Tietoturvakriteerillä tarkoitetaan tässä tutkimuksessa sellaisia nimettyjä yksittäi-siä toimenpiteitä, joilla pyritään varmistamaan tietoturvan toteutuminen yritykses-sä. Tähän tarkoitukseen ei ole olemassa yleisesti käytössä olevaa yhtä termiä.
Elinkeinoelämän keskusliitto EK julkaisi vuonna 2009 Kansallisen turvallisuus-auditointikriteeristön tietoturvalle (liite 1), johon viitaten tässä tutkimuksessa käy-tetään yksittäisestä toimenpiteestä yksikkömuotona termiä tietoturvakriteeri. Tut-kimuksen yleisen rajauksen mukaisesti tietoturvakriteerit muodostetaan vain hal-linnolliselle tietoturvalle. Kriteerien muodostamisen (liite 2) metodologiana käy-tetään dokumenttianalyysiä luvuissa 3 ja 4 esitettyihin dokumentteihin. Doku-menttien sisällöistä muodostetaan ensin luvussa 3 esitetyn kirjallisuuskartoituksen pohjalta alustavat kriteerit. Sen jälkeen alustavien kriteerien esiintymistä tarkas-tellaan luvussa 4 esitettyjen ohjeistusten sisällöissä. Lopullisiksi kriteereiksi vali-taan ne kriteerit, jotka esiintyvät aineistoissa yhteensä vähintään kolme kertaa.
Kolmen esiintymän perusteena on, että tällöin kriteeri on mainittu kirjallisuuden lisäksi vähintään kahdessa ohjeessa. Muodostettavia tietoturvakriteerejä käytetään ensin tutkittaessa millä tasolla yrityksen työntekijät pyrkivät tietoturvakriteerien noudattamiseen. Myöhemmin tietoturvakriteerejä käytetään tutkittaessa tekijöitä, jotka motivoivat yrityksen työntekijöitä pyrkimään tietoturvakriteerien noudatta-miseen.
Muodostettavat tietoturvakriteerit jaetaan yleisiin ja hallinnollisiin tietoturvakri-teereihin sen mukaan, koskeeko kriteeri yleistä hallinnollista tietoturvaa, jolloin
toteuttajina ovat kaikki yrityksen työntekijät, vai selkeästi hallinnollista tietotur-vaa, jolloin toteuttajina ovat pelkästään yrityksen hallinnossa työskentelevät työn-tekijät. Tämän jaottelun sisällä kriteerit jaetaan tässä luvussa vielä pienempiin ryhmiin helpottamaan kriteerien myöhempää käyttöä. Ryhmien nimet on laadittu ainoastaan tämän tutkimuksen tarkoituksiin, koska ei ole olemassa yhtä yleistä käsitystä hallinnollisen tietoturvan tietoturvakriteerien ryhmittelemiseksi.
5.1.1 Yleiset tietoturvakriteerit
Yleiset tietoturvakriteerit jaetaan kuuteen ryhmään, jotka ovat työntekijälle asetet-tavat yleiset tietoturvakriteerit, yrityksen yleistä toimintaa koskevat tietoturvakri-teerit, yrityksen toimintaa koskevat yleiset tietoturvakritietoturvakri-teerit, yrityksen tietoja koskevat tietoturvakriteerit, työntekijän oikeuksia ja velvollisuuksia koskevat yleiset tietoturvakriteerit sekä työntekijän oikeuksia ja velvollisuuksia koskevat tietoturvakriteerit.
Työntekijälle asetettaviin yleisiin tietoturvakriteereihin sijoitetaan sellaiset yrityksen kaikkia työntekijöitä koskevat hallinnolliset tietoturvakriteerit, jotka työntekijöiden tulisi huomioida yleisesti kaikessa omassa toiminnassaan työsuh-teeseen liittyen. Työntekijälle asetettavia yleisiä tietoturvakriteerejä nimetään 12 ja ne ovat:
Tietoturvalle on luotava pelisäännöt.
Työntekijän on ymmärrettävä tietoturvaan liittyvät yleiset oikeudet ja vel-vollisuudet.
