Selvitys hallinnollisen tietoturvallisuuden käytännöistä pelastuslaitoksille
Kaipainen, Lauri (2015)
Kaipainen, Lauri
Laurea-ammattikorkeakoulu
2015
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201502041891
https://urn.fi/URN:NBN:fi:amk-201502041891
Tiivistelmä
Hallinnollisen tietoturvallisuuden tarkoituksena on ohjata organisaation tietoturvallisuutta parantavia ja ylläpitäviä toimenpiteitä, jotka suojelevat tiedon yhtenäisyyttä, saatavuutta ja luottamuksellisuutta. Pelastustoimen osalta tiedon hallinnoinnissa tulee ottaa huomioon tiedon suojelun lisäksi sen saatavuus, koska pelastustoimen viranomaiset ovat velvollisia antamaan hallinnoimistaan asiakirjoista tietoa viranomaisten toiminnan julkisuudesta säätävän lain (621/1999) nojalla, jos sille ei ole lainsäädännön asettamaa estettä. Edellä kuvatun avoimuusperiaatteen tarkoituksena on edistää kansanvaltaa antamalla kansalaisille paremmat mahdollisuudet seurata viranomaisten toimintaa.
Opinnäytetyön tarkoituksena on tehdä selvitys hallinnollisen tietoturvallisuuden käytännöistä, minkä tulokset kootaan yhdeksi dokumentiksi. Tämän dokumentin tarkoituksena on antaa ohjeita, miten hallinnollisen tietoturvallisuuden hyviä käytänteitä voitaisiin toteuttaa. Ohjeessa esitetyt toimintatavat perustuvat Valtionhallinnon tieto- ja kyberturvallisuustyöryhmän (VAHTI) julkaisemiin ohjeisiin. Opinnäytetyön toinen tavoite on kartoittaa, mitä mahdollisia hyötyjä Pelastusopisto saisi käyttämällä VAHTI–ohjeita ja Kansallista turvallisuusauditointikriteeristöä (KATAKRI) tietoturvallisuutensa toteuttamisessa.
Selvityksen tilaaja on Pelastusopisto, joka haluaa yhtenäistää pelastuslaitosten tietoturvaohjeistusta, koska pelastuslaitokset ovat ottamassa käyttöön uudet tietojärjestelmät. Nykyisin pelastuslaitokset tukeutuvat tietoturvaohjeissaan sen alueella olevien kuntien ohjeisiin, mikä tarkoittaa epäyhtenäisiä käytänteitä. Pelastusopisto on tämän vuoksi käynnistänyt hankkeen, jonka tarkoituksena on kehittää ja yhtenäistää pelastuslaitosten tietoturvallisuustoimintaa, minkä osana opinnäytetyö on.
Selvitys toteutettiin asiantuntijahaastatteluilla, joista saatua aineistoa käytettiin suoraan tulkintamateriaalina. Haastattelumateriaalista tarkasteltiin asiantuntijoiden lausuntoja ja niissä toistuvia näkemyksiä ja teemoja. Näistä tehtiin johtopäätökset, mitkä ovat asiantuntijoiden tiedon perusteella olennaisia seikkoja hallinnollisen tietoturvallisuuden toteutukseksi. Nämä seikat kirjattiin edellä mainittuun hallinnollisen tietoturvallisuuden toteutusohjeeseen.
Selvityksen mukaan hallinnollinen tietoturvallisuus tulisi toteuttaa tietoturvallisuuden johtamis- ja hallintajärjestelmänä, joka koostuisi seuraavista seikoista: tietoturvapolitiikasta, laatujohtamisen periaatteista, riskienhallintasuunnitelmasta, mittaamisesta ja tiedon luokittelusta. Mikäli yksikin näistä elementeistä puuttuu, hallinnollisen tietoturvallisuuden toteuttamisesta tulee vajavaista, eikä se pystyisi vastaamaan organisaatioon kohdistuviin tietoturvauhkiin.
Selvityksen tuloksia hyödyntämällä Pelastusopisto saa hyvät edellytykset luoda pelastuslaitoksille tietoturvallisuuden hallinta- ja johtamisjärjestelmän. Tämän järjestelmän etuna on, että se mahdollistaa tietoturvallisuustoiminnan muokkaantumisen organisaation muutosten mukana. Toisin sanoen, tietoturvallisuuden johtamis- ja hallintajärjestelmän ansiosta organisaatio pysyy ajan tasalla tietoturvallisuuteensa kohdistuvista riskeistä. Toinen merkittävä etu on, että pelastuslaitokset eivät tämän järjestelmän avulla käyttäisi tietoturvallisuuteen enempää resursseja kuin on välttämätöntä, koska järjestelmä suhteuttaa tietoturvallisuuden laajuuden organisaation toimintaan ja tiedon arvoon.
Opinnäytetyön tarkoituksena on tehdä selvitys hallinnollisen tietoturvallisuuden käytännöistä, minkä tulokset kootaan yhdeksi dokumentiksi. Tämän dokumentin tarkoituksena on antaa ohjeita, miten hallinnollisen tietoturvallisuuden hyviä käytänteitä voitaisiin toteuttaa. Ohjeessa esitetyt toimintatavat perustuvat Valtionhallinnon tieto- ja kyberturvallisuustyöryhmän (VAHTI) julkaisemiin ohjeisiin. Opinnäytetyön toinen tavoite on kartoittaa, mitä mahdollisia hyötyjä Pelastusopisto saisi käyttämällä VAHTI–ohjeita ja Kansallista turvallisuusauditointikriteeristöä (KATAKRI) tietoturvallisuutensa toteuttamisessa.
Selvityksen tilaaja on Pelastusopisto, joka haluaa yhtenäistää pelastuslaitosten tietoturvaohjeistusta, koska pelastuslaitokset ovat ottamassa käyttöön uudet tietojärjestelmät. Nykyisin pelastuslaitokset tukeutuvat tietoturvaohjeissaan sen alueella olevien kuntien ohjeisiin, mikä tarkoittaa epäyhtenäisiä käytänteitä. Pelastusopisto on tämän vuoksi käynnistänyt hankkeen, jonka tarkoituksena on kehittää ja yhtenäistää pelastuslaitosten tietoturvallisuustoimintaa, minkä osana opinnäytetyö on.
Selvitys toteutettiin asiantuntijahaastatteluilla, joista saatua aineistoa käytettiin suoraan tulkintamateriaalina. Haastattelumateriaalista tarkasteltiin asiantuntijoiden lausuntoja ja niissä toistuvia näkemyksiä ja teemoja. Näistä tehtiin johtopäätökset, mitkä ovat asiantuntijoiden tiedon perusteella olennaisia seikkoja hallinnollisen tietoturvallisuuden toteutukseksi. Nämä seikat kirjattiin edellä mainittuun hallinnollisen tietoturvallisuuden toteutusohjeeseen.
Selvityksen mukaan hallinnollinen tietoturvallisuus tulisi toteuttaa tietoturvallisuuden johtamis- ja hallintajärjestelmänä, joka koostuisi seuraavista seikoista: tietoturvapolitiikasta, laatujohtamisen periaatteista, riskienhallintasuunnitelmasta, mittaamisesta ja tiedon luokittelusta. Mikäli yksikin näistä elementeistä puuttuu, hallinnollisen tietoturvallisuuden toteuttamisesta tulee vajavaista, eikä se pystyisi vastaamaan organisaatioon kohdistuviin tietoturvauhkiin.
Selvityksen tuloksia hyödyntämällä Pelastusopisto saa hyvät edellytykset luoda pelastuslaitoksille tietoturvallisuuden hallinta- ja johtamisjärjestelmän. Tämän järjestelmän etuna on, että se mahdollistaa tietoturvallisuustoiminnan muokkaantumisen organisaation muutosten mukana. Toisin sanoen, tietoturvallisuuden johtamis- ja hallintajärjestelmän ansiosta organisaatio pysyy ajan tasalla tietoturvallisuuteensa kohdistuvista riskeistä. Toinen merkittävä etu on, että pelastuslaitokset eivät tämän järjestelmän avulla käyttäisi tietoturvallisuuteen enempää resursseja kuin on välttämätöntä, koska järjestelmä suhteuttaa tietoturvallisuuden laajuuden organisaation toimintaan ja tiedon arvoon.