Toimitilat tietoturvallisuuden korotetulle tasolle valtionhallinnossa
Ronkainen, Maija (2016)
Laurea-ammattikorkeakoulu
2016
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2016081913746
https://urn.fi/URN:NBN:fi:amk-2016081913746
Tiivistelmä
Valtionhallinnon organisaatiot, joissa käsitellään salassa pidettäviä tietoja jotka aiheuttavat paljastuessaan tai väärin käytettäessä vahinkoa yleiselle tai yksityiselle edulle, ovat velvollisia luomaan tietojen käsittelylle tavallista tiukemmat suojaustoimenpiteet. Tämä opinnäytetyö on suunnattu kaikille sellaisille organisaatioille, joita tämä velvoite koskee, sekä toimeksiannon antaneelle salassa pysyvälle kohdeorganisaatiolle.
Tämän opinnäytetyön tarkoituksena oli luoda yksi valtionhallinnon organisaatioiden hyödynnettäväksi tarkoitettu toimenpidesuunnitelma ja yksi kohdeorganisaation hyödynnettäväksi tarkoitettu salassa pidettävä toimenpidesuunnitelma siitä, miten organisaation toimitilat saadaan tietoturvallisuuden korotetulle tasolle. Korotetun tason vaatimukset määräytyvät VAHTI 2/2013 toimitilojen tietoturvaohjeen sekä tietoturva-asetuksen (681/2010) pohjalta. Säädösympäristö luo tälle työlle muutenkin vahvan viitekehyksen, minkä lisäksi tutkimusmenetelmänä käytetyn kirjallisuuskatsauksen pohjalta erinäiset kirjalliset lähteet ja kriteeristöt ovat vaikuttaneet tietoperustaan.
Muita tutkimusmenetelmiä olivat haastattelut ja benchmarking. Haastatteluilla hankittiin tietoa kohdeorganisaation tilanteesta ja edellytyksistä toimitilojen tietoturvallisuuden suhteen, ja benchmarkingilla etsittiin hyviä käytäntöjä ja kokemuksia muista valtionhallinnon organisaatioista. Tuloksien perusteella rakennettiin toimenpidesuunnitelmat.
Tuloksissa käy ilmi, että toimitilojen tietoturvallisuuden korottamisessa tulisi ottaa vahvasti huomioon riskiarviointi eikä noudattaa sokeasti VAHTI-kriteeristöjä. Lisäksi on tärkeää huo-mioida henkilöstön merkitys toimitilojen turvallisuuden ylläpidossa, sillä fyysiset suojaustoimenpiteet ovat tehokkaimmillaan, kun henkilöstö toimii oikein. Nämä asiat on pyritty huomioimaan toimenpidesuunnitelmissa. VAHTI-säännösympäristö muuttuu vuoden vaihteessa, ja se tulee varmasti tarjoamaan tälle työlle monia jatkokehitysmahdollisuuksia.
Tämän opinnäytetyön tarkoituksena oli luoda yksi valtionhallinnon organisaatioiden hyödynnettäväksi tarkoitettu toimenpidesuunnitelma ja yksi kohdeorganisaation hyödynnettäväksi tarkoitettu salassa pidettävä toimenpidesuunnitelma siitä, miten organisaation toimitilat saadaan tietoturvallisuuden korotetulle tasolle. Korotetun tason vaatimukset määräytyvät VAHTI 2/2013 toimitilojen tietoturvaohjeen sekä tietoturva-asetuksen (681/2010) pohjalta. Säädösympäristö luo tälle työlle muutenkin vahvan viitekehyksen, minkä lisäksi tutkimusmenetelmänä käytetyn kirjallisuuskatsauksen pohjalta erinäiset kirjalliset lähteet ja kriteeristöt ovat vaikuttaneet tietoperustaan.
Muita tutkimusmenetelmiä olivat haastattelut ja benchmarking. Haastatteluilla hankittiin tietoa kohdeorganisaation tilanteesta ja edellytyksistä toimitilojen tietoturvallisuuden suhteen, ja benchmarkingilla etsittiin hyviä käytäntöjä ja kokemuksia muista valtionhallinnon organisaatioista. Tuloksien perusteella rakennettiin toimenpidesuunnitelmat.
Tuloksissa käy ilmi, että toimitilojen tietoturvallisuuden korottamisessa tulisi ottaa vahvasti huomioon riskiarviointi eikä noudattaa sokeasti VAHTI-kriteeristöjä. Lisäksi on tärkeää huo-mioida henkilöstön merkitys toimitilojen turvallisuuden ylläpidossa, sillä fyysiset suojaustoimenpiteet ovat tehokkaimmillaan, kun henkilöstö toimii oikein. Nämä asiat on pyritty huomioimaan toimenpidesuunnitelmissa. VAHTI-säännösympäristö muuttuu vuoden vaihteessa, ja se tulee varmasti tarjoamaan tälle työlle monia jatkokehitysmahdollisuuksia.