Tietojen suojaaminen on tämän osa-alueen tärkein päämäärä. Muita olennaisia tähän osa-alueeseen liittyviä toimenpiteitä on listattuna liitteessä 5. Niitä ovat esimerkiksi käyttöoikeuksien määrittäminen, tiedostojen varmuuskopiointi ja palautus sekä tiedon turvallinen säilyttäminen ja tuhoaminen. Vaikka nämä toimet liittyvät vahvasti sähköiseen materiaaliin, ovat ne myös täysin päteviä paperisten dokumenttien käsittelyssä. Tämän osa-alueen sekä tietoturvan käsitteet muistuttavat hyvin paljon toisiaan ja joskus ne mielletäänkin virheellisesti samaksi asiaksi. [1]
Tietojen luokittelu
Huom! Tutustu myös tietojen luokittelu -aiheiseen YAMK opinnäytetyöhöni!
Tietoaineistojen turvaaminen kannattaa aloittaa informaation tunnistamisella ja luokittelulla. Kun kohteet on tunnistettu, voidaan toteuttaa tarvittavat suojatoimenpiteet.[2] Esimerkiksi työntekijöiden henkilötiedot ja liiketoiminnan kannalta tärkeät suunnitelmat ovat olennaisia turvattavia kohteita. Niiden päätyminen vääriin käsiin olisi yritykselle haitallista. Henkilötietojen käsittelyssä ja tallentamisessa on myös muistettava lainsäädännön määräykset.
Yrityksen päätettäväksi jää, miten tiedot luokitellaan. Helpoin tapa on jakaa informaatio salaisiin ja julkisiin dokumentteihin. Tämä voi kuitenkin olla liian karkea jako ja tuottaa ongelmia tiedon levittämisessä. Kolmen tai neljän luokan käyttäminen on monille yrityksille kaikkein yksinkertaisinta. Jakamalla tiedot julkisiin, sisäisiin, luottamuksellisiin ja salaisiin, saadaan aikaan jo monipuolinen jaotteluperiaate. Mikäli halutaan käyttää vain kolmea luokittelua, voidaan sisäiset tai luottamukselliset kategoriat jättää kokonaan pois. [3]
Tietojen käsittely ja säilyttäminen
Turvaluokittelun tekemisen ja ohjeistamisen jälkeen on työntekijöiden helpompi ymmärtää eri tietojen käsittelyn ja säilyttämisen periaatteita. Julkista informaatiota, kuten uusia tuotteita, voidaan esitellä esimerkiksi yrityksen Internet-sivuilla. Sisäisten, luottamuksellisten tai salaisten tietojen levittämisen periaatteet ovat yrityksen itse päätettävissä, kunhan sopimusten ja lainsäädännön vaikutus huomioidaan. Tyypillisesti luottamukselliseksi tai salaiseksi materiaaliksi määritellään arkaluontoiset dokumentit, kuten tuotesuunnitelmat ja palvelindokumentaatiot. [4]
Tietoturvallisten toimintatapojen edesauttamiseksi työntekijöille kannattaa ohjeistaa erilaisten materiaalien säilyttäminen ja tärkeiden tietojen varmuuskopioiminen. VAHTI – työryhmä on koonnut Valtiohallintoa varten kattavan dokumentin, joka sisältää parhaita käytäntöjä erityyppisten asiakirjojen luokitteluun, käsittelyyn ja säilyttämiseen. Vaikka ohje on suunnattu valtiolle, sisältää se silti tärkeää informaatiota jokaiselle yritykselle, joka haluaa hoitaa tietoaineiston turvaamisen asianmukaisesti. [5] Varmuuskopioinnissa on muistettava myös tiedon fyysinen turvallisuus. Mikäli dokumentteja on tallennettu esimerkiksi ulkoisille kiintolevyille, on ne myös suojattava asianmukaisin keinoin. Tallennusmedioita ei saa jättää sellaiselle paikalle, jossa niiden tietoturva on uhattuna.
Tietoaineiston hävittäminen
Erityyppisten aineistojen hävittämiseen on monia keinoja. Näkyvin esimerkki paperimateriaalin tuhoamiseen on polttaminen tai paperisilppureiden käyttö. Lopputulos on nähtävissä heti eikä tietoa voida palauttaa. [6] Sähköisten materiaalien tuhoaminen on yhtä helppoa ja tehokasta kuin fyysistenkin, kunhan toimintaohjeita noudatetaan. Pelkkä dokumentin poistaminen muistitikulta, tietokoneen kovalevyltä tai muulta tallennusmedialta, ei ole riittävää. Tiedoston muistipaikka tällöin vapautetaan, mutta sitä ei ylikirjoiteta.
Sähköisten tiedostojen turvalliseen hävittämiseen on olemassa erilaisia vaihtoehtoja. Yksi keino on tuhota tallennusmedia fyysisesti siten, että sitä on mahdotonta käyttää uudelleen. Toinen vaihtoehto on käyttää ylikirjoittamiseen kehitettyä sovellusta. Internetistä on saatavilla monia tällaisia ohjelmia sekä niiden käyttöohjeita. Jos tiedostoista halutaan lopullisesti eroon, on muistettava tuhota myös varmuuskopiot. Mikäli sähköisten materiaalien asianmukainen poistaminen laiminlyödään, voi siitä seurata ongelmia. Asiaan perehtyneet henkilöt pystyvät ilmaisohjelmien avulla palauttamaan datan tai osan niistä.
Lue seuraavaksi tietoliikenneturvallisuudesta tai palaa sisällysluetteloon.
Liitteen 5 sisältö: Tärkeimmät tietoaineiston turvallisuudessa huomioitavat ja dokumentoitavat asiat
(Lähteet: ISO/IEC 27001:fi 2006, 34; ISF 2007, 17)
Liite taulukkomuodossa opinnäytetyön liiteosiossa.
Inventaario
Tunnistetaan ja dokumentoidaan suojattavat kohteet.
Luokittelu
Luokitellaan ja merkitään suojattavat kohteet niiden tärkeyden mukaan. Omistaja Jokaisella kohteella on oltava omistaja, joka vastaa tiedon suojaamisesta ja käsittelystä.
Tiedon salaaminen
Kuvataan tiedon salaukseen liittyvät käytännöt ja periaatteet. Koskee niin tallennettavia, kuin käsiteltäviäkin tietoja.
Ohjeistaminen
Henkilöstölle on luotava ohjeita tiedon luokitteluun, käsittelyyn, tallentamiseen ja tuhoamiseen.
—
Lähteet
1 (Ruohonen 2002, 4; Hakala ym. 2006, 11.)
2 (Miettinen 2002, 132.)
3 (Raggad 2010, 6-8.)
4 (Raggad 2010, 6-8.)
5 (VAHTI 2000.)
6 (Laaksonen ym. 2006, 161.)