Työtietokoneen käytöllä on oltava tietyt käyttötarkoitukset ja -oikeudet.
Työntekijällä on vastuu käyttäjätunnuksilla tehdyistä asioista.
Salasanalle on määriteltävä vaatimuksia.
Työtietokoneen ohjelmiin on liitettävä vaatimuksia.
Yrityksen palomuurin ja virustorjuntaohjelmiston käyttöön on liitettävä vaa-timuksia.
Työsähköpostin ja roskapostin käsittelyyn on liitettävä vaatimuksia.
Tietoturvatarkastuksia on tehtävä säännöllisesti.
Tiedostojen tallentamiseen on liitettävä vaatimuksia.
On ymmärrettävä tiedon ja tiedoston alkuperän selvittämisen tärkeys.
On ymmärrettävä, että salakuuntelu on mahdollista.
Yrityksen yleistä toimintaa koskeviin tietoturvakriteereihin sijoitetaan sellai-set yrityksen kaikkia työntekijöitä koskevat hallinnollisellai-set tietoturvakriteerit, jotka työntekijöiden tulisi huomioida yrityksen toimintaan liittyen yleisesti kaikessa
omassa toiminnassaan. Yrityksen yleistä toimintaa koskevia tietoturvakriteerejä on yhdeksän ja ne ovat:
Tietoturvan on varmistettava yrityksen liiketoiminnan ja palveluiden jatku-vuus.
Tietoturvaa on kehitettävä tietoturvatoiminnan prosessikuvauksia hyödyntä-en.
Tietoturvan toteuttamisen tulee tukea ajan ja rahan säästämistä.
Tietoturvan toteuttamisessa tulee huomioida yleinen käsitys tietoturvan ja-kautumisesta tekniseen (20 %) ja hallinnolliseen (80 %) työhön.
Tietoturvatavoitteita ja -vaikutuksia on mitattava.
Tietoturvariskejä on ennakoitava ja niihin on varauduttava.
Tietokoneiden ja verkkojen suojaukset on oltava ajan tasalla.
Yrityksen arvojen tulee tukea tietoturvaa.
Tietoturvaa varten on luotava tietoturvapolitiikka ja -ohjeet.
Yrityksen toimintaa koskeviin yleisiin tietoturvakriteereihin sijoitetaan sellai-set yrityksen kaikkia työntekijöitä koskevat hallinnollisellai-set tietoturvakriteerit, jotka työntekijöiden tulisi huomioida yleisesti kaikessa yrityksen toiminnassa. Yrityk-sen toimintaa koskevia yleisiä tietoturvakriteerejä on kahdeksan ja ne ovat:
Tietoturva on oltava kiinteä ja keskeinen osa koko yrityksen toimintaa.
Tietoturva on oltava yrityksen liiketoiminnan osa.
Tietoturvan toteuttamisen tulee olla suunniteltua ja seurattua toimintaa.
Tietoturva on sisällytettävä perehdytykseen.
Tietoturvassa on huomioitava työntekijän maalaisjärki ja päätöksentekotai-dot.
Yrityksen johdon on määriteltävä tietoturvaperiaatteet.
Yrityksen johdon on tehtävä tietoturvapäätökset.
On ymmärrettävä, että tietoturvan suurin uhka on työntekijä ja hänen inhi-millinen toimintansa.
Yrityksen tietoja koskeviin tietoturvakriteereihin sijoitetaan sellaiset yrityksen kaikkia työntekijöitä koskevat hallinnolliset tietoturvakriteerit, jotka työntekijöi-den tulisi huomioida omassa toiminnassaan yrityksen tietoihin liittyen. Yrityksen tietoja koskevia tietoturvakriteerejä nimetään seuraavat seitsemän kriteeriä:
Tiedolle on laadittava elinkaari.
Asiakastiedot on varmistettava.
Taloudellisesti ja toiminnallisesti merkittävä tieto on selvitettävä tiedon luokittelulla.
Suojattava tieto on kartoitettava riskianalyysillä.
