Tulostusversio

4/2010

Tietoturva: Standardeilla mittaa tietoturvasta

Teksti: Juha Vartiainen

Tietoturvallisuuden mittaaminen on verraten uusi ala - osin vielä tutkimuskohde - mutta sitä vaaditaan yhä useammin. Se saatetaan kokea hankalaksi, ja esimerkiksi mittareiden valinta voi tuottaa vaikeuksia. Standardeista voi olla apua.

Tietoturvallisuutta mitataan, jotta yrityksen liiketoiminnan kannalta kriittisen tietoturvallisuuden taso paranisi. Mittaamisella johto hakee lähtötietoja päätöksenteon tueksi ja tarvittavien parannusten perusteluiksi.

Mitä mitataan?

Tyypillisiä mittauskohteita ovat tietoturvapoikkeamat ja tietoturvatoiminta sekä niissä vertailujakson aikana tapahtuneet muutokset.

Tietoturvatoiminta voi olla joukko yksittäisiä toimenpiteitä tai kattavampi tietoturvariskien hallitsemiseksi toteutettu kokonaisuus, tietoturvallisuuden hallintajärjestelmä. Siihen kuuluvat ne menettelyt, joilla johdetaan, ohjataan ja valvotaan tietoturvallisuusvaatimusten toteuttamista. Tietoturvallisuuden hallintajärjestelmä perustuu usein ISO/IEC 27001 -standardiin (aiemmin ISO/IEC 17799).

Hallintajärjestelmän mittaaminen selvittää, missä laajuudessa turvallisuusvaatimukset täyttyvät ja siten auttaa arvioimaan sen vaikuttavuutta.

Arviointia varten

Tietoturvallisuuden mittaamisen olisi hyvä perustua suunnitelmaan, mittausohjelmaan. Siinä määritellään mittausaikataulu ja -kohteet.

Mittausohjelma kannustaa organisaatiota antamaan luotettavaa tietoa sidosryhmille tietoturvariskeistä ja hallintajärjestelmän tasosta. Siitä on myös hyötyä hallintajärjestelmän standardin vaatimustenmukaisuuden osoittamisessa ja se antaa lisänäyttöä johdon katselmuksia ja tietoturvariskien hallintaprosesseja varten.

Mittausohjelma auttaa johtoa tunnistamaan ja arvioimaan vaatimuksista poikkeavat ja tehottomat hallintajärjestelmän prosessit ja turvamekanismit. Samalla johto voi päättää, mitkä toimet ovat tarpeen niiden parantamiseksi ja muuttamiseksi.

Kertyneiden mittaustulosten perusteella voidaan arvioida, kuinka tietoturvallisuuden tavoitteet ovat toteutuneet tietyllä aikavälillä. Arviointi kuuluu hallintajärjestelmän jatkuvaan parantamiseen.

Soveltamisen taito

Tietoturvallisuuden mittaamiseen on kehitetty oma kansainvälinen standardinsa, SFS-ISO/IEC 27004. Se auttaa muun muassa löytämään sellaisia mittareita, joilla voidaan arvioida erityisesti standardin mukaisen hallintajärjestelmän ja turvamekanismien vaikuttavuutta. Näin se tukee hallintajärjestelmän uudistamista.

Mittausstandardin mukainen arviointi kattaa organisaation toimintaperiaatteet, tietoturvallisuuden riskienhallinnan, valvontatavoitteet, turvamekanismit, prosessit ja menettelyt.

Standardissa esitetty mittaaminen soveltuu hyvin selkeisiin turvamekanismeihin, kuten tietoturvaohjeistukseen tai salasanoihin. On kuitenkin huomattava, että turvamekanismien mittaus ei voi taata täydellistä tietoturvallisuutta.

Koko lähestymistapaa voi perustellusti myös kritisoida: Onko edes mahdollista mitata piirteitä, jotka liittyvät seurauksiltaan vakaviin, mutta harvoin toistuviin tai jopa ainutkertaisiin tapahtumiin?

Viime kädessä standardin ja mittausohjelman rooli on formalisoida ja pelkistää mittaamiseen liittyvät kysymykset. Oikein valittujen mittarien asettamisessa tekijöiden ammattitaito ja kokemus vain korostuvat.

----

[KIRJOITTAJA]

Juha Vartiainen työskentelee IT-standardisoinnin asiantuntijana Suomen Standardisoimisliitto SFS ry:llä vastuualueenaan muun muassa kansainväliset tietoturvastandardit.

Lue myös

Tietoturva: Mistä näitä standardeja oikein tulee? »
Tietoturva: Viestintävirastolle tietoturvasertifikaatti »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi
Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.