Kaikkien yrityksen teknisten laitteiden suojaamista kutsutaan yhteisellä nimellä laitteistoturvallisuudeksi. Erityisesti tietoturvan näkökulmasta tärkeitä kohteita ovat esimerkiksi kannettavat tietokoneet, palvelimet, tulostimet ja matkapuhelimet. Suojamekanismien käyttöönoton jälkeen kannattaa ne kirjata erilliseen asiakirjaan. Laitteistodokumentaation tekemisen lisäksi muita olennaisia asioita on mainittu liitteessä 3. Erityisesti henkilöstön tutustuttaminen laitteistopolitiikkaan ja muihin yleisiin ohjeisiin on erittäin tärkeää. [1] Moni ei välttämättä tiedä, että esimerkiksi hajonneen tietokoneen kovalevyjen sisältö saattaa olla luettavissa, vaikka kone itsessään ei olisi toimiva.
Laitteiston turvaaminen
Laitteistoturvallisuuden suunnittelu ja toteutus voidaan aloittaa esimerkiksi inventaariolla. Yrityksen kannattaa selvittää, mitä laitteita on käytössä ja millaisia suojauksia ne vaativat. Yritysjohto voi määritellä omien laitteiden käyttöpolitiikan. Mikäli työpaikka tarjoaa henkilöstölleen kannettavan tietokoneen, ei työntekijällä pitäisi olla tarvetta tuoda omaa tietokonetta yrityksen tiloihin. Ylimääräiset laitteet ovat aina riski tietoturvalle. Esimerkiksi työntekijän omasta kannettavasta tietokoneesta voi levitä haittaohjelma yrityksen tietoverkkoon.
Tietoturvaan vaikuttaa myös laitteiden sijainti. Yrityksen kannattaa suojata toimitiloissa olevat laitteet siten, että varkauksien ja muiden fyysisten uhkien riskitekijät ovat mahdollisimman pienet. Esimerkiksi tietokoneita ei kannata sijoittaa poistumisteiden läheisyyteen, josta ne ovat helposti kannettavissa ulos. Vaikka yrityksen työntekijöitä olisikin paikalla, he eivät välttämättä pysty huomaamaan tai estämään varkautta. Kiinteistöjen hälytysjärjestelmät saattavat olla päivällä pois päältä, mikä helpottaa varkaita toimimaan nopeammin. [2]
Muita laitteistoturvallisuuteen vaikuttavia tekijöitä ovat erilaiset lukitukset ja pääsynvalvonta. Erityisesti kannettavissa tietokoneissa on useasti erillinen paikka kaapelilukolle. Sen avulla on mahdollista lukita laite johonkin kiinteään esineeseen, kuten pöytään. Pääsynvalvonnan tavoite on, että ulkopuoliset henkilöt eivät pysty käyttämään laitetta luvatta. Esimerkiksi palvelinhuoneen tietokoneiden luvaton käyttö tulee estää fyysisesti ja mahdollisten etäyhteyksien kautta. [3]
Laitteiston huoltaminen
Pitämällä laitteet toimintakuntoisina, voidaan välttyä odottamattomilta ongelmilta. Esimerkiksi palvelimen hajoaminen tuottaa ylimääräisiä töitä ja kustannuksia. Rikkoutumisia voidaan vähentää varmistamalla jatkuva sähkönsyöttö ja suojaamalla laitteet ulkoisilta uhkatekijöiltä. Näitä ovat esimerkiksi vedestä ja lämpötilan vaihteluista johtuvat ongelmat. Yritysjohdon kannattaa miettiä myös huolto- ja ylläpitosopimusten tekemistä laitteiden osalta. Tavoitteena on, että ongelmatilanteessa tietojen luottamuksellisuus, eheys ja saatavuus säilyvät. Mikäli ylläpito laiminlyödään, voi rikkoutuneen laitteen mukana kadota paljon yritykselle tärkeitä tietoja. Kun laitteet hajoavat, pitää ne muistaa poistaa käytöstä asianmukaisilla tavoilla. [4]
Laitteiston dokumentointi
Tietokoneiden ja muiden laitteiden ylläpitoa helpottaa kunnollinen laitteistodokumentaatio. Asiakirjaan kannattaa sisällyttää koneiden ominaisuudet, komponentit, asennetut ohjelmistot, mahdolliset huoltosopimukset ja muut tarvittavat asiat. Laitteiden tunnistamista helpottaa niiden merkitseminen. Esimerkiksi kannettavan tietokoneen pohjaan voidaan laittaa tarralappu, joka vastaa tiettyä tietuetta laitteistodokumentaatiossa. [5]
Lue seuraavaksi ohjelmistoturvallisuudesta tai palaa sisällysluetteloon.
Liitteen 3 sisältö: Tärkeimmät laitteistoturvallisuudessa huomioitavat ja dokumentoitavat asiat
(Lähteet: ISO/IEC 27001:fi 2006, 38–40; ISF 2007, 32–40)
Liitteet taulukkomuodossa opinnäytetyön liiteosiossa.
Inventaario
Tunnistetaan ja dokumentoidaan suojattavat kohteet, niiden tärkeys sekä omistaja. Laitteet olisi hyvä myös merkitä fyysisesti.
Laitteistopolitiikka
Dokumentoidaan mitä laitteita saa ja ei saa käyttää. Esimerkkinä omien tietokoneiden ja tallennusmedioiden käyttö.
Laitteistodokumentaatio
Laitteiden ominaisuuksien, resurssien, käyttöoikeuksien sekä -ohjeiden dokumentointi. Myös laitteisiin tehdyt muutokset tulee dokumentoida esimerkiksi päiväkirjamaisesti.
Yleinen suojaus
Kuvataan vesi-, tuli- ja sähkövahingoiden sekä varkauden estämiseksi tehdyt suojatoimenpiteet.
Käyttöoikeudet
Laitteiden käyttöoikeuksien tekninen ja hallinnollinen toteuttaminen, sekä tietojen dokumentointi.
Sopimukset
Mahdollisten huolto- ja ylläpitosopimusten laatiminen ja dokumentointi. Ohjeistaminen Laitteiden käytön kouluttaminen kirjallisesti ja suullisesti.
Käytöstä poistaminen
Kirjataan toimenpiteet, jotka laitteelle on suoritettava ennen sen poistamista käytöstä. Esimerkkinä kovalevyjen ylikirjoittaminen.
—
Lähteet
1 (Miettinen 1999, 221.)
2 (Laaksonen ym. 2006, 126.)
3 (Miettinen 1999, 222–223.)
4 (Hakala ym. 2006, 308.)
5 (Miettinen 1999, 224.)