Keskeinen tieto on suojattava.
Tärkeä tieto on salakirjoitettava, jos siihen käsiksi pääseminen on mahdol-lista.
Varmuuskopioinnille on laadittava suunnitelma.
Työntekijän oikeuksia ja velvollisuuksia koskeviin yleisiin tietoturvakritee-reihin sijoitetaan sellaiset yrityksen kaikkia työntekijöitä koskevat hallinnolliset tietoturvakriteerit, jotka yrityksessä tulisi yleisesti huomioida kaikille työntekijöil-le kuuluvina oikeuksina ja velvollisuuksina. Työntekijän oikeuksia ja velvolli-suuksia koskevia yleisiä tietoturvakriteerejä nimetään yhdeksän ja ne ovat:
Työntekijälle on annettava koulutusta yrityksen tietoturvakäytäntöihin.
Työntekijälle on annettava tietoturvan sisältävää ohjausta ja ohjeita työhön.
Työntekijän tietoturvaosaamista on kehitettävä jatkuvasti.
Työntekijän on huomioitava tietoturva osana päivittäistä toimintaansa.
Työntekijän on tunnettava yrityksen tietoturvatoimenpiteet.
Työntekijän on ymmärrettävä, että tietoturvaa seurataan hallinnollisesti.
Työntekijän on tiedettävä toimintatavat eri tietoturvatilanteissa.
Työntekijän on osattava toimia rauhallisesti tietoturvapoikkeustilanteessa.
Vanhempien kollegojen on toimittava hyvänä esimerkkinä tietoturvakäyt-täytymisessä.
Työntekijän oikeuksia ja velvollisuuksia koskeviin tietoturvakriteereihin sijoitetaan sellaiset yrityksen kaikkia työntekijöitä koskevat hallinnolliset tieto-turvakriteerit, jotka työntekijöiden tulisi huomioida omaan toimenkuvaansa liitty-vinä oikeuksina ja velvollisuuksina. Työntekijän oikeuksia ja velvollisuuksia kos-kevia tietoturvakriteerejä ovat seuraavat seitsemän kriteeriä:
Työntekijän on noudatettava yrityksen tietoturvakäytäntöjä.
Työntekijän on tiedettävä lähin tietoturvahenkilö.
Työntekijän on tiedettävä, mikä tieto on suojattavaa, missä se säilytetään ja kuka säilytystilaan pääsee.
Työntekijän on tunnettava yrityksen yleinen varmuuskopiointikäytäntö.
Työntekijän on noudatettava puhtaan pöydän periaatetta.
Työntekijän on lukittava lukituiksi ohjeistetut ovet.
Työntekijän on lukittava tietokone, kun hän ei ole käyttämässä sitä.
Yleisiä tietoturvakriteerejä nimettiin kuudessa ryhmässä yhteensä 52 kappaletta.
5.1.2 Hallinnolliset tietoturvakriteerit
Hallinnolliset tietoturvakriteerit jaetaan neljään ryhmään, jotka ovat yleiset hal-linnolliset tietoturvakriteerit, yrityshallinnon tietoturvakriteerit, halhal-linnolliset tie-toturvakriteerit sekä hallinnollisen toteuttamisen tietie-toturvakriteerit.
Yleisiin hallinnollisiin tietoturvakriteereihin sijoitetaan sellaiset hallinnolliset tietoturvakriteerit, joiden toteutuminen yrityksen johdon toiminnassa tulisi var-mistaa yrityksen hallinnossa työskentelevien työntekijöiden toimesta. Yleisiä hal-linnollisia tietoturvakriteerejä on seitsemän ja ne ovat:
Yrityksen johdon tietoisuus tietoturvauhkista on varmistettava.
Yrityksen johdon tuki tietoturvalle on osoitettava selkeästi.
Yrityksen toimintaan vaikuttavat lakisääteiset vaatimukset on huomioitava yrityksen hallinnossa.
Yrityksen hallinnon on huomioitava henkilöstöturvallisuus.
Yrityksen hallinnon on huomioitava toimitilaturvallisuus.
Yrityksen hallinnon on huomioitava tietoturvajohtamisen laajuus.
Yrityksen hallinnon on huomioitava tietoturvajohtamisen hyvä tietohallinto-tapa (IT Governance).
Yrityshallinnon tietoturvakriteereihin sijoitetaan sellaiset hallinnolliset tieto-turvakriteerit, joiden toteutuminen yrityksen hallinnossa työskentelevien jöiden tulisi varmistaa yrityksen toiminnassa ja tehdä näkyväksi kaikille työnteki-jöille. Yrityshallinnon tietoturvakriteerejä nimetään seuraavat seitsemän kriteeriä:
Yrityksen hallinnon on määriteltävä selkeästi tahot, jotka johtavat tietotur-vaa.
Yrityksen hallinnon on määriteltävä selkeästi tahot, jotka vastaavat tietotur-vasta.
Yrityksen hallinnon on määriteltävä menettelyt, joilla tietoturvaa hallitaan.
Yrityksen hallinnon on määriteltävä tietoturvan resursointi.
Yrityksen hallinnon on määriteltävä tietoturvan yhteys yrityksen liiketoi-mintastrategiaan.
Yrityksen hallinnon on määriteltävä yrityksen toiminnan kehittämisen jat-kotoimenpiteet.
Yrityksen hallinnon on määriteltävä käytännön tietoturvatoimenpiteet.
Hallinnollisiin tietoturvakriteereihin sijoitetaan sellaiset hallinnolliset tietotur-vakriteerit, joiden toteutuminen yrityksen hallinnossa tulisi huolehtia yrityksen
hallinnossa työskentelevien työntekijöiden toimesta. Hallinnollisia tietoturvakri-teerejä on seitsemän ja ne ovat:
Yrityksellä on oltava selkeä tavoite yrityksen liiketoiminnalle.
Yrityksellä on oltava selkeät tavoitteet, jotka tukevat yrityksen toiminnan tuloksen syntymistä.
Yrityksellä on oltava tietoturvaohjelma tietoturvajohtamisen ja turvallisuus-työn tavoitteiden saavuttamiseksi.
Yrityksellä on oltava tietoturvapolitiikka, -ohjeistukset ja -dokumentaatio.
Yrityksellä on oltava menettely kriittisten tapahtumien johtamiselle.
Yrityksellä on oltava toipumissuunnitelmat.
Yrityksellä on oltava menettelyt sidosryhmien tietoturvan hallintaan.
Hallinnollisiin toteuttamisen tietoturvakriteereihin sijoitetaan sellaiset hallin-nolliset tietoturvakriteerit, joiden toteutuminen yrityksen hallinnossa työskentele-vien työntekijöiden tulisi varmistaa yrityksen kaikessa toiminnassa. Hallinnollisia toteuttamisen tietoturvakriteerejä nimetään seuraavat kahdeksan kriteeriä:
Tietoturvan tavoitteita ja toteutumista on seurattava ja arvioitava.
Työntekijöille on kerrottava tietoturvariskeistä.
Tietoturvapoikkeamatilanteisiin on varauduttava.
Toiminnalle tärkeät ja siten suojattavat kohteet on tunnistettava.
Toiminnalle tärkeiden ja siten suojattavien kohteiden riskit on arvioitava.
Tietoverkot ja tietojärjestelmät on suojattava.
Merkittäviä tietojenkäsittely-ympäristöjä on muutettava hallitusti.
Asiakkaisiin ja sidosryhmiin on pidettävä yhteyttä tietoturvaa varten.
Hallinnollisia tietoturvakriteerejä nimettiin neljään ryhmään yhteensä 29 kappa-letta. Yhteensä tietoturvakriteerejä nimettiin 81 kappaletta ja ne jaettiin kymme-neen ryhmään. Muodostettuja yleisiä ja hallinnollisia tietoturvakriteerejä käyte-tään seuraavissa alaluvuissa tutkittaessa niiden noudattamaan pyrkimisen tasoa sekä motivoivuutta.