Tietoturvan riskianalyysi

• Helsingin kaupungin sisäisen valvonnan ja riskienhallinnan ohjeet (HELMI Intranet)
• Tietoturvan riskienkäsittelysuunnitelma (Kehmet-sivu ja työkalu tietoturvan riskianalyysin kirjaamiseen)

Tarkoitus

Riskianalyysiä tehdään, jotta olennaisimpiin toimintaan tai järjestelmään kohdistuviin tietoturvaan kohdistuviin uhkiin löydetään kehityksen aikana sopiva hallintakeino.

Menettelyllä varmistutaan siitä, että vain tietyn riskitason ylittäville uhille luodaan hallintatoimia. Tämä säästää kustannuksia, koska resurssipanostukset voidaan ohjata vain oikeasti merkityksellisiin suojaustoimiin.

Riskianalyysiä kannattaa toistaa kehityksen aikana useita kertoja, erityisesti jos käytetään kokeilevia tai ketteriä menetelmiä, joissa ymmärrys toiminnasta ja järjestelmästä kehittyy merkittävästi ajan ja kokeilun kuluessa.

Helsingin kaupungilla on oma riskienhallintamenetelmänsä, jonka yksityiskohdat ja mallipohjat löytyvät kaupungin intranetistä. 

Riskianalyysin kohdistaminen

Hankkeen aikana tietoturvan riskianalyysiä voidaan tehdä kahdesta näkökulmasta. 

Ensimmäinen näkökulma on hankkeen näkökulma. Tällöin kerätyt uhat liittyvät tyypillisesti ongelmiin, jotka voivat estää hankkeen onnistuneen läpiviennin. Näitä uhkia on tärkeää kerätä ja arvioida hanketta suunniteltaessa sekä seurata hankkeen etenemisen aikana. Vastuu tästä on hankepäälliköllä.

Toinen, tietoturvallisuuden kannalta tärkeämpi, näkökulma liittyy itse kehitettävään järjestelmään ja toimintoon. Toiminnon kuvaukseen perustuvalla ja kehitykseen liittyvällä riskianalyysillä etsitään toimintoon toteutettavia tietoturvallisuuteen liittyviä uhkia. Tässä näkökulmassa kerätyt uhat liittyvät esimerkiksi ulkopuolisten hakkerien toimintaan järjestelmässä, käyttövaltuuspuutteista johtuviin tietojen paljastumiseen sekä järjestelmän erilaisiin teknisiin vikoihin. Näiden keräys on välttämätön, jotta uhkien hallintakeinot saadaan lueteltua tietojärjestelmän vaatimusmäärittelyyn.

Kumpikin näkökulma on oleellinen hankkeen onnistuneen läpiviennin takaamiseksi.

Roolit

Järjestelmään liittyvää riskianalyysia voidaan tehdä sekä toiminta- että tekniikkalähtöisesti. 

1. Toiminta- ja prosessilähtöisessä näkökulmassa on tärkeää että uhkien keruussa sekä vakavuuden ja todennäköisyyden arvioinnissa ovat läsnä toiminnan ja prosessin asiantuntijat.
2. Tekniikkalähtöisessä riskianalyysissä pohditaan riskejä tietojärjestelmän käytön näkökulmasta, jolloin läsnä on syytä olla IT-osaajia, kehittäjiä ja järjestelmän käyttäjiä.

Tietoturva-asiantuntijoiden läsnäolo molemmissa järjestelmiin liittyvissä riskianalyyseissä on hyödyllistä.

Vaiheet

1. Kuvaa toiminta tai järjestelmä
   Ketkä ovat toimijat ja mitkä ovat heidän roolinsa, mitkä ovat toiminnan kohteita (tiedot, rahat, omaisuus jne), mitä toimijat tekevät, mitä erillisiä osa-alueita toiminnassa on ja miten ne liittyvät toisiinsa? Millaisessa ympäristössä toimitaan, mitkä ovat rajoitteet?
   
   
2. Kerää uhat käyttäen apuna toiminnan kuvausta 
   Mitä ongelmia eri toimijat voivat aiheuttaa toiminnassa tai järjestelmässä? Onko olemassa sellaisia uhkia, joilla ei ole varsinaista tekijää, mutta ne voivat olla oleellisia (luonnonilmiöt yms.)? Voit käydä kohteen läpi järjestelmällisesti pohtien eri roolien aiheuttamia uhkia eri osatoimintoihin ja toiminnan kohteisiin. Ota uhkienkeräystyöpajaan mukaan toiminnon eri näkökulmien asiantuntijoita.
   
   
3. Muunna uhat riskeiksi
   Arvioi kunkin uhan todennäköisyys ja vakavuus. 
   
   
4. Johtoryhmä määrittää riskitason, poimi sen ylittävät riskit erikseen 
   Näille riskitason ylittäville uhkille on jatkokäsittelyssä löydettävä oikein mitoitetut hallintatoimenpiteet.
   
   
5. Mieti liian suurille riskeille erilaisia hallintatoimivaihtoehtoja. Valitse niistä sellaiset, jotka ovat kustannusmielessä järkevimpiä ja alentavat riskit hyväksyttävälle tasolle. Joskus riskin toteutumista on vaikea estää. Tällöin on löydettävä sellainen hallintakeino, joka auttaa vähentämään riskin toteutumisesta aiheutuvia vaikutuksia. Mahdollisista hallintatoimista löytyy valmiita tarkistuslistoja alempaa.
   
   
6. Luo valituista hallintatoimista toteutettavat tehtävät. Osa voi olla kehitysaikaisia toimia, osa taas tuotantoympäristöön liittyviä vaatimuksia. Huolehdi, että kaikille löytyy vastuuhenkilö. Lopuksi ohjaus- tai johtoryhmä hyväksyy jäljellä olevat riskit.

Järjestelmän riskianalyysi dokumentoidaan tietoturvan riskienkäsittelysuunnitelmaan. 

Lisää aiheesta

• Helsingin kaupungin sisäinen ohje: ICT-hankkeiden tietoturvallisuuden tarkistuslista ja sen soveltamisohje vuodelta 2014
• Ohje tietoturvallisuudesta valtionhallinnossa (VAHTI 2/2010) jonka liite 5 sisältää eri tietoturvallisuustasoilla tarvittavia tietoturvallisuuden hallintatoimia
• VAHTI Ohje riskienhallintaan (VM 25/2017)
• VAHTI riskienhallintatyökalu ja sen ohjeet
• OWASP Threat Risk Modeling