Tietojärjestelmän tietoturva

 Etusivu

Tietoturvan osat (CIA)

Kun ajattelemme tietoturvaa käsitteenä, usein ajattelemme sen tarkoittavan tietojen salaamista henkilöiltä, joilla ei ole asianmukaista lupaa tietoja katsoa. Salassa pitäminen on kuitenkin vain yksi osa-alue tietoturvassa. Tiedot, jotka ovat luottamuksellisia, on tarkoitettu vain heille, joita asia koskee. Ei muille. Toinen osa tietoturvallisuudessa on tietojen säilyminen sellaisena kuin ne alun perin on tarkoitettu. Jos tietoja pääsee muuttamaan joko tahallaan tai vahingossa, se ei enää ole oikeaa alkuperäistä tietoa ja tähän liittyy tiedon eheys. Silloin kun tietoa tarvitaan, pitää se olla saatavilla. Tietoja on erilaisia. Joitakin tarvitaan usein, toisia harvemmin. Tähän liittyy tietoturvan saatavuusosa.

Saatavuus tai käytettävyys
(engl. availability):
Saatavuudella tarkoitetaan sitä, että tieto on saatavilla silloin kun sille on tarvetta, edellyttäen että tietoa voidaan siirtää ja tiedonsiirrolle on varattu kapasiteettia. Tiedot ja niiden muodostavat palvelut ovat käytössä tai saavutettavissa oikeaan aikaan. Tiedot pitäisi saada käyttöön viiveettä ja helposti heille, joille tieto kuuluu. Tässä on myös varmistettava, että tiedot saadaan teknisesti oikein esille. Saatavuuden turvaamisessa otetaan huomioon tietojen käytettävyydelle määritetyt vaatimukset. Käytettävyydellä tarkoitetaan, että tiedot säilyvät luotettavina, eheinä ja alkuperäisinä arkistoinnin ja säilytyksen aikana. Käytettävyyden varmistamiseen on dokumentteihin hyvä kirjata tarpeelliset metatiedot, jotka kertovat asiakirjan sisällönkuvauksen, luokan ja muiden tiedostojen suhteen. Siten oikea tieto saadaan esille oikeassa tilanteessa.

Luottamuksellisuus (engl. confidentiality):
Kun tiedot ovat luottamuksellisia, pääsee niihin käsiksi vain henkilöt, joille on niihin annettu oikeus. Tätä valvotaan erilaisilla salauksilla ja pääsynhallinoilla. Tiedot ovat vain niihin oikeutettujen henkilöiden ja organisaatioiden tavoitettavissa ja niitä ei voi antaa muiden käyttöön. Jos tiedot päätyvät taholle, joilla ei ole oikeutta, katoaa siitä luottamuksellisuus. Käyttäjähallinnasta saadaan tieto siitä, mitä oikeuksia eri henkilöille on myönnetty ja kuinka pitkälle järjestelmään kyseisillä käyttöoikeuksilla päästään.

Eheys (engl. integrity):
Kun tietoa varastoidaan, se ei saa muuttua, tuhoutua tahattomasti tai tietovaraston hyökkäyksessä. Tiedot eivät voi muuttua hallitsemattomasti. Jos muutoksia tietoihin tapahtuu, on se ainakin rekisteröitävä. Tämän vuoksi eheydelle on ominaista, että sen palauttaminen on vaikeaa. Jos eheyttä käytetään asiakirjassa, sen tiedot ovat oikeita, ajan tasalla. Tietoja ei saa muuttaa, hävittää eikä vahingoittaa virheiden tai luvattoman käytön seurauksena. Eheys jaetaan sisäiseen ja ulkoiseen eheyteen. Sisäinen eheys on tietojen loogisuutta ja ulkoinen eheys paikkaansa pitävyyttä. Eheyteen voidaan liittää lisäominaisuuksia. Näitä ovat mm. alkuperäisyys, koskemattomuus ja kiistämättömyys. Näillä tarkoitetaan, että onko tiedon alkuperä sieltä mistä väitetään, ovatko tiedot päässeet muuntumaan ja onko tieto sitä mitä luulemme.

Tietoturvallisuuden osia täydentää seuraavat käsitteet:

Kiistämättömyys:
Jos henkilö tekee muutoksia, poistaa tai lisää tietoja tietovarastoon, hän ei voi kiistää tekojansa. Tiedon käsittelijä ei voi jälkikäteen kiistää lähettäneensä, muuttaneensa tai poistaneensa tietoja tai olleensa yhtenä osapuolena toiminnassa. Kaikesta tietojen käyttäjistä ja tekemisistä on selvät todisteet. Kiistämättömyyteen kuuluu tiiviisti todentaminen ja eheys. Esimerkiksi sähköpostin käytössä lähettäjä ja vastaanottaja ei voi kiistää omaa osuuttaan viestittelyssä.

Tunnistus:
Tietojen käyttäjä voidaan tarvittaessa liittää käyttäjätunnukseen. Oikeuden saanut henkilö tunnistetaan todentamalla, että käyttäjä on oikea henkilö käsittelemään tietoja. Tunnistamisella voidaan henkilö tunnistaa esimerkiksi johonkin ryhmään kuuluvaksi tai työympäristöön.

Todennus:
Todennuksen yhteydessä tapahtuu tunnistaminen. Käyttäjä voidaan todentaa, vaikka salasanalla tai digitaalisella allekirjoituksella. Näillä varmistetaan, että osapuolet ovat tekemisissä oikean henkilön tai tahon kanssa.

Video
 
 

Aiheeseen liittyvät linkit

Tietoturva
 - Tietojesi turvaksi
 - E-learn tietoturvaa


 
 

Kysy neuvoa tai anna vinkki
 

Tiedotteet ja aikataulut

Tervetuloa kurssille
Tähän tulee ilmoituksia kurssista

 

Tehtävät ja palautus

Tehtäviä

1. Miten saatavuus, käytettävyys, luottamuksellisuus ja eheys tulee käytännössä ilmi a) verkkokaupassa b) nettipankissa c) OneDrivessä?

2. Luo matriisilomake vastauksista.
Kerro esimerkkejä palveluista, joissa käytetään tunnistusta ja todennusta

3. Miten kiistämättömyyttä käytetään koulun verkossa ja tietoturvassa?

4. Selosta piirroksella saatavuus, käytettävyys, luottamuksellisuus ja eheys. Miten ne näkyvät tietoturvassa?

Palauta vastaukset laatimalla OneDriveen kansio kurssin nimellä ja jakamalla se kurssin lopuksi opettajalle.