You are here: TUTWiki>Tietoturva/Tutkielmat>TyoLuettelo?>2007-6

Tavarataloketjun tietoturvapolitiikka

Vesa Salo

Johdanto

Aiheen kohdeorganisaatio on kodin rakentamiseen liittyvä tavarataloketju. Ketjulla on Suomessa tällä hetkellä muutama myymälä, mutta laajennus on tulevaisuuden suunnitelmissa. IT-osasto on yrityksessä erillisenä osastona ja lisäksi jokaisessa myymälässä on olemassa erillinen tukihenkilö, joka toimii linkkinä henkilöstön ja IT-osaston välissä sekä tukena paikallisissa ongelmatilanteissa.

Tietoturvapolitiikan dokumentointi on ollut hieman puutteellista ja työ dokumentaation kuntoon saattamiseeen on edelleen käynnissä. Tässä työssä on tarkoituksena kertoa lyhyesti olemassa olevista ohjeista toimivan politiikan laatimiseen, käydä läpi tavarataloketjun keskeneräisen tietoturvapolitiikan dokumentaatiota, sen puutteita sekä antaa ehdotuksia parannuksille.

Tarkasteltavan organisaation tietoturvapolitiikka on yhdistelmä listoja tarpeellisista toimista ja yleistä ohjetta tietoturvallisuuden varmistamiseksi.

Tietoturvallisuuspolitiikka

Jokaisella yrityksellä pitää olla oma tietoturvallisuuspolitiikka, joka on osa laajempaa riskienhallintapolitiikkaa. Tietoturvapolitiikassa määritellään keskeiset periaatteet käytännön tietoturvatyölle. Tietoturvapolitiikka vastaa kysymykseen: Miten tietoturvallisuutta hallitaan organisaatiossamme? Oleellisia pohdinnan aiheita ovat muun muassa juuri omaa yritystä koskevat uhat ja riskit sekä niiden ilmenemistodennäköisyydet. Politiikan pohjalta asetetaan vastuualueet ja luodaan toimintaohjeet, jotka täytyy saattaa yrityksen henkilöstön tietoon. [5] Mikroyrityksissä politiikka ei ehkä tarvitse löytyä kirjoitettuna dokumentaationa, mutta silti yrityksellä on olemassa ihminen, joka vastaa tietoturvallisuudesta ja sen toteutuksesta.

Työn aiheena olevan yrityksen liiketoiminta-alue ei ole kaikkein riskirikkainta, mutta suojattavaa tietoa on runsaasti ja siksi tarvitaan erillinen politiikka.

Teoria taustalla

Tietoturvan kolme keskeistä tavoitetta eli ns. tietoturvakolmion elementit ovat: luottamuksellisuus (confidentiality), käytettävyys (availability) ja eheys (integrity). Kyseinen malli tunnetaan myös CIA-kolmiona. [3] Tietoturvallisuuspolitiikka on suppeasti ajatellen dokumentaatio, joka kertoo kenellä on oikeus mihinkin resursseihin, kuka antaa oikeuksia, kuka vastaa lopulta oikeuksista sekä dokumentaatiosta ja mitä seuraamuksia mahdollisista rikkomuksista voi tulla. [1]

cia-triangle.jpg
Kuva 1. Tietoturvakolmio (CIA-kolmio) [osin 4]

Laajemmassa määritelmässään politiikka on ainut liiketoiminnan ja tietoturvallisuuden sidos, johon yrityksen johto sitoutuu. Eli liikaa liiketoimintaa haittaamatta otetaan dokumentaation avulla kantaa kuinka uhkaherkkää ja riskialtista toimintaympäristö on sekä miten se otetaan huomioon päivittäisessä toiminnassa. [2]

Tämän työn puitteissa tietoturvapolitiikkaa peilataan enemmän Peltier et al. kirjoittamaan Information Security Fundamentals -kirjaan, jossa määritellään kolme eri tasolla toimivaa politiikkaa; yleinen ohjelmapolitiikka (general program policy), aihekeskeinen politiikka (the topic-specific policy) ja järjestelmä- tai sovelluskohtainen politiikka (system- or application policy). Näistä ohjelmapolitiikka on oikeastaan vähiten päivittämistä vaativa, sillä nämä ohjeet ja määräykset on annettu suhteellisen yleisellä tasolla, kun taas kaksi jälkimmäistä vaatii päivittämistä käytettävien tekniikoiden vaihtuessa. Politiikan laatimiseen ei kirjallisuudessa määritellä tarkkaa ohjetta, vaan jokainen yritys, instituutio, virasto tai muu yhteisö joutuu sen joka tapauksessa generoimaan itselleen sopivaksi.[3] Tavarataloketjua varten kirjoitettu tietoturvapolitiikka on jossain ohjelmakohtaisen ja aihekohtaisen politiikan välimaastossa. Dokumentaatiossa ei juuri mainita käytettäviä tekniikoita, järjestelmiä, vaan pitäydytään yleisemmällä tasolla.

