julkaistu 18.marraskuuta 2019 • 2 min Lue

Tietoturvakontrollit ovat toimenpiteitä, joilla pyritään vähentämään tietoturvariskejä, kuten tietojärjestelmämurtoja, tietovarkauksia ja luvattomia muutoksia digitaalisiin tietoihin tai järjestelmiin. Näiden turvatarkastusten tarkoituksena on auttaa suojaamaan tietojen ja verkkojen saatavuutta, luottamuksellisuutta ja eheyttä, ja ne toteutetaan tyypillisesti tietoturvariskien arvioinnin jälkeen.

Tietoturvavalvonnan tyyppejä ovat tietoturvakäytännöt, menettelyt, suunnitelmat, laitteet ja ohjelmistot, joiden tarkoituksena on vahvistaa kyberturvallisuutta. Tietoturvavalvontaa on kolmea luokkaa:

• preventive security controls, designed to prevent cyber security incidents
• Detective security controls, jonka tarkoituksena on havaita kyberturvallisuuden murtoyritys (”event”) tai onnistunut murtautuminen (”incident”) sen ollessa käynnissä, ja varoittaa kyberturvallisuushenkilöstöä
• kyberturvallisuustapahtuman jälkeen käytettävät korjaavat turvatarkastukset, joiden tarkoituksena on minimoida järjestelmän tai verkon tietojen häviäminen ja vahingoittuminen sekä palauttaa kriittiset liiketoimintajärjestelmät ja prosessit mahdollisimman nopeasti (”resilienssi”)

turvatarkastukset tulevat muodossa:

• kulunvalvonta, mukaan lukien fyysisen kulun rajoitukset, kuten rakennusten sisäänkäyntien, sulkujen ja raja-aitojen vartijat
• menettelylliset tarkastukset, kuten turvatietoisuuskoulutus, turvallisuuskehyksen noudattamista koskeva koulutus sekä vaaratilanteiden torjuntasuunnitelmat ja-menettelyt
• tekniset tarkastukset, kuten monivaiheinen käyttäjätodennus loginissa (login) ja loogisissa kulunvalvonnoissa, virustorjuntaohjelmisto, palomuurit
• compliance controls, kuten yksityisyyslait ja Cyber turvallisuuskehykset ja standardit.

yleisimmin käytettyjä tietoturvakehyksiä ja-standardeja ovat:

• National Institute of Standards and Technology (NIST) – erikoisjulkaisu 800-53, Security and Privacy Controls for Federal Information Systems and Organizations. Tässä asiakirjassa luetellaan turvallisuusvaatimukset, jotka ovat hyödyllisiä paitsi liittovaltion virastoille myös kaikille organisaatioiden tietoturvariskien hallintaohjelmille.
• International Organization for Standardization (ISO) – standardi ISO 27001, Information Security Management, joka antaa ohjeita tietotekniikan tietoturvasta ja tietoturvasta.
• the Payment Card Industry Data Security Standard (PCI DSS), which set security requirements and security controls for the protection of sensitive data related to personal credit card and payment card information
• the Health Insurance Portability and Accountability Act (HIPAA), a federal law regulating information security and privacy protections for personal health information

viitekehykset ja standardit ovat järjestelmiä, jotka, jos niitä noudatetaan, auttavat yhteisöä hallitsemaan johdonmukaisesti tietoturvavalvontaa kaikkien järjestelmien, verkkojen ja laitteiden osalta, mukaan lukien konfiguraationhallinta, fyysinen turvallisuus, henkilöstön turvallisuus, verkon turvallisuus ja tietoturvajärjestelmät. Ne määrittelevät, mitä ovat hyvät kyberturvallisuuskäytännöt ja tarjoavat rakenteen, jota yhteisöt voivat käyttää tietoturvakontrolliensa hallintaan.