Tietoturvasuunnitelma
Tietoturvasuunnitelma on perinteisesti ollut yksi asiakirja, jossa kuvataan miten tietoturvallisuus otetaan huomioon järjestelmää kehitettäessä ja mitä tietoturvapiirteitä siihen luodaan tai on luotu. Vaikka yhdessä tietoturva-asiakirjassa on hyvät puolensa, monessa hankkeessa on käytännössä huomattu, että tällaisen dokumentin koostaminen ja ylläpito on vaikeaa. Usein se onkin laadittu myöhässä eikä sitä ole laatimisen jälkeen päivitetty.
Tietoturvasuunnitelma Kehmet-mallissa
Tämän vuoksi Kehmet-mallilla tehdyissä järjestelmissä suositellaan tietoturvallisuuden huomioon ottamista ja kirjaamista projektin normaalin kulun osana erilaisiin hankkeen aikana syntyviin muistioihin ja asiakirjoihin, joista osa on yleisiä ja osa vain tietoturvallisuuteen liittyviä.
- Järjestelmältä haluttu tietoturvallisuuden taso dokumentoidaan ketterässä hankkeessa visiolakanaan, investointihankkeessa hankkeen reunaehtoihin tai muutostarvekuvaukseen.
- Tason toteuttamiseksi valitut tietoturvapiirteet luodaan riskianalyysissä ja viedään riskienkäsittelysuunnitelman kautta ketterän menetelmän kehitysjonon käyttötapauksiin ja investointihankkeen vaatimusmäärittelyyn.
- Tietoturvapiirteiden toimivuuden varmistamiseksi luotu arkkitehtuuri osana eri arkkitehtuurin osa-alueiden dokumentaatiota.
- Tietoturvakatselmoinnit ja niistä mahdollisesti syntyvät muistiot.
- Toteutettavaksi valittujen tietoturvapiirteiden testaus osana normaalia testisuunnittelua ja -toteutusta.
- Järjestelmän tietoturvatarkastuksen tulokset tarkastusraportissa.
- Tuotannon aikaiset asennus- ja ylläpito-ohjeet tarvittavine tietoturva-asetuksineen erillisessä käyttöönottosuunnitelmassa tai -ohjeessa.
- Käyttäjän ohjeet (sis. mahdolliset tietoturvaohjeet) erillisessä ohjeistuksessa.
Tietoturvasuunnitelma voidaan toki edelleen tehdä erillisenä asiakirjana näin halutessa.
Asiakirja voi olla myös sähköisen työtilan sivu tai kortti. Tällöin on syytä tarkoin selvittää, mikä kaikki edellä mainituista tiedosta on syytä olla saatavilla ja missä muodossa sen jälkeen kun hankkeen sähköinen työtila on suljettu hankkeen päättyessä.
Lisää aiheesta: