1 Ulkoiset ris&] 1 e t J odotukset 1. I Tietoturvallisuu- TURVALLISUUSTIETO OY. Turvallisiiustieto Oy, Tampere Toimitiis,iohtaja Pentti Harmanen:



Samankaltaiset tiedostot
Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

TIETOTURVA- POLITIIKKA

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

PK-yrityksen tietoturvasuunnitelman laatiminen

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

TIETOTURVAPOLITIIKKA

Pilvipalveluiden arvioinnin haasteet

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Turvallisuus- ja valmiussuunnittelu

Diplomityöseminaari Teknillinen Korkeakoulu

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Espoon kaupunki Tietoturvapolitiikka

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Espoon kaupunkikonsernin tietoturvapolitiikka

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta

Tietoturvavastuut Tampereen yliopistossa

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

ARKISTOLAITOS. Ohje AL/16103/ / Sisältö Arkistolaitoksen ohje asiakirjojen suojaamisesta poikkeusoloissa.

TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

OULUNKAAREN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

Kyberturvallisuus kiinteistöautomaatiossa

Uudenkaupungin kaupungin sisäisen valvonnan ja riskien hallinnan perusteet

Valtioneuvoston asetus

Kooste riskienhallinnan valmistelusta

Sopimusoikeus ja tietotekniikka. IT-sopimukset. Sopimuksesta yleistä. Mitä ovat IT-sopimukset. Suomessa yleiset sopimusehdot: IT2000

Käytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.

Rataverkon haltijuus. Suomen Satamaliitto Taisto Tontti

Tietoturvapolitiikka

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

KEMIJÄRVEN KAUPUNGIN JA KAUPUNKIKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Maakunnan ympäristöterveydenhuollon järjestäminen ja varautuminen. Teppo Heikkilä

Miten varmennan ICT:n kriittisessä toimintaympäristössä?

Kuntien valmiussuunnittelun tukeminen/koordinointi

Johtokunta Tietoturva- ja tietosuojapolitiikka

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Sovelto Oyj JULKINEN

YETTS. Tampereen seutukunnan mittaus ja GIS päivät Ikaalinen. Tampereen Sähkölaitos & Tammerkosken Energia Oy TJ, dos.

Arkistolaitoksen ohje analogisten asiakirjojen suojaamisesta poikkeusoloissa

SISÄLTÖ. 1 RISKIENHALLINTA Yleistä Riskienhallinta Riskienhallinnan tehtävät ja vastuut Riskienarviointi...

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Pääesikunta, logistiikkaosasto

Vihdin kunnan tietoturvapolitiikka

ABB Drives and Controls, Koneenrakentajan ja laitetoimittajan yhteistoiminta toiminnallisen turvallisuuden varmistamisessa

MAAKUNNAN VARAUTUMINEN JA ALUEELLISEN VARAUTUMISEN YHTEENSOVITTAMINEN

Riskienhallinta- ja turvallisuuspolitiikka

SUUNNITTELE JA JOHDA TURVALLISUUTTA, ENNAKOI RISKIT JA VARMISTA LAATU- JA TURVALLISUUSKULTTUURI

Tietoturvapolitiikka

Lapin yliopiston tietoturvapolitiikka

Helsingin valmiussuunnitelma

Tietoturvapolitiikka Porvoon Kaupunki

Tietoyhteiskunnan haavoittuvuus kuinka voimme hallita sitä?

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Luonnos LIITE 1

Tietosuoja henkilöstön rekrytoinnissa

Liittymät Euroclear Finlandin järjestelmiin, tietoliikenne ja osapuolen järjestelmät Toimitusjohtajan päätös

Tietotekniikan turvallisuus ja toiminnan varmistaminen

Espoon kaupunki Tietoturvapolitiikka

Webinaarin sisällöt

Maakuntauudistuksen esivalmistelu Satakunnassa Ohjausryhmä Satakunnan maakuntauudistus 1

