datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Tietoturvan suojaamistavoitteet ja niiden merkitys

André Saeckel

DQS Standard Expert for Information Security
marrask. 11 , 2022
# Tietoturva vs. tietoturva

Tietoturvan suojaustavoitteet ovat tiedon suojaamisen keskeisiä avainkohtia. Tieto edustaa jokaiselle yritykselle merkittävää taloudellista arvoa, eikä vasta nykyään. Se on niiden olemassaolon perusta ja siksi olennainen edellytys menestyksekkäälle liiketoiminnalle. Siksi on itsestään selvää - tai ainakin toivottavaa - että tietoa on suojattava. Toiveiden ja todellisuuden välillä on kuitenkin edelleen suuri kuilu.

SISÄLTÖ

Mitä ovat tietoturvan suojaustavoitteet?

Tietojenkäsittelyn puutteellisen tietoturvan vuoksi aiheutuu vuosittain miljardien dollarien vahingot. Mutta miten organisaation omaisuuden riittävä suojaaminen voidaan saavuttaa? Ja mikä on paras tapa, jolla yritys pääsee alkuun tietoturva-asioissa?

ISO/IEC 27001 -standardin mukainen hyvin jäsennelty tietoturvallisuuden hallintajärjestelmä (ISMS) tarjoaa optimaalisen perustan kokonaisvaltaisen turvallisuusstrategian tehokkaalle toteuttamiselle. Standardi tarjoaa mallin suojaustason käyttöönottoa, toteuttamista, seurantaa ja parantamista varten. Tämän saavuttamiseksi yritysten ja organisaatioiden olisi ensin käsiteltävä tietoturvan kolmea perustavaa laatua olevaa suojaustavoitetta:

  • Luottamuksellisuus
  • eheys
  • Saatavuus

Tietoturvan suojelutavoitteet: Tietojen luottamuksellisuus

Tavoitteena on suojata luottamukselliset tiedot luvattomalta käytöltä joko tietosuojalainsäädännön tai liikesalaisuuksien perusteella, jotka kuuluvat esimerkiksi -liikesalaisuuslain soveltamisalaan. Tietojen ja arkaluonteisten tietojen luottamuksellisuus on siis taattu, jos niihin pääsevät käsiksi vain ne henkilöt, joilla on siihen valtuudet (valtuutus). Pääsy tarkoittaa esimerkiksi lukemista, muokkaamista (muuttamista) tai jopa poistamista.

Toteutetuilla toimenpiteillä on siis varmistettava, että vain valtuutetuilla henkilöillä on pääsy luottamuksellisiin tietoihin - ei-valtuutetuilla henkilöillä ei missään tapauksessa. Tämä koskee myös paperilla olevia tietoja, jotka voivat olla suojaamattomina pöydällä ja houkutella lukemaan, tai sellaisten tietojen lähettämistä, joihin ei voida päästä käsiksi tietojen käsittelyn aikana.

Yrityksen tietoturvatasoa kuvaavat keskeisesti niiden toimenpiteiden toteuttaminen ja tehokkuus, joita yritys toteuttaa näiden suojaustavoitteiden saavuttamiseksi.

Kansainvälisesti tunnustetun tietoturvastandardin ISO 27001 käyttäjille (tai niistä kiinnostuneille) on erittäin hyödyllinen sen liite A. Liitteessä esitetään tavoitteet ja vertailutoimenpiteet tärkeimpiä tietoturvan kannalta merkityksellisiä tilanteita varten.

Valtuutettujen henkilöiden osalta on myös määriteltävä, minkälaiset käyttöoikeudet heillä on oltava, mitä he saavat tai mitä heiltä vaaditaan ja mitä he eivät saa tehdä. On varmistettava, että he eivät voi tehdä sitä, mitä he eivät saa tehdä. Tässä prosessissa käytettävät menetelmät ja tekniikat ovat erilaisia ja joissakin tapauksissa yrityskohtaisia.

Jos kyse on "vain" tietojen luvattomasta katselusta tai luovuttamisesta (myös siirron aikana, klassikko: sähköpostiliikenne!), voidaan käyttää salausmenetelmiä esimerkiksi luottamuksellisuuden suojaamiseksi. Jos tavoitteena on estää tietojen luvaton muuttaminen, tulee kyseeseen suojaustavoite "eheys".

ISO/IEC 27001:2013- Tietotekniikka - Tietoturvatekniikat - Tietoturvallisuuden hallintajärjestelmät - Vaatimukset
Standardi on saatavissa ISOn verkkosivuilta.

Tietoturvallisuuden suojaustavoitteet: Tietojen eheys

Tekninen termi eheys liittyy samanaikaisesti useisiin vaatimuksiin:

  • Tiedon tahattoman muuttamisen on oltava mahdotonta tai ainakin havaittavissa ja jäljitettävissä. Käytännössä sovelletaan seuraavaa porrastusta:
    - Korkea (vahva) eheys estää tahattomat muutokset.
    - Alhainen (heikko) eheys ei ehkä estä muutoksia, mutta varmistaa, että (tahattomat) muutokset voidaan havaita ja tarvittaessa jäljittää (jäljitettävyys).
  • Tietojen ja järjestelmien luotettavuus on taattava.
  • Tietojen täydellisyys on taattava.

Tiedon eheyden parantamiseen tähtäävät toimenpiteet kohdistuvat siis myös käyttöoikeuksien myöntämiseen yhdessä ulkoisilta ja sisäisiltä hyökkäyksiltä suojautumisen kanssa.

"Vaikka sanat " luottamuksellisuus" ja "saatavuus " ovat helposti ymmärrettäviä, lähes itsestään selviä, tietoturvan klassisten suojaustavoitteiden kannalta, tekninen termi"eheys" vaatii jonkin verran selitystä. Sillä tarkoitetaan (tietojen ja järjestelmien) oikeellisuutta, täydellisyyttä tai (muutosten) jäljitettävyyttä."

Tietoturvallisuuden suojelutavoitteet: Tietojen saatavuus

Tietojen saatavuudella tarkoitetaan sitä, että näiden tietojen, mukaan lukien tarvittavat tietojärjestelmät, on oltava milloin tahansa kaikkien valtuutettujen henkilöiden saatavilla ja käytettävä (toiminnassa) tarvittavassa laajuudessa. Jos järjestelmä ei toimi tai rakennukseen ei pääse, vaaditut tiedot eivät ole käytettävissä. Tietyissä tapauksissa tämä voi johtaa häiriöihin, joilla on kauaskantoisia seurauksia esimerkiksi prosessien ylläpidossa.

Siksi on järkevää tehdä riskianalyysi, jossa tarkastellaan järjestelmän vikaantumisen todennäköisyyttä, sen mahdollista kestoa ja tietoturvan puutteesta mahdollisesti aiheutuvia vahinkoja. Tuloksista voidaan johtaa tehokkaita vastatoimia, jotka voidaan toteuttaa pahimman varalle.

Mitä ovat "laajennetut" suojaustavoitteet?

Luottamuksellisuuden, eheyden ja käytettävyyden tietoturvatavoitteiden lisäksi on olemassa kolme ylimääräistä tietoturvatavoitetta. Näihin kuuluvat kaksi toisiaan täydentävää näkökohtaa: "sitoutuminen" ja "vastuullisuus". Edellinen tarkoittaa sen varmistamista, että toimija ei voi kieltää toimintaansa, jälkimmäinen sitä, että toiminta voidaan luotettavasti osoittaa toimijaksi. Molemmat tarkoittavat toimijoiden yksilöllistä tunnistettavuutta, ja yksilöllisten salasanojen antaminen on tämän vähimmäisvaatimus.

Kolmas laajennettu suojaustavoite on "aitous" eli aitous. Yksinkertainen kysymys tässä yhteydessä on: Onko tieto aitoa - tuleeko se todella määritellystä lähteestä? Tämä suojaustavoite on tärkeä lähteen luotettavuuden arvioimiseksi.

