Johdatus tietoturvaan ja tietosuojaan - ETA0160– Kurssimateriaali OSA 1

Summary

This document is an introduction to information security, privacy, and cybersecurity. The first part focuses on general concepts, while the second part delves into critical infrastructure and societal perspectives in the cybersecurity world.

Full Transcript

**Johdatus tietoturvaan ja tietosuojaan - ETA0160-- Kurssimateriaali - OSA 1** **Sisällysluettelo** 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. **1. Johdanto** Johdatus tietoturvaan ja tietosuojaan -opintojakso antaa perustietämyksen tietotur­vasta ja tietosuojasta sekä kyberturvallisuu...

**Johdatus tietoturvaan ja tietosuojaan - ETA0160-- Kurssimateriaali - OSA 1** **Sisällysluettelo** 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. **1. Johdanto** Johdatus tietoturvaan ja tietosuojaan -opintojakso antaa perustietämyksen tietotur­vasta ja tietosuojasta sekä kyberturvallisuudesta. Opintojakson ensimmäinen osa keskittyy yleisiin tietotur­vaan, tietosuojaan ja kyberturvallisuuteen liittyviin käsitteisiin Opintojakson toinen osa keskittyy kriittiseen infrastruktuuriin ja yhteiskunnalliseen näkö­kulmaan tietoturva- ja kyber­maailmassa sekä niiden uhkiin ja hyödyn­täjiin. Osa 2 käsittelee myös nykyaikai­sen tietoverkon komponentteja ja niiden perustoiminnal­lisuuksia. Opintojakson kolmas osa johdattaa siihen, miten uhkia vastaan voidaan puolustautua sekä mitkä ovat parhaat tietosuoja-alan käytännöt. Osa 3 keskittyy myös siihen, miten yrityksen tai organisaation tieto­turvapolitiikka tulisi toteuttaa. **Opintojakson pääsisällön yhteenveto:** - Tietoturvan ja tietosuojan sekä kyberturvallisuuden määritelmät - Tietoturvaluokitukset, standardit ja ohjeet - Miten kukin voi pienentää riskiä joutua tietoturva­hyökkäyksen kohteeksi - Tietoturvapoikkeamien merkitys ja miten niihin tulisi reagoida - Yrityksen tai organisaation tietoturvaan ja tietosuojaan liitty­vän tietoturvapoli­tiikan tärkeys ja sen toteutustapoja - **2. Tietoturvan ja tietosuojan sekä kyberturvallisuuden määritelmät sekä tietoluokitukset** *Tietoturvan määritelmä* - Tietoturva/tietoturvallisuus (information security) sisältää kaikki ne toimenpiteet, joilla pyritään estämään tieto­jär­jestel­mään tunkeutuminen ja/tai tärkeän tiedon päätyminen ulkopuolisille. Tietoturvajärjestelyin pyritään varmistamaan tiedon käytettävyys, eheys ja luottamuksellisuus. Tietoturva on yksi tietosuojan toteut­tamiskeino. - - - - *Tietosuojan määritelmä (Wikipedia)* - - - *Kyberturvallisuuden määritelmä* - Kyberuhkamalli kuvaa kyberuhkien aiheuttamia häiriöitä, uhkan vaikutusmekanismeja, lähteitä, koh­teita ja vaikutusta kohteisiin. Uhkat voivat kohdistua yhteiskunnan elin­tärkei­siin toimin­toihin, kansalliseen kriittiseen infrastruktuuriin ja kansalaisiin maan rajojen sisällä tai ulko­puolella. Tietoturva on kompromissi turvallisuuden ja kustannusten välillä. Tietoturvan kaikkia osa-alueita on kehitettävä yhtenä kokonaisuutena (kuva 4. Hinta vs. riskit vs. tietoturvan taso). **Digitalisaatioon vastaaminen vaatii useamman IT-toimijan yhteistyötä (kuva 3):** **Kenellä on vastuu yrityksen/organisaation tietoturvasta ja tietosuojasta?** Tietoturva ja tietosuoja liittyy yrityksen/organisaation kaikkeen toimintaan Riskiarviointi Tietoturvaan ja tietosuojaan liittyvät oikeudelliset asiat Tietojen luokitus Tekniset valinnat Taloudelliset näkökohdat *Yrityksen/organisaation johtoportaan on sitouduttava tietoturva ja tietosuoja asioihin sekä yrityksen/orga­ni­saation eri johtamismallien (talous, laatu, turvallisuus, jne.) on oltava sovi­tettu myös tietoturva ja tietosuoja toimintaa varten.