header ajankohtaista
A- A+

Tietoturvallisuus on luottamusta, eheyttä ja saatavuutta

Tietoturvallisuuteen vaikuttavia tekijöitä ovat käytetyt tekniikat, annetut ohjeistukset ja johtaminen. Näitä kaikkia osa-alueita käsitellään tietoturvallisuuden standardeissa. Osa standardeista on koottu tietoturvallisuuden hallintajärjestelmäksi, joka auttaa tietoturvallisuuden johtamisessa ja organisoinnissa.

Tietoturvallisuus on muutakin kuin tekniikkaa


Standardin Tietoturvallisuuden hallintajärjestelmät. Vaatimukset (ISO/IEC 27001) mukaan tietoturvallisuus tarkoittaa luottamuksellisuutta, eheyttä ja saatavuutta. Luottamuksellisuus takaa, että tieto on suojattu asiattomalta lukemiselta, kuuntelulta ja käsittelyltä. Eheydellä tarkoitetaan tietojen säilymistä sellaisina kuin ne on alun perin tarkoitettu, ja saatavuus takaa sen, että tietoon pääsevät käsiksi ne henkilöt ja tahot, joilla siihen on oikeus.

Tietoturvastandardeissa esille nostetaan myös muihin turvallisuuden osa-alueisiin liittyviä tekijöitä, esimerkiksi tiedon johtaminen, toimitilaturvallisuus ja rikoksen torjunta.  Tietoturvallisuus ei siis ole vain tekniikkaa eikä tietoturvan ja muun turvallisuuden välillä ole tiukkoja rajoja.

Tietoturvallisuuden hallintajärjestelmä johtamisen avuksi


Tietoturvallisuuden hallintajärjestelmän käyttö auttaa yritysjohtoa organisoimaan tietoturvatyötä. Hallintajärjestelmä ei ole yksittäinen dokumentti, vaan se on prosessi, jota on kehitettävä jatkuvasti. Hallintajärjestelmään kuuluu useita standardeja, ja niistä voi valita omaan tarkoitukseen sopivimmat.

Hallintajärjestelmän perusstandardi, ja samalla ehkä tunnetuin tietoturvastandardi, on Tietoturvallisuuden hallintajärjestelmät. Vaatimukset  (SFS-ISO/IEC 27001). Siinä kerrotaan, millaiset vaatimukset organisaation on täytettävä, jotta tietoturvallisuuden hallintajärjestelmä on toimiva ja kattava.

Toinen hallintajärjestelmän perusstandardi on Tietoturvallisuuden hallintakeinojen menettelyohjeet (SFS-ISO/IEC 27002). Siinä tarkennetaan standardin SFS-ISO/IEC 27001  vaatimuksia ja annetaan ohjeita niiden toteuttamiseksi. Monet muut tietoturvallisuuden hallintajärjestelmä -sarjan standardit vaativat nämä kaksi standardia järjestelmän toteuttamisen pohjaksi.

Yleisiä vaatimuksia kuvaavien standardien lisäksi on olemassa ohjeita. Yleisiä ohjeita ovat esimerkiksi menettely-, riskienhallinta, toteuttamis- ja mittausohjeet. Erikseen on laadittu sektorikohtaisia ohjeita, joissa nostetaan esille kunkin alan tietoturvaa koskevia erityispiirteitä. Tällä hetkellä on olemassa ohjeita mm. pilvipalveluille, tietoliikenteelle, rahoitusalalle ja terveydenhuollolle.

Tietoturvastandardeja on laadittu kansainvälisessä standardisoimisijärjestössä ISOssa jo useita kymmeniä. Tietoturvallisuusstandardit, kuten kaikki muutkin standardit, ovat syntyneet kansainvälisten asiantuntijoiden yhteistyönä. Standardeihin on kiteytynyt kokemusperäistä tietoa, joka auttaa huomioimaan tiedon turvaamisen kannalta oleelliset toimenpiteet.

Lisätietoja


Tietoturvallisuuden hallintajärjestelmän standardeihin voi tutustua paremmin opetus- ja itseopiskelukäyttöön laaditun diasarjan avulla. Diasarja on julkaistu SlideSharessa: http://www.slideshare.net/SFSedu/iso-27000-standardiperhe.

Katso myös suomeksi julkaistun Tietoturvallisuuden hallintajärjestelmien yleiskuvaus ja sanasto -standardin (SFS-ISO/IEC 27000) julkaisutilaisuuden videotallenne osoitteessa http://livestream.com/ITstriimIT/SFS-ISO-IEC-27000.