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

Pertti Kerko TURVALLISUUS- JOHTAMINEN. PS-kustannus

Yhteinen varautuminen alueella

REKISTERINPITÄJÄ JA YHTEYSHENKILÖ REKISTERIÄ KOSKEVISSA ASIOISSA Rekisterinpitäjä: Tmi ML-hahmoterapia Yhteyshenkilö: Mikko Lounela Puh:

Henkilöstön pätevyyden varmistaminen muutostilanteissa. Tuula Pirhonen Laatupäällikkö, tutkija Evira Tutkimus- ja laboratorio-osasto

Dnro:375/ /2013 Ehdotus kunanhallitukselle

Eläketurvakeskuksen tietosuojapolitiikka

Opetustoimen varautuminen

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

Tietoaineistojen luokittelu ja käsittely HVK:ssa ja PTS:ssä

Kunnan varautuminen tietotekniikan näkökulmasta -case Oulun Tietotekniikka. varajohtaja Seppo A. Pyykkö

Kuinka toimin erilaisissa häiriötilanteissa? Julkisen hallinnon digitaalisen turvallisuuden teemaviikko Erja Kinnunen, Verohallinto 2.10.

Verkkopalkan palvelukuvaus

VESIHUOLTOLAITOSTEN KRIITTISTEN ASIAKKAIDEN KARTOITUS JA HUOMIOIMINEN DI Ulla Koivisto Johdanto Kriittiset asiakkaat ja asiakastietokortit

Gustin: Disaster and Recovery Planning: A Guide for Facility Managers T esitelmä

YHTEISKUNNAN TURVALLISUUSSTRATEGIA - KOMMENTTIPUHEENVUORO

SALON SEUDUN KOULUTUSKUNTAYHTYMÄN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET PKSSK:SSA

TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka. Hattulan kunta

Suunnitellut alueellisen varautumisen rakenteet - katsaus valmistelutilanteeseen. Vesa-Pekka Tervo

SecGo. Sähköinen allekirjoitus ja sen käyttö. Ari-Pekka Paananen, SecGo VE Oy Director,technology

PUOLANGAN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Espoon kaupunki Pöytäkirja 96. Valtuusto Sivu 1 / Valtuustokysymys kyberturvallisuuden järjestämisestä ja uhkiin varautumisesta

Tiedonhallintalakiehdotus - vaikutukset Tommi Oikarinen / valtiovarainministeriö

Potilastietojärjestelmien käytön osaamisen turvaaminen organisaatioissa

Transkriptio:

TURVALLISUUSTIETO OY Turvallisiiustieto Oy, Tampere Toimitiis,iohtaja Pentti Harmanen: TIETOJENKÄSITTELYN TURVALLISUUS KUNNALLISHALLINNOSSA 1. Johdanto Tietojenkasittelyn merkitys yritysten, laitosten ja koko yhteiskunnan toimivuudelle on np kypäivänä ratkaisevan tärkeä. Riippuvuus tietojenkasittelysta ei ole kasvanut vain yritysten ja laitosten sisällä, vaan myös niiden välillä. Tietojenkasittelyn hajautuminen, tietoliikenteen hyödyntäminen sekä yhä laajeneva atk-palvelujen hyväksikäyttö lisäävät riippuvuutta tietojenkasittelysta ja sen turvallisuudelle asetettavia vaatimuksia. Lähes kaikki yhteiskunnan tärkeimmät toiminnot ovat tietotekniikasta riippuvia. Tietotekniikasta on tullut strateginen resurssi myös kunnille sekä kuntayhtymille. Jotta vaatimukset tietojen oikeellisuudelle ja ajankohtaisuudelle voitaisiin tayttaa, on tietojäjestelmien toimittava häiriöittä. Tiedon on oltava virheetöntä myös tärkeiden paatösten perustaksi. Tietoturvallisuuden perustana on oltava tietotekniikasta riippuvien toimintojen ja palvelujen tarpeet ja tietojenkäsittelyn merkitys tärkeimpien ja välttämättömien tehtävien hoidossa sekä käsitys toimintaa iihkaavista riskeista. 2. Tietojenkäsittelyn haavoittuvuus Haavoittuvuudella mitataan tavallisesti arkuutta atk-toiminnan hairiöille, tietotekniikan keskeytymiselle tai vioittumiselle sekä virheille ja väärinkäytöksille. Vaikka tietoja rjestelmässä yksittäisten osien turvallisuusvaatimukset vaihtelevat, tulee koko järjestelmän perusturvallisuuden olla tasolla, joka tayttaa toiminnan kannalta kattavasti käytettävyys-, tiedon suojaus-, eheys- ja salassapitovaatimukset. Haavoittuvassa tietojenkäsittelyssä riskien seurauksena saattavat olla virheet tiedoissa, puutteelliset tulosteet, menetetyt tiedot, paatösten viivästyminen, lisääntyneet kustannukset, jatkuvista häiriöista aiheutuva tyytymättömyys, työilmaston huononeminen, julkisuuskuvamenetykset, muille aiheutuneet vahingot, sanktiot, koko toiminnan estyminen tai toiminnan jatkamisen kannalta kriittiset menetykset. 1 Ulkoiset ris&] sisäiset riskit Sidosryhmien 1 e t J odotukset 1 Turvallisuuden I Tietoturvallisuu- den kehittäminen 1 Valtaosa tietojenkäsittelyyn kohdistuvista riskeistä on tavanomaisia käyttövirheitä, teknisiä vikoja, häiriöitä, ohjelmavirheitä ja tiedostojen tuhoutumisia. Pääosa riskeistä on

