Tulostusversio

1/2014

Turvallinen järjestelmä ei ole sattumaa

Teksti: Antti J. Lagus

Viestintävirastolla on ISO/IEC 27001:2005 -standardin mukainen tietoturvallisuuden hallintajärjestelmän sertifikaatti. Standardi kattaa kaikki tietoturvallisuuden hallinnan osa-alueet, mukaan lukien tietojärjestelmien kehittämisen ja ylläpidon.

Kun Viestintävirastossa otetaan uusia tietojärjestelmiä käyttöön, niille tehdään tietoturva-arviointi ja haavoittuvuustestaus. Niissä selvitetään, että järjestelmään määritellyt turvallisuuspiirteet on todella toteutettu. Lisäksi varmistetaan, ettei toteutuksen aikana ole tullut haavoittuvuuksia. Niitä voi tulla esimerkiksi käytettyjen valmiskomponenttien mukana.

Riskienhallintapäällikkö Marko Buuri muistuttaa kuitenkin, ettei kaikkia organisaation tietoverkkoon ja sieltä ulos johtavia kanavia voida hallita sataprosenttisesti.

”Tietyt uhkat voidaan torjua automatisoinnilla, mutta osa jää käyttäjän valveutuneisuuden varaan, esimerkiksi sen varaan, osaako työntekijä epäillä sähköpostiinsa saamaansa PDF-tiedostoa.”

Varaa aikaa arviointiin

Turvallisia tietojärjestelmiä ei Buurin mukaan synny sattumalta. Projektin alkuvaiheessa käydäänkin läpi riskipohdinnat siitä, millaisessa roolissa järjestelmä tulee olemaan ja mitä materiaaleja siinä käsitellään.

”Meillä on myös koko joukko vakioituja, ei-toiminnallisia vaatimuksia, jotka kuvaavat sitä, minkälaisia turvaominaisuuksia järjestelmällä pitää olla”, Buuri kertoo.

Esimerkiksi salausalgoritmien käyttö rajataan turvallisiksi tunnettuihin algoritmeihin. Käyttäjätunnistuksessa puolestaan käytetään vakioitua luetteloa.

Projektin aikana Viestintävirastolla on arkkitehtuuri- ja tietoturvaportteja, joissa katselmoidaan tuotetta ja varmistetaan, että se vastaa vaatimuksia. Projektin aikataulussa on myös keskeistä ottaa huomioon haavoittuvuusarviointi, sillä, kuten Buuri huomauttaa, ohjelmistoprojektit valmistuvat harvoin etuajassa. Näin vältytään siltä kiusaukselta, että jätetään arviointi vasta tuotannossa olevaan järjestelmään.

Ennakointi vähentää korjauksia

Tulivatpa korjaukset missä vaiheessa tahansa, ne ovat kalliita ja työläitä ja aiheuttavat usein projektin myöhästymisen.

Marko Buuri korostaa sitä, että riskiarvioinnissa on oleellista pohtia, mihin ympäristöön ohjelmisto tulee. Internetissä käytettävä ohjelmisto on aivan eri asia kuin organisaation sisäverkossa käytettävä järjestelmä. Myös sisäisille järjestelmille tehdään kuitenkin haavoittuvuustestaus.

Käytännössä kaikkein korkeimman käytettävyysvaatimuksen järjestelmiä käytetään omissa ympäristöissään, joihin ei ole verkkoyhteyksiä sisään eikä ulos. Buuri muistuttaa, että näihinkin verkkoihin voidaan yrittää hyökätä esimerkiksi muistitikkuja käyttämällä.

Lue myös

Tietoturva alkaa ohjelmistosuunnittelusta »
Ohjelmistoturvallisuuden viisi vinkkiä »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.