Tietoturvapolitiikan rakentamisen pohjimmaisena ajatuksena voidaan pitää jäljempänä olevan Security Wheel -kuvan näköistä prosessia. Politiikka antaa taustan yrityksen toiminnan ja järjestelmien turvallisiksi tekemiseen. Tietoturvallisuudesta ja sen parantamisesta ei yrityksessä oikeastaan voida puhua ilman viittaamista tehtyyn tietoturvapolitiikkaan. Kuten alla oleva kuva osoittaa, politiikka on kaiken toimien taustalla.

securitywheel.jpg
Kuva 2. Security Wheel [3]

Kuvan mukaisesti kun tietoturvapolitiikka on tehty, yrityksessä pyritään järjestelmien kehittämisen kautta niiden testaukseen, josta voidaan siirtyä tuloksena syntyneen järjestelmän seuraamiseen. Tällöin järjestelmän voidaan katsoa olevan hetkellisesti turvallinen, mutta hyvin nopeasti löytyy taas parannettavaa ja prosessi käydään uudestaan läpi. Toisaalta prosessia voidaan myös kulkea vastakkaiseen suuntaan (tai edestakaisin), eli jos seurannassa havaitaan jotain mahdollisesti tietoturvan vaarantavaa, voidaan järjestelmää, ohjeita tai tekniikoita testata ja mikäli parannettavaa löytyy, järjestelmää muokataan parempaan suuntaan.

Dokumentin nykytila organisaatiossa

Tarkasteltava dokumentti käsittää tällä hetkellä yhdeksän asialukua, joita käsitellään tarkemmin jäljempänä.

Datan turvallisuus

Luvun aiheisiin kuuluvat tunnistaminen, salasanojen kontrollointi, datan luokittelu, varmuuskopiointi ja virustorjunta.

Käyttäjien oikeudet määritellään tarpeen mukaan (vähimpien oikeuksien periaate), jolloin lähtökohta on, ettei oikeuksia ole ja tehtävän mukaan luodaan oikeuksia. Oikeudet määritellään esimerkiksi osastojen tai yksilön työkuvan mukaan. Henkilöstömuutokset aiheuttavat myös muutoksia käyttäjäprofiileihin ja nämä muutokset pitää päivittää järjestelmään viikon kuluessa.

Salasanojen pituus määritellään dokumentissa vähintään kuuden merkin pituiseksi. Salasanojen hallinnasta sanotaan yleisesti, ettei niitä saisi olla näkyvillä missään. Tärkeämpien profiilien salasanojen vaihtoväli on määritelty maksimissaan 180 päiväksi ja muiden 360 päiväksi.

Erilaisille tiedoillle on määritelty kaksi eri tasoa: ei-salainen (not classified) ja salainen (classified). Ei-salainen on sellaista tietoa, joka levitessään ei aiheuta organisaatiolle, sen työntekijälle tai kolmannelle osapuolella vahinkoa, esimerkiksi yleinen sisäinen uutiskirje tai tuoteluettelo. Salaisen tiedon leviäminen taas voisi haitata organisaatiota ja tällaiset dokumentit on erikseen merkitty tarpeen mukaan.

Varmuuskopiointia toteutetaan sitä useammin kuinka kriittistä tieto on. Tärkeimmät tiedot varmuuskopioidaan päivittäin. Kopiot on myös sijoitettu kahteen eri fyysiseen kohteeseen ja tilojen pitää olla paloturvallisia. Kopioinnista ja tietojen palautuksista pitää myös löytyä erilliset ohjeet.

Tallennusmediat ja tulosteet

Tulosteiden ja erilaisten medioiden (CD:t, levykkeet jne.) käsittelyä organisaatiossa on käsitelty omana lyhyenä kappaleenaan.

Kaikki salaiseksi luokiteltava aineisto ja salaista materiaalia mahdollisesti tuottavat laitteet (faksit, toimipaikan johdon tulostimet) on säilytettävä lukkojen takana. Riippuen tallennusmedian sisällöstä, on jokaisen tavaratalon päätettävissä tuhotaanko media fyysisesti vai ylikirjoitetaanko informaatio. Kaikki jätepaperi, joka voidaan katsoa tavaratalolle potentaaliseksi uhaksi on säilytettävä lukkojen takana tuhoamiseen asti.

Fyysinen turvallisuus

Luvun alle on sijoitettu ohjeita rakennusten suojaamiseen, tietokoneiden, ohjelmien ja tiedostojen sekä verkkolaitteiden sijoitteluun.

