Blogi

Näin rakennat tietoturvan hallintajärjestelmän

Arterin tietoturvamalli on valmis tekninen pohja, jonka avulla voitte rakentaa organisaatiolle tietoturvan hallintajärjestelmän

Rakensimme 2021 Arterille oman tietoturvallisuuden hallintajärjestelmän, ja meille myönnettiin tietoturvallisuuden ISO 27001 -sertifikaatti kesäkuussa 2021. Hyödynsimme sertifikaatin haussa ARC-ohjelmistoa, johon tehtävät sekä dokumentaatio muodostuivat yhdistelmänä olemassa olevia kokonaisuuksia:

  • Arter Frameworkin mukaisista kokonaisarkkitehtuurikuvauksista sekä
  • ISO-standardin mukaisista listauksista esimerkiksi tietoturvan hallintakeinoista ja vaatimuksista.

Halusimme myös dokumentoida tavan, jolla rakensimme tietoturvan hallintajärjestelmän, jotta asiakkaamme voisivat hyödyntää ARCia ja valmista mallipohjaa vastaavissa tietoturvaprojekteissaan. Arterin uusi tietoturvavamalli ei siis käytännössä ole täysin uusi, vaan kevyt päivitys aiempaan tietoturvan hallintamalliimme.

Tässä blogissa kerromme päävaiheet tietoturvallisuuden hallintajärjestelmän rakentamiseen ARC-ohjelmiston avulla.

👉 Pidimme aiheesta lokakuussa 2021 webinaarin yhdessä Arterin konsultin Toni Vehmaanperän kanssa. >> Katso webinaari lataamalla tallenne tämän sivun alareunasta.

👉 Tutustu Arterin tietoturvallisuuden hallinta -palveluun tästä. 

Tietoturvallisuuden hallintajärjestelmän rakentaminen voidaan jakaa neljään päävaiheeseen:

1. Suojattavan omaisuuden tunnistaminen

Tässä vaiheessa määritellään, mitä organisaation kohteita tietoturvatyöllä pyritään turvaamaan eli tieto-omaisuus ja siihen liittyvät tietoturvavaatimukset.

Arterin omassa tietoturvamallissa suojattavat kohteet tulivat suoraan organisaatiomme jo ARCiin kuvatusta kokonaisarkkitehtuurista. Yleisimpiä suojattavia kohteita ovat:

  • järjestelmät,
  • laitteet,
  • prosessit sekä
  • tietoaineistot.

Otteita Arterin tietoturvan hallintajärjestelmästä:

Suojattavan omaisuuden tunnistaminen, klikkaa kuva isommaksi.
Suojattavan omaisuuden tunnistaminen, klikkaa kuva isommaksi.
Suojattavaa omaisuutta on paljon erilaista, klikkaa kuva isommaksi.
Suojattavaa omaisuutta on paljon erilaista, klikkaa kuva isommaksi.
Erilaisia suojattavan omaisuuden alalajeja dokumentoidaan omille malleilleen, klikkaa kuva isommaksi.
Erilaisia suojattavan omaisuuden alalajeja dokumentoidaan omille malleilleen, klikkaa kuva isommaksi.
Vaatimusten tunnistaminen, klikkaa kuva isommaksi.
Vaatimusten tunnistaminen, klikkaa kuva isommaksi.
ARC-ohjelmiston etusivu kokoaa erilaiset suojattavan omaisuuden kuvaukset yhdeksi näkymäksi. Klikkaa kuva isommaksi.
ARC-ohjelmiston etusivu kokoaa erilaiset suojattavan omaisuuden kuvaukset yhdeksi näkymäksi. Klikkaa kuva isommaksi.

2. Tietoturvariskien arviointi ja käsittely

Toisessa vaiheessa laaditaan riskilistaus ja kerätään tietoa riskiin liittyvistä vastuista, hallintakeinoista sekä riskin luokittelusta esimerkiksi sen vaikutuksen ja todennäköisyyden mukaisesti.

Esimerkki tietoriskien määrittelystä ja hallinnasta:

Tietoriskien määrittely ja hallinta. Klikkaa kuva isommaksi.
Tietoriskien määrittely ja hallinta. Klikkaa kuva isommaksi.

3. Hallintakeinojen valinta ja toteuttaminen

Hallintakeinojen avulla hallitaan riskiarviossa tunnistettuja riskejä. Esimerkiksi ISO 27001-standardi sisältää 114 hallintakeinoa.

Tiedonhallintalakiin liittyen on tulossa laajentava suositus, Vahti 100 -kortisto, joka tulee sisältämään nimensä mukaisesti 100 suositusta. Nykyisellään tiedonhallintalakiin on kirjattuna 13 tietosuojavaatimusta, jotka löydät listattuna myös tästä ladattavasta checklististä.

Osalle organisaatioista 114 hallintakeinoa ei ole tarpeeksi. Osa taas ei välttämättä tavoittele tietoturvajärjestelmän sertifiointia ja valitsee hallintakeinoista omaan toimintaansa sopivimmat. ARC-ohjelmisto mahdollistaa niin tarkan standardin mukaisen mallin, kuin siitä poikkeamisenkin.

Otteita Arterin tietoturvan hallintajärjestelmästä:

Hallintakeinojen valinta ja toteutus. Klikkaa kuva isommaksi.
Hallintakeinojen valinta ja toteutus. Klikkaa kuva isommaksi.
Esimerkkejä standardin hallintakeinoista. Klikkaa kuva isommaksi.
Esimerkkejä standardin hallintakeinoista. Klikkaa kuva isommaksi.

4. Hallintajärjestelmän vaikuttavuuden ylläpito, seuranta ja parantaminen

Tietoturvallisuuden hallintajärjestelmää tulee myös ylläpitää, seurata ja kehittää eteenpäin.

Hallintamalleihin kuuluu olennaisesti niiden ylläpitäminen ja jatkuva parantaminen

Arterilla mittaamme tietoturvan hallintamallista seuraavaa:

  • Osallistuvatko työntekijät tarjottuihin tietoturvakoulutuksiin?
  • Kuinka paljon saamme IMS-ympäristöömme määritellyn poikkeamaraportin mukaisia raportteja?
  • Onko tieto hallintajärjestelmässä ajan tasalla? Hyvänä esimerkkinä uuden tietojärjestelmän hankinta on tärkeä tarkistuspiste hallintajärjestelmälle, sen aikana päästään kokeilemaan mallin käytännön hyödyntämistä.

Tietoturvamalliin on laadittuna myös vuosikello, jonka mukaisesti tietoturvatiimi tekee tietoturvatyölle määriteltyjä toimenpiteitä tietyin väliajoin. Alla olevassa kuvassa on ote Arterin tietoturvan hallintajärjestelmän vuosikellosta.

Ote Arterin vuosikellosta
Ote Arterin vuosikellosta, klikkaa kuva isommaksi.

ARC toimii visualisoinnin ja tiedon kokoon keräämisen työkaluna

Hyödynsimme oman tietoturvamallimme laatimiseen ARC-ohjelmiston lisäksi myös IMS-ohjelmistoa dokumenttien, riskien sekä prosessien kuvaamisen osalta. Lue tästä lisää kuinka, olemme hyödyntäneet ARC- ja IMS-ohjelmistoja tietoturvallisuuden hallintajärjestelmän rakentamisessa.

Jos asiakkaallamme on käytössään muita työkaluja esimerkiksi riskien- tai dokumenttien hallintaan, on ARCiin on mahdollista luoda viittauksia kyseisiin järjestelmiin. ARC toimii tällöin visualisoinnin ja hajallaan olevan tiedon kokoon keräämisen työkaluna – hallintamallin kaikkien osien ei siis tarvitse sijaita ARC-ohjelmistossa vaan olemassa olevaa tietoa voidaan linkittää tietoturvallisuuden hallintamalliin.

Suosittelen tutustumaan myös:

Katso myös webinaari tietoturvallisuuden hallintajärjestelmän rakentamisesta täyttämällä alla oleva lomake. Saat tallenteen sähköpostiisi.

Täytä tietosi ja lataa webinaaritallenne

* merkityt kohdat ovat pakollisia.

Kirjoittaja

Mikko Tuominen on Arterin avainasiakaspäällikkö. Mikko auttaa löytämään parhaat ratkaisut toiminnan mallintamiseen juuri teidän organisaationne  tarpeiden mukaisesti. Mikon erityisosaamisiin kuuluvat muutoksenhallinta, kokonaisarkkitehtuuri, palveluiden johtaminen sekä tiedonhallinta.

Liittyvät materiaalit