Hyvän tietoturvallisuuden tason saavuttaminen organisaatioissa muodostaa mittavan teknisen, mutta myös organisatorisen ja hallinnollisen haasteen. Tietoturvallisuuden hallintajärjestelmät eli ISMS-järjestelmät ovat organisaation riskienhallinta- ja laatujärjestelmään liitettäviä erikoistuneita prosessi- ja laatukriteeriviitekehyksiä jotka kattavat muun muassa tietoturvallisuuden organisoinnin, tietoturvapolitiikat, suunnittelun, vastuutukset, menettelytavat, toimintaprosessit sekä resursoinnin. Tämän työn tavoitteena oli esitellä eräitä käytettävissä olevia tietoturvallisuuden hallintajärjestelmämalleja, vertailla niiden rakennetta, kattavuutta ja soveltuvuutta terveydenhuoltoalan erityistarpeisiin sekä valita parhaiten soveltuva hallintajärjestelmämalli esimerkkiyritykselle. Esimerkkiyrityksenä oli julkisomisteinen vaativaan kuntoutukseen erikoistunut yritys.
Työssä esiteltiin terveydenhuoltoalaan ja esimerkkiyritykseen liittyviä tietoturvaan kohdistuvia erityistarpeita, jotka aiheutuvat muun muassa vallitsevista laeista ja asetuksista, kansallisesta KanTa-tietojärjestelmähankkeesta sekä esimerkkiyrityksen strategisista tarpeista. Esiteltiin kuusi tietoturvallisuuden hallintajärjestelmämallia, joita vertailtiin mm. rakenteen, kattavuuden ja sertifiointijärjestelyjen osalta sekä arvioitiin niiden soveltuvuutta terveydenhuoltoalan ja esimerkkiyrityksen tarpeisiin. Esiteltyjä tietoturvallisuuden hallintajärjestelmämalleja olivat TCSEC, ITSEC, Common Criteria, SOGP, valtionhallinnon VAHTI-ohjeet sekä ISO/IEC 27000 -standardiperhe. Näitä hallintajärjestelmiä vertailtiin aluksi Susanto et al:n aiemmassa tutkimuksessa käyttämien 11EC-hallintakeinoalueen pohjalta. Hallintajärjestelmissä todettiin eroavuuksia rakenteen, kattavuuden ja soveltuvuusalueen suhteen. TCSEC, ITSEC ja Common Criteria -standardien todettiin olevan sisällöltään muita tarkasteltuja hallintajärjestelmästandardeja
suppeampia ja soveltuvan lähinnä tekniseen tuotekehitystoimintaan. Nämä standardit pudotettiin pois jatkotarkastelusta koska lopputavoitteena oli etsiä nimenomaan terveydenhuollon organisaation toimintaan soveltuva tietoturvallisuuden hallintajärjestelmä. Jäljelle jääneitä SOGP-, VAHTI- ja ISO/IEC 27001 -järjestelmiä vertailtiin vielä erikseen ja arvioitiin niiden soveltuvuutta terveydenhuollon toimialalle alan erityisvaatimuksia vasten. Lopputuloksena esimerkkiorganisaation tarpeisiin parhaiten soveltuvaksi tietoturvallisuuden hallintajärjestelmämalliksi valittiin ISO/IEC 27001.
Eräiksi mahdollisiksi jatkotutkimuskohteiksi todettiin tietoturvallisuuden hallintajärjestelmien sovitettavuus toimialakohtaisiin konteksteihin, standardien esittämien tietoturvan toteuttamiskeinojen kattavuuden arviointia suhteessa riskeihin sekä hallintajärjestelmien käyttöönottoon liittyvät johtamishaasteet.
LÄHTEET
Department for Business, Innovation and Skills. “2014 information security breaches survey” [Verkkodokumentti]. [Viitattu 29.9.2014]. Saatavilla
https://www.gov.uk/government/uploads /system/uploads/attachment_data/file/307297/
bis-14-766-information-security-breaches-survey-2014-executive-summary-revision1.pdf (BIS, 2014)
Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 153/2007.