* **Tietoturvan osa-alueet** Hallinnollinen tietoturvallisuus = Tietoturvallisuuden johtaminen, jonka avulla varmiste­taan liike­toiminnan jatkuvuus. Hallinnollisen tietoturvan perusasioita ovat: - - - - - - - Suojaus on tehtävä ainakin ulkoisessa ja sisäisessä tietoverkossa, tietoverkko- ja pääte­laitteissa, sovelluksissa sekä tiedoissa (data). *Tietoturvakomponentit* ***\ *** ***Tietoturvakomponenttien keskinäiset yhteydet*** ![](media/image8.png) **Tietoturvaluokitukset** (tietoturvamallit) Tietoturva voi pohjautua perinteiseen ja/tai laajennettuun tietoturvaluokitukseen. Perin­tei­seen luokitukseen (***CIA-triadi -malli**)* kuuluu *luottamuksellisuus, eheys ja saatavuus (Confiden­tiality -- Integrity -- Accessibility)*. Laajennettu tietoturvaluokitus sisältää edellisten lisäksi *kiistämät­tömyyden (*Non-Repudiation), *pääsynvalvonnan (Access Control) ja tunnistamisen* (Authentication). ***Parkerian Hexad -malli*** sisältää seuraavat kuusi tietoturvaelementtiä: Luottamuksellisuus (Confidentiality), hallussapito/hallinta (Possession/Control; esim. kadonnut muistitikku), rehellisyys (Integrity), aitous (Authenticity; esim. aidot/viralliset asiakastiedot), saatavuus (Availability) ja hyödyllisuus (Utility; esim. on kerätty väärää tai epätarkkaa dataa). **Luottamuksellisuus** (Confidentiality) Tarkoittaa tietojärjestelmän tietojen olevan vain niihin oikeutettujen käyttäjien käytet­tä­­vissä. Luottamuksellisuuden avulla pyritään suojaamaan tietojärjestelmien laitteistot ja tietovarastot riittävän suojauksen takaavilla käyttäjätunnuksilla ja salasanoilla. Arka­luonteisia ja arvokkaita tietoja pyritään suojaamaan eri salakirjoitus­menetelmin. Tällaisia tietoja ovat esimerkiksi henkilöiden palkkatiedot ja organisaatiossa käytettävien sovellutusten tiedot. Tietojen luottamuksellisuus saavutetaan kolmella tavalla: Varas­toinnin luotta­muksellisuudella (Storage Confidentiality), siirron luottamukselli­suudella (Transmission Confidentiality) ja valtuutuksella (Credential). **Eheys** (Integrity) Ohjelmistoteknisin ratkaisuin pyritään varmistamaan tietojärjestel­mien tietojen paik­kan­sa­pitävyys ja se, että tiedot eivät sisällä tahattomia tai tahallisia virheitä. Eheyttä ylläpide­tään sovelluksin, jotka tarkastavat tallennus- ja tiedonsiirto-operaatioita varmis­tussum­mien tai tiivisteiden avulla sekä valvovat käyttäjien syötteitä tietyin syöttörajoit­tein tai syötteiden tarkistuksin. Laitteistotasolla eheyttä pyritään varmistamaan käyttämällä virheitä korjaavia siirto­tapoja tai muisteja. Tietoliikenneratkaisuissa käytetään virheiden tunnistus- ja korjaus­mekanis­meilla varustettuja laitteita ja protokollia. Eheyttä voidaan ylläpitää myös eri salakirjoitus­ohjelmistoilla. **Saatavuus** (Availability) Antaa valtuutettujen henkilöiden ja tietokonejärjestelmien käyttää tietojärjestelmää. Nykyaikaisissa tietojärjestel­missä pyritään tiedonhaku automatisoi­maan siten, että tietoja tarvitsevat saavat haluamansa tiedot nopeasti ja sopivassa muodossa. **Kiistämättömyys** (Non-Repudiation) Tarkoittaa järjestelmäkäskyjä, joilla tunniste­taan ja tallennetaan järjestelmää käyttävien henkilöiden käyttötiedot. Kiistämättömyydellä varmistutaan tiedon alkuperästä ja este­tään olemassa olevan tietojen luvaton