Tietoturvasuunnittelu

Hyvän tietoturvasuunnittelun pohjana on näkemys yrityksen kokonaisturvallisuudesta. Siinä huomioidaan fyysinen turvallisuus, jossa suojataan yrityksen henkilöstöä ja omaisuutta erilaisilta riskeiltä, sekä
tietoturvallisuus, jossa suojataan yrityksen tietopääoma sekä estetään tietojenkäsittelylaitteiden ja tietoverkkojen luvaton käyttö. Jotta tietoturvasuunnittelu pystytään tekemään, tulee kartoittaa yrityksen
kaikki tietojärjestelmät ja toiminnot. Tietoturvasuunnittelussa voidaan käyttää perinteistä systeemityön vaihejakomallia: esitutkimus, määrittely, suunnittelu, toteutus, testaus, käyttöönotto ja ylläpito. Myös
miellekarttatekniikkaa voidaan hyödyntää tietoturvallisuuden suunnittelussa.

Tietoturvasuunnittelun organisoimista, jäsentämistä ja kehittämistä ohjataan standardeilla, joita kutsutaan tietoturvastandardeiksi. Ne asettavat vaatimuksia tietoturvasuunnittelun menettelytavoille – ei tietoturvan tasoille tai sisällölle. Standardit määrittelevät mitä tietoturvallisuuden suunnittelutyöhön sisältyy sekä sen tulosten esitysmuodon. Niissä määritetään myös tietoturvallisuuden vastuukysymyksiä. Suomessa käytetään tällä hetkellä kansainvälisiä tietoturvastandardeja, koska kansallisia ei ole vielä olemassa.

Tietoturvan suunnittelussa tulee varautua omien työntekijöiden väärinkäytöksiin. Tietoturvariskejä pystytään
vähentämään koulutuksella, huolellisella rekrytoinnilla, salassapitositoumuksilla ja sopivilla tietojen käyttöoikeuksilla sekä puuttumalla havaittuun turvallisuusriskejä aiheuttavaan toimintaan nopeasti. Myös asianmukaisesti hoidetuilla irtisanomisilla pystytään vähentämään tietoturvariskejä. Kehittämisellä työntekijöiden perusrutiineja luodaan suurin osa yrityksen liiketoiminnan tietojen turvallisuudesta. Vain viidesosa liiketoiminnan tietojen turvallisuudesta luodaan teknisillä suojaamiskeinoilla.

Tietoturvasuunnittelun määrittely-vaihe voidaan jakaa esitutkimukseen ja yleismäärittelyyn. Määrittelyvaiheen pohjana käytetään yrityksen ICT-politiikkaa sekä kokonaisturvallisuus- tai tietoturvapolitiikkaa. Määrittelyn taustatyönä tehdään esitutkimus, jossa kerätään yrityksen aikaisemmissa tietojärjestelmähankkeissa tuotetut dokumentit sekä noudatettaviksi aiotut standardit ja muut tietolähteet. Määrittely on vaativaa ja pitkäkestoista. Sen tavoitteena on selvittää yrityksen kaikki toimintaprosessit sekä niissä käytettävät tieto- ja tietoliikennejärjestelmät. Myös toimintojen vastuuhenkilöt on hyvä selvittää. Määrittelyssä asetetaan myös tavoitteet toimintaprosessien sekä tieto- ja tietoliikennejärjestelmien turvallisuudelle.

HTML Comment Box is loading comments...