View page as slide show

Tietoturvan perusteet

Politiikka

  • Ohjeistus/säännöt henkilöstölle kuinka toimia
  • Kertoo mitä suojataan ja miksi
  • Määrittää prioriteetit eli mikä on toiminnan kannalta tärkeää ja mikä toissijaista
  • Antaa turvallisuusosastolle /ylläpidolle pohjaa kieltämiselle.
  • Estää turvallisuusosaston toimimisen perusteettomasti.
    • Antaa loppukäyttäjille mahdollisuuden valvoa valvojaa

Ongelmia politiikan luonnissa

  • Prioriteetti
    • Aina ei ole aikaa selvittää sopiiko politiikan tiukennus bisneksen teolle.
    • Liian löysän politiikan johdosta tietoturvariskit kasvavat
  • Sisäinenpolitiikka
    • Politiikan omistus ja määrittäminen eli miten hiekkalaatikolla leikitään.
  • Dokumentin kirjoittaminen vaikeaa
    • Pitää olla mahdollisimman täydellinen ja ehdottoman oikea
    • Pitää olla ymmärrettävä

Tietoturvapolitiikan asettaminen

  • Tee pohjatyö eli selvitä mitä tietoa yrityksellä on ja kuinka tiedon pitää liikkua
  • Kirjoita politiikka organisaatiolle
    • Yleiset säännöt ei detalji tietoa, älä yritä tehdä täydellistä
    • Ei yli 5 sivua ja tehty muutamassa päivässä rauhassa ja itse
  • Etsi kolme henkeä jotka muodostavat tietoturvapolitiikka komitean
    • Komitean jäsenet tekevät lisäys- ja muutosehdotuksia ja toimivat tuomareina
  • Luo organisaation sisäinen verkkosivu, joka pitää sisällään politiikan.
  • Käsittele politiikka kuin lakia
    • Noudattamaton politiikka on turha
    • Politiikan rikkomuksesta täytyy olla seuraamuksia
  • Anna kaikille madollisuus tehdä lisäys- ja muutosehdotuksia politiikkaan
  • Pidä tietoturvapolitiikka kokous kerran vuodessa
    • Kirjoitetaan politiikka uusiksi ja otetaan lisäykset osaksi kokonaisuutta
    • Päivitetään verkkosivut

Esityö

  • Selvitä mitä kaikkea tietoa yrityksellä on ja jaottele omiin ryhmiinsä niiden vaatiman turvallisuuden kannalta.
  • Käy läpi yrityksen laitteisto jossa tietoa säilytetään ja käsitellään
    • Tietokoneet, kirjoittimet, usb-kynät, cd-levyt, paperit
    • Luokittele laitteisto sen mukaan minkä tasoista tietoa niillä käsitellään.
  • Käy läpi tilat joissa tietoa säilytetään tai tuotetaan.
    • Työhuoneet, palvelin tilat, kytkinkaapit, kahvihuoneet, kopiohuone jne.
  • Selvitä kuinka tietoa siirretään paikasta toiseen
    • verkot, faksit puhelimet.
  • Selvitä kenellä on tarve päästä tietoon käsiksi
    • Johtaja, tutkija, sihteeri, talouspäällikkö, alihankkija
    • Luokittele ihmiset
  • Selvitä kenellä on tarve päästä eri tiloihin
    • Tutkija, ylläpitäjä, siivooja, vartija jne.
    • Täsmääkö tilan ja ihmisen luokittelu?
  • Käy läpi nykyiset turvamenetelmät ja selvitä mitä ne suojaavat
    • Palomuurit, IDS, kulun valvonta, pääsyn hallinta
  • Analysoi nykyinen tilanne
    • Onko selkeitä aukkoja (esim. siivoojalla pääsy erittäin salaisiin papereihin)

Tietoturvapolitiikan sisältö

1. Mitä suojataan?

  • Määrittele suojaustasot perustuen esityöhön
  • Esimerkiksi:
    • Punainen: pitää sisällään erittäin luottamuksellista tietoa tai tuottaa toiminnalle kriittisen palvelun
    • Keltainen: pitää sisällää arkaluontoista tietoa tai tuottaa tärkeän palvelun.
    • Vihreä: voi hakea tietoa punaisilta tai keltaisilta koneilta, mutta ei itsessään pidä sisällään arkaluontoista tietoa
    • Valkoinen: Ei pääse hakemaan tietoa punaisilta tai keltaisilta koneilta, ei voida käyttää kuitenkaan oman verkon ulkopuolelta
    • Musta: ulkopuolelta käytettävissä. Ei yhteyksiä.
KategoriaVerkkoAccessTarkistus
PunainenPunainenPunaisen turvallisuus luokituksen omistajatKuukausittain
KeltainenPunainen ja keltainenYrityksen työntekijät4 kertaa vuodessa
VihreäPunainen, keltainen ja vihreäTyöntekijät ja luotetut alihankkijatVuosittain
ValkoinenValkoinenTyöntekijät ja alihankkijatVuosittain
MustaMustaTyöntekijät, alihankkijat, yleisöKuukausittain
  • Määritä prioriteetit toiminnalle (esim.)