käyttö. **Pääsynvalvonta** (Access Control) Tarkoittaa menetelmiä, joilla pyritään estämään ulkopuolisia ja henkilöstöä käyttämästä yrityksen laitteita omiin tarkoituksiinsa. Tämä valvonta saattaa kuormittaa tietoliikenne­verkkoja ja täten heikentää käytettävyyttä. **Tunnistaminen** (Authentication) Tarkoittaa tietojärjestelmän käyttäjien (ihmisten tai järjestelmän laitteiden) luotet­tavaa tunnistamista. Tunnistaminen liittyy johonkin, mikä henkilö on, tietää tai mitä hänellä on. Tietover­kossa käyttäjä tunnistetaan salasanan tai esimerkiksi sormenjäljen perus­teella ja järjestelmän laitteet tunnistetaan esimerkiksi digitaalisin tunnistein (digital signature). **\ ** **3. Fortinet Training Institute -- NSE Online-kurssit** Kuva, joka sisältää kohteen teksti, kuvakaappaus, Fontti, logo Kuvaus luotu automaattisesti Taulukko 1. FortiAcademy:n NSE-kurssit **Johdatus tietoturvaan ja tietosuojaan -kurssiin liittyvä Fundamentals-osion kurssi**: **FCF 1** (Introduction to the Threat Landscape). *https://training.fortinet.com* 4. **Tietoturvastandardit ja -ohjeet** Tietoturvallisuusstandardeja määrittelevät lait ja määräykset vaihtelevat *toimialoittain* (esim. pankki­toi­minta ja terveydenhoito) ja *maittain* (esim. USA ja EU). Ovat lähtö­kohtana yrityksen ja organisaation tietoturvatoiminnalle. *Standardi ISO/IEC 27000* *on kokoelma kansainvälisiä ohjeita ja käytäntöjä (kuva 5) ja sitä voidaan soveltaa tietoturvan ja riskien hallintaan ja valvon­taan.* **Tietoturvallisuuden hallintajärjestelmä (ISO/IEC 27001)** (vaatimukset) **ISO 27001** -*standardi määrittelee, kuinka järjestää tietoturva-asiat missä tahansa organi­saatiossa* (esimerkiksi kaupalliset yritykset, valtion virastot ja voittoa tavoit­telemattomat järjestöt). *Standardi ei koske ainoastaan tietotekniikkaa*, vaan kattaa kaikki näkökulmat tiedon siirrosta julkisiin keskusteluihin ja tietojen jakamiseen. ISO 27001 standardi sisältää organisaatiorakenteen, politiikat, suunnittelutoimenpiteet, vastuut, menettelytavat, menetelmät, prosessit ja resurssit. **Tietoturvallisuuden hallintajärjestelmän** **pääosat** - - - - **ISO 27002** (menettelyohje) \- Sisältää 11 aihealuetta \- Sisältää jokaisen aihealueen perusteet sekä niiden ohjaus- ja tarkastustoimet **Tietoturvafoorumi** (Information Security Forum **ISF**) on vuonna 1989 perustettu riippu­ma­ton, voittoa tavoittelematon yhdistys, jonka jäseniä ovat johtavat yritykset/organi­saa­tiot ympäri maailman. https://www.securityforum.org/ ISF on julkaissut tietoturva-alan ammattilaisille tarkoitetun **hyvien käytäntöjen standar­din** (*Standard of Good Practice (The Standard)*), joka on alan liiketoimintakeskeisin opas tieto­turvan varmistamiseen. Standardi sisältää tietoturvaan liittyviä liiketoiminta­läh­töisiä käy­tän­­­nöl­lisiä ja luotettavia ohjeita. *Standardi sisältää kehyksen, jonka avulla yritys/organi­saatio voi luoda itselleen tietoturvan hallintajärjestelmän*. ***ITIL*** (Information Technology Infrastructure Library) *määrittelee IT-palvelujen hallintaan ja johtamiseen liittyviä ohjeita ja parhaita käytän­töjä* (palveluprosessit, joilla voidaan tuottaa laadukkaita ja kustannuksiltaan optimoituja IT-palveluita). ***KATAKRI*** (kansallinen turvallisuuden auditointikriteeristö; *tietoturvallisuuden auditointi­työkalu viranomaisille*), johon kuuluvat osa-alueet: turvallisuusjohtaminen, fyysinen turvallisuus ja tekninen turvallisuus. https://um.fi/katakri-tietoturvallisuuden-auditointityokalu-viranomaisille ***VAHTI*** (suomalainen valtionhallinnon ohjeistus; https://dvv.fi/vahti) on *laaja kokoelma ohjeita, jotka liittyvät digitaalisen turvallisuuden** **varmistamiseen ja kehittämiseen julkishallinnossa***.