230 likes | 476 Vues
Tietoturva osa 2. Hallinnollinen tietoturva Tietoaineistoturvallisuus. Hallinnollinen tietoturvallisuus. Tiedonkeruu ongelmista. Riskianalyysi. Toimintaohjeet ja toipumissuunnitelmat katastrofitilanteissa. Tietoturvapolitiikka. Hallinn. turvallisuus. Vastuuhenkilöiden nimeäminen.
E N D
Tietoturva osa 2 Hallinnollinen tietoturva Tietoaineistoturvallisuus
Hallinnollinen tietoturvallisuus Tiedonkeruu ongelmista Riskianalyysi Toimintaohjeet ja toipumissuunnitelmat katastrofitilanteissa Tietoturvapolitiikka Hallinn. turvallisuus Vastuuhenkilöiden nimeäminen Salassa pidettävistä tiedoista tiedottaminen Kehittämissuunnitelma Tiedotus henkilöstölle Tietoturvaohjeistus Säänn. turvallisuustarkastukset
Riskianalyysi • Kirjataan yrityksen mahdolliset tietoturvariskit • Arvioidaan mahdollisten tietoturvavahinkojen rahallinen arvo • Edellisen perusteella arvioidaan, kuinka paljon ollaan valmiita panostamaan tietoturvallisuuteen • Tietotekniikkarikokset ja -rikkomukset • Tyypillisimpiä vahinkoja tai väärinkäytöksiä • Onnettomuus • Laitteisto- ja ohjelmistovirheet • Inhimilliset erehdykset • Tahallinen tuhoaminen • Muut väärinkäytökset ja rikollisuus • Rikollisuus 10% erehdykset 90%
Tietoturvapolitiikka Laaditaan asiakirja, jossa todetaan yrityksen tavoitteet (tavoitetila) tietoturvan suhteen ja politiikka näiden tavoitteiden saavuttamiseksi. Selvitetään, onko tarkoituksenmukaista noudattaa jotain tietoturva- standardia. (PK- yritykselle olemassa olevat standardit ovat usein turhan raskaita)
PK Oy:n tietoturvapolitiikka: (esimerkki) • ”Yrityksen liiketoiminnan ja taloudellisten etujen turvaamiseksi, sekä oikean ja luotettavan tiedon saamiseksi ja tietojenkäsittelyssä mahdollisesti aiheutuvien vahinkojen ennaltaehkäisemiseksi toteutetaan PKT OY:ssä tietoturvallisuusmenettelyä, joka korostaa sitä, että • Yrityksen asiakirjat, tallenteet, tietovälineen ja suullinen tieto ovat yrityksen omaisuutta • Niiden antaminen yrityksen ulkopuolelle voi tapahtua vain yrityksen eduksi • Yrityksellä on erilliset , kirjalliset ohjeet yrityssalaisuuksia sisältävien dokumenttien merkitsemistä, käsittelyä, säilyttämistä ja hävittämistä varten. • Esimies antaa ohjeet tiedoksi jokaiselle työntekijälle työsopimuksen solmimisen yhteydessä • Jokainen työntekijä noudattaa ohjeita ja vastaa omalta osaltaan tietoturvallisuuden toteutumisesta yrityksessä.”
PK –OY:n tietoturvamenettelyn perusteet: (esimerkki jatkuu) • ”Tietoturvallisuudella tarkoitetaan yhtiön tietojen, järjestelmien ja palvelujen suojaamista lainsäädännön ja yhtiön tietoriskien hallintaan perustuvien omien erityistoimenpiteiden avulla. • Tietojen luottamuksellisuutta, eheyttä ja käytettävyyttä suojataan laitteisto- ja ohjelmistovikojen, luonnontapahtumien tai tahallisten, tuottamuksellisten ja tapaturmaisten inhimillisten tekojen aiheuttamilta uhilta ja vahingoilta. Tällaisia voivat olla esim. vakoilu, yritysvakoilu tai muu rikollinen toiminta, hallitsematon julkisuus ja tiedottaminen, tietosuoja, tahattomat tietovuodot ja välinpitämättömyys, huolimattomuus ja osaamattomuus tietojen käsittelyssä. Kaikki nämä asiat voivat aiheuttaa yritykselle merkittäviä taloudellisia menetyksiä, tuotannollisia tai toiminnallisia vahinkoja kuten kilpailuaseman menetyksiä, tappioita tarjouskilpailuissa ja yksityisyydensuojan loukkauksia. • Menettely on tallennettu tietosuojaohjeistoon, joka on käytössä yhtiön kaikilla toimipaikoilla. Yrityssalaisuudet on jaettu kahteen luokkaan: • erittäin luottamukselliset (strictly confidential) • luottamukselliset (confidential) • Luokitus määrää toimet tiedon käsittelyssä, jakelussa, säilytyksessä ja hävittämisessä.
