← Back to front page

Tietoturvan kehittämistä tietoturva-asetusta vasten


Taustaa

Asetus tietoturvallisuudesta valtionhallinnossa asetti viranomaisille uusia tietoturvallisuusvaatimuksia. Kyseiset vaatimukset on vyörytetty Ambientialle palvelusopimuksissa. Näin saimme annettuina tietoturva-asetuksen perusteella toteutettavat tietoturvatasot Ambientian tietoturvallisuuden kehittämisen pohjaksi. Vaatimustasoja on kolme: perustaso, korotettu taso ja korkea taso.

Toteutustyö

Aloitimme Ambientian tietoturvakäytäntöjen muuttamisen perustason vaatimusten mukaisiksi vuonna 2010, ja saimme työn valmiiksi loppuvuodesta 2012. Toteutustyö oli monestakin syystä todella pitkä. Yksi syistä on ollut se, että Ambientialla on ollut teknologiafirmalle tyypillinen tilanne. Olemme olleet monessa teknisessä vaatimuksessa valmiiksi korkealla tasolla, mutta hallinnollisella puolella tiettyjen perustason vaatimusten toteuttaminen on ollut erittäin hankalaa. Työ jatkuu nyt korotetun tason vaatimusten saavuttamiseksi siten, että tavoitteena on saada kaikki vaatimukset toteutettua noin helmikuun 2013 loppuun mennessä.

Ajatuksia projektista

Keräsimme muutamia ajatuksia, joista yksityinen yritys saattaisi hyötyä, jos päättää alkaa toteuttaa tietoturvatasojen vaatimuksia omassa toiminnassaan.

Hyviä speksejä vasten on mukava tehdä työtä. Useimmat tietoturvatasojen vaatimukset on suunniteltu hyvin, joten niitä on mukava täyttää. Kerrankin liiketoiminnassa joku määrittää oikean vastauksen! Sen jälkeen tarvitaan vain keinot vastauksen saavuttamiseksi.

Työhön menee paljon kalenteri- ja työaikaa. Ambientian kohdalla kaikkien vaatimusten toteuttamiseen on mennyt kalenteriaikana vuosia ja työaikanakin melkoisesti. Tietenkin, jos yrityksellä on mahdollista palkata päätoiminen tietoturva-asiantuntija tekemään tätä työtä, kalenteriaika varmasti vähenee. Ambientialla tietoturvatasojen kanssa töitä tehneillä ihmisillä on varsinainen päätyö erikseen.

Jokainen alihankkija lisää vaikeuskerrointa ja hitausmomenttia. Yksi hankalimmista asioista on tietoturvavaatimusten vyöryttäminen omasta organisaatiosta alihankkijoille. Jokainen alihankkija on useamman neuvottelun ja ainakin yhden sopimuksen paikka – ja niihin kaikkiin kuluu aikaa sekä neuvotteluintoa.

Henkilöstön pitää olla mukana tekemisessä. Olemme Ambientialla laittaneet kaiken oleellisen uuden materiaalin omaan intraamme kaikkien kommentoitavaksi. Sääntöjen muokkaaminen palautteen perusteella on poistanut monella tavalla muutosvastarinta, jota aina ilmenee. Toisaalta firman oma väki on fiksua, joten muutama mainio muutosehdotus on tuottanut kämmenen paukahduksen otsaan, kun ihmiset ovat ehdottaneet hyviä parannuksia.  Tuoreet silmät näkevät vain monesti asiat paremmin.

Hanki hyvä konsultti. Nixu ja eräät henkilöt ovat konsultoineet Ambientiaa tietoturvavaatimusten täyttämisen aikana. Vaikka varmasti toteutuksen kaikkien vaatimusten kohdalle voi keksiä itse, apu on monesti tervetullutta. Konsultilla on ollut hyvä ja opastava rooli, kun omat aivot ovat ollet jumissa.

Pidä projekti järjestyksessä. Tietoturvatyön seurauksena syntyy paljon dokumentteja ja tehtäviä. Olemme itse tehneet dokumentit Confluencen avulla ja käsitelleet tehtävät Jiralla. Ne ovat olleet työn kannalta erittäin oleellisia tukivälineitä.

ISO 27 001 ja ISO 27 002 -standardit kannattaa pitää vertailukohtana. Olemme Ambientialla tehneet tietyt asiat vaikeammin, kuin niitä on vaadittu, koska olemme verraneet työtämme myös ISO 27 000 -standardisarjan papereihin. Vaatimuksia tulee kerralla tietenkin lisää, mutta samalla työllä on mahdollista implementoida yritykseen monia kyseisen standardisarjan käytäntöjä. Se ei ole huono asia.

Tietoturvatasojen mukaisten vaatimusten täyttäminen on ollut hyvä harjoitus. Se on parantanut erityisesti hallinnollisen tietoturvan käytäntöjä Ambientialla ja lisännyt vakuuttavuuttamme asiakkaiden suuntaan.

One Response to “Tietoturvan kehittämistä tietoturva-asetusta vasten”

Please, leave us a message and we'll contact you.
You can also contact our Service Desk by phone +358 290 010 500 or email servicedesk@ambientia.fi.