Tietoturvasuunnittelu
Hyvän tietoturvasuunnittelun pohjana on näkemys yrityksen
kokonaisturvallisuudesta. Siinä huomioidaan fyysinen
turvallisuus, jossa suojataan yrityksen henkilöstöä ja
omaisuutta erilaisilta riskeiltä, sekä
tietoturvallisuus, jossa suojataan yrityksen tietopääoma sekä
estetään tietojenkäsittelylaitteiden ja tietoverkkojen luvaton
käyttö. Jotta tietoturvasuunnittelu pystytään tekemään,
tulee kartoittaa yrityksen
kaikki tietojärjestelmät ja toiminnot. Tietoturvasuunnittelussa
voidaan käyttää perinteistä systeemityön vaihejakomallia:
esitutkimus, määrittely, suunnittelu, toteutus, testaus, käyttöönotto
ja ylläpito. Myös
miellekarttatekniikkaa voidaan hyödyntää tietoturvallisuuden
suunnittelussa.
Tietoturvasuunnittelun organisoimista, jäsentämistä ja kehittämistä
ohjataan standardeilla, joita kutsutaan tietoturvastandardeiksi.
Ne asettavat vaatimuksia tietoturvasuunnittelun menettelytavoille
– ei tietoturvan tasoille tai sisällölle. Standardit määrittelevät
mitä tietoturvallisuuden suunnittelutyöhön sisältyy sekä sen
tulosten esitysmuodon. Niissä määritetään myös
tietoturvallisuuden vastuukysymyksiä. Suomessa käytetään tällä
hetkellä kansainvälisiä tietoturvastandardeja, koska
kansallisia ei ole vielä olemassa.
Tietoturvan suunnittelussa tulee varautua omien työntekijöiden väärinkäytöksiin.
Tietoturvariskejä pystytään
vähentämään koulutuksella, huolellisella rekrytoinnilla,
salassapitositoumuksilla ja sopivilla tietojen käyttöoikeuksilla
sekä puuttumalla havaittuun turvallisuusriskejä aiheuttavaan
toimintaan nopeasti. Myös asianmukaisesti hoidetuilla
irtisanomisilla pystytään vähentämään tietoturvariskejä.
Kehittämisellä työntekijöiden perusrutiineja luodaan suurin
osa yrityksen liiketoiminnan tietojen turvallisuudesta. Vain
viidesosa liiketoiminnan tietojen turvallisuudesta luodaan
teknisillä suojaamiskeinoilla.
Tietoturvasuunnittelun määrittely-vaihe voidaan jakaa
esitutkimukseen ja yleismäärittelyyn. Määrittelyvaiheen
pohjana käytetään yrityksen ICT-politiikkaa sekä
kokonaisturvallisuus- tai tietoturvapolitiikkaa. Määrittelyn
taustatyönä tehdään esitutkimus, jossa kerätään yrityksen
aikaisemmissa tietojärjestelmähankkeissa tuotetut dokumentit sekä
noudatettaviksi aiotut standardit ja muut tietolähteet. Määrittely
on vaativaa ja pitkäkestoista. Sen tavoitteena on selvittää
yrityksen kaikki toimintaprosessit sekä niissä käytettävät
tieto- ja tietoliikennejärjestelmät. Myös toimintojen
vastuuhenkilöt on hyvä selvittää. Määrittelyssä asetetaan
myös tavoitteet toimintaprosessien sekä tieto- ja tietoliikennejärjestelmien
turvallisuudelle.