sisäisiä, toisin kuin yleisesti luullaan. korostuvat myös ulkoiset uhkatekijät. Nykyaikaisessa avoimessa tietojenkäsittelyssä 3. Tietojenkäsittelyn turvallisuus Tietojenkasittelyn turvallisuus jaetaan usein toimenpiteiden luonteen perusteella karkeasti fyysiseen turvallisuuteen, loogiseen turvallisuuteen seka * tiedonsiirron suojaamiseen. Tietojenkasittelyn turvallisuussuunnittelun kokonaistavoitteena on perusturva~~isuiiden luominen tietojenkäsittelyyn liittyvien vahinkojen, vaärinkaytösten ja häiriöiden välttämiseksi varautiiminen katastrofitilanteiden aiheuttamien vahinkojen rajoittamiseen seka valmiuden luominen toiminnalle p oikkeiisoloissa. RISKIENHALLINTA- JA TURVALLISUUSPOLITIIKKA 1 TURVALLISUUS VALMIUS VALMIUS VALMIUDEN KASVU NORMAALITILA KATASTROFI POIKKEUSTILANTEET Tietojenkäsittelyn yleisesti tunnetut heikot kohdat - fyysiset riskit ja tietoriskit - tulevat vastaan yhä useammin. Näihin riskitekijöihin varautuminen on tietojenbsittelyn perusturvallisuutta, toiminnan varmistamista normaalioloissa. Atk-järjestelmän vioittuminen tai tuhoutuminen voi johtaa vahvasti atk-riippuvan organisaation vaikeisiin ongelmiin. Toiminnan jatkaminen edellyttää valmiutta katastrofitilanteiden hallintaan. Valmius luodaan toipumissuunnitelmin. Kriisitilanteissa keskeisen atk-toiminnan lamautuminen aiheuttaisi yhteiskunnalle suuria vaikeuksia peruselinehtojen ylläpitämisessä, sillä harvoinenää kyetään toimimaan manuaalisten menetelmien varassa tai siirtymään sellaisiin laajamittaisesti. Toimenpiteet sisältyvät poikkeusoloien atk-valmiiissuunnitelmaan. Suunnitteluvelvoite on valmiuslakiin perustuva. Tietojenkäsittelyn turvaaminen muodostaa yhtenäisen valmiussuunnitelman perusturvallisuudesta katastrofivalmiuden kautta poikkeusolojen valmiuteen. Tietojenkäsittelyn turvaamiseen käytettävät keinot eivät ole vain tietoteknisiä. Tavanomaisen turvallisuustoiminnan keinoin luodut puitteet ja turvattu ympäristö ovat tärkeimpiä atk-toiminnan perusedellytyksiä.

