Tietojärjestelmän tietoturva

 Etusivu

Laitteiston fyysinen turvallisuus

Laitteiden fyysinen turvallisuus on suhteellisen laaja käsite ja siksi vaikeasti hallittavaa. Näiden pohja luodaan jo rakennusvaiheessa. Tähän liittyy mm. kulunvalvonta, murtosuojaus, lukitseminen, turvamerkinnät, paloturvallisuus ja hälytys/vartiointi. Yleensä kun puhutaan fyysisestä turvallisuudesta, tarkoitetaan turvallisuusominaisuuksia, jota hallitaan fyysisillä tietokonelaitteistoilla. Virhetilanteita tietoturvalle synnyttävät väärä käyttöympäristö, laitteistovirheet, huollon puute ja virheellinen käyttö. Fyysiset tietoturvaratkaisut ovat perusta tietoturvassa. Fyysiseen tietoturvaan sisältyy myös luonnonkatastrofien tai ympäristön haittavaikutuksien estämistä laitteistoihin.

Tilat
Tietokonelaitteistoja sisältävät tilat pitäisi pyrkiä suunnittelemaan siten, että niissä otetaan huomioon erilaiset laitteistoon kohdistuvat turvallisuusuhat. Uhkia voi olla runsaasti erilaisia, joten kaikkiin on vaikeaa varautua, mutta oman alueen tavallisimmat uhat pitää huomioida. Jos tilat ovat alueella, jolla tapahtuu enemmän rikollisuutta, pitää vartiointiin ja murtosuojaukseen satsata. Jos taas luonnononnettomuudet ovat uhkana, näihin pitää varautua omilla suojausmenetelmillä.

Konesalisuojaus on tärkeää niiden suuren tietomäärän vuoksi. Tilat tulisi osastoida erillisiksi ja niiden tulee olla erillisiä palotiloja. Näiden pitää pystyä toimimaan toisistaan riippumattomina. Jos tulee poikkeustila, pitää käyttöhenkilöstön pystyä jatkamaan työskentelyä tästä huolimatta.

Vesivuodot otetaan huomioon vettä sisältävissä tiloissa ja suojana käytetään esimerkiksi kotelointia tai muuta vastaavaa järjestelmää.

Tiloissa tapahtuva toiminta pitäisi olla valvottua. Aina pitäisi olla selvillä kenellä on pääsy määrättyihin tiloihin, mutta silti tiloissa on pystyttävä toimimaan myös konttoriaikojen ulkopuolella. Vierailijoille ja työntekijöille voidaan varata erilliset tilat. Henkilöstöä pitää kouluttaa, jotta he ymmärtävät kulunvalvonnan tärkeyden ja vieraiden liikkumisen rajoittamisen toimitiloissa.

Tiloissa pitää olla vähintään lain määräämä sammutusjärjestelmä, jolla estetään tulipalo tai savuvahinko. Vahinkoa voidaan estää myös ennakoivalla paloilmoitusjärjestelmillä. Jokaisessa konesalitiloissa pitäisi olla myös salikohtainen sammutusjärjestelmä, jotta jokainen osasto voidaan sammuttaa erikseen. Myös käsisammutuskalustoa pitäisi olla jokaisella osastolla riittävästi.

Tilat pitää joskus varustaa rikosilmoitinjärjestelmillä. Kaikki ikkunat, ovat ja tilat tulisi olla valvottuja ja valvonta pitää aktivoida aina kun tiloissa ei työskennellä. Joskus yrityksen pitää rajoittaa myös työskentelyaikoja paikoissa, joissa murtautuminen tai tiloihin luvaton pyrkiminen on yleisempää ja riskit suurempia. Tilojen valvonta voidaan järjestää ulkoisesti turvallisuusyritysten avulla tai etävalvonnalla.

Sähkönsyöttö voidaan varmistaa kahdella erillisellä sähkönjakelulla tai varavoimakoneilla, jotka on mitoitettu yrityksen tietojärjestelmien käyttöön. Tasainen ja katkeamaton virransyöttö voidaan varmistaa UPS-suojauksilla. Nämä tasaavat sähkövirrat, vaikka salaman aiheuttaman virtapiikin takia.

Laitteistoturvallisuus
Laitteistoturvallisuudella tarkoitetaan kaikkien yrityksen laitteiden suojaamista. Suojaamisella pyritään estämään laitteiston väärinkäyttö, varastaminen ja vahingoittaminen. Tärkeimpiä laitteita ovat kannettavat koneet, palvelimet ja älypuhelimet. Myös omat käyttöpolitiikat antavat suojaa. Jos työpaikka tarjoaa tarvittavat laitteistot, ei omia laitteita tarvitse tuoda työpaikalle ja tällöin tietoturvallisuus paranee. Laitteiston sijoittaminen vaikuttaa siten, että fyysinen vahingoittaminen tai varkauksien aiheuttama riski pienenee.

Laitteistoturvallisuuteen vaikuttavat tekijät ovat myös lukitukset ja pääsynvalvonta. Pääsynvalvonnalla voidaan estää ulkopuolisten pääsy tilaan, jossa laitteita on ja lukituksella laitteet voidaan liittää kiinteään esineeseen niin, että niitä ei voida siirtää.

Usein yrityksessä laitteistot dokumentoidaan ja merkitään niin, että on tiedossa kenellä ja missä laitteet ovat. Näin tietoja ei joudu vääriin käsiin hukattujen laitteistojen kautta.

Laitteistoturvallisuuteen liittyy myös tallennusmedian asianmukainen hävittäminen laitteen rikkoutumisen tai käytöstä poiston jälkeen.

Inventaario
Yrityksen olisi hyvä tietää mitä laitteita yrityksellä on ja missä ne sijaitsevat. Laitteet voidaan turva luokitella ja merkitä ne fyysisesti. Laitteista tehdään dokumentaatio, eli jonkinlainen tietokanta siitä, mitä laitteita on ja missä tilassa ne ovat. Tästä ilmenee mikä laite on kyseessä, kuka sen käyttäjä on ja laitteen tärkeys. Tärkeydellä tiedetään mihin laitteisiin pitää keskittää enemmän turvallisuustoimintoja.

Käyttöpolitiikka
Yrityksellä olisi oltava laitteisiin liittyvä käyttöpolitiikka, eli tehdään selväksi henkilöstölle, miten haluat heidän toimivan laitteiston suhteen. Kuka saa käyttää määrättyjä laitteita, saako laitteita käyttää kotona tai omia laitteita työpaikalla. Myös mihin tarkoitukseen laitteita saa työpaikalla käyttää ja mihin saa dataa tallentaa.

Ohjeistaminen
Henkilöstöä pitää kouluttaa, jotta he osaisivat huolehtia laitteistosta. Käyttö- ja turvallisuuskoulutuksia olisi syytä pitää määrätyin väliajoin. Henkilöstö ei ymmärrä aina turvallisuustoimien tärkeyttä omassa työssään, vaikka IT-vastaaville se olisi itsestään selvyys. Kouluttamisella estetään, ettei kukaan pääse kopioimaan tai tuhoamaan tietoja oman osaamattomuuden, taloudellisen hyödyn tai pahantahtoisuuden vuoksi. Tietoja voidaan hukata myös vahingossa. Joku voi käyttää toisia henkilöitä hyödyksi tahallisesti tai tahattomasti, jotta pääsee käsiksi tietoihin.

Hallinnollinen tietoturva sisältää käyttäjien koulutusta, tiedottamista ja erilaisten käyttösopimusten tekemistä. Tätä on myös uusittava ajoittain, koska asian tärkeys unohtuu käyttäjiltä pikkuhiljaa. Samoin myös käyttäjien työmoraali on pidettävä korkealla, jotta he eivät sorru virheisiin niin helposti.

Käyttäjien on ymmärrettävä käyttäjätunnusten tarkoitus ja niiden käyttö. Salasanat pitää olla näkymättömissä muilta. Samoin uusien käyttäjien myötä salasanat on vaihdettava. Tietokoneiden käyttöä voidaan seurata eri tunnuksien avulla. Jos jotain tapahtuu, tiedetään kenen tunnuksilla tämä on tehty. Tämä on myös tehtävä selväksi koneiden käyttäjille ja vahingon seurauksista on tiedotettava. Suurin osa hakkereiden toiminnasta perustuu salasanojen kalasteluun tietokoneiden parissa työskenteleviltä henkilöiltä.

Laitteiston poistaminen käytöstä
Henkilöstö ei aina ymmärrä miten tietoja voidaan tuoda uudelleen esiin, vaikka laite olisi viallinen tai poistettu käytöstä. Siksi oikeaoppinen laitteen poistaminen on tärkeää. Joskus kovalevyjen tiedosto tasoinen poistaminen riittää, mutta usein kovalevy pitää tuhota fyysisesti, jotta tiedostojen uudelleen lukeminen vaikeutuu.
 

Video

 
 

Aiheeseen liittyvät linkit

Tietoturva
 - Tietojesi turvaksi
 - E-learn tietoturvaa


 

 

Kysy neuvoa tai anna vinkki

 

Tiedotteet ja aikataulut

Tervetuloa kurssille
Tähän tulee ilmoituksia kurssista

 

Tehtävät ja palautus

Tehtäviä

1. Katso video Larryn toiminnasta yrityksessään. Mitä virheitä hän teki? Miten tilanteet olisi voinut ratkaista toisin tai selvittää puhuiko "työkaveri" totta?

2. Miten havaitset, että koulun tilat, joissa on tietotekniikkaa, on suojattu fyysisesti? Anna parannusehdotuksia.

3. Miten havaitset laitteistoturvallisuuteen liittyviä seikkoja koulun laitteistoissa?

4. Kuinka usein henkilöstölle joudutaan kertaamaan sääntöjä, jotta he muistaisivat ne? Mitä asioita kouluttaisit aloittavalle työntekijälle? Miten sinua on ohjeistettu kuolutuksesi alussa ja sen aikana? Muistatko kaikki?

5. Miksi poistettavien laitteiden tallennustiloja ei voida vain laittaa kaatopaikalle tai myydä eteenpäin?

Palauta vastaukset laatimalla OneDriveen kansio kurssin nimellä ja jakamalla se kurssin lopuksi opettajalle.