Ajantasainen lainsäädäntö. Valtion säädöstietopankki. Saatavilla www-muodossa osoitteessa: http://www.finlex.fi/fi/laki/ajantasa/2007/20070159#a159-2007 [Viitattu 10.4.2016]. (Asiakastietolaki, 2016)
Laki sähköisestä lääkemääräyksestä 61/2007. Ajantasainen lainsäädäntö. Valtion säädöstietopankki. Saatavilla www-muodossa osoitteessa:
http://www.finlex.fi/fi/laki/ajantasa/2007/20070061 [Viitattu 10.4.2016]. (eReseptilaki, 2016)
Labquality Oy. “SHQS-laatuohjelma”. [Verkkosivusto].[Viitattu 11.4.2016]. Saatavissa http://www.qualification.fi/palvelut/shqs-laatuohjelma/ (Labquality, 2016)
Sosiaali- ja terveysministeriö. 2012. “Sosiaali- ja terveysministeriön julkaisuja 2012:4.
Potilasasiakirjojen laatiminen ja käsittely - Opas terveydenhuollolle”. Helsinki: Sosiaali- ja terveysministeriö (STM, 2012)
Andreasson, A. et al. 2013. “Tietosuojavastaavan käsikirja“. 2. Painos. Helsinki:
Tietosanoma Oy (Andreasson et al, 2013)
Tietosuojavaltuutetun toimisto. “Kansainväliset normit ja ohjeet” [Verkkosivusto].
[Viitattu 10.4.2016]. Saatavilla http://www.tietosuoja.fi/fi/index/lait/
Kansainvalisetnormitjaohjeet.html (Tietosuojavaltuutettu, 2016)
European Commission. “Reform of EU data protection rules” [Verkkosivusto]. [Viitattu 10.4.2016]. Saatavilla http://ec.europa.eu/justice/data-protection/reform/index_en.htm (EC, 2016)
Tammisalo, Tero. “Stakes Raportteja 5/2005: Sosiaali- ja terveydenhuollon
tietojärjestelmien tietoturvan ja tietosuojan hallinnan hyvät periaatteet ja käytännöt”.
Helsinki: Stakes (Tammisalo, 2005)
Terveyden ja hyvinvoinnin laitos. KanTa-hankkeen internet-sivut. [Verkkosivusto].
[Viitattu 10.4.2016]. Saatavilla http://www.kanta.fi (KanTa, 2016)
Terveyden ja hyvinvoinnin laitos. “Kanta-palveluihin liittyminen - Sähköisen
lääkemääräyksen ja potilastiedon arkiston käyttöönotto - Terveydenhuollon organisaation auditointivaatimusten läpikäynti”. [Verkkodokumentti]. [Viitattu 10.4.2016]. Saatavilla:
http://www.kanta.fi/documents/12105/3983179/Terveydenhuollon+auditointivaatimusten+
l%C3%A4pik%C3%A4ynti.doc/80315d9a-22c1-4a68-b0e4-f9497982922b (Itseaud, 2016)
Terveyden ja hyvinvoinnin laitos. Määräys 2/2015: “Määräys omavalvontasuunnitelmaan sisällytettävistä selvityksistä ja vaatimuksista”. [Verkkodokumentti]. [Viitattu 10.4.2016].
Saatavilla http://www.thl.fi/attachments/oper/THL_Maarays_2_Omavalvontasuunnitelma_
20150130.pdf (THL, 2-2015)
Kuusela, Pekka & Kuittinen Matti (toim.). 2008. “Organisaatiot muutoksessa”. Kuopio:
Unipress (Kuusela & Kuittinen, 2008)
Kajamaa, Anu. 2011. “Unraveling the helix of change - An activity-theoretical study of health care efforts and their consequences. Väitöskirja. Helsingin yliopisto.
Käyttäytymistieteellinen tiedekunta (Kajamaa, 2011)
von Fieandt, Noora. 2005. “Henkilöstön tietotekninen osaaminen ja koulutustarve terveydenhuollossa”. Pro gradu tutkielma. Kuopion yliopisto. Terveyshallinnon ja -talouden laitos (von Fieandt, 2005)
Kansaneläkelaitos. “Standardit”. [Verkkosivusto].[Viitattu 10.4.2016]. Saatavissa http://www.kela.fi/standardit (Kela, 2016)
Heasuk, J. et al. 2010. “A Study on Comparative Analysis of the Information Security Management Systems”. Computational Science and Its Applications - ICCSA 2010.
