Tietoturvallisuutta koskevien riskien hallinta on osa organisaation riskienhallintaa.
Tietoturvallisuudella tarkoitetaan tietojen, palvelujen, järjestelmien ja tietoliikenteen suojaamista ja varmistamista niihin kohdistuvien riskien hallitsemiseksi sekä normaali- että poikkeusoloissa hallinnollisilla, teknisillä ja muilla toimenpiteillä.
Tietoturvallisuuden tavoitteena on tietojen luottamuksellisuuden, eheyden ja käytettävyyden turvaaminen laitteisto- ja ohjelmistovikojen, luonnontapahtumien sekä tahallisten, tuottamuksellisten tai tapaturmaisten tekojen aiheuttamilta
uhilta ja vahingoilta.
Tietoturvatoimenpiteet ja menettelyt kohdistuvat
1. Henkilöstöturvallisuuteen
Henkilöstöturvallisuus on henkilöstöstä johtuvaa riskien hallintaa. Sen perustana on osaava ja sitoutunut henkilöstö, jolle tietoturvavastuut ja –tehtävät on selkeästi kuvattu toimenkuvissa. Lisäksi tarvitaan riittävällä tasolla määriteltynä olevat henkilöstöhallinnon prosessit sekä muut prosessit, joissa kuvataan työtehtävät niin tarkasti, että avainhenkilöriskien syntyminen vältetään. Keskeisiä asioita ovat työhönottoon, toimenkuvien olennaisiin muutoksiin ja palvelussuhteen loppumiseen liittyvät prosessit ja niistä on tarpeen olla kaikilla osallisilla käytössään sovittu toimintamalli.
2. Tietoaineistoturvallisuus, varmuus- ja suojakopiointi
Tietoaineistoturvallisuudessa on kyse eri talletusmuodoissa olevien tietojen suojauksesta. Se koskee paperiasiakirjoja, optisia ja magneettisia muistivälineitä, mikrofilmiä, äänitteitä sekä muita vastaavia teknisiä laitteita. Tietoaineistoturvallisuus kattaa käsittelysäännöt tietoaineiston synnystä sen tuhoamiseen asti.
3. Fyysinen turvallisuus
Tähän tietoturvallisuuden osa-alueeseen kuuluvat mm. kulunvalvonta, kameravalvonta, muu tekninen valvonta ja vartiointi sekä palo-, vesi-, sähkö-, ilmastointi- ja murtovahinkojen torjunta. Vähimmäisvaatimukset tilaturvallisuutta lisääville toimille ja järjestelmille määräytyvät turvallisuustarpeiden perusteella, jotka voi kohdistua alueeseen, rakennukseen, tilaryhmään tai tilaan.
4. Laitteistoturvallisuus
Laitteistoturvallisuudella tarkoitetaan laitteistojen suojausta, asennusta, ylläpitoa ja poistoa sekä niihin liittyvää hallinnointia, jossa määritellään laitteiden omistaja ja turvaluokka sekä laitteiden valvonta ja niiden kapasiteettien suunnittelu. Ylipäätään laitteistoturvallisuudella turvataan laitteiston elinkaarta,
johon myös kuuluvat asennuksen, takuun ja ylläpidon lisäksi erilaiset tukipalvelut ja -sopimukset sekä laitteiston turvallinen poisto elinkaaren lopussa.
5. Ohjelmistoturvallisuus
Ohjelmistoturvallisuudella tarkoitetaan käyttöjärjestelmien, varus- ja työkaluohjelmistojen sekä muiden ohjelmistojen ja sovellusten tunnistamis-, suojausominaisuuksia, valvonta- ja lokimenettelyjä sekä ohjelmistojen ylläpitoon ja päivitykseen liittyviä turvallisuustoimenpiteitä. Ohjelmistojen turvallisuuteen vaikuttavat ohjelmistokehityksessä käytetyt prosessit, ohjelmiston käytönaikaiset asetukset ja ohjelmiston palvelualustan (käyttöjärjestelmän ja mahdollisten väli- ja apuohjelmistojen) asetukset sekä käyttäjien saama koulutus ja ohjeistus.
6. Tietoliikenneturvallisuus
Organisaation tietoliikennetoiminnot ja niitä toteuttavat eri verkkojärjestelmät suunnitellaan ja rakennetaan hyvän tiedonhallintatavan mukaisesti siten, että valittu arkkitehtuuri tukee varautumista erilaisia uhkia vastaan. Tietoliikenneturvallisuuteen sisältyvät mm. tietoliikennelaitteiston kokoonpano, luettelointi, ylläpito ja muutosten valvonta, ongelmatilanteiden kirjaus, käytön valvonta, verkon hallinta, viestinnän salaus ja varmistaminen, merkittävien tietoturvapoikkeamien tarkkailu, kirjaus ja selvittäminen sekä tietoliikenneohjelmien testaus ja hyväksyminen.
7. Käyttöturvallisuus, haittaohjelmistoilta suojautuminen
Käyttöturvallisuudella luodaan ja ylläpidetään tietotekniikan turvallisen käytön vaatimat toimintaolosuhteet. Tämä toteutetaan huolehtimalla mm. toimivuuden valvonnasta, käyttöoikeuksien hallinnasta, käytön ja lokien valvonnasta, ohjelmistotukeen, ylläpito-, kehittämis- ja huoltotoimintoihin liittyvistä turvallisuustoimenpiteistä, varmuuskopioinnista sekä häiriöraportoinnista. Kaikkien tietojärjestelmien suojaaminen haittaohjelmilta (kuten sähköpostiviruksilta tai verkkomadoilta) on osa käyttöturvallisuutta. Järjestelmien käyttöturvallisuuden taso perustuu järjestelmässä olevien tietojen luokitukseen.
Tietoturvallisuuteen tulee kiinnittää huomio myös ulkoistettaessa tietojenkäsittelytoimintoja, otettaessa käyttöön uusia toimintamalleja, tehtäessä hankintoja jne.
Mitä selkeämmin vastuut on ohjeistettu, sitä helpompi on syventää sekä seurata yksittäisten tietoturvatoimenpiteiden toimivuutta.