(a) Ihmisten turvallisuus

(b) Lain mukaisuus

© Yhtiön salaisuuksien säilyttäminen

(d) Yhteistyökumppanien salaisuuksien säilyttäminen

(e) Avoin ei salaisen tiedon levittäminen

2. Velvollisuudet / Oikeudet

  • Määrittelee mitä velvollisuuksia ja oikeuksia eri ihmisillä on tietoturva asioissa.
  • Yleiset
    • Politiikan tunteminen
    • Toiminnat perustuu politiikkaan
    • Politiikan rikkomuksien ilmoittaminen
    • Politiikassa olevien/aiheuttamien ongelmien ilmoittaminen.
  • Systeemin ylläpitäjä/operaattori
    • Käyttäjien tietojenkäsittely luottamuksellisesti
    • Ei autorisoimatonta luottamuksellisten tietojenkäsittelyä.
    • Korvaus toimista, jotka ovat ylläpitäjän turvallisuusmenettelyohjeissa.
  • Turvallisuusylläpitäjä
    • Korkein eettinen johto
    • Korvaus toimista, jotka ovat turvallisuusylläpitäjän menettelyohjeissa.
  • Alihankkija
    • Oikeis käyttää vain tiettyjä laitteita sovitulla tavalla
    • Kirjallinen anomus etukäteen tehtävistä, jotka koskevat turvallisuutta
  • Vierailija
    • Ei pääsyä koneille ilman ilmoitusta turvallisuusosastolle etukäteen kirjallisesti.

3. Oikea käyttö

  • Kuinka kukin saa ja ei saa käyttää verkkoa.
  • Yleinen
    • Työaikana yksityinen verkonkäyttö minimissä
    • Verkonkäyttö kielletty ulkopuoliseen bisnekseen
    • Pääsy internetpalveluihin yhtenäinen muun henkilöstö politiikan kanssa.
    • Punaisia tietoja ei puhuta mustalla puhelimella.
  • Systeemin ylläpitäjä
    • Vastuullista toimintaa arkaluontoisen tiedon kanssa
    • Kaikki erikoinen tiedonhaku liityttävä toimintaan
  • Turvallisuus henkilökunta
    • Vastuullista toimintaa arkaluontoisten tietojen kanssa
    • Kaiken erikoisen tiedonhaun liityttävä yhtiön toimintaan tai turvallisuusteen
    • Turvallisuustyökalujen käyttö ainoastaan yhtiöntoiminnan hyväksi
  • Alihankkija
    • Ei henkilökohtaista pääsyä järjestelmiin
    • Verkon käyttö minimaalista ja ainoastaan hyvin perustellulla syyllä
  • Vierailija
    • Ei verkonkäyttöä ollenkaan

4. Seuraukset

  • Määritellään, mitä seuraamuksia tulee rikkomuksista.
  • Turvallisuuskomitea
    • Toimii tuomarina rikkomuksista
  • Rangaistukset
    • Kriittinen rikkomus
      • Ehdotetaan erotettavaksi sekä mahdollisia syytteitä oikeudessa.
    • Vakava rikkomus
      • Ehdotetaan erotettavaksi sekä palkan alennusta
    • Lievä
      • Ehdotetaan palkan alennusta, määräaikaista palkatonta lomaa tai kirjallinen nuhtelu

Politiikan kirjoittaminen

  • Pidä politiikka ymmärrettävänä
    • Lukematon politiikka on turha
    • On vaikea noudattaa politiikkaa jota ei ymmärrä
    • Kun tiedetään mihin säännöt perustuvat, niitä noudatetaan paremmin
  • Pidä politiikka relevanttina
    • 300 sivun dokumenttia jossa on kaikki ei lue kukaan
    • Eri ihmisille voi olla erilainen dokumentti, joka koskee vain heille oleellisia asioita tietoturva politiikasta.
  • Tiedä mikä ei ole relevanttia
    • On asioita joita kaikkien ei tarvitse tietää
      • Turvallisuusihmiset tarvitsevat enemmän tietoa kuin esimerkiksi sihteeri
    • Dokumentti kannattaa jakaa kahteen osaan
      • Yleinen osa
      • Spesifinen osa riippuen tehtävästä

Politiikan käsittely

  • Varmista että politiikka otetaan tosissaan.
    • Politiikan lukemisen jälkeen pitää tietää että sen rikkomisesta tulee rangaistus
    • Rikkojia pitää oikeasti rangaista politiikan mukaan
  • Rangaistukset
    • Iso tapaus on helpompi voittaa kun on monta pientä pohjana
    • Turvallisuus tiimi toimii syyttäjänä ei tuomarina
  • Päivitä politiikkaa
    • Verkkokonfiguraatio muuttuu
    • Uusia koneita tulee vanhoja lähtee pois
    • Päivittämätön politiikka menettää merkitystään
  • Jaa tietoa niille jotka sitä tarvivat
  • Älä virittele politiikkaa kesken kriisin vaan vasta sen jälkeen
    • Rauhassa mietittäessä ei tule tehtyä hätiköityjä virheitä.

Teesit politiikasta

  • Hyvä polittiikka nyt on parempi kuin loistava politiikka ensivuonna.
  • Heikko politiikka joka on jaettu kaikille on parempi kuin vahva joka ei ole kellään.
  • Yksinkertainen politiikka jonka kaikki ymmärtävät on parempi kuin monimutkainen ja hämmentävä jota kukaan ei viitsi lukea.
  • Politiikka joka muokkautuu ajan myötä on parempi kuin politiikka, joka muuttuu ajan myötä turhaksi.
  • Politiikkaa määrittäessä on usein on parempi pyytää anteeksi kuin odottaa lupaa
Last modified: 2013/07/01 14:50