International Conference, Fukuoka, Japan, March 23-26, 2010, Proceedings, Part IV.
Berlin: Springer. pp. 510-519 (Heasuk et al, 2010)
Susanto, H. et al. 2011. “Information Security Management System Standards: A Comparative Study of the Big Five”. International Journal of Electrical & Computer Sciences IJECS-IJENS. Vol. 11 No. 05. pp. 23-29 (Susanto et al, 2011)
Beckers, K. et al. 2014. “A Structured Comparison of Security Standards”. Engineering Secure Future Internet Services - Current Research. Switzerland: Springer. pp. 1-24 (Beckers et al, 2014)
Tammisalo, Tero. “Stakesin raportteja 5/2007:Sosiaali- ja terveydenhuollon organisaatioiden tietoturvan hallinnointi”. Helsinki: Stakes (Tammisalo, 2007)
United States Department of Defense. 1985. “Department of Defense Standard - Department of Defense Trusted Computer System Evaluation Criteria”.
[Verkkodokumentti]. [Viitattu 10.4.2016]. Saatavilla:
http://csrc.nist.gov/publications/history/dod85.pdf (TCSEC, 1985)
Lipner, Steven. 2015. “The Birth and Death of The Orange Book”. IEEE Annals of The History of Computing. Vol. 37 No. 02. pp. 19-31 (Lipner, 2015)
BAE Systems. “STOP-OS”. [Verkkosivu]. [Viitattu 10.4.2016]. Saatavilla http://www.baesystems.com/en/product/stop-os (BAE, 2016)
Gehrke, M. et al. 1992. “Information Technology Security Evaluation Criteria (ITSEC) - a Contribution to Vulnerability?”. Information Processing 92 - Proceedings from IFIP 12th World Computer Congress Madrid Spain 7-11 Sept 1992. Vol 2. pp 579-587 (Gehrke et al, 1992)
SOG-IS. 2010. “Mutual Recognition Agreement of Information Technology Security Evaluation Certificates Version 3.0 January 2010 ”. [Verkkodokumentti]. [Viitattu 10.4.2016]. Saatavissa https://www.cesg.gov.uk/file/535/download?token=5h_yasZ7 (SOG-IS, 2010)
The Department of Trade and Industry. 1991. “Information Technology Security Evaluation Criteria (ITSEC)”. London. [Verkkodokumentti]. [Viitattu 10.4.2016].
Saatavilla
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Zertifizierung/ITSicherheitskrite rien/itsec-en_pdf.pdf?__blob=publicationFile (ITSEC, 1991)
CESG. “Common Criteria”. [Verkkosivusto]. [Viitattu 10.4.2016]. Saatavissa:
https://www.cesg.gov.uk/scheme/common-criteria-0 (CESG, 2016)
“The Common Criteria Portal”. [Verkkosivusto]. [Viitattu 10.4.2016]. Saatavissa:
https://www.commoncriteriaportal.org/ (CCPortal, 2016)
“Common Criteria v3.1 Release 4”. [Verkkosivusto]. [Viitattu 10.4.2016]. Saatavissa:
https://www.commoncriteriaportal.org/cc/ (CC, 2012)
National Information Assurance Partnership. “NIAP: Protection Profile”. [Verkkosivusto].
[Viitattu 10.4.2016]. Saatavissa https://www.niap-ccevs.org/Profile/ (NIAP, 2016)
Information Security Forum. “The ISF Standard of Good Practice for Information Security”. [Verkkosivusto]. [Viitattu 10.4.2016]. Saatavissa:
https://www.securityforum.org/tool/the-standard-of-good-practice-for-information-security/ (ISF, 2016)
Information Security Forum. 2007. “The Standard of Good Practice for Information Security 2007”. [Verkkodokumentti]. [Viitattu 16.9.2015]. Saatavissa:
https://www.securityforum.org/userfiles/public/2007_sogp_pub.pdf (SOGP, 2007) Valtiovarainministeriö. “Ohjaus - Valtiovarainministeriö”. [Verkkosivusto]. [Viitattu 10.4.2016]. Saatavissa: http://vm.fi/ohjaus (VM, 2016)
Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä. “Toimintasuunnitelma vuosille 2015-2016”. [Verkkodokumentti]. [Viitattu 10.4.2016]. Saatavissa:
http://vm.fi/documents/10623/307681/VAHTIn+toimintasuunnitelma+2015-2016/8119b60d-9627-4b19-b416-e4a6490ee8af (VAHTI-toimintasuunnitelma, 2015-2016)
Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä. “Vahti-ohjeet”.
[Verkkosivusto]. [Viitattu 10.4.2016]. Saatavissa https://www.vahtiohje.fi/web/guest/home (VAHTI-ohjeet, 2016)
JulkICT-toiminto. “Julkisen hallinnon tietohallinnon neuvottelukunta JUHTA”.
[Verkkosivu]. [Viitattu 10.4.2016]. Saatavissa: https://wiki.julkict.fi/julkict/juhta (JUHTA, 2016)
Julkisen hallinnon tietohallinnon neuvottelukunta. “JHS-suositukset”. [Verkkosivusto].
[Viitattu 10.4.2016]. Saatavissa
http://www.jhs-suositukset.fi/web/guest/jhs/recommendations/abstracts (JHS, 2016)
JulkICT-toiminto. “JulkICT wiki”. [Verkkosivusto]. [Viitattu 10.4.2016]. Saatavissa https://wiki.julkict.fi/julkict/ (JulkICT, 2016)
Nash, M. 2014. “Introducing ISO/IEC 27001:2013 and ISO/IEC 27002:2013”
[Verkkodokumentti]. [Viitattu 25.9.2014]. Saatavilla
http://www.bsigroup.com/Documents/ iso-27001/resources/BSI-ISO-IEC-27001-Live-Transition-Webinar-June2014.pdf (Nash, 2014)
ISO/IEC 27000:2014. ”Information Technology - Security techniques - Information security management systems - Overview and vocabulary”. International Organization for Standardization. (ISO27000, 2014)
International Organization for Standardization. “ISO Standards Search” [verkkopalvelu].
[Viitattu 15.4.2016]. Saatavilla http://www.iso.org/iso/search.htm. (ISO, 2016)
International Organization for Standardization.“ISO/IEC Directives part 1 - Consolidated ISO supplement - Procedures specific to ISO”. Fifth Edition 2014. International
Organization for Standardization. (Annex SL, 2014)
ISO/IEC 27001:2013. “Information Technology - Security Techniques - Information security management systems - Requirements”. International Organization for Standardization (ISO27001, 2013)
ISO/IEC 27001:2006. “Information Technology - Security Techniques - Information security management systems - Requirements”. International Organization for Standardization (ISO27001, 2006)
International Organization for Standardization. “Certification - ISO”. [Verkkosivusto].
[Viitattu 10.4.2016]. Saatavissa http://www.iso.org/iso/home/standards/certification.htm (ISOCert, 2016)
ISO/IEC 27006:2015. “Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems”.
International Organization for Standardization (ISO27006, 2015)
International Organization for Standardization. “ISO Survey 2014” [verkkopalvelu].
[Viitattu 10.4.2016]. Saatavilla http://www.iso.org/iso/home/standards/certification/ iso-survey.htm (ISOSurvey, 2014)
ISO 27799:2008. “Health informatics - Information security management in health using ISO/IEC 27002”. International Organization for Standardization (ISO27799, 2008)
CCRA Management Committee. “CCRA Vision Statement”. [Verkkosivusto]. [Viitattu 10.4.2016]. Saatavissa https://www.commoncriteriaportal.org/vision.cfm (CCRAVision, 2016)
Information Security Forum. “Knowledge Exchange - Information Security Forum”.
[Verkkosivusto]. [Viitattu 10.4.2016]. Saatavissa
https://www.securityforum.org/knowledge-exchange/ (ISFKn, 2016)
LIITE 1. ISO 27000 -STANDARDIPERHE
Alla olevassa luettelossa on listattu tämän työn kirjoittamishetkellä julkaistut valmiit ISO 27000 -perheen standardit (ISO, 2016):
ISO/IEC 27000 Overview and vocabulary ISO/IEC 27001 Requirements.
ISO/IEC 27002 Code of practice for information security management.
