Beta

Tietoturvajärjestelyt

Tietoturvanriskianalyysin yhteydessä tulee pohdittavaksi erilaisia tietoturvan hallintakeinoja, eli miten asiat voidaan järjestää niin, että riskit pienenevät halutulle tasolle.

Tällä sivulla käydään läpi yleisesti erilaisia tietoturvajärjestelyitä eli tietoturvakontrolleja, joista voidaan käyttää yhtä tai useampaa tarpeen mukaan. Tällä sivulla on mainittu tiettyjä yleisiä ratkaisuja, mutta ne eivät suinkaan ole täydellinen lista. Teknisen tietoturvallisuuden asiantuntijat osaavat sanoa, millaisia teknisiä järjestelyitä on mahdollista ottaa käyttöön. Vinkkejä löytyy Lisätietoja-osion VAHTI-julkaisuista, jotka sopivat myös kaupungin käyttöön, vaikka ovatkin valtionhallinnolle suunnattuja.

Tietoturvan kontrollimenetelmät jaetaan yleensä kolmeen eri luokkaan: estäviin, havaitseviin ja korjaaviin. Estävät keinot eivät mahdollista tietoturvaongelman syntyä ja suuri osa aikaa meneekin tällaisten hallintakeinojen rakentamiseen. Kuitenkaan kaikkien uhkien toteuttamista ei voi estää, mutta tällöin ongelmat pitää havaita mahdollisimman nopeasti. Lisäksi ongelmista ja niiden vaikutuksista pitää toipua nopeasti korjaavilla menetelmillä. Hyvä kokonaisturvallisuus sisältää kaikkia näitä elementtejä.

 

Ohjelmisto

Erityisesti kehityshankkeissa, joissa tehdään tai konfguroidaan ohjelmistoa, sen toimintopiirteet ovat avainasemassa tietoturvallisuuden kannalta.

Esimerkkejä estävistä ohjelmistotason järjestelyistä ovat arkaluontoisten tietojen salaus tietokannassa, syötteiden tarkistukset, roolipohjaiset näkymät ja hienojakoinen käyttövaltuushallinta sekä käyttäjän vahva tunnistus. Havaitsevia menetelmiä ovat esimerkiksi sovellusten lokikirjaukset yhdistettynä lokien seurantaan.

Alustat

Kaikkia tietoturvariskejä ei voida hallita ohjelmistojärjestelyin. Aina on huolehdittava siitä, että se alusta ja ympäristö, missä IT-järjestelmä tulee toimimaan tuotannon aikana, on riittävän turvallinen käyttötarkoitukseensa.

Esimerkkejä tietoturvaan vaikuttavista infrastruktuurijärjestelyistä estävästä näkökulmasta ovat käyttöjärjestelmätason asetusten koventaminen turvallisiksi, havaitsevista käyttöjärjestelmätason lokikirjaukset ja korjaavista varmuuskopioinnit.

Tietoliikenne

Turvallisuutta voi parantaa myös tietoliikennetason järjestelyillä. Estäviä tietoliikennetason menetelmiä ovat esimerkiksi järjestelmien eristys eri turvallisuustason verkkoihin,  salaavat etäkäyttöjärjestelyt (VPN)  sekä palomuurisäännöt.  Tunkeutumisenhavainnointijärjestelmät (IDS) kuuluvat havaitseviin menetelmiin.

Joskus käytössä on vanhoja valmisohjelmistoja, joissa joko arvellaan tai tiedetään olevan sovellustason tietoturvapuutteita, joita ei voida syystä tai toisesta ratkaista sovellustason järjestelyillä. Tällaisia järjestelmiä voidaan erikseen suojata sovellustason palomuureilla, esimerkiksi WAF (web application firewall).

Prosessi- ja organisaatiokontrollit

Mikään tekninen laite, käytäntö tai menetelmä ei tee tietoturvallisuudesta riittävän hyvää, kokonaisvaltaiseen tietoturvallisuuteen tarvitaan myös toimivia prosesseja ja organisatorisia järjestelyjä. Esimerkiksi sinänsä hyvin toimiva käyttövaltuushallinta ei pysty estämään väärinkäyttötilannetta, jos samalla henkilölle on myönnetty samaan asiaan sekä esittelijän että hyväksyjän rooli.  Tämän vuoksi tarvitaan esimerkiksi yhteisiä sopimuksia siitä, millaisia työrooliyhdistelmiä ihmisillä saa olla, sekä oikeuksien valvontaa. 

 

Lisätietoja

Luonnos