Tietoturvallisuuden kehittäminen CastilSecin avulla

CastilSecin käyttöönotto tähtää tietoturvallisuuden kokonaisvaltaiseen varmistamiseen ja hallintaan organisaatiossa, niin että yksikään osa-alue ei jää varmistamatta. CastilSec tarjoaa useita työkaluja tämän tavoitteen saavuttamiseksi.

Lopputuloksena on organisaation liiketoiminnan vaatimuksiin perustuva, optimaalinen tietoturvallisuus, joka on todennettavissa ja osoitettavissa myös sidosryhmille.

Tietoturvallisuuden kehittämisen prosessi

CastilSec ohjaa käyttäjäorganisaation vaihe vaiheelta tietoturvallisuuden kehittämisprosessin läpi. CastilSecin antama prosessi on yhdenmukainen kansainvälisten tietoturvastandardien – erityisesti ISO/IEC 27001 – sekä suomalaisten tietoturvavaatimusten kanssa. Käyttäjäorganisaation ei tarvitse tuntea näitä dokumentteja eikä tietoturvallisuuden teoriapohjaa noudattaakseen CastilSecin prosessia.

Organisaatio voi valita prosessista soveltuvat osat ja jättää sille vähemmän merkitykselliset vaiheet toteuttamatta tai toteuttaa ne myöhemmin.

Tietoturvallisuuden vastuuhenkilöt

Kaikki henkilöt, joilla on tietoturvallisuuteen liittyviä vastuita voidaan viedä CastilSeciin käyttäjiksi. CastilSecin käyttäjiä ovat tavallisimmin

  • tietoturvallisuudesta vastaava johtaja (pienessä yrityksessä toimitusjohtaja)
  • tietohallintopäällikkö tai -johtaja
  • toimitilojen turvallisuudesta vastaava henkilö
  • henkilöstöpäällikkö
  • IT-asiantuntijat

ja suurissa organisaatioissa, jos näitä tehtäviä on,

  • turvallisuuspäällikkö tai -johtaja
  • tietoturvapäällikkö
  • riskienhallintapäällikkö tai -johtaja

Kukin CastilSecin käyttäjä pystyy käsittelemään niitä kohteita, joiden vastuuhenkilö hän on. Pääkäyttäjän oikeudet omaavat näkevät kaiken organisaation CastilSeciin syöttämän tiedon.

Tietoturvallisuuden suojattavat kohteet ja turvaluokitus

Jotta tietoturvallisuudesta voidaan varmistua kattavasti, on tunnistettava kaikki objektit, joissa tietoa esiintyy ja käsitellään. Nämä kohteet voidaan tallentaa CastilSeciin ja niiden tietoturvavaatimukset voidaan määritellä viisiportaisella asteikolla, vaatimattomasta huipputurvallisuuteen.

CastilSecin turvaluokitus vastaa olennaisilta osiltaan Suomen valtionhallinnossa noudatettavia suojaustasoja.

Suojattaville kohteille määritellään kategoria, johon ne kuuluvat. CastilSec sisältää joukon valmiiksi määriteltyjä kategorioita, joita ovat muun muassa

  • tietoturvallisuuden hallinta
  • henkilöstö
  • henkilötiedot
  • käyttövaltuudet
  • kiinteistöt
  • päätelaitteet
  • tietojärjestelmät
  • tietoverkot

Kukin pääkategoria jakautuu alakategorioihin.

Tietoturvamenettelyt

Tietoturvallisuus rakennetaan toteuttamalla sopiva joukko tietoturvamenettelyjä.

CastilSec sisältää laajan joukon erilaisia tietoturvamenettelyjä, jotka vaihtelevat kohteen kategorian ja suojaustason mukaan. Kun käyttäjäorganisaatio luo CastilSeciin uuden kohteen ja määrittelee sen kategorian, CastilSec suosittelee kohteelle sopivia tietoturvamenettelyjä sen suojaustason mukaisesti. Toimistolle CastilSec suosittelee erilaisia tietoturvamenettelyjä kuin vaikkapa pilvipalvelulle.

Kohteen vastuuhenkilö voi määritellä, onko yksittäinen tietoturvamenettely toteutettu vai ei, tai merkitä sen toteutettavaksi.

 Tietoriskien hallinta

Tietoriskien hallinta sisältyy CastilSecin ominaisuuksiin Professional ja Enterprise -versioissa.

CastilSeciin voidaan kirjata organisaation tunnistamat tietoriskit ja niihin voