Tulostusversio

3/2011

Standardit: Selkoa standardiviidakkoon

Teksti: Päivi Männikkö

Tietoturvastandardeista on hyötyä liiketoiminnalle, jos osaa valita oikeat standardit ja toimia niiden mukaan.

Ilman standardeja tietoturvassa olisi yhtä monta ratkaisua kuin tekijääkin. Tuotteet, palvelut ja tekniset ratkaisut olisivat vertailukelvottomia.

Ristiriitaista vain on, että tietoturvastandardejakin on lukuisia erityyppisiä.

"On virallisia standardeja laativia organisaatioita, kuten ISO, (International Organization for Standardization), IEC (International Electrotechnical Commission) ja ITU (International Telecommunication Union). Lisäksi on organisaatioita, jotka tekevät epävirallista standardointia", kertoo VTT:n tietoturva-asiantuntija, johtava tutkija Reijo Savola. Hän on ISO/IEC-tietoturvastandardisoinnin kansallisen seurantaryhmän puheenjohtaja.

"Ideana on, että epävirallisesta maailmasta parhaimmat ratkaisut siirtyvät viralliseen standardisointiin."

Käytännössä virallisia ja epävirallisia tietoturvastandardeja sovelletaan rinnakkain. 

"Mielestäni se kuvastaa integraation puutetta. On iso joukko standardeja, joissa on hyviä asioita, mutta yhdessäkään ei ole kaikkia hyviä asioita."

Virallisia ja epävirallisia standardeja

Epävirallisten tietoturvastandardien laatiminen saa usein alkunsa yrityksen tuotekehityksen tarpeista. Ne käsittelevät usein teknisiä ratkaisuja, kuten järjestelmäarkkitehtuureja, tietoliikenteen perustaa ja algoritmeja.

"Käytännössä yrityksen kannalta epäviralliset standardit voivat olla oleellisempia, jos ne liittyvät suoraan sen tuottamaan palveluun tai tuotteeseen."

Esimerkiksi tietyillä kriittisen infrastruktuurin aloilla, kuten pankeissa ja teollisuusautomaatiossa, toimialan omat tietoturvastandardit menevät yleisten standardien yli.

Virallisia tietoturvastandardeja voi soveltaa alalla kuin alalla. Siksi niissä keskitytään usein tietoturvallisuuden hallintaan, esimerkiksi vastuukysymyksiin. Ongelmana on usein liika yleisluontoisuus:

"Niissä sanotaan, että pitää määritellä tapoja hallita tietoturvariskejä, muttei välttämättä kerrota, miten se pitäisi tehdä", Savola havainnollistaa.

Virallisista standardeista sovitaan kansainvälisissä kokouksissa. Niissä standardisoitava asia jaetaan palasiin, joita eri työryhmät käsittelevät. Osallistujat hiovat standarditekstiä maiden kannanottojen mukaan.

"Standardin luonne täytyy tuoda esiin sen alussa; onko standardi esimerkiksi velvoittava vai ohjeellinen. Samoja ilmaisuja täytyy johdonmukaisesti käyttää koko standardidokumentaatiossa", Savola kertoo.

Soveltaminen vaatii vaivannäköä

Siihen, kuinka paljon tietoturvastandardeja Suomessa otetaan käyttöön, on Savolan mukaan vaikeaa vastata tyhjentävästi.

"Jos kysyy yritysten edustajilta, valtaosa varmaan vastaa, että he ovat hyvin aktiivisia."

Todellisuudessa varsinkin yleisten tietoturvastandardien käyttöönotto voi silti olla nihkeää.

"Mutta kyllä standardimaailma on osasyyllinen tilanteeseen. Standardiviidakko ei varmaan innosta ottamaan yhtä tiettyä ratkaisua käyttöön."

Etenkin pienet yritykset ovat todellisen haasteen edessä, kun ne yrittävät saada viidakosta selkoa.

”Pieni yritys voi käyttää apuna konsulttipalveluita, vaikka konsulteilla onkin toki oma näkökulmansa. Mitään poppakonstia ei ole. Yrityksessä tietoturvasta vastaavat henkilöt ovat avainroolissa tietoturvastandardeihin tutustumisessa, se vaatii heiltä paljon opiskelua.”

Tärkeää on myös, että yritys perehtyy hyvin toimintaansa liittyviin tietoturvariskeihin ja valitsee soveltamansa standardit niiden mukaan.

Yritys voi osoittaa tietoturvastandardien mukaista toimintaa sertifioinnilla. Se ei ole kuitenkaan ainoa oikea tie tietoturvalliseen toimintaan, Savola miettii. Sertifioinnin edellyttämä runsas dokumentaatio voi viedä voimat. 

”Varsinaisen toiminnan kannalta olennaista on oikealla tavalla tehty jalkautus. Liika dokumenttikeskeisyys voi viedä resurssit niin, ettei energia riitä varsinaiseen riskitietoiseen jalkautukseen.”

Riskiosaamista liian vähän

Hyvä tietoturvastandardi jättää liikkumavaraa mutta on toisaalta riittävän yksityiskohtainen niissä asioissa, joissa se on tarpeen. Yksityiskohtiin liittyvät linjaukset pitää tehdä pieteetillä, jotta standardi ei ohjaa tekemään ratkaisuja, jotka eivät torjukaan riskejä ajatellusti. Taustalla täytyy olla riittävästi ymmärtämystä riskeistä. Toki riskitkin muuttuvat.

”On myös mahdollista, että joku standardin ratkaisu voi pidemmällä tähtäimellä olla vääränlainen. Ehkä niitä ei pitäisi lyödä sillä tavalla lukkoon, ettei jotakin ratkaisua voisi korvata myöhemmin paremmalla.”

Kuinka suuri osa tietoturvastandardeista huomioi riskien muuttumisen?

”Hyvin pieni osa”, Savola naurahtaa.

Ongelmana on, että tietoturvan standardisoinnissa ei mietitä riittävästi riskien merkitystä sekä tekniikan että organisaation näkökulmasta. Standardeissa tätä onkin yleensä hyvin vaikeaa tehdä yleispätevästi: vastuu laadukkaasta, organisaation erityispiirteet huomioivasta riskienhallinnasta jää organisaatiolle itselleen.

Tavoitteena yksi standardiperhe

Savolan mukaan olisi toivottavaa, että jossakin vaiheessa tietoturvan teknisten ratkaisujen standardit ja hallinnan standardit yhdistyisivät. Yritysten olisi silloin helpompi hahmottaa, millaisia standardeja niiden kannattaisi noudattaa ja miten eri lähestymistavat liittyvät solmuttomasti. toisiinsa.

”Se vaatii asiaan paneutumista kansainvälisissä kokouksissa ja varmasti niissä näkyvästi esillä olevien suurten maiden strategiaa.”

Suomalaiset voisivat Savolan mukaan osaltaan vaikuttaa kehitykseen osallistumalla aktiivisesti kansainväliseen standardisointitoimintaan sekä kansallisen ISO/IEC-tietoturvastandardisoinnin seurantaryhmän toimintaan. Seurantaryhmä valmistelee Suomen kannanotot tietoturvastandardien luonnoksiin. Ryhmässä on tällä hetkellä kuutisenkymmentä jäsentä, mutta lisää kaivattaisiin.

Lue myös

Standardit: Yritykset mukaan »
Standardit: Kortin suojaksi »
Standardit: Tehokas mutta raskas PCI DSS »
Standardit: Myyjä ei näe kortin tietoja »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi
Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.