Tietoturvatoiminnassa onnistumista voi mitata tarkastamalla tietoturvajärjestelyiden kattavuutta. Tietoturvaa voi tarkastella vertaamalla toteutettuja toimia suhteessa johonkin tietoturvan hallintaa kuvaavaan malliin. Julkishallinnolle annetut Vahti-ohjeet ovat yksi malli, johon voi verrata omaa toimintaansa.
Tietoturvan hallintajärjestelmästä on tehty myös kansainvälisesti yhteismitallinen ISO/IEC 27000 -standardi. Standardia voidaan käyttää tietoturvassa onnistumisen tarkastamiseen. Tarkastamisessa verrataan mitä standardin mukaan pitäisi tehdä ja mitä todella tehdään.
Arviointikriteeristöt
Suomalaisten viranomaisten tekemiä tietoturvatarkastuksia varten on olemassa julkishallinnolle yhteinen kansallinen turvallisuusauditointikriteeristö (Katakri). Se on vapaasti saatavilla verkosta. Kriteeristö sisältää sekä hallinnollisia että teknisiä tietoturvakontrolleja.
Kansallisen turvallisuusauditointikriteeristön avulla voidaan tehdä hyväksymistarkastuksia. Hyväksymistarkastuksessa tarkastetaan vastaavatko toteutetut tietoturvajärjestelyt kriteeristöllä määriteltyä toimintaa. Hyväksymistarkastuksia tekevät siihen valtuutetut tarkastuslaitokset.
Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus on julkaissut erityisesti pilviteknologioihin tukeutuvien palveluiden tietoturvan arviointikriteeristön (PiTuKri). Tämäkin kriteeristö sisältää sekä hallinnollisia että teknisiä vaatimuksia.
Asennusohjeet
Käyttöön valittujen tieto- ja viestintäteknisten järjestelmien teknisen laadun tarkastaminen kannattaa perustaa kyseiselle tekniikalle annettuihin suosituksiin. Tällaisia teknisiä toteutus- ja asennussuosituksia (”kovennussuosituksia”) on saatavilla järjestelmätoimittajilta ja myös muilta tahoilta. Tällaisia kansainvälisiä tahoja ovat esimerkiksi The Open Web Application Security Project (OWASP) ja The National Checklist Program (NCP), jota ylläpitää The National Institute of Standards and Technology (NIST).
Videoluento
Helsingin tietoturvapäivän tietoturva-asiantuntija Aaro Hallikainen puheenvuoro tietoturvassa onnistumisesta löytyy Helsinki-kanavan Tietoturva työpisteellä -sarjasta.
Tietoturvassa onnistuminen, video (13 minuuttia)
Herättikö teksti ajatuksia? Keskustele Twitterissä asiasanalla #digihelsinki.
Lue lisää
- Tietoturvallisuuden arviointiohje, VAHTI 2/2014, VAHTI-ohjeet
- ISO/IEC 27000 Tietoturvallisuuden hallintajärjestelmä, SFS Suomen Standardisoimisliitto
- Kansallinen turvallisuusauditointikriteeristö (KATAKRI)
- Pilvipalveluiden turvallisuuden arviointikriteeristön (PiTuKri)
- Julkisen hallinnon tiedonhallintalautakunnan ohjeet ja suositukset
- The Open Web Application Security Project (OWASP)
- The National Checklist Program (NCP), The National Institute of Standards and Technology (NIST)
Teksti ja kuvitus: Aaro Hallikainen