Man and a woman with a laptop in a server room

Arvokas tieto on nykypäivän kultaa - ja myös yrityksesi suojattava omaisuuserä. Lue vastaukset kysymyksiin tärkeimmät kysymykset ISO 27001:stä täällä.

Tietoturvallisuuden suojelutavoitteet: Johtopäätös

Tietoturvan kolme tärkeintä suojaustavoitetta ovat "luottamuksellisuus", "eheys" ja "saatavuus".

Luottamuksellisuus: Tietosuoja: Sen takaamiseksi on määriteltävä selkeästi, kenellä on oikeus päästä käsiksi arkaluonteisiin tietoihin ja millä tavalla. Tämä liittyy asianmukaisiin käyttöoikeuksiin ja esimerkiksi salaustekniikoiden käyttöön.

Eheys tarkoittaa suojaa tietojen luvatonta muuttamista ja poistamista vastaan sekä tietojen luotettavuutta ja täydellisyyttä. Yrityksesi on siis tärkeää ryhtyä varotoimiin, joilla havaitaan nopeasti tietoihin tehdyt muutokset tai estetään luvaton manipulointi alusta alkaen.

Saatavuus tarkoittaa, että tietojen, järjestelmien ja rakennusten on oltava aina valtuutettujen henkilöiden käytettävissä. Koska esimerkiksi järjestelmähäiriöihin liittyy suuria riskejä, tästä aihekokonaisuudesta olisi tehtävä riskianalyysi. Kirjaa tähän vikaantumistodennäköisyys, käyttökatkokset ja välttämättömimpien järjestelmien vahinkopotentiaali.

Sitoutuminen, vastuullisuus ja aitous ovat "laajennettuja" suojaustavoitteita.

Sitoutumisella tarkoitetaan sitä, että toimija ei voi kieltää tekojaan. Vastuullisuus täydentää tätä laajennettua suojaustavoitetta tunnistamalla toimijan selkeästi. Aitous kysyy kysymyksen: Onko tieto aitoa tai luotettavaa?

DQS - Mitä voit odottaa meiltä?

Tietoturva on monimutkainen aihe, joka ulottuu paljon tietoturvaa laajemmalle. Siihen sisältyy teknisiä, organisatorisia ja infrastruktuuriin liittyviä näkökohtia. Kansainvälinen standardi ISO/IEC 27001 soveltuu tehokkaisiin suojatoimenpiteisiin tietoturvallisuuden hallintajärjestelmän (ISMS) muodossa.

DQS on asiantuntijasi johtamisjärjestelmien ja -prosessien auditoinneissa ja sertifioinneissa. Meillä on 35 vuoden kokemus ja 2500 auditoijan tietotaito maailmanlaajuisesti, joten olemme pätevä sertifiointikumppanisi ja vastaamme kaikkiin ISO 27001 -standardia ja tietoturvallisuuden hallintajärjestelmiä koskeviin kysymyksiin.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

Vastaamme mielellämme kysymyksiisi

Kuinka paljon vaivaa on odotettavissa, jotta tietoturvallisuuden hallintajärjestelmäsi sertifioidaan ISO 27001-standardin mukaisesti? Ota selvää. Ilman velvoitteita ja maksutta.

Contact us

Luottamus ja asiantuntemus

Tekstimme ja esitteemme ovat yksinomaan standardien asiantuntijoidemme tai auditoijiemme kirjoittamia, joilla on monen vuoden kokemus. Jos sinulla on kysyttävää tekstin sisällöstä tai palveluistamme kirjoittajallemme, lähetä meille rohkeasti sähköpostia.

Kirjoittaja
André Saeckel

Product manager at DQS for information security management. As a standards expert for the area of information security and IT security catalog (critical infrastructures), André Säckel is responsible for the following standards and industry-specific standards, among others: ISO 27001, ISIS12, ISO 20000-1, KRITIS and TISAX (information security in the automotive industry). He is also a member of the ISO/IEC JTC 1/SC 27/WG 1 working group as a national delegate of the German Institute for Standardization DIN.

Onko kysyttävää?

Olemme täällä sinua varten.
Ota yhteyttä