Tietokoneet ja verkkolaitteet on sijoitettu lukittuun huoneeseen, jonne tarvitaan erilliset oikeudet. Jos tiloissa vierailee käyttäjä, jolla ei tunnuksia ole, ei henkilöä saa jättää tilaan yksin. Huoneessa säilytettävistä laitteista, tarvikkeista ja muusta materiaalista on ylläpidettävä inventaariota.

Tietokonehuoneessa pitää olla riittävät palonilmaisimet ja niitä on seurattava 24 h vuorokaudessa joko henkilöstön tai pelastuslaitoksen toimesta. Lämpötila ja ilmanvaihto on myös pidettävä hyvällä tasolla (laitteiden valmistajien suositusten mukainen) riittävän ilmastoinnin avulla. Huoneisiin ei saa sijoittaa pysyviä työpisteitä, eikä käytettäviä printtereitä. Samoin huoneissa pitäisi välttää PVC-muovin käyttöä mahdollisessa tulipalossa syntyvien kaasujen takia.

Käytettävät kassakaapit ja vastaavat säilöt on oltava vähintään kaksi tuntia tulipaloa kestäviä.

Laitteistoturvallisuus

Laitteistoturvallisuudesta annetaan kappaleessa mm. seuraavanlaisia yksittäisiä ohjeita:

  1. Kannettavien kovalevyt pitää olla kryptattuja ja
  2. PDA-laitteiden tiedot pitää olla suojattu.

Kaikilla huoltotoimilla, jotka kohdistuvat tietoteknisiin laitteisiin, pitää olla IT-osaston lupa. Samoin normaalikäytännöistä poikkeaviin toimiin pitää olla IT-osaston lupa. Hieman toimenpiteestä tai huollosta riippuen, huollettavasta kohteesta on otettava varmuuskopiot.

Ohjelmistoturvallisuus

Kappaleen aiheet liittyvät käytettävien ohjelmistojen kehitysversioiden asentamisiin. Nämä ohjelmat pitää olla asiallisesti testattu ennen käyttöönottoa. Vanhemmista kehitysversioista pitää olla varmuuskopiot tallessa.

Käytettävät ohjelmistot pitää olla virallisia, eli lisenssit pitää luonnollisesti olla voimassa. Myös kokeiluversiot (evaluation) ovat sallittuja voimassaoloaikansa ajan.

Käytettävät järjestelmät

Käyttöjärjestelmät pidetään ns. up-to-date eli ajan tasalla ja kaikki päivitykset on asennettava välittömästi. Joissain tapauksissa vanhempia versioita voidaan pitää pysyvyyssyistä. Päivitykset näihin täytyy tehdä aukioloaikojen ulkopuolella. Kaikki muutokset kirjautuvat lokiin.

Käyttöjärjestelmän asetuksien muuttaminen on käyttäjiltä kielletty IT-osastoa lukuun ottamatta.

Käyttöjärjestelmien mahdollisista uudelleenkäynnistyksistä servereillä pitää olla selvät toimintaohjeet ja hyvä dokumentaatio.

Systeemilokia pitää arvioida tasaisin väliajoin ja sen pitää sisältää seuraavaa:

* kaikki laite- ja ohjelmistovirheet, * uudelleenkäynnistykset ja järjestelmän sammutukset, * epäonnistuneet yritykset kirjautua järjestelmään ja * yritykset saada käyttäjätyypille kuulumatonta materiaalia, erityisesti organisaatiolle arvokasta materiaalia.

Tietoliikenneyhteydet.

Internetyhteys on sallittua vain organisaation suomia välityspalvelimia pitkin tai käyttäen yrityksen VPN-sovellusta. Ulkopuolelta yhteydenotto yritykseen on tehtävä käyttäen vahvaa autentikaatiota. Kaikki osapuolet, jotka ottavat näitä yhteyksiä pitää olla IT-osaston valtuuttamia.

Salaista tietoa sisältävät sähköpostit pitää kryptata ennen lähettämistä organisaation ulkopuolelle. Ko. toiminto on loppukäyttäjän vastuulla. Kaikki ulkopuolelta tuleva posti tarkistetaan virusten varalta.

Tietoisuus

Kaikki arkaluontoista materiaalia työssään käyttävät ovat allekirjoittaneet salassapitosopimuksen. Se voi olla työsopimuksen yhteydessä tai erillinen sopimus. Tietoturvallisuus pitää ohjeistaa kaikille työnsä aloittaville työntekijöille.

Jatkuvuussuunnitelma

Suunnitelmasta pitää olla omat versiot pääkonttorilla ja jokaisella tavaratalolla ja ne sisältävät mm. seuraavaa:

* lista ihmisistä, joille tehdään ilmoitus vahingon sattuessa. * tiedot käytettävistä tietoliikennelaitteistoista ja muista tietotekniikkalaitteista. * tiedot käytettävistä ohjelmistoista. * ohjeet tietojen palauttamisesta ja siihen liittyvistä rutiineista. * tiedot toimittajista mikäli ohjelmistot ja laitteet on uusittava. * tiedot henkilöistä (työntekijät + ulkopuoliset), joiden vastuulla on tietojen palauttaminen. * ohjeet normaaleihin rutiineihin palaamisesta ongelmien ratkaisemisten jälkeen.

