Tietoturvalliseen yhteiskuntaan

Tietoyhteiskunnan mahdollisuuksien tehokas hyödyntäminen edellyttää kaikkien osapuolien luottamusta tietoyhteiskunnan perusrakenteisiin. Luottamuksen lisäämisessä on olennaista erityisesti viestintäverkkojen ja -palvelujen tietoturvallisuuden ja yksityisyyden suojan parantaminen. Tämän tavoitteen saavuttamiseksi vaaditaan viranomaisten ja alan toimijoiden aktiivista yhteistyötä sekä kansallisella että kansainvälisellä tasolla.

Viestintävirasto pyrkii toiminnallaan edistämään viestintäverkkojen ja -palvelujen tietoturvaa ja -suojaa yhdessä sidosryhmiensä kanssa. Viestintävirasto valvoo EY-direktiivien pohjalta valmisteltujen alaa koskevien lakien ja Viestintäviraston määräysten noudattamista. Virasto myös seuraa tietoturvallisuuden tasoa ja antaa yleistä ohjeistusta tietoturva-asioista.

Tietoturvan peruskäsitteitä

Tietoturvallisuudella tarkoitetaan tietojen, järjestelmien ja palvelujen suojaamista sekä normaali- että poikkeusoloissa hallinnollisten ja teknisten toimenpiteiden avulla. Tietoturvallisuus rakentuu tiedon kolmen ominaisuuden - luottamuksellisuuden, eheyden ja käytettävyyden - turvaamisesta.

Luottamuksellisuudella tarkoitetaan sitä, että tiedot, järjestelmät ja palvelut ovat vain niihin oikeutettujen saatavissa eikä niitä luvatta paljasteta tai muutoin saateta sivullisten tietoon.

Eheydellä tarkoitetaan sitä, etteivät tiedot, järjestelmät tai palvelut ole laitteisto- tai ohjelmistovikojen, luonnontapahtumien tai oikeudettoman inhimillisen toiminnan seurauksena muuttuneet tai tuhoutuneet.

Käytettävyydellä tarkoitetaan sitä, että tiedot, järjestelmät ja palvelut ovat tarvittaessa niihin oikeutettujen esteettä hyödynnettävissä.

Pääsynvalvonnalla tarkoitetaan, että tietoa tai tietojärjestelmää ei voi käyttää ilman lupaa.

Osapuolten todentamisella (autentikointi) tarkoitetaan osapuolten (henkilö tai järjestelmä) luotettavaa tunnistamista. Todentamisella viitataan yleensä kohteen ominaisuuksiin, esimerkiksi siihen, mitä kohteella on hallussaan tai mitä kohde tietää. Vahva todennusmenetelmä on yhdistelmä edellisistä menetelmistä. Useat järjestelmät toteuttavat tunnistamisen ja todentamisen samaan aikaan. Esimerkiksi henkilötietoja tarkistettaessa tarkastetaan käyttäjän tiedot ajokortista ja samalla käyttäjä tunnistetaan. Toiset järjestelmät puolestaan suorittavat valtuutuksen ja todentamisen samaan aikaan. Esimerkiksi kulunvalvontajärjestelmä lukee kulkukortin ja avaa oven.

Kiistämättömyydellä tarkoitetaan todisteiden luomista sen varmistamiseksi, ettei yksikään tietojen käsittelyn tai siirron osapuoli voi jälkikäteen kiistää osuuttaan siihen (juridinen sitovuus). Tietojen ja tietoaineistojen osalta kiistämättömyys voi koskea muun muassa tietoa siitä, kuka on muokannut tietoja. Sähköisessä viestinnässä kiistämättömyydellä tarkoitetaan muun muassa toimenpiteitä, joilla varmistutaan viestin lähettäjästä ja viestin vastaanottajasta.

Tunnistamisella tarkoitetaan menettelyä, jolla yksilöidään kohde, kuten käyttäjä tai järjestelmä. Tunnistaminen ei välttämättä edellytä toimenpiteitä kohteelta. Tunnistamisella tarkoitetaan esimerkiksi työtovereiden tunnistamista työympäristöön kuuluviksi.

Tietoturvan osa-alueet

Organisaation ja käyttäjien toimenpiteet (suunnittelu, toteutus, valvonta) tietoturvallisuuden osa-alueiden toteuttamiseksi voidaan jakaa kahdeksaan alueeseen:

• hallinnollinen ja organisatorinen tietoturvallisuus
• henkilöstöturvallisuus
• fyysinen turvallisuus
• tietoliikenneturvallisuus
• laitteistoturvallisuus
• ohjelmistoturvallisuus
• tietoaineistoturvallisuus
• käyttöturvallisuus