ISO/IEC 27003 Information security management system implementation guidance
ISO/IEC 27004 Measurement
ISO/IEC 27005 Information security risk management
ISO/IEC 27006 Requirements for bodies providing audit and certification of information security management systems
ISO/IEC 27007 Guidelines for information security management systems auditing
ISO/IEC TR 27008 Guidance for auditors on ISMS controls
ISO/IEC 27010 Information security management for inter-sector and inter-organizational communications
ISO/IEC 27011 Information security management guidelines for
telecommunications organizations based on ISO/IEC 27002 ISO/IEC 27013 Guideline on the integrated implementation of ISO/IEC
27001 and ISO/IEC 20000-1 ISO/IEC 27014 Information security governance
ISO/IEC TR 27015 Information security management guidelines for financial services
ISO/IEC TR 27016 Organizational economics
ISO/IEC 27017 Information security management for cloud systems ISO/IEC 27018 Code of practice for protection of personally identifiable
information (PII) in public clouds acting as PII processors ISO/IEC TR 27019 Information security management guidelines based on
ISO/IEC 27002 for process control systems specific to the energy utility industry
ISO/IEC TR 27023 Mapping the revised editions of ISO/IEC 27001 and ISO/IEC 27002
ISO/IEC 27031 Guidelines for information and communication technology readiness for business continuity
ISO/IEC 27032 Guideline for cybersecurity
ISO/IEC 27033-1 Network security - Part 1: Overview and concepts ISO/IEC 27033-2 Network security - Part 2: Guidelines for the design and
implementation of network security
ISO/IEC 27033-3 Network security - Part 3: Reference networking scenarios - Threats, design techniques and control issues
ISO/IEC 27033-4 Network security -- Part 4: Securing communications between networks using security gateways
ISO/IEC 27033-5 Network security - Part 5: Securing communications across networks using Virtual Private Networks (VPNs)
ISO/IEC 27034-1 Application security - Part 1: Guideline for application security
ISO/IEC 27034-2 Application security – Part 2: Organization normative framework
ISO/IEC 27035 Information security incident management (tarkennetut alaosat 1-3 kehitteillä)
ISO/IEC 27036-1 Information security for supplier relationships - Part 1:
Overview and concepts
ISO/IEC 27036-2 Information security for supplier relationships - Part 2:
Requirements
ISO/IEC 27036-3 Information security for supplier relationships - Part 3:
Guidelines for information and communication technology supply chain security
ISO/IEC 27037 Guidelines for identification, collection, acquisition and preservation of digital evidence
ISO/IEC 27038 Specification for digital redactation
ISO/IEC 27039 Selection, deployment and operations of intrusion detection systems (IDPS)
ISO/IEC 27040 Storage security
ISO/IEC 27041 Guidance for assuring suitability and adequacy of incident investigative method
ISO/IEC 27042 Guidelines for the analysis and interpretation of digital evidence
ISO/IEC 27043 Incident investigation principles and processes
ISO 27799 Information security management in health using ISO/IEC 27002 (kuuluu erilliseen Health informatics –sarjaan)
Tämän työn kirjoittamishetkellä vielä julkaisemattomia, mutta valmisteilla olevia ISO 27000 -perheen standardeja ovat lisäksi seuraavat standardit (ISO. 2016):
ISO/IEC 27009 Sector-specific application of ISO 27001 - Requirements ISO/IEC 27033-6 Network security part 6: Securing wireless IP network access ISO/IEC 27034-3 Application security – Part 3: Application security
management process
ISO/IEC 27034-5 Application security – Part 5: Protocols and application security controls data structure
ISO/IEC 27034-6.2 Application security – Part 6: Case studies
ISO/IEC 27034-7 Application security – Part 7: Application security assurance prediction
ISO/IEC 27036-4 Information security for supplier relationships - Part 4:
Guidelines for security of cloud services
ISO/IEC 27050-1 Electronic discovery – Part 1: Overview and concepts ISO/IEC 27050-2 Electronic discovery – Part 2: Guidance for governance and
management of electronic discovery
ISO/IEC 27050-3 Electronic discovery – Part 3: Code of Practice for electronic discovery
ISO/IEC 27050-4 Electronic discovery – Part 4: ICT readiness for electronic discovery