[Muokattu: 7.1.2004]

Muuan kokonaismalli turvaprosessista (3-A) [ < Tietoturvan rak... < Hallinto ]

Tässä luonnostellaan yhdenlainen malli sille, miten organisaatiossa saadaan tietoturva hallintaan. Siinä käytettävä baseline-lähestymistapa poikkeaa hieman arvojen ja uhkien punnintaan perustuvasta mallista. Pääasiallisena lähteenä on artikkeli The Perfect Security , A New World Order, kirjassa [ ISMH02 ] Sen 5. sivulla on kaavio, jonka seuraava vaiheistus panee jonoon (alkuperäisin numeroin).
  1. Baseline-arviointi, jossa kartoitetaan tietoturvan nykytila (ks. tarkistuslista jäljempänä),
  2. tuottaa raportin, jonka perusteella
  3. johto sitoutuu ja erityisesti
  4. myöntää rahoitusta, jolla
  5. turvatiimi pystyy laatimaan
  6. turva(rakenne)suunnitelman,
  7. jonka laadinnassa käytetään tarkempia arviointeja ja tutkimuksia, myös riskien hallinnan menettelyjä.
  8. Seuraavana tuloksena on yrityksen turvapolitiikka eri tasoineen.
  9. Siinä esiintyvät osina erityisesti
    • organisaation periaatteet ja ohjeistot, joita on voitu omaksua standardeista ja
    • tarkistuslistat ja proseduurit, joilla turvamenettelyjä toteutetaan.
  10. Paikka, johon turvallisuutta rakennetaan ikäänkuin "kuoreksi", on suojaa vaativan kohteen ja sen ympäristön välinen raja ('security perimeter', turvapiiri). Eri ympäristöjä on myös yrityksen sisällä, mutta erityinen kuori tarvitaan tietysti yrityksen ulkoreunalle. Suojauksen konkreettisia kohteita (tavallaan tietojen kantajina) on seuraavia tyyppejä:
    työasemat -- palvelimet -- tietokannat -- sovellukset -- verkon rakenteet.
  11. Tietoturvaloukkauksia voi sattua turvapiirillä ja niitä varten pitää olla suunniteltu käsittelytapa. Siihen liittyy
  12. raportointi johdolle, eikä vain käsitellyistä loukkauksista vaan myös siitä, miten niitä on pystytty estämään -- jotta rahoituksen tiedetään tehonneen.
  13. Turvallisuuden varsinaisia työkaluja ja rakennuspalikoita ovat turvamekanismit:
    salaus -- PKI -- VPN -- IDS -- Pääsynvalvonta -- Autentikointi -- Sisällön suodatus -- Virustorjunta.
  14. Alituista ylläpitoa tarvitaan mekanismien osalta (13). Se on myös yhtenä kohteena silloin kun tarkempaa kartoitusta tehdään (7).
  15. Turvatietoisuuden lisääminen yrityksessä liittyy tämän luettelon kohtiin 3-7. Sillä on merkitystä paitsi yritysjohdon myös kaikkien työntekijöiden kannalta ja se edellyttää heiltä politiikan (8) ja sen käytännön osien (9) tuntemusta ja niiden edellyttämien taitojen hallintaa. (Artikkelin kaavion pitänee ymmärtää ilmaisevan tämän kytkennän kohdan 6 eli turvasuunnitelman kautta.)

Se, että tietoturvallisuus on yrityksessä jokaisen asia ja osa arkipäivää, voitaisiin nimetä tietoturvan läpäisyperiaatteeksi.

Perustason kartoituksessa (vaihe 1 edellä) vastataan seuraavankaltaisiin kysymyksiin (jotka tosiaan ovat käsikirjassa tässä järjestyksessä, joskin monisanaisempina. Käytännössä tarkistuslista on pitempi ja kysymykset yksityiskohtaisempia, jolloin ne eivät ole näin laajoja.):