I I I I Manuaalinen tietojenkasittely Tietotekniikan turvallisuus Tietojenkäsittelyn varmistaminen Tietoturvallisuus kohdistuu koko tietojenkäsittelyyn, myös manuaaliseen käsittelyyn ennen atk-käsittelyä, sen aikana ja sen jälkeen. Hajautetussa tietojenkasittelyssä on turvallisuustoimenpitein suojattava käyttöympäristö lukuisissa eri työpisteissä. 3.1. Vastuu tietoturvallisuudesta Vastuuta tietoturvallisuustoimenpiteistä on tarkasteltava toiminnan ja palvelujen näkökulmasta. Johtamistavan muuttuminen, vastuun hajauttaminen tulosyksiköihin ja tietotekniikan muutos ovat tulosvastuun ohella ohjanneet tietotekniikan käytön ja sen suunnittelun muiden kuin tietotekniikan ammattilaisten tehtäväksi. Samoin on käynyt myös turvallisuudessa. Atk-henkilöstö ei voi riittävän läheltä nähdä eri hallintokunnissa ja yksiköissä palveluille ja toiminnoille asetettavia vaatimuksia. Ilman käyttäjän osallistumista turvallisuuden määrittelyyn voi toimintaan kätkeytyä riskejä, joista kukaan ei ota vastuuta. Riskien tunteminen 1 Tavoitteet tietojenkäsittelyn turvallisuudelle ja varmistamiselle Usein ajatellaan, että tietoturvallisuudesta päättävän johdon tulisi tuntea yksityiskohtaisesti turval~isuustoimenpiteet. Tamä ei ole tarpeellista. Varsinaisen toiminnan tuntevalla johdolla ja esimiehillä on parhaat edellytykset asettaa vaatimukset palvelujen turvaamiselle. 3.2. Turvallisuusvaatimukset Yleiset käyttövaatimukset edellyttävät, että kaytettaz~yys tietoja jestelmissä sallii käyttäjien keskeytymättä hyödyntää tietojarjestelmien toimintoja jarjestelmien tuottaman informaation tietosisältö on laadultaan odotusten mukaista; oikeaa ja ajankohtaista tietojenkäsittely on fyysisesti suojattu käytön kannalta ja ja jestelmässä voidaan suojata tiedot ja ohjelmistot tahattomalta, luvattomalta tai tahalliselta tuhoamiselta, menetykseltä, käyttämiseltä ja muuttamiselta jarjestelmien toimivuus on hyvä tapahtumien tarkastettaz~uus säilyy ldhiverkko on turvallinen ja varmistettu lainsäädännön vaatimukset täyttyvät