Turvallisuusohjeisto antaa yhteisen pohjan yhtiön eri toimintayksiköiden tietoturvallisuusmenettelylle. Ohjeisiin ja menettelyihin perehdyttävät esimiehet ja yhdyshenkilöt, jotka on nimetty toimipisteisiin linjavastuun mukaisesti. Lisäksi kaikissa tietoturva-asioissa voidaan kääntyä PKT Oy:n tietojärjestelmävastuuhenkilöiden puoleen. Tiedon luokitukseen ja tietoturvallisuusmenettelyyn tarvittavia hankintoja kuten leimasimia, paperisilppureita , diskettien tuhoajia, turva- tai kassakaappeja hankitaan normaalin budjettimenettelyn mukaisesti ”
Vastuuhenkilöt Yritykseen on nimettävä, ketkä vastaavat tietoturvallisuudesta yrityksessä. ATK- päällikkö tai jos tällaista ei ole, yrityksen tietojärjestelmän vastuuhenkilöt ovat keskeisesti mukana. Muutoin voidaan menetellä linjavastuun mukaan: Jokaisen toimipaikan / osaston johtaja vastaa oman osastonsa tietoturvasta ja jokainen työntekijä vastaa, että noudattaa määräyksiä omalta osaltaan. Toimipaikkoihin voidaan nimetä tietoturvayhdyshenkilöt, joiden tehtävänä on henkilöstön perehdyttäminen ja myös tiedon välitys havaituista ongelmista.
Tietoturvasuunnitelma Laaditaan tietoturvasuunnitelma, johon kirjataan menettelytavat, joilla tietoturvaa käytännössä toteutetaan yrityksessä. Lisäksi voidaan laatia tietoturvan kehittämissuunnitelmia esim. vuoden tai useamman vuoden ajanjaksolle.
Tietoturvallisuusohjelman avainkohdat: • Sisällytä toiminnanjohtajan tai hallituksen puheenjohtajan kannanotto suunnitelman johdanto-osaan (tietoturvan arvostuksen on lähdettävä yrityksen johdosta) • Kuvaa ohjelman tarkoitus ja tärkeys. Henkilöstön on miellettävä roolinsa ja vastuunsa. • Erittele tarkoin, ketä ohjelma koskee ( henkilöstö, eroavat, erotetut, alihankkijat, ulkopuoliset palvelut) • Tee salassapitosopimukset avainhenkilöiden ja ulkopuolisten palveluyritysten kanssa • Määrittele, mikä tietoaineisto on suojattava • Määrittele tiedon luokitteluperiaatteet ja niistä tiedotus • Nimeä yhdyshenkilöt toimintayksiköihin ja tiedota ne henkilöstölle. • Määrittele toimenpiteet rikollisen toiminnan varalta • Järjestä tietoturvallisuuskoulutusta henkilökunnalle • Määrittele, kuka vastaa ohjelman toteutumisesta
Turvatarkastukset Haluttaessa voidaan sopia esim. vuosittaisista turvatarkastuksista, joissa tietoturvasta vastuulliset tai jopa ulkopuolinen asiantuntija katsastaa yrityksen tietoturvan tilan esim. tiettyjen tarkistuslistojen mukaan. Tarkistuslistoja on saatavissa tietoturvaorganisaatioista (m. Webistä)
Tietoturvaohjeistus Henkilöstöä varten voidaan laatia erityiset kirjalliset ohjeet siitä, miten tietoturva-asioita otetaan huomioon käytännön työssä. Ohjeistukseen liittyy luonnollisesti koulutus. Työsopimuksen solmimistilanteessa on esimiehen velvollisuus selostaa tietoturvaohjeet työntekijälle. Lisäksi tietoturvayhdyshenkilöt voivat jatkaa työntekijän perehdyttämistä asiassa.
Tiedotus henkilöstölle Yrityksen tietoturvapolitiikka, kehittämissuunnitelmat ja ohjeistus on tiedotettava koko henkilöstölle. Yritysjohdon tuki tietoturvallisuuspolitiikalle on ilmaistava selkeästi. SALASSAPIDETTÄVISTÄ tiedoista tiedottaminen kuuluu myös tähän kohtaan.
Toimintaohjeet ja toipuminen katastrofitilanteissa Katastrofitilanteita ovat esim. tulipalo, vesivahinko, maanjäristys,… On oltava ohjeet mm. siitä, mitä tietoja tulee pelastaa ja suojata ja missä järjestyksessä. Katastrofi voi olla myös tietojärjestelmän kaatuminen. Tästä toipuminen tulee olla myös suunniteltua. (Miten järjestelmä palautetaan toimintaan varmuuskopioiden avulla) Ongelmien kirjaus Havaitut tietoturvaongelmat tulee kirjata ylös ja pyrkiä korjaamaan ja käsittelemään tietoturvasta vastaavien henkilöiden palavereissa.
Esimerkki ohjeistuksesta, miten menetellään, kun on aihetta epäillä rikollista toimintaa tai yritysvakoilua. • Tietotekniikkarikokset ja -rikkomukset • Tyypilliset rikokset ja väärinkäytökset • Petos • Luvaton käyttö • Talousrikokset ja yritysvakoilu • Toimet tietorikoksen sattuessa: • Toimi suunnitelmallisesti ja viipymättä • Pidä tieto epäilystä pienessä piirissä • Aloita tapahtumien jäljittäminen • Lue ja Aktivoi lokit • Dokumentoi omat toimenpiteet • Seuraa jatkuuko toiminta • Tee riskianalyysi - arvioi mahdolliset vahingot
Toimet tietorikoksen sattuessa (jatkoa): • Kerää kaikki tapahtumaan liittyvä tieto ja pidä se salassa • Älä muuta keräämääsi elektronista aineistoa • Pyri yhdistämään aineiston perusteella saadut tiedot epäiltyyn • Ota yhteys keskusrikospoliisiin -> asiantuntija apua -> jatkotoimia • selvitä onko kyseessä rikos vai rikkomus • Tietotekniikkarikoksen sattuessa tulee aina varmistaa rikoksen todistamiseen tarvittavien riittävien tietojen saanti • Syyte voidaan nostaa jos • tarpeelliset tiedot ovat olemassa • tiedot ovat todistuskelpoiset • Usein tarvittavat tiedot tuhoutuvat rikoksen yhteydessä.
Tietoaineistoturvallisuus Säännöt tietojen käytöstä normaali- ja katastrofitilanteessa Käsittelysäännöt tiedon säilytyksestä Tietojen käyttöön liittyvät vastuut ja velvollisuudet tietoai- neistotur- vallisuus Käsittelysäännöt tietojen kuljetuksesta Tietojen luokittelujärjestelmä Säännöt tietojen kopioinnista ja varmuuskopioinnista Käsittelysäännöt tiedon jakelusta Käsittelysäännöt tiedon hävittämisestä
Tietojen luokittelusta • Esimerkiksi seuraavasti PKT Oy:ssä: • Erittäin luottamukselliset • = tiedot, joiden tuhoutuminen tai joutuminen ulkopuolisille voisi maksaa yritykselle miljoonia, satojatuhansia tai muutamia tuhansia euroja tai ovat muusta syystä arkaluonteisia. • B) Luottamukselliset • = tiedot, joiden tuhoutuminen tai joutuminen ulkopuolisille voi aiheuttaa yritykselle taloudellista vahinkoa tai haittaa (goodwill, yrityskuva, julkisuus) C) Luokittelemattomat tiedot Niidenkin paljastaminen ulkopuolisille tulee tapahtua vain yrityksen hyväksi.
Miten luokittelu voitaisiin suorittaa? Suositus: Avainhenkilöt päättävät tietojen luokittelusta tietoryhmittäin. Tietoryhmät ovat: • Strategiset tiedot • PTS –suunnitelmat, tietyt kokouspöytäkirjat, markkinatutkimukset, investointilaskelmat, sisäisen tarkastuksen raportit • 2) Taloudelliset ja kaupalliset tiedot • osto- ja myyntisopimukset, tarjousstrategia, kustannuslaskelmat, kate- ja tilinpäätöslaskelmat,… • 3) Tutkimus-, kehitys- ja tuotetiedot • oma tietotaito, laitteet, menetelmät, piirustukset, kilpailija-analyysit ,… • 4) Tuotantokoneita koskevat tiedot • piirustukset, hintavertailut, materiaalien koostumus, prosessinohjaustiedot
5) Taloushallinnon tiedot sosiaali-, terveys- ja palkkatiedot, avainhenkilöiden työ- ja salassapitosopimukset, koulutus- , resurssi- ja urakehitysohjeet turvallisuusohjeet
Tietojen säilytys, käsittely ja tuhoaminen * Luokiteltua tietoa ja niiden varmuuskopioita säilytetään paperimuodossa (ei siis tallenteina) muusta aineistosta erillään palo- ja murtosuojatuissa tiloissa (holvissa, kassakaapissa) * Lisäkopioita otetaan vain laatijan luvalla * Lähettämien yrityksen ulkopuolelle esim. kuriiria ja sinetöintiä käyttäen * Asiakirjat tuhotaan silppuria käyttäen * Levykkeet tuhotaan esim. levyketuhoajalla * Huom! Kun poistetaan vanhoja tietokoneita, ei kiintolevyjen formatointi riitä, koska tiedot eivät formatoidessa häviä.