Mitä on käyttö- ja tietoliikenneturvallisuus?

Virtustorjunta tai palomuuri itsessään eivät riitä takaamaan järjestelmien käyttöturvallisuutta. Siksi käyttäjien tulee noudattaa hyviä tietoturvakäytäntöjä. Tämä koskee IT-tukihenkilöiden lisäksi myös tavallisia työntekijöitä.

Käyttöturvallisuus = tietojärjestelmän turvallinen ja huolellinen käyttö

Hyvän tietoliikenneturvallisuuden 11 vaihetta:

1. Menettelyohjeet ja velvollisuudet
     -kirjalliset operointiohjeet
     -tehtävien eriyttäminen
     -kehitys-, testi-, ja tuotantoympäristöjen erottaminen

2.Ulkoisten palveluiden tietoturva
      -palveluntarjoajan turvallisuussuunnitelmien tarkistus
      -määrävälein tapahtuvat katselmoinnit
      -palveluissa tapahtuvien muutosten hallinta

3.Järjestelmän suunnittelu ja hyväksyntä
     
4.Haittaohjelmilta suojautuminen
       -luvattomien ohjelmien käyttö kiellettävä
       -säännöt tiedostojen ja ohjelmien lataamisesta ulkopuolisista verkoista
       -kriittisten sovellusten tiedostojen säännöllinen tarkistaminen
       -virustorjuntaohjelmien säännöllinen päivitys
       -ohjeet ja vastuut haittaohjelmista raportointiin ja toipumiseen
       -liiketoiminnan jatkuvuussuunnitelma haittaohjelmahyökkäyksen varalta
       -tiedonsaanti viimeisistä haittaohjelmauhkista ( postituslistat, tietoturvajärjestöt)
       -huijausohjelmista tiedottaminen, koulutus tietokalastelun ehkäisemiseksi
       -varmuuskopiointi

5. Varmuuskopiointi
        -varmuuskopioinnin laajuus
        -palautuksen ohjeistus
        -varmuskopioiden turvallinen säilytys
        -palautuksen harjoittelu
        -varmuuskopiolevyjen salakirjoitus

6.Verkon turvallisuus
        -etäkäytön ohjeet
        -vaatimus VPN salauksesta
        -langattoman lähiverkon turvallisuus
        -lokitiedostojen käyttö
        -verkon operointivastuu eriytetty tarvittaessa
        -salausprotokollien käyttö (TLS , SSH,..)
        -verkon pääsynvalvonta
        -sisäverkon osien eriyttämien esim.
          virtuaaliverkkotekniikalla

7.Tietovälineiden käsittely
       -siirrettävien tietovälineiden
       -ulkoisten kiintölevyjen käytön rajoittaminen
       -tietovälineiden kirjaaminen
       -tietovälineiden käsittelyohjeet
       -jätjestelmädokumentaation suojaus

8.Tiedon vaihto
       -tiedonvaihtoperiaatteet ja menettelytavat
       -tiedonvaihtosopimukset
       -fyysisten tietovälineiden suojaus siirron aikana
       -sähköinen viestintä
       -liiketoiminnan tietojärjestelmien havoittuvuus

9.Verkkoasiointipalvelut
       -osapuolten todennuksen luotettavuustason
         määrittely
       -vaatimukset tiedonvaihdon luotettavuudelle ,
         eheydelle ja kiistämättömyydelle
       -mahdollisen arkaluonteisen tiedon
         luottamuksellisuus
       -mahdollisten maksutapahtumien luottamuksellisuus
       -tietojen häviämisen tai monistumisen välttäminen
       -tarkkailu- ja lokitiedostot

10.Tarkkailu ja lokitiedostot
       -lokien tarkkailurutiinit ja sitä helpottavat ohjelmistot
       -järjestelmän käytön tarkkailu
       -lokitedostojen suojaus
       -pääkäyttäjä- ja operattorilokit
       -häiriöiden kirjaus
       -kellojen synkronointi

11.Tietokoneiden matkakäyttö ja etätyö