arkistoitaz1uus varmistetaan ja turz~allisuusuunnitelrnat ovat olemassa. Elintärkeän tietojenkasittelyn varmistaminen ja turvallisuusuunnittelu edellyttävät lisäksi tietojarjestelrnien tarkeysluokitusta tietoliikenteen tarkeysluokitusta ja tiedon salassayitoluokitusta. Erityinen huomio hallintoyksikön tietojenkäsittelyssä on kohdistettava lähiverkon turvallisuuden liiomiseen ja ylläpitämiseen, sillä lähiverkko on ja tulee pitkaan olemaan koko tietojenkasittelyn ja tiedonsiirron perusrunko. Verkossa on siten oltava oltava selkeät turvallisuusyeriaatteet yaasyoikeuksille ja liittymille, käytölle, tiedonsiirrolle ja varmistuksille. Erityisesti 0VT:ssä (organisaatioiden välinen tietoliikenne) on turvallisuuden merkitys suuri mm. lahetteiden tutkimustulosten siirrossa sairaaloiden ja laboratorioiden välillä, tilausten ja laskujen siirrossa talo~ishallinnossa seka erilaisten henkilö- ym. rekistereiden paivityksessa, joihin OVT hyvin sopii. Turvallisuus toimenpi tee t Sekä turvallisuuden vuoksi että taloudellisesti on järkevää suunnitella turvallisuustoimenpiteet jo tietoja jestelmäa hankittaessa, ja jestelmakehityksessä ja toimintaympanstöa rakennettaessa. Myöhemmin niiden tekeminen on jo vaikeampaa, joskus jopa mahdotontakin. Turvallisuustoimenpiteiden perusteiksi selvitetään elintärkeät toiminnat ja palvelut niiden riippuvuus tietojenbsittelysta keskeisimmät atk-toiminnan tekijät, joiden turvaamiseen ja varmistamiseen turvallisuustoimenpiteet kohdistetaan suojattava tiedot laatuvaatimukset kaytettavyysvaatimukset salassapito ja tietojen suojaustarpeet ja varajärjestelmätarpeet. 4. Toimintaperiaatteet, organisaatio ja vastuut Tietoturvallisuuden toimintaperiaatteiden tulee olla määriteltyja. Ne ilmaisevat johdon tahdon ja näkemyksen turvallisuudesta ja osoittavat suunnan turvallisuuden kehittämiselle. Johdon tulee osoittaa esimiesten vastuu oman yksikkönsä toimintansa varmistamisesta. Hallintokunnissa johdolla ja järjestelmien omistajilla on vastuu oman toimintonsa tietoturvallisuusvaatimuksista ja niiden toteuttamisesta. Kullakin tietoja jestelmalla tulee olla haltija. Tietoja rjestelman haltija on se nimetty yksikkö, joka ensisijaisesti käyttää sovellusta palveluissaan tai jota ja rjestelma ensisijaisesti palvelee. Haltija vastaa jarjestelman toimintavarmuudesta oman toiminnan seka tietoja rjestelmasta nippuvien muiden toimintojen varmistamiseksi. Jokaisen atk-käyttäjän velvollisuutena on tuntea sekä yleiset että omaa tehtäväansa kaskevat enkoisohjeet tietoturvallisuudesta ja noudattaa niitä. Käyttäjän tulee tuntea menettelyt myös puutteiden raportoinnista. Palveluyrityksessä ei yleensä ole mahdollista seurata muutoksia kunnan ja järjestelmän haltijan toiminnassa. Siksi ostettuja atk-palveluja toiminnassaan kayt tava hallintoyksikkö asettaa atk-palvelutalon ja sen atk-käytön turvalli-suudelle. Yhteistoiminta turvallisuuskysymyksissa on sovittava.

5. Tietoturvallisuustoiminnan käynnistäminen ja turvallisuusanalyysi Tietoturvallisuusanalyysin tarkoituksena on hankkia yksityiskohtaisia tietoja tietojenkäsittelyn turvallisuudesta, riipyuvuuksista ja haavoittuvuustekijöistä se& siten parantaa vastuuhenkilöiden riskitietoisuutta ja johdon ja järjestelmien omistajien tietoja riippuvuuksien vaikutuksista toiminnassaan. Turvallisuusanalyysissä voidaan erottaa viisi vaihetta: tunnistetaan tärkeimmät ja herkimmät toiminnot ja niitä tukevat atk-järjestelmät * näille priorisoiduille tietojärjestelmille tehdään yksityiskohtaiset analyysit * selvitetään muiden tietoja rjestelmien turvallisuustarpeet ja turvallisuustoimenpiteet toimenyides~iunnitelmien perusteella kootaan, vastuutetaan ja käynnistetään turvallisuusyrojektin suunnittelu ja toteutuksen organisointi * toteutetaan suunnitelmat ja viedään läpi projektit Elintärkeät tietojärjestelmät määritellään kaikissa yksiköissä. Julkishallinnossa suojattavia tietojärjestelmiä ovat mm. erilaiset henkilörekisterit. Tärkeitä ovat myös ovat sellaiset järjestelmät, joiden keskeytykset pysäyttävät laajalti asiakaspalvelun. Tiedon ja ohjelmistojen suojauksen näkökulmasta tärkeitä tietojä rjestelmiä ovat maksujärjestelmät, joissa virheet voivat kertautua ja johtaa huomattaviin vahinkoihin ja luotettavuuskuvan menetykseen. Tavoitteet toiminnan turvallisuudelle ja palvelujen luotettavuudelle 1 Tavoitteet tietojen käsittel n turvallisuudrelle *a varmistamisel / e 1 Uhkatekijöiden ja riskien tunnistus I Kehittämiskohteiden -1 määrittely I 1 Tulosten rayortointi 1 Perusturvallisuuden suunnitelma sisältää mm: johdon hyväksymät periaatteet ja turvallisuuden tavoitteet, vastuut, sijaisuudet, tietoteknisen turvallisuuden, fyysisen turvallisuuden, varmuus- ja suojakopioi~in kopioiden käsittelyn ja säilytyksen, valvonnan ja raportoinnin johdolle. Toipumissuunnitelrna sisältää mm. elintärkeät toiminnot, tietojä rjestelmät ja sovellutukset, kuvauksen katastrofitilanteista, sallituista keskeytysajoista, varajärjestelmän, suojakopioiden ja ohjelmistosiirron, siirtosuunnitelman ja toiminnan uudelleenkäynnistyksen. Toipumisen perusedellytys on tietojenkäsittelyn dokumentointi, varmuus- ja suojakopiointi ja kopioiden käytettävyys vahinkotilanteissa. Poikkeusolojen tietojenkäsittelyn vaimiussuunnitelman päätavoite on poikkeusoloissakin välttämättömän tietojenkäsittelyn ylläpitäminen. Toimintakyvyn säilyttäminen ei ole mahdollista ilman ennalta riittävän pitkälle tehtyjä valmisteluja ja varauksia.

5.1. Turvallisuuden toteutus Koko atk-turvallisuusajattelun lähtökohdaksi on hyvä asettaa kysymys: "Entä, jos jotain sattuu, mitä tehdään, kuka vastaa". Turvallisuussuunnittelu tapahtuu parhaiten projektina, jolle nimetään vastuuhenkilö esimerkiksi yleishallinnosta sekä työryhmä, jossa on edustettuna toiminnan ja tietojenkäsittelyn eri tahot. Johdon tulee vahvistaa hyväksymänsä vaatimukset, suunnitelmat, turvallisuuden taso ja ohjeet. Olennaisinta tietoturvallisuuden ylläpitämisessä on turvallisuustoimenpiteiden toteutumisen, vaikutusten sekä vaatimusten noudattamisen seuranta. Merkittävistä uhkatilanteista tulee raportoida myös ylimmälle johdolle. 6. Yhdistelmä Lisääntyvä tietotekniikkariippuvuus saattaa olla toiminnan ratkaisevan kriittinen tekijä. Avaintekijanli koko turaallisuussuunnittelussa voidaan yitaa johdon tasolla tarkistettua elintärkeiden soaellusten rnäarittelya ja niiden aarrnistarniseksi ja suojaarniseksi kaynnistettyja toirnenyiteita. - Lopputulokselle voidaan asettaa selkeästi kaksi tavoitetta: tietoturvallisuuden tulee vastata varsinaisen toiminnan vaatimuksia ja tietoturvallisuuden on levittävä koko organisaatioon ja juurruttava käyttäjien tietoisuuteen. Erityisesti jälkimmäinen tavoite on tärkeä niissä suurissa organisaatioissa, joissa tietojenhsittely on hajautunut moniin pisteisiin. Tietotekniikka ja sen turvallis~iustarpeet muuttuvat nopeasti. Mikään toiminta ei pysy yllä, eikä ohjaudu ja toimi halutulla tavalla, ellei saavutettuja tuloksia seurata ja kehitetä ja toimintaa ylläpidetä. Turvallisuustoiminta ei ole tästä poikkeus. 7. Suunnittelun suuntaviivat Atk-turvallisuussuunnittelun suuntaviivat ja toteutusperiaatteet sisältyvät Puolustustaloudellisen suunnittelukunnan ja valtiovarainministeriön ja rjestelyosaston julkaisuun "Tietojenkäsittelyn turvaaminen ja valmiussuunnittelu" (Valtion painatuskeskus, ISBN 951-861- - 629-9) ja KATKON julkaisuun "Tietojenkäsittelyn turvaaminen kunnallishallinnossa'~ Tarkempia tietoja antaa Turvallisuustieto Oy, toimitusjohtaja Pentti Harmanen, puh. 931-128009.

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute