7 Prosessimalli: Suunnittelu, valinta ja käyttöönotto

7.1 Johdanto ja prosessimalli

Salausratkaisun toiminnallisuus ja luotettavuus saavutetaan, kun tiedon luon­teesta ja organisaation toiminnasta johtuva tarve salaukselle ratkaistaan kont­rolloitujen prosessien, riittävän osaamisen ja tarkoituksenmukaisen tekniikan avulla.

Edellä kerratun tavoitteen saavuttaminen vaatii systemaattista lähestymistä. Huomiota pitää kohdistaa teknisten arvojen lisäksi oman toiminnan kriitti­syyteen ja oman organisaation valmiuksiin hyödyntää salausratkaisuja tavoi­tellulla tavalla.

Tämän luvun ohjaavana mallina toimii seuraava yksinkertaistettu proses­sikaavio:

 

Prosessin vaiheita ei saa nähdä puhtaasti peräkkäisinä vaan toisiansa täydentävinä. Yksittäiset vaiheet voidaan pilkkoa alatehtäviinsä. Malli kokonaisuutena näyttää seuraavalta:

Seuraavat kappaleet 7.2 – 7.8 antavat tiivistettyjä vaatimuksia ja ohjaavia esimerkkejä toteutuksesta. Luvut ovat myös eräänlainen synteesi suosituksesta, sillä kuvattu prosessimalli perustuu tässä dokumentissa aiemmin esitettyihin suosituksiin, linjauksiin ja näkemyksiin.

 

7.2 Tarveanalyysi

Tarveanalyysi vastaa perustellusti kysymykseen ”miksi tarvitsemme salaus­ratkaisuja?”. Käyttötarve ja sen kuvaus syntyy hierarkisesti luvun 4.2. mallia soveltaen seuraavasti:

  • Ulkoiset vaatimukset: Lait, asetukset ja muut normiohjauskriteerit. – Nämä on selvitettävä, tiedettävä ja tunnistettava tapauskohtaisesti. – Itsearviointiin soveltuvia kuvauksia: Kansainvälisyydestä ja normiohjauksesta (kappaleet 4.3.1 ja 4.3.2) sekä käyttötarvekuvausten tarkemmat analyysit.

  • Muut käsiteltävänä olevaan tietoaineistoon kohdistuvat vaatimukset.

– Mitä kriittisempi tietoaineisto, sitä tiukemmat vaatimukset kaikille kontrolleille ja tämän vuoksi myös salausratkaisujen mahdollistamille kontrolleille.

– Itsearviointiin soveltuvia kuvauksia: Tietoaineistojen käsittelyohjeista
(kappale 4.6.3) ja salausratkaisuista mahdollistajana (kappale 4.4.2).

  • Organisaation toiminnan yleinen ja tapauskohtainen kriittisyys.

– Mitä kriittisempi perustoiminta, sitä tiukemmat vaatimukset kaikille kontrolleille ja tämän vuoksi myös salausratkaisujen mahdollistamille kontrolleille.

– Itsearviointiin soveltuvia kuvauksia: Valtionhallinnon tietoturvata 
soista (kappale 4.6.2) ja kypsyys-kyvykkyys mallitus (kappale 4.5.1).

Esimerkkejä konkreettisista kysymyksistä, joita pitää esittää itsearvioin­neissa:

  • Mitkä ovat tärkeimmät ulkoiset vaikutteet sille, että tarvitsemme salaus­ratkaisuja?

  • Minkä tietoaineiston turvaamiseksi tarvitsemme salausratkaisun?

  • Mitä muita kontrolleja tietoaineiston [tietoturva]luokittelu edellyttää?

  • Miten näitä kontrolleja voidaan vahvistaa salausratkaisujen avulla?

  • Mikä on toimintamme yleinen kriittisyysaste [vrt. tietoturvatasot].

Tarveanalyysin jälkeen organisaatio tietää salausratkaisuhankkeen hyödyt ja tavoitteet.

 

7.3 Riskianalyysi

Kappaleen 4.4.1 (Tiedon hallinta, riskinhallinta ja tietoturvallisuus) mukai­sesti: Salausratkaisut ovat osa organisaation tietoriskien ja tietopääoman hal­lintaa ja siten osa operatiivisten riskien hallintaa.

Riskianalyysissä vastataan tarkentaen kahteen pääkysymykseen:

  • Mitä riskejä toimintaamme kohdistuu, mikäli emme ota salausratkaisuja käyttöön?

  • Mitä uhkia toimintaamme liittyy, jos tai kun otamme salausratkaisut käyt­töön?

Näistä ensimmäinen antaa edellistä lukua 7.2. tarkentavan näkemyksen kysy­mykseen ”miksi salausratkaisut”. Toinen kysymys pakottaa organisaation kuvaamaan tarkemmin omat toimintatapansa ja valmiutensa. Epäonnistu­neen käyttöönoton riskit voivat olla erittäin merkittäviä, esimerkiksi pääsy tietoon voidaan pahimmassa tapauksessa menettää kokonaan.

Päätöksenteon tulee perustua sille arviolle, että syyt salausratkaisujen käy­tölle ovat painavammat kuin käyttöönoton mukanaan tuomat riskit. Itsearvi­ointia ohjataan seuraavin kysymyksin:

  • Toimintamme ilman salausratkaisuja:

Lain, asetusten ja muiden normiohjausvaatimusten laiminlyönti? Paljastumisen tai väärentymisen taloudelliset vaikutukset? Paljastumisen tai väärentymisen operatiiviset vaikutukset? Paljastumisen tai väärentymisen PR-vaikutukset (median reaktiot ym.)?

  • Toimintamme epäonnistuneen tai toimintaa muuten vaikeuttavan salaus­ratkaisun kanssa:

– Taloudelliset vaikutukset tiedon käytettävyyden menetyksistä? – Operatiiviset vaikutukset ylimääräisen työn vaikutuksesta?

– PR-menetykset toimintamme tehottomuuden vuoksi?

Tarkka analyysi edellyttää systemaattista lähestymistä. Tämän vuoksi kappa­leessa 4.4.1 viitattiin myös riskinhallinnan viitekehykseen COSO [www.coso. org]. Edellä kuvatut kysymykset ovat riskinhallintaprosessissa osa vaikutusa­nalyysiä (”mitä tapahtuu jos”). Vaikutusanalyysin jälkeen pitää tehdä vielä ris­kianalyysi (”voiko näin siis tapahtua”) ja päätökset (”perustellen siis näin”).

Mikäli riskianalyysi jätetään tekemättä tai tehdään puutteellisesti, puuttuu organisaatiolta pohja päätöksenteolle (”salausratkaisut vai ei”) ja tarkennetuille vaatimuksille (”millainen”). Riskianalyysi on erittäin tärkeä osa hankintapro­sessia ja siihen pitää panostaa.

 

7.4 Vaatimusmäärittely

7.4.1 Mitä tarkoittaa vaatimusmäärittely?

Vaatimusmäärittely on systemaattinen menetelmä, jonka avulla organisaatio kuvaa, jäsentää ja arvottaa ratkaisuun, tässä tapauksessa siis salausratkaisuun, kohdistuvat odotuksensa.

Vaatimukset jaetaan ”toiminnallisiin vaatimuksiin” ja ”yleisiin” tai ”ei-toi­minnallisiin vaatimuksiin”. Toiminnalliset vaatimukset perustuvat käyttötar­vekuvauksiin. Ei-toiminnalliset vaatimukset ovat määrämuotoisia, yleisteknisiä ja kohdistuvat ratkaisuun itseensä, ei sen käyttöön. Hyvä esimerkki yleisestä vaatimuksesta on vaatimus järjestelmän käytettävyysasteelle.

7.4.2 Toiminnalliset ja ei-toiminnalliset vaatimukset

Toiminnallisilla vaatimuksilla tarkoitetaan organisaation toimintaan ja teh­täviin liittyviä mahdollisimman tarkkoja kuvauksia siitä, miten salausratkai­suja aiotaan käyttää. Näiden käyttötarvekuvausten kirjoittamista käsiteltiin luvussa 6 (käyttötarvekuvaukset).

Toiminnallisten vaatimusten määritystä ohjataan seuraavan kaltaisilla kysy­myksillä:

  • Kuka käyttää salausta, missä tilanteessa ja miten tämän käytön halutaan
    tapahtuvan? (Käyttötarvekuvaukset ja näistä johdettavat vaatimukset ).

  • Kuka hallitsee ratkaisua, missä tilanteissa ja miten tämän halutaan tapah­tuvan? (Prosessikuvaukset ja näistä johdettavat vaatimukset).

Mitä tarkemmin vaatimukset määritetään todellisten ja tavoiteltujen käyttö­tarvekuvausten avulla, sitä tarkemmin kokonaisratkaisun valinta ja käyttöön­otto voidaan suunnitella ja toteuttaa.

Yleisillä tai ei-toiminnallisilla vaatimuksilla tarkoitetaan niitä vaatimuksia, jotka voidaan kuvata mallinnettavin ja mitattavin kriteerein irrallisina yksittäi­sistä käyttötapauskuvauksista: Yhteensopivuus, integroitavuus, käytettävyys, suorituskyky, hallittavuus ja skaalautuvuus.

Yleisten vaatimusten määrittämiseen käytetään seuraavan kaltaisia kysymyk­siä:

  • Mitä korkeamman tason yhteensopivuusvaatimuksia pitää kunnioittaa?
    (Kappale 4.2, vaatimusmäärittelyn hierarkiasta ja yhteensopivuudesta).

  • Mitkä muut yhteensopivuusmahdollisuudet ovat arvokkaita? (Esimerkiksi valtionhallinnon sisäisten sidosryhmien jo käyttämät ratkaisut).

  • Mihin rajapintoihin ratkaisun täytyy integroitua? (Esimerkkejä kappale 4.7, ohjaavista arkkitehtuureista).
  • Mihin muihin teknisiin tai hallinnollisiin rajapintoihin kannattaa tukeu­tua?

  • Mikä on ratkaisulta vaadittava perusluotettavuus ja käytettävyysaste?

  • Mitä edellytetään ratkaisun skaalautuvuudelta?

  • Minkälaisia muutoksia on nähtävissä, eli mitä vaaditaan ratkaisun jousta­vuudelta?

  • Miten kaikki nämä arvotetaan yksittäin ja priorisoiden?

Jako toiminnallisiin ja ei-toiminnallisiin vaatimuksiin on yleinen esitystapa, mutta se ei ole ehdoton. Esimerkiksi yhteensopivuus ja integroitavuus voidaan nähdä molempina, ja se onkin yksi tärkeimmistä teknisistä vaatimuksista mitä salausratkaisulle esitetään.

Vaatimusmäärittelyn lopputuloksena saadaan kuvaukset siitä, miten ratkai­sua käytetään ja miten ratkaisun käytettävyyttä ja yleistä laatua arvioidaan.

7.4.3 Valintakriteeristön viimeistely

Vaatimusmäärittelyn jälkeen organisaatiolla on priorisoitu luettelo vaatimuk­sista sekä näkemys siitä, miten vaihtoehtoisia ratkaisuja arvotetaan näihin odotuksiin nähden.

Ihannetapauksessa kaikki tämä on muokattu pisteytyslistaksi, ja jokaista kriteeriä vasten on kirjattu välttämätön minimitaso ja tavoitetaso. Tällä tavalla ohjataan kokonaisvalintaa.

 

7.5 Valmiuksien arviointi

7.5.1 Johdanto: Kypsyys ja kyvykkyys ratkaisevat

Salausratkaisun toiminnallisuus ja luotettavuus saavutetaan, kun tiedon luon­teesta ja organisaation toiminnasta johtuva tarve salaukselle ratkaistaan kont­rolloitujen prosessien, riittävän osaamisen ja tarkoituksenmukaisen tekniikan avulla.

Organisaation, joka suunnittelee salausratkaisujen käyttöönottoa ja hyödyn­tämistä tulee arvioida kriittisesti oma kyvykkyytensä. Arvioinnin suositellaan perustuvan kypsyys-kyvykkyys –malleihin.

Salausratkaisut edellyttävät hallinnollisia valmiuksia, resursseja, osaamista ja teknisiä valmiuksia. Hankkiva organisaatio on vastuussa kaikista näistä ja salausratkaisuihin liittyvistä prosesseista.

Organisaation on arvioitava realistisesti, mitä se voi tehdä itse ja minkä ver­ran sen kannattaa tai pitää turvautua muihin tahoihin esimerkiksi ylläpidon tai avainhallinnan prosesseissa.

7.5.2 Hallinnolliset ja organisatoriset valmiudet

Salausratkaisujen käyttöönoton välttämätön edellytys on se, että organisaation tietohallinnon ja tietoturvallisuuden valta- ja vastuukysymykset on määritetty kiistattomasti. Näkemyksiä tämän kohdan arviointiin löytyy useista viiteke­hyksistä (esimerkkeinä ISO27001, COBIT, ITIL). Esimerkkejä:

  • Onko tietoturvallisuuden tavoitteet määritetty kiistattomasti?

  • Onko vaatimukset kontrolleille kuvattu riittävällä tarkkuudella?

  • Vastaako tarveanalyysin (kappale 7.2) lopputulos edellisiä?

  • Löytyykö tiedolle ja järjestelmille vastuulliset, asiansa hallitsevat omista­jat?

Salausratkaisuihin liittyy vastuita, jotka ovat resursoitava hyvissä ajoin etu­käteen:

  • Mikä on käytettävissä oleva henkilöstön määrä ja osaaminen?

  • Kykenemmekö hallitsemaan tekniset ja hallinnolliset rajapinnat?

  • Mitä muita resursseja organisaatiolla on käytettävissä (sidosryhmät)?

Kärjistettynä esimerkkinä: Mikäli salausratkaisut otetaan käyttöön ilman käsitystä tiedon omistajuudesta, ja ilman riittävää sisäistä osaamista, niin ris­kit ovat todella suuret.

Hallinnollisten ja organisatoristen valmiuksien kartoitus on pohja käyt­töönottosuunnitelmalle.

7.5.3 Prosessien ja toimintatapojen varmentaminen

Kyvykkyyttä ja kypsyyttä näiden osalta arvioidaan seuraavan kaltaisin kysy­myksin, joihin kuhunkin kuuluu osaltaan näkemys osaamisesta, resursseista ja tekniikasta.

  • Tietohallinnon prosessien tunnistaminen ja kuvaukset.

  • Mahdollisuus liittää salausratkaisujen hallintaprosessit näihin.

Malleja tämän kohdan kysymyksiin löytyy useista lähteistä (ISO27001, COBIT, ITIL). Ohjeistus valtionhallinnon tietoturvatasoista sisältää myös käyttökel­poisia lähestymistapoja tähän kohtaan.

Prosessien varmentaminen on pohja useille linjauksille, esimerkiksi ulkois­tuspäätöksille.

7.5.4 Teknisten valmiuksien varmentaminen

Välttämätön osa valmiuksien arviointia on teknisten valmiuksien varmen­taminen. Koska salausratkaisut liittyvät teknisesti moniin eri järjestelmiin, pitää varmistaa, että integrointi ylipäänsä on mahdollista ilman merkittäviä lisätöitä tai kustannuksia.

Käytännön esimerkki edellisestä: Organisaation suunnitellessa varmen­teiden hyödyntämistä sähköpostin allekirjoitukseen sen pitää ensin tarkistaa, miten integrointi käytössä oleviin sähköpostijärjestelmiin ja käyttömenetel­miin tapahtuu. Mikäli tätä ei selvitetä etukäteen yksityiskohtaisesti, on hyvin todennäköistä, että ongelmia syntyy.

Teknisten valmiuksien kartoittaminen tarkentaa suorien investointien tar­vetta.

 

7.6 Kokonaisratkaisun kuvaus

Salausratkaisun toimivuus, tuottavuus ja luotettavuus syntyvät siten, että organisaation toiminnan ja sen hyödyntämän tiedon luonteesta johtuva tarve salaukselle ratkaistaan kontrolloitujen prosessien, riittävän osaamisen ja tar­koituksenmukaisen tekniikan avulla.

Suunniteltu kokonaisratkaisu pitää kuvata kaikkien johtolauseessa kerrat­tujen komponenttien osalta: Miten prosessit hoidetaan, miten osaaminen var­mistetaan ja mitä tekniikalta odotetaan.

7.7 Ratkaisun valinta ja hankinta

Kaikki edellä kuvatut vaiheet mahdollistavat kokonaisratkaisun realistisen ja objektiivisen valinnan ja tähän valintaan tähtäävän avoimen kilpailutuksen. Hankintamenettelyissä noudatetaan valtionhallinnon ohjaavia periaatteita.

7.8 Käyttöönotto

Käyttöönottosuunnitelma laaditaan ennakkoon kaiken edellisen perusteella.

Lopullisen kokonaisratkaisun laatu tulee myös varmentaa. Mitä kriittisem­män perustarpeen täyttämisestä on kysymys, sitä tärkeämpää on käyttää var­mentamiseen riippumatonta osapuolta.

 

7.9 Itse tehden, yhdessä hoitaen vai ulkoistaen?

Laajat salausratkaisut sitovat huomattavia määriä resursseja ratkaisujen elin­kaaren ajaksi. Ohjaavana periaatteena valtionhallinnossa tulee olla tukeutu­minen sellaisiin ratkaisuihin, joiden hallinta ja ylläpito voidaan keskittää ja siten jakaa mahdollisimman monen osallisen kesken. Tämä periaate ohjaa organisaatioita kohti keskitettyjä, harmonisoituja ja yhteensopivia ratkaisuja.

 

Vahti- ylläpito08.10.2009 / 11:45:48
Tulosta