 |
Tätä opasta ruvettiin laatimaan syksyllä 2001, koska
tietoturvasta oli kyllä laadittu runsaasti ohjeita, mutta
suhteellisen pieni osa niistä oli kirjoitettu
peruskäyttäjille (end users)
käytännöllisestä näkökulmasta.
Useimmat tietoturvaan tähtäävät, peruskäyttäjille tarkoitetut
toimintaohjeet olivat
organisaatiokohtaisia, jos niitä oli lainkaan koottu yhteen.
Usein ne olivat erillisinä kohtina tietoturvaohjeiden viidakossa,
jossa on paljon sellaista, mikä on liian teknistä ja liian vaativaa
peruskäyttäjälle.
Tähän oppaaseen pyrittiin
valitsemaan kaikkein keskeisimpiä
tietoturvaneuvoja ja muotoilemaan ne lyhyesti, "huoneentauluksi",
sitten selittämään niitä tarkemmin.
Vaikka nyttemmin on laadittu myös monia muita yleistajuisia ohjeita, on
peruskäyttäjille sopivan tietoturvaohjeistuksen
laatimiseen ja ajan tasalla pitämiseen
kiinnitettävä jatkuvasti huomiota.
Erityisen tärkeää on muistuttaa keskeisistä perusasioista ja
tuoda niitä myös uusien käyttäjien tietoon.
Kyse on tietenkin yleisluonteisesta oppaasta.
Eri organisaatioissa ja tilanteissa on erityisiä tietoturva-asioita,
joita on painotettava, ja kuten tässä oppaassakin korostetaan,
paikallisten ohjeiden tunteminen ja noudattaminen on hyvin keskeistä.
Parasta olisi, jos niin huoneentaulu kuin tarkempi
ohjeistokin voitaisiin laatia
organisaatio-, toimintayksikkö- tai
jopa henkilökohtaiseksi, mutta
käytännössä joudutaan usein tyytymään yleisempään aineistoon.
Kovin useinhan tilanne on, että niin
tietoturvassa kuin monessa
muussakin asiassa monen kotikäyttäjän ja pienen organisaation työntekijän
ainoa ATK-tukihenkilö on hän itse.
Kohderyhmänä on siis peruskäyttäjä, tai yleisemmin sanottuna
ihminen tietokoneen peruskäyttäjän ominaisuudessa. Esimerkiksi johtajan
tai ATK-ylläpitäjän tulee ymmärtää tietoturvasta paljon enemmän, mutta
heidän on syytä myös omassa tietokoneen hyväksikäytössään ottaa
tietoturva huomioon. Olisi ikävää, jos yrityksen turvasuunnitelman
salaiset osat vuotaisivat ulkopuoliselle vain siksi, että turvasuunnitelman
laatija ei huolehtinut henkilökohtaisen koneensa
turvallisuudesta.
Tätä opasta laadittaessa käytettiin hyväksi monia niistä
aineistoista, jotka on mainittu lisätiedoissa. Lisäksi erityisesti
RFC 2504:nä julkaistu
Users' Security Handbook, joka on suomennettu
nimellä
Tietokoneen käyttäjän turvaopas,
oli paljolti inspiraationa ja esikuvana.
Aihepiirinä tässä ohjeistossa on tietoturva sellaisena kuin
se laajassa mielessä käsitetään, siis sisältäen mm. fyysisen
turvallisuuden, tietoaineistojen varmistamisen ym. asioita,
jotka ovat jääneet julkisuudessa jossain määrin
varjoon, koska mm. virusten leviäminen on saavuttanut
suuren yleisön huomion. Tietoturva on pyritty ymmärtämään suunnilleen
valtionhallinnon tietoturvasanastossa olevan
tietoturvan (tietoturvallisuuden) määritelmän mukaisesti:
- Asiaintila, jossa tietojen, tietojärjestelmien ja tietoliikenteen luottamuksellisuuteen, eheyteen ja käytettävyyteen kohdistuvat uhat eivät aiheuta merkittävää riskiä.
- Keinojen ja toimenpiteiden kokonaisuus, joiden avulla pyritään varmistamaan tietoturvallisuus niin normaali- kuin poikkeusoloissa.
Huom.
Tietoturvallisuuden toteuttamisessa erotetaan kahdeksan toimenpidealuetta:
hallinnollinen, henkilöstö-, fyysinen, tietoliikenne-, laitteisto-,
ohjelmisto-, tietoaineisto- ja käyttöturvallisuus.
Oppaan sisältö on tarkistettu tammikuussa 2004.
Erityisesti on tarkistettu ja täydennetty linkkejä.
|
In English 
