6 TIETOTURVAOPAS YRITYKSILLE OPPAAN KÄYTTÖ Viimeisen vuosikymmenen aikana viranomaiset, järjestöt ja yksilöt ovat laatineet lukuisia julkaisuja, joissa käsitellään kyberympäristön tietoturvahaasteisiin vastaamista. Erilaisia asiakirjoja ja suosituksia on niin paljon, että voi olla vaikeaa selvittää, mistä niihin perehtyminen pitäisi aloittaa ja mikä niistä soveltuu omalle organisaatiolle. Saatavilla olevien aineistojen kirjo on laaja (lueteltu yleisestä yksityiskohtaiseen): Suositukset – Korkean tason visioita, joissa kartoitetaan tietoturvan huolenaiheita, ja jotka tarjoavat suuntaviivat organisaatioille ja yksilöille. Esimerkkejä: OECD Security Guidelines (OECD:n turvallisuuden perusperiaatteet) jne. Kansalliset strategiat – Usein suosituksiin perustuvia asiakirjoja, joissa esitetään tiettyyn kansalliseen tai lainsäädäntöympäristöön räätälöity tapa käsitellä kyberturvallisuutta. Esimerkkejä: International Strategy to Secure Cyberspace (Kansainvälinen kyberympäristön turvaamisen strategia)3, Euroopan ja muiden maiden kansalliset strategiat jne. Viitekehykset – Kansallisista strategioista johdetut viitekehykset kokoavat yhteen priorisoituja tai arvioituja aineistoja, joiden avulla organisaatiot voivat vertailla kehitystasoaan ja edistymistään tietoturvariskien käsittelyssä. Esimerkkejä: National Institute of Standards and Technology (NIST) Cybersecurity Framework (Yhdysvaltain standardisointiviraston Kyberturvallisuuden viitekehys)5 jne. Standardit – Organisaation prosesseja ohjaavia tai sääteleviä vaatimuksia, joilla varmistetaan tietoturvan parhaiden käytäntöjen määrätietoinen ja johdonmukainen noudattaminen. Esimerkkejä: ISO 27001, 27002 ja 27032 -prosessistandardit, kansainväliset maksukorttialan tietoturvastandardit (PCIstandardit) jne. Tekniset standardit – Tiettyjen yhteentoimivuusvaatimusten mukaisten rajapintojen toteutuksen yksityiskohtaiset tekniset määrittelyt. Esimerkkejä: HTTPS, AES, EMV-sirukorttistandardi, PCIstandardit jne. Tämä kansainvälisiin tietoturvasuosituksiin ja kansallisiin strategioihin perustuva perusopas tarjoaa yrityksille viitekehyksen jonka avulla pohtia verkkoympäristöjen turvallisuutta. Oppaassa esitellään aluksi kaikenkokoisille yrityksille soveltuvat tietoturvariskien käsittelyn viisi periaatetta. Seuraavaksi oppaassa luetellaan eri lähteiden ja parhaiden käytäntöjen pohjalta muodostetut kuusi keskeistä tietoturvatoimenpidettä, jotka yritysten pitäisi ehdottomasti toteuttaa. Tämän jälkeen käsitellään näiden viiden periaatteen soveltamista toimintapolitiikkoihinorganisaatioiden tietoturvariskien hallinnan kehittämiseksi. Julkaisua täydentää jatkuvasti päivitettävä sähköinen liite, joka toimii ajantasaisena tausta-aineistona ja tarjoaa tarkempia ohjeita sitä mukaa kun niitä kehitetään – aina menettelyohjeista teknisiin standardeihin yms. Vaikka täydellistä turvaa ei voidakaan saavuttaa, tässä hahmotellut tietoturvariskien hallintaan liittyvät konseptit auttavat yrityksiä vastaamaan tietoturvan haasteisiin alati muuttuvassa toimintaympäristössä. Opas on hyödyllinen yksittäisille yrityksille, mutta sen ohjeita voi myös jakaa sidosryhmien kanssa omien järjestelmien ja toimintojen tiedonkulun ja -vaihdon turvaamiseksi. 3 http://www.whitehouse.gov/sites/default/files/rss_viewer/international_strategy_for_cyberspace.pdf 4 http://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/national-cyber- security-strategies-in-the-world 5 http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214.pdf
RkJQdWJsaXNoZXIy Mjk0MTY=