** VAHTI:in osa-alueita ovat: hallinnollinen tietoturva, henki­löstö­turvallisuus (henkilöstön toiminnasta yritykselle aiheutuvien riskien hallinta), fyy­si­nen turvallisuus, tieto­liiken­ne-, ohjelmisto-, tietoaineisto-, käyttö- ja laitteistotur­val­lisuus. ***HITECH*** (Health Information Technology for Economic and Clinical Health Act; Talou­del­lista ja kliinistä terveyttä koskeva terveystietotekniikka laki) *määrittelee salassa pidettä­vien terveys­tietojen riittävän hyvän suojaamisen*. ***HIPAA*** (Health Insurance Portability and Accountability Act; Terveysvakuutuksen siirret­tävyys- ja vastuullisuuslaki) on **USA:ssa** 1996 voimaan tullut laki, joka koskee potilas- ja terveystietojen käsittelyä (vaatimukset arkaluon­toisen tiedon käytölle, salassapidolle ja julkistamiselle). HIPAA-lakia ei voi soveltaa sellaisenaan Suomessa, koska Suomen lainsäädäntö on eri­lai­nen kuin USA:n. *HIPAA antaa silti hyvät lähtökohdat arkaluontoisen tiedon käsitte­lyyn ja suo­jaa­miseen*. data breaches = tietomurrot; consent = suostumus, lupa; compliance = noudattaminen ![](media/image12.png) Kuva 6. Kaksitoista tiedon suojaukseen liittyvää askelta **EU:n tietosuoja-asetus (GDPR =** General Data Protection Regulation; kuva 6**)** *EU:n GDPR tietosuoja-asetusta sovelletaan henkilötietojen käsitte­lyyn julkisella ja yksi­tyisellä sektorilla*. Asetus tuli voimaan 25.5.2018. Asetuksen tavoitteena on varmistaa ihmisten oikeus henkilötietojen suojaan ja yksityi­syyteen myös digitaaliaikana koko EU-alueella. Asetuksessa määriteltyjä henkilötietoja on: - - - - - - Henkilörekisterin pitäjillä on osoitusvelvollisuus asetuksen täyttämisen suhteen. Yri­tyk­sen tai organisaation on ilmoitettava tietyn ajan kuluessa henkilötietoihin liittyvistä tieto­turva­rikkomuksista viranomaisille ja rikkomusten kohteiksi joutuneille henkilöille. Val­vonta­viran­omaisella (tietosuojavaltuutettu) on oikeus määrätä hallinnollisia sankti­oita asetuk­sen noudattamatta jättämisestä. Jos tieto­suojarikkomuksessa epäillään rikosta, niin silloin asia menee poliisin käsittelyyn. Tietosuojaa koskevassa vaikutusten­arvioinnissa (data protection impact assessment DPIA) kartoitetaan henkilötietojen käsittelyä, käsittelyyn liittyviä riskejä ja niiden hallintakeinoja sekä tietosuoja-asetuksen mukaisten henkilötietojen käsittelyn periaatteiden toteutumista. **Tietosuoja sosiaali- ja terveydenhuollossa** Henkilötietorekisteri sisältää tiedot potilaan hoidon järjestämistä ja seurantaa varten. Tiedot voivat olla sähköisiä/ei-sähköisiä dokumentteja sekä ääni- ja/tai kuvatallenteita. Rekisteri pohjautuu hoitoyksikön potilastietojärjestelmään, sähköiseen Kanta-arkistoon ja potilasdokumenttien merkintöihin. Tietojen käyttötarkoitus on: - - - Henkilötietojen käsittelyyn tarvitaan potilaan suostumus ja potilasrekisteriin kuuluvat myös sosiaali- ja terveydenhuollon ostopalvelutiedot. Rekisterin tiedot on pidettävä salassa ja tietoja käsittelevillä työntekijöillä on vaitiolo­velvollisuus. Sosiaali- ja terveydenhuollon työntekijät ovat sitoutuneet noudattamaan perusturvapalveluiden tietosuoja- ja tietoturvaperiaatteita. Lisäksi heidän vaitiolovel­volli­­suutensa jatkuu myös palvelussuhteen päätyttyä. Potilaalla on