Petteri Nyrhilä

Tietoturvapolitiikka ohjelmistoturvallisuudessa

Johdanto

Tehokkaan tietoturvallisuusarkkitehtuurin kulmakivi organisaatioissa on hyvin suunniteltu ja dokumentoitu sekä johdon hyväksymä tietoturvapolitiikka [1]. Se muodostuu useista alapolitiikoista, kuten ohjelmistoturvallisuus, laitteistoturvallisuus, fyysinen turvallisuus, henkilöstöturvallisuus, hallinnollinen turvallisuus ym. Ne tarkastelevat tietoturvakäytäntöjä tarkemmin eri osa-aluilla.

Nykypäivänä erilaiset ohjelmistot, kuten tietojärjestelmät, ovat organisaatioille elinehto, sillä niitä käytetään päivittäin tietojen siirtämiseen ja hallinnointiin. Niiden turvaaminen on siis erittäin tärkeää koko organisaation kannalta. Sen vuoksi ohjelmistoturvallisuutta koskeva politiikka tulisi suunnitella erityisen huolellisesti. Tässä työssä käsitellään ensin ohjelmistoihin liittyviä uhkia, minkä jälkeen tarkastellaan tarkemmin ohjelmistojen tietoturvapolitiikan sisältöä.

Ohjelmistoturvallisuus ja sen uhat

Ohjelmistoturvallisuus on tietoturvallisuuden osa-alue, joka käsittelee muun muassa käyttöjärjestelmiä ja muita ohjelmistoja. Se kattaa muun muassa ohjelmistojen tunnistamis-, eristämis-, pääsynvalvonta- ja varmistusmenettelyihin, tarkkailu- ja paljastustoimiin, lokimenettelyihin sekä laadunvarmistukseen, ylläpitoon ja päivitykseen liittyviä asioita. [2] Lisäksi ohjelmistoturvallisuuden piiriin kuuluu tietojärjestelmät ja niiden lisenssien hallinta [3]. Kokonaisuus on laaja ja monimutkainen, mikä tekee sen turvatoimien selkeyttämisestä ja dokumentoinnista erityisen tärkeää. Ohjelmistoturvallisuuden tavoitteena on etenkin taata, että organisaation käytössä olevat ohjelmistot ovat luvallisia ja lisensoituja sekä varmistaa, että ohjelmistot tarjoavat organisaation käyttöön riittävät ohjelmalliset suojausominaisuudet [4].

Ohjelmistoissa ja niiden käytössä on yleensä useita tietoturva-aukkoja, joita ei huomata ilman tarkempaa tutkimista. Ikäväksi asian tekee se, että hyökkääjä ei tarvitse kuin yhden tietoturva-aukon tehdäkseen haittaa ohjelmiston käyttäjälle. Sen vuoksi ohjelmistoja vastaan kohdistuvat uhat täytyy selvittää huolellisesti, jotta niitä vastaan voitaisiin varautua. Yleisiä ohjelmistoihin liittyviä uhkia ovat tekniset viat, kuten levyrikko tai verkon komponentin vika, tahalliset teot, kuten ilkivalta, varkaus, luvaton käyttö tai virukset tai tahattomat teot, kuten inhimilliset vahingot. Lisäksi puutteelliset toimintatavat, käyttöoikeusmenettelyjen puuttuminen tai ohjeistusten, sääntöjen sekä koulutuksen riittämättömyys ovat uhkia ohjelmistoille. [5]

Ohjelmistoturvallisuuden politiikka

Tietoturvapolitiikkaa määriteltäessä ensin on tärkeintä tunnistaa, mitkä tiedot tarvitsevat turvatoimenpiteitä. Sen jälkeen täytyy määritellä miten tärkeät tiedot tulisi turvata eli millä keinoin pystytään takaamaan ohjelmistojen turvallisuus. Turvapolitiikkaan täytyy myös aina määritellä vastuuhenkilöt, jotta kaikki turvatoimet onnistuisivat. [6]

Ohjelmistoissa turvattavat tiedot

Ohjelmistoissa liikkuu todella paljon organisaatioiden tärkeitä tietoja. Liikuttamisen lisäksi niitä myös säilötään ohjelmistoissa. Tiedot voivat koskea esimerkiksi tuotekehitystä, organisaation strategiaa tai talousasioita, joiden joutuminen vääriin käsiin voi vahingoittaa organisaation liiketoimintaa ja sitä myöden kilpailukykyä. Niihin liittyy lisäksi myös käyttäjätietoja sekä niitä koskevia käyttöoikeustietoja. Käyttäjätietoihin liittyy sekä kirjautumistunnuksia, että henkilöiden nimi- ja yhteistietoja.

Tietojen turvaamiskeinoja

Ohjelmistoturvallisuuden turvaamiskeinoja ovat muun muassa ohjelmistojen pääsynvalvonta, tapahtumatietojen seuranta, varmuuskopiointi, asianmukainen ohjelmistodokumentaatio, asianmukaiset ylläpito- ja huoltosopimukset sekä rekisteröityjen ohjelmistojen käyttö [4]. Pääsynvalvonnalla voidaan estää ulkopuolisten henkilöiden pääsy ohjelmistoihin. Lisäksi siihen liittyy käyttöoikeuksien hallinta. Eri käyttäjille tulee olla eritasoisia käyttäjätunnuksia ensinnäkin sen takia, että he eivät tarvitse niitä ja toisaalta siksi, ettei niiden tietojen luottamuksellisuus vaarannu. Tapahtumatiedoilla eli lokitiedoilla pystytään usein määrittämään ongelman ydin tai henkilö, joka aiheutti tietoturva-aukon, joko tahallisesti tai tahattomasti. Varmuuskopioinnilla pyritään varmistamaan tietojen saatavuus myös ongelmatilanteissa. Asianmukaiset ohjelmistodokumentit antavat lisätietoa ja tukea ongelmatilanteissa. Ylläpito- ja huoltotoimet pitäisi olla nykypäivänä jo itsestäänselvyys. Niiden varmistaminen hätätilanteiden varalta voi kuitenkin jäädä vajaaksi, mikä saattaa aiheuttaa suuria ongelmia. Rekisteröityjen ohjelmistojen käyttö yleensä takaa luotettavan ohjelman ja hyvät päivitysmahdollisuudet, mikä on tietoturvan kannalta hyvin olennaista.

Vastuunjako

Vastuunjako tietoturvapolitiikassa on erittäin tärkeää. Ilman minkäänlaisia määräyksiä ja velvoitteita jotkut toimenpiteet voivat helposti jäädä tekemättä, mikä lisää tietoturvauhkaa huomattavasti. Vastuunjako tulee tehdä selkeästi ja varmistaa, että myös vastuuhenkilö tietää, mitä hänen tulee tehdä ja missä tilanteessa. Vastuuta ei saisi kasata liikaa yhden henkilön harteille, koska hänen ollessa poissa toimenpiteet jäävät tekemättä. Tämän vuoksi myös varamieskäytännöt olisi hyvä tuoda esille.

Yhteenveto

Lähteet

SivuTiedotLaajennettu edit

Vaativuus Jatko
Valmius Valmisteilla
Tyyppi Ydin
Luokitus Hallinto
Mitä Useita
Miltä Useita
Missä Organisaatio
Kuka Tite-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa
Print version |  PDF  | History: r2 < r1 | 
Topic revision: r1 - 04 Nov 2011 - 00:16:14 - PetteriNyrhila?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback