Tietoturva on prosessi

Tietoturvallisuus ei ole jonkin toiminnan lopputulos siinä mielessä kuin jokin tietokone tai muu tuote voi olla. Se ei myöskään ole prosessi samassa mielessä kuin jokin teollisuusprosessi tai ihmisen aineenvaihdunta. Se on kuitenkin prosessi ja ilmiönä rinnastettavissa vaikkapa ihmisen fyysiseen kuntoon. Hetken aikaa kaikki voi olla hyvin ja tautien vastustuskykykin korkealla, mutta ympäristö muuttuu ja samoin järjestelmä itse. Tämä edellyttää ensinnäkin

  • jatkuvaa toimintaa kunnon (ja) tietoturvan rakentamiseksi ja ylläpitämiseksi. Tästä aiheesta jatketaan jäljempänä.
  • toiseksi, kummastakaan ei oikeastaan voi puhua, ellei oteta huomioon myös hetkellistä toimintaa. Tietoturvan tapauksessa se tarkoittaa erilaisten suojamekanismien soveltamista ja siinä erityisesti
    • ehkäisyä. Suurin osa mekanismeista ja liittyy tähän. Tarkemmin jaoteltuna ehkäisyproseduureja voivat olla välttäminen, pelottaminen, estäminen, vahinkojen lieventäminen, tai vastuiden siirto (esim. vakuutuksin).
    • havaitsemista. Ilmeinen esimerkki on virusten etsiminen. Joissain tapauksissa tämä on prosessi myös siinä merkityksessä, että ongelmaa joudutaan seuraamaan ennen kuin siihen saadaan otetta (esim. epäilty hyökkäys tietoverkkoon)
    • reagointia. Jos havaitsemismekanismit ovat olleet ajoissa reagointi alkaa pysäyttämisellä. Sen jälkeen seuraavia vaiheita voivat olla toipuminen (toiminnan jatkamiseksi), korjaaminen (vahinkojen ja/tai ongelman syiden) ja mahdollisesti syyllisten rankaisu.

Jatkuva tarve tietoturvan rakentamiseksi ja ylläpitämiseksi lähtee siitä, että kaiken aikaa on tekeillä jotain, joka voi muuttaa tilannetta. Tietoturvan Common Criteria-standardi (versio 2) tiivistää seuraavaan kaavioon keskeiset tekijät ja tekeillä olevat asiat.

CC:n kaavio osan 1 sivulta 14.

Epälineaarisen kaavion voi tiivistää vaikkapa seuraaviin lauseisiin: " Owners impose countermeasures to reduce risk to assets " ja " Threat agents give rise to threats that exploit vulnerabilities leading to risk to assets ". Nämä käsitteet esiintyvät seuraavassa (Standardin versiossa 3 kaaviota on muuten yksinkertaistettu poistamalla siitä haavoittuvuudet. Yksi syy voi olla se, että niitä esiintyy muuallakin kuin vastatoimissa, eli kaavio antaakin liian yksinkertaisen kuvan.)

Jonkin järjestelmän suojaaminen tietoturvauhkilta tapahtuu useassa vaiheessa, esimerkiksi seuraavasti:

  1. Ota selvää, mikä on arvokasta ja suojeltavaa ('assets').
  2. Tunnista uhkat, haavoittuvuudet, hyökkäykset.
  3. Arvioi riskit. Jos ne ovat tarpeeksi alhaiset, lopeta ja palaa aiheeseen uudelleen sopivan ajan kuluttua.
  4. Aseta haavoittuvuudet tärkeysjärjestykseen.
  5. Valitse ja asenna suojatoimet, palaa kohtaan 1.

Vaiheiden 2 ja 4 paluukäskyt laajentavat tämän kertaprosessin jatkuvaksi. Mikäli järjestelmässä on tapahtunut muutoksia, vaiheen 3 paluu täytyy tietysti tehdä "esivaiheeseen" 0. Itse asiassa muutokset usein antavatkin syyn "palata aiheeseen". Tätä vaihejakoa voidaan pitää tietoturvatyön perusmallina. Hieman toisin ilmaistuna samaa sykliä voi kuvata seuraavilla vaiheilla: (i) arvioi -- (ii) suunnittele -- (iii) toteuta -- (iv) ylläpidä ja valvo. Näistä vaiheen iv voi ajatella sisältyvän osittain eo. vaiheeseen 1, osittain vaiheen 4 suojatoimien sisälle.

Kaikessa pitää ottaa huomioon kustannukset. Niitä kasvattavat aiheettomasti sekä kovin tiukat turvatoimet (hankinnan ja ylläpidon hinta nousee) että niiden puute (menetysten hinta nousee). Jostain välimaastosta pitää löytää kompromissi, mutta on epätodennäköistä, että optimoinnille voi koskaan olla tarkkaa numeerista perustaa.

Perusmallin vaiheissa 0..3 täytyy tuntea oma järjestelmä, mutta vaiheessa 4 täytyy olla paljon tietoa turvamekanismeista. Tietoturvakurssien tavoitteena on kertoa joistakin sellaisista ja tarjota viitteitä muihin. Vaikka monet mekanismeista ovat periaatteessa yksinkertaisia, haasteena on näiden mekanismien moninaisuus, erityisyys ja yksityiskohtaisuus ja silti tietty epävarmuus, varsinkin kun useita mekanismeja yhdistellään.

Turvallisuuden prosessiluonnetta kuvaa myös tämä lainaus:

There is no such thing as "Security"! There are risks & there are countermeasures. Security as an absolute is unachievable.

Tämän ensimmäinen lause on tiettävästi Germaine Greeriltä, joka jatkoi: "There never has been." (Lähde: Judith Spencerin esitelmä )

-- JukkaKoskinen?

SivuTiedotLaajennettu edit

Vaativuus Perus
Valmius Valmisteilla
Tyyppi Ydin
Luokitus Uhkat
Mitä Luottamuksellisuus
Miltä Ihmisetön uhka
Missä Organisaatio
Kuka Tite-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa

This topic: Tietoturva > Sisällysluettelo? > TietoturvaOnProsessi
Topic revision: r3 - 10 Mar 2010 - 20:36:35 - MaijuLehtonen?
 
Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback