OHJE RISKIEN ARVIOINNISTA TIETOTURVALLISUUDEN EDISTÄMISEKSI VALTIONHALLINNOSSA

 

OHJE RISKIEN ARVIOINNISTA TIETOTURVALLISUUDEN EDISTÄMISEKSI VALTIONHALLINNOSSA

VALTIOVARAINMINISTERIÖ
Snellmaninkatu 1 A
PL 28
00023 VALTIONEUVOSTO
Puhelin
(09) 160 01
Telefaksi
(09) 160 33123
Internet
www.vm.fi
Julkaisun tilaukset
Puh. (09) 160 33 222
Sähköposti: vahtijulkaisut@vm.fi
ISSN 1455-2566
ISBN 951-804-408-2
Edita Prima Oy
HELSINKI 2003

Keskustelualueet

ESIPUHE

Riippuvuus tietojärjestelmistä on tehnyt hallinnosta erittäin haavoittuvan turvallisuut­ta uhkaaville tekijöille. Lisäksi hallinnon ja yksityisten verkkojen yhdistäminen sekä palveluiden ulkoistaminen ovat heikentäneet virastojen mahdollisuuksia tehokkaa­seen tietoturvallisuuden valvontaan.

Tietoturvallisuus ja siihen kohdistuvien riskien merkitys vaihtelee toimialoittain eri hallinnon sektoreilla. Tavallisesti ajatellaan, että tietoriskit ovat tietoihin ja niiden käyt­töön kohdistuvia tapahtumien todennäköisyyksiä. Tietoriski on tilanne, jolloin tieto tai tietojärjestelmä ei ole käytettävissä, tieto on muuttunut jonkin tapahtuman kautta tai päätynyt ulkopuolisten haltuun. Tietoriskit ovat vahinkoriskejä, joiden toteutumiseen liittyy aina menetyksiä, niin taloudellisia kuin imagoon liittyviä.

Riskejä voivat aiheuttaa ihmiset, tekniset viat tai sääilmiöt, ja näihin liittyvä teko voi olla tahallinen tai tahaton. Ammattimainen hyökkäys on yhtä todennäköinen kuin ta­haton virhe ja tästä syystä molempiin on varauduttava. Tietoriskiin on varauduttava tiedon luottamuksellisuuden, käytettävyyden ja eheyden turvaamiseksi.

Tietoriskien hallinta on normaalia päätöksentekotoimintaa josta organisaation johto vastaa. Tavoitteena on taata toiminnan jatkuvuus.

Oikean tason löytäminen on tärkeää, koska tieto on yksi suojattavista kohteista ja sillä voi olla merkitystä myös muiden organisaatioiden toiminnalle verkottuvassa hal­linnossa. Huolellinen tai huolimaton tapa käsitellä tietoa kuvaa organisaation kulttuu­ria ja tapaa toimia.

Riskikartoituksen tavoitteena on löytää uhkatekijät sekä arvioida uhkien todennäköi­syys ja niiden seurausten vakavuus. Tietoriskien arvioinnissa voidaan käyttää samo­ja menetelmiä kuin muidenkin riskien arvioinnissa unohtamatta kuitenkaan tietoriski­en erityisominaisuuksia. Tiedon käsitteellisen luonteen vuoksi riskien arvioinnille aset­tavat haasteita tietoverkot, tiedon säilytysmuodot ja laaja-alaisuus joka liittyy tietotur­vallisuuteen. Kun riskit on arvioitu, organisaatiolla on tiedossaan tunnistetut riskit. Riskien hallintasuunnitelmalla päätetään kuinka riskeihin suhtaudutaan.

 

Valtionhallinnon tietoturvallisuuden johtoryhmän näkemyksen mukaan valtionhallin­non tietoriskien arviointiin voidaan käyttää esimerkiksi tämän suosituksen luvussa 3.2 mainittuja menetelmiä. Lisäksi useissa VAHTI-ohjeissa on tarkistuslistoja joita voidaan hyödyntää riskien arvioinnissa.

 

Tulosta