Jatkuvuussuunnitelma on oltava hyvin dokumentoitu ja jaettu tarpeellisille osapuolille. Se on oltava varmuuskopioituna myös tavaratalojen tilojen ulkopuolella. Suunnitelmassa on otettava huomioon myös eri liiketoimintafunktioiden tarpeet ja sen päivitys on suunniteltua sekä jatkuvaa.

Haasteet

Nykyisen dokumentin puutteet

Nykyisellään politiikka määrittelee paljon yleisohjeita, jotka pääsääntöisesti sopivat hyvin kyseessä olevan yrityksen toimintakenttään. Dokumentin puutteet riippuvat hieman tarkastelijasta, koska tietoturvapolitiikka voidaan määritellä monella eri tavalla ja laajuudesta voidaan kiistellä.

Puutekohdiksi voidaan nähdä esimerkiksi:

* Työntekijöiden perehdyttämisen ohjeet (Personnel Security). Mitä myyjän tai toimihenkilön pitää ottaa huomioon työssään? Kyseiset asiat saattavat olla yksinkertaisia ja monille itsestäänselviä, mutta ovat kuitenkin tärkeitä asioita. Pohjana on luonnollisesti politiikan tiedottaminen ja kouluttaminen henkilöstölle. * Fyysisen turvallisuuden määrittelyssä vierailijoiden tai esimerkiksi huoltomiesten käytännöt. Dokumentti ei anna selvää kuvaa minkälaisia käytäntöjä on olemassa saapuvien henkilöiden autentikoinniksi.

Potentiaalisia uhkia

Yrityksen tietoja uhkaavia tahoja mietittäessä usein puhutaan ulkopuolisista hyökkäyksistä. Organisaation tietojen potentiaalisimmat uhat ovat useimmiten kuitenkin aivan muut kuin ulkopuoliset tahot. Paljon useammin tiedon eheyttä, saatavuutta ja luottamuksellisuutta uhkaavat työntekijät itse. Tämä onkin edelleen yritysten tietoja eniten uhkaava ryhmä ja usein tiedon vaarantumiset johtuvat erheistä tai laiminlyönneistä (Errors and Omissions). [3]

Samoin kohdeyrityksen tapauksessa potentiaaliset uhat lienevät enemmänkin huolimattomuudesta, laitevioista tai muista vahingoista johtuvia:

* Laitevian aiheuttama tiedon korruptointi * Hukkunut media (levyke, cd, muistitikku, dokumentti tms.) * Uuden mainoksen tai muun tiedotteen vuoto julkisuuteen (esim. työntekijä unohtaa mainosvedoksen näkyville)

Parannusehdotuksia

Tietoturvapolitiikkaa pitäisi tarkastella, testata ja päivittää tasaisin väliajoin.[3] Näin pystytään osaltaan varautumaan erilaisiin muutoksiin liiketoiminnassa. Parannuksia ja varsinkin laajennoksia politiikkaan voisi tehdä useita, mutta toisaalta täytyy pitää dokumentti luettavana. Muutamia yksittäisiä parannuksia tulee mieleen:

* Tietoturvapolitiikassa määritellään käytettävien salasanojen minimipituudeksi vain kuusi (6) merkkiä. Pituutta pitäisi kasvattaa ja toisaalta olisi hyvä varmistaa erityisesti salaista tietoa käsittelevien henkilöiden salasanakäytännöt.

* Työntekijöiden koulutuksessa tietoturvan osalta käsiteltävät asiat olisi hyvä kirjata politiikkaan. Uusia työntekijöitä koulutettaessa tulisi tietoturva-asiat tuoda aina esille tarvittavalla tavalla.

Lähteet

-- TomiSalmi? - 18 Sep 2009
Topic attachments
I Attachment Action Size Date Who Comment
cia-triangle.jpgjpg cia-triangle.jpg manage 19.6 K 05 Oct 2009 - 22:44 UnknownUser Tietoturvakolmio, ns. CIA-kolmio
securitywheel.jpgjpg securitywheel.jpg manage 16.4 K 18 Sep 2009 - 16:19 UnknownUser Security Wheel (Peltier, T., Peltier, J., Blackley, J.: Information Security Fundamentals. CRC Press 2005)
Print version |  PDF  | History: r6 < r5 < r4 < r3 | 
Topic revision: r6 - 16 Nov 2009 - 21:29:54 - TomiSalmi?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback