diplomityöstä [24]. SSE-CMM on kypsyysmalli, jolla arvioidaan organisaation kykyä toteuttaa tietoturvaprosesseja. Prosesseille määritellään niiden suorittamistavan perusteella tietty kypsyystaso. Prosessien kehitystyössä malli auttaa hahmottamaan, mitä toimintoja prosessissa tulisi kehittää, jotta haluttu kypsyystaso saavutettaisiin. Kypsyystasojen olennainen sisältö on seuraava: - Taso 1: Epämuodollinen suoritus Tasolle 1 pääsy vaatii, että organisaatiossa tai projektissa suoritetaan vaaditut toiminnot. Suorittamisen laatua ei vielä käsitellä. - Taso 2: Suunniteltu ja seurattu Taso 2 sisältää vaatimuksia projektin määrittelyä, suunnittelua ja suorituskykyä koskien. Toimintaa käsitellään projekti-, ei prosessitasolla. - Taso 3: Hyvin määritelty Tasolla 3 prosessin tulee olla määritelty organisaation laajuisesti ja prosessia muokataan hallitusti. - Taso 4: Kvantitatiivisesti hallittu Tasolla 4 toiminnan mittarit sidotaan liiketoiminnan tavoitteisiin ja mittauksien tuloksia käytetään organisaation laajuisesti. - Taso 5: Jatkuvasti kehittyvä Tasolla 5 hyödynnetään kaikkia alemmilla tasoilla tehtyjä parannuksia. Lisäksi organisaation kulttuuria muokataan siten, että saavutetut hyödyt säilytetään. SSE-CMM -arkkitehtuurissa turvallisuusprosessin perustoimenpiteet erotetaan niiden hallinnasta ja soveltamisesta organisaatiossa. Mallissa on kaksi ulottuvuutta, toimialue ja kyky. Toimialueulottuvuus koostuu toiminnoista peruskäytännöistä jotka turvallisuustoiminnassa on suoritettava. Kykyulottuvuus sisältää prosessin hallintaan, mittaamiseen ja soveltamiseen liittyviä toimenpiteitä yleiskäytäntöjä. Prosessin kypsyyttä määriteltäessä tutkitaan, mitkä yleiskäytännöistä kunkin peruskäytännön kohdalla toteutuvat. Arviointia on havainnollistettu kuvassa 2.7. Siinä tutkitaan, määrittääkö organisaatio resursseja haavoittuvuuksien identifioimiseen. Peruskäytännöt on jaettu 22 prosessialueeseen. Ensimmäiset 11 prosessialuetta kattavat turvallisuustoiminnan päätehtävät. Loput 11 prosessialuetta käsittelevät toteutusprojektiin ja organisaatioon liittyviä toimintoja, jotka tukevat varsinaisia turvallisuusprosesseja. Yleiskäytännöt on järjestetty kykyulottuvuudessa sen mukaan, mitä kypsyystasoa ne indikoivat. Kypsyystasot on vielä jaettu tarkempiin loogisiin 13