oikeus tarkastaa henkilörekisteriin talletetut tiedot. Tarkastuspyyntö on esitettävä kirjallisesti johtavalle lääkärille, joka voi luovuttaa tiedot potilaalle. Terveydenhuollon potilasrekisterissä henkilötiedot säilytetään 12 vuotta henkilön kuole­man jälkeen ja jos kuolinaikaa ei tiedetä, niin 120 vuotta henkilön syntymästä. Kiristyshaittaohjelmat kohdistuvat usein sosiaali- ja terveydenhuollon järjestelmiin. Henkilötietojen käsittelyä koskevat lait: - - - - - - - - - - - - Valtioneuvoston tietosuojasivusto: *https://valtioneuvosto.fi/tietosuoja* Tietosuojalaki 1050/2018: *https://www.finlex.fi/fi/laki/alkup/2018/20181050* Esimerkkejä organisaatioiden henkilörekistereistä: - - - - - - Virallisen määritelmän mukaan myös verkkotunnistetiedot (lokitiedot) kuuluvat henkilö­tietoihin, jos niistä voi tunnistaa henkilön suoraan tai epäsuorasti. Henkilötunnusta ei tule laittaa tarpeettomasti henkilörekisterin pohjalta tulostettuihin tai laadittuihin asiakirjoihin. Henkilötiedon käsittelyssä tulee muistaa tarpeellisuus­vaatimus ja tiedon minimoinnin periaate. Ei pidä laatia omia epävirallisia rekistereitä (esim. Excel-taulu­koita), joissa on henkilötunnuksia, ellei se ole välttämätöntä jonkin tehtävän suorittamiseksi. Kaikki vanhentuneet henkilötunnuksia sisältävät asiakirjat on hävitettävä ja rekisteri on poistettava heti, kun sitä ei enää tarvita. Tietosuojalain (1050/2018) 29 §:ssä säädetään henkilötunnuksen käsittelystä. Henkilö­tun­nusta saa käsitellä rekisteröidyn suostumuksella tai, jos käsittelystä säädetään laissa. Lisäk­si henkilötunnusta saa käsitellä, jos rekisteröidyn yksiselitteinen yksilöiminen on tärkeää: Henkilötunnusta saa käsitellä myös luotonannossa tai saatavan perinnässä, vakuutus-, luottolaitos-, maksupalvelu-, vuokraus- ja lainaustoiminnassa, luottotietotoiminnassa, terveydenhuollossa, sosiaalihuollossa ja muun sosiaaliturvan toteuttamisessa tai virka-, työ- ja muita palvelussuhteita ja niihin liittyviä etuja koskevissa asioissa. Tietosuojavaltuutettu on ottanut useasti kantaa siihen, että henkilöitä ei saa tunnistaa yksinomaan nimen ja henkilötunnuksen perusteella. Henkilötunnus on henkilön yksilöi­misen apuväline. 5. **Tietoturvastrategia** Tietoturvastrategia (suunnitelma) *koostuu yleisistä tietoturva tavoitteista ja ohjeista sekä muodostaa sisällön yrityk­sen/organisaation tietoturvaohjelmalle*. 1\. Perusvaatimusten realisointi 2\. Tietoturvariskien arviointi 3\. Tietoturvaohjelman toteutus **6. Riskinhallinta** Riskinhallinta (risk management) on prosessi, jolla pyritään pienentämään toiminta­ympä­ristön riskejä (kuva 7). Omaisuus = voimavarat = hyödykkeet (engl. Asset). Mitä haittoja riskit voivat toteutuessaan yritykselle/organisaatiolle aiheuttaa? Kuva, joka sisältää kohteen teksti Kuvaus luotu automaattisesti Kuva 7. Riskinhallintaprosessi *Omaisuuden määrittely* Luetteloi yrityksen/organisaation omaisuus ja arvioi kunkin omaisuusyksikön tärkeys, löytääksesi ne, mitkä ovat liiketoiminnan kannalta kriittisen arvokkaita. *Uhkien määrittely* Tässä voi käyttää apuna esimerkiksi perinteistä luokitusta (CIA-triadi -malli) tai Parkerian hexad -mallia. Yhteenvetona voi todeta, että on huolehdittava siitä, että tiedot ovat hallin­­nassa, tietojen tarkkuus on kunnossa ja järjestelmä saadaan pidettyä käynnissä. *Omaisuuden haavoittuvuudet* Jokaisella omaisuusyksiköllä voi olla hyvinkin monia uhkia, mutta vain pieni osa niistä on merkityksellisiä. Tässäkin voi käyttää pohjana esimerkiksi perinteistä luokitusta (CIA-triadi -malli) tai Parkerian hexad -mallia. *Riskianalyysi* (vaikutus/todennäköisyys taulukko) - Arvioidaan riskin toteutumisen todennäköisyys ja vaikutus ennalta määritellyllä astei­kolla: *Todennäköisyys:* 1. Epätodennäköinen, 2. Mahdollinen, 3. Todennäköinen, 4. Lähes varma *Vaikutus:* 1. Vähäinen, 2. Kohtalainen, 3. Merkittävä 4. Kriittinen **Riskiluku** RL (riskitaso) saadaan kertomalla riskin todennäköisyys vaikutuksella: RL = T V Riskienhallintasuunnitelma on hyvä esittää taulukkomuodossa. ![Kuva, joka sisältää kohteen teksti, näyttökuva, sisä Kuvaus luotu automaattisesti](media/image17.png) Riskien käsittelyssä määritellään jatkotoimenpiteet, nimetään vastuuhenkilöt sekä sovi­taan alustava tavoiteaikataulu. Vahingon ehkäisyn kustannukset (Burden B) \< vahingon aiheuttama menetys (L) x vahingon todennäköisyys (P) "Ajatteles, jos joku puu kaatuisi, kun me olemme sen alla!", sanoi Nasu. \"Ajatteles, jos ei kaadu\", sanoi Nalle Puh pitkään harkittuaan. **7. Tietoturvapolitiikka** Tietoturvapolitiikka on dokumentti, joka koostuu organisaation ylimmän johdon vah­vista­­mista tieto­turvaan ja tietosuojaan liittyvistä yleisistä säännöistä ja käytän­nöistä ("tieto­tur­van yleisohje"). Suojaus­käytäntö määrittää, miten organisaatio hallinnoi, suojaa ja jakaa arkaluon­teisia tietoja. Tietoturvapolitiikka määrittää ja luo tarvittavat tietoturvatasot haluttujen luottamukselli­suus­tavoitteiden saavuttamiseksi. Suojaus­käytännöt voidaan luokitella kolmeen tyyppiin: \- *Sääntelykäytännöt*: Alan säännösten ja lainsäädännön noudattamisen pakolliset täytän­­töönpanot, joiden tarkoituksena on varmistaa, että organisaatio noudattaa lain säänte­lemiä alan standardeja. \- *Neuvoa-antavat toimintaperiaatteet*: Ne edistävät tietojärjestelmien luottamukselli­suutta ja eheyttä sekä kuvaavat noudattamatta jättämisen seurauksia. \- *Informatiiviset käytännöt*: Nämä tarjoavat yleisiä ohjeita parhaista käytännöistä ja hyväk­syttävästä käyttäytymisestä. Kuva 8 esittää tietoturvapolitiikan tyyppien rakennetta ja organisointia. Kuva 8. Tietoturvapolitiikan tyypit Tietoturvapolitiikan ylimmän tason asiakirjat ovat erilaisia käytäntöjä, jotka ovat suun­nat­tu organisaatio­-, tietosuojaohjelma- sekä käyttäjä- ja järjestelmätasoille (kuva 9). Kuva 9. Esimerkki tietoturvapolitiikan tasoista **\ ** **8. Tietojen luokittelu ja käsittely = Tietoaineiston suojaustasot** Myös tiedon omistaja on syytä määritellä (kuka vastaa tietojen oikeellisuudesta ja voi muut­taa tietoja), samoin tiedon säilytysaika ja varmuuskopiointi. ISO 27002 standar­dista löytyy tarkempia ohjeita tiedon luokittelusta. **Tietojärjestelmien luokittelu** (Laaksonen, Nevasalo, Tomula 2006) Tietoturvapolitiikan on oltava [selkeä] ja [ymmärrettävä] sekä [perusteltu] ("miksi"; ei liian tekninen). Hyvä tietoturva vaatii jatkuvaa toteuttamista, ei vain jonkin "tilan" saavutta­mista. Yrityk­sen/organisaation johdon on tuettava tietoturvan tavoitteita ja periaatteita, jotka myötäilevät liiketoiminnan tavoitteita. **Tietoturvapolitiikan rakentamisvaiheet** 1\. Mitkä ovat tietoturvapolitiikan tavoitteet (johdon perustelut, tuki, standardit) 2\. Mitä ovat tietoturvapolitiikan vastuut ja organisointi 3\. Mitä ovat tietoturvapolitiikan toteutuskeinot 4\. Miten tietoturvan seuranta ja ongelmatilanteiden käsittely on ratkaistu 5\. Mitä ovat tietoturvan säännöt ja ohjeet

Use Quizgecko on...
Browser
Browser