You are here: TUTWiki>Tietoturva>Sisällysluettelo?>Tietoturvapolitiikka (revision 3)

Tietoturvapolitiikka

Riskianalyysin yhteydessä näkyy, millaisen prosessin tuloksena voidaan laatia tietoturvapolitiikka. Politiikka on varsin keskeinen kaikessa tietoturvatyössä.

Valtionhallinnon tietoturvakäsitteistö määrittelee tietoturvapolitiikan tiiviisti: sen mukaan organisaation tasolla kyseessä on "johdon hyväksymä näkemys tietoturvallisuuden päämääristä, periaatteista ja toteutuksesta." Valtakunnan tasolla se tarkoittaa kokonaisuutta, joka koostuu tietoturvanormeista ja niiden täytäntöönpanosta? . Asiayhteydestä selviää, kumpaa tasoa tarkoitetaan, ja yleensä se on organisaatio. Sellaiseen voivat lukeutua myös asiakkaat, jäsenet, asukkaat.

Hieman konkreettisemmin: tietoturvapolitiikka on tietoturvallisuutta koskevien päätösten dokumentaatio, joka pohjimmiltaan määrittelee, kenellä on oikeus, mihin resursseihin, miten pääsyä säännellään, kenellä on siitä vastuu ja mihin toimiin ryhdytään, jos todetaan rikkomuksia.

Politiikkoja on monentasoisia. NIST-käsikirja esittelee seuraavat tasot ja korostaa, että jaottelu on lukijan ymmärryksen edistämiseksi, ei tarkkojen rajojen vetämiseksi:

  • ohjelmapolitiikka ('program policy') tai tietoturvastrategia: organisaation tavoitteet tietoturvan suhteen, yleiset vastuukysymykset. Politiikan olisi myös syytä tuoda esille organisaation sitoutuminen tietoturvaan. Yleisen tason politiikasta mallina on vaikkapa TTY:n tai Tampereen yliopiston tietoturvapolitiikka . LUE ainakin toinen niistä. LUE myös Henkilöstön tietoturvaohje, eli VAHTI 10/2006 . Se on nimestään huolimatta hyvin politiikkamainen ja voisi olla osa jonkin viraston tietoturvapolitiikkaa. Sellaisena se tarjoaa esimerkin politiikasta, joka ei suoraan sovi tähän jaotteluun: se on yksityiskohtaisempi kuin strategia tai em. yliopistopolitiikat. Toisaalta se on yleisempi kuin seuraavat, eikä myöskään ota kantaa vastuisiin eikä seuraamuksiin.
  • asiakohtainen politiikka, ('issue-specific'), esimerkkeinä aihealueista Internet-yhteys (keille, missä asioissa, miten autentikoituna, ...), sähköpostin yksityisyyskysymykset (organisaation sisällä) tai epävirallisten ohjelmistojen käyttö.
  • järjestelmäkohtainen politiikka, järjestelmänä esim. jokin tietokoneverkko kuten Lintula . Politiikka koostuu turvatavoitteista (vrt. CC:n ehdottama prosessi ) ja toiminnallisista turvasäännöistä.

Esimerkki tavoitteista voisi olla, että palkkatietoja saa käsitellä vain kirjanpidon ja henkilöstöhallinnon väki, jolloin vastaavat säännöt voisivat olla, mitä palkkatietojen kenttiä kukin näiden osastojen henkilö saa muokata, ja lisäksi se, ettei kukaan saa muokata omia tietojaan. Tällä tasolla toteutus tapahtuukin tyypillisesti pääsynvalvontasääntöjen perusteella. Niiden täydennyksenä voidaan esittää ohjeistoja ja työntekijöiden omaksuttavaksi tarkoitettuja menettelyjä. Yksi esimerkki turvasäännöistä ovat palomuureihin asennetut listat siitä, millaiset paketit lasketaan läpi ja mitkä hävitetään.

Hieman toisennäköinen tasojaottelu löytyy K. Rahkon artikkelista kohdasta "Tietoturvan toteutuminen edellyttää kirjallisia dokumentteja ja niiden mukaan toimimista".

Tietoturvasuunnitelma on tavallaan laajennettu ja konkretisoitu yksityiskohtaisen tason tietoturvapolitiikka. Politiikkadokumentin lisäksi siihen kuuluu:

  • nykytila, eli suunnitelman laadinta-ajankohtana vallinneen turvallisuuden kuvaus. Se saadaan esim. riskianalyysin pohjalta. Se sisältää erityisesti arvoasiat, arvioidut uhat ja (prosessin tässä vaiheessa) asennetut turvamekanismit.
  • suositukset ja vaatimukset politiikassa asetettujen tavoitteiden saavuttamiseksi; ne ottavat huomioon myös laajennettavuuden - tilanteet, joissa huomataan uusi aukko tai uusi data/ohjelma/laite tuo sellaisen tullessaan.
  • suunniteltujen toimien aikataulu, varsinkin mikäli suojamekanismeja ei asenneta kaikkia samalla kertaa. Myös koulutukseen voidaan tarvita aikaa.
  • suunnitelmat ajoittaisista tarkistuksista ja päivityksistä, milloin tehdään (eli tavallaan osa aikataulua). Uudelleenarviointi (sen lisäksi, mitä edellä sanottiin suosituksista) on tärkeää, koska käyttäjät vaihtuvat, toiminnot muuttuvat tai laajenevat, järjestelmän tietojen luonne muuttuu, hyökkäyksiä keksitään uusia,...

Suunnitelmaan pitäisi sisällyttää myös valmiussuunnittelu eli varautuminen katastrofeihin (sisältäen mm. harjoittelun).

Yhteenvetoa Jos politiikalla kuvataan päätökset siitä, kuka saa tehdä mitäkin ja millaista tietoturvaa tavoitellaan, niin suunnitelma esittää, miten politiikka toteutetaan, ja välineitä politiikan implementointiin ovat

  • organisaation standardit,
  • ohjeistot ('guidelines'),
  • mekanismit, eli työkalut ja varusteet, jotka asennetaan suunnitelman mukaisesti, sekä
  • proseduurit eli menettelyt, jotka käyttäjät omaksuvat osaksi omaa työtään.

Yhden näkemyksen siitä, mitä politiikka tarkoittaa, voi saada testaamalla tietonsa VAHTI-CD:n kyselyssä . Toisin kuin tämän kurssiaineiston valintatehtävissä, siinä oikea vastaus määräytyy yleensä politiikan perusteella.

-- JukkaKoskinen?

SivuTiedotLaajennettu edit

Vaativuus Perus
Valmius Valmisteilla
Tyyppi Ydin
Luokitus Uhkat
Mitä Luottamuksellisuus
Miltä Ihmisetön uhka
Missä Organisaatio
Kuka Tite-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa
Print version |  PDF  | History: r4 < r3 < r2 < r1 | 
Topic revision: r3 - 14 Mar 2010 - 18:57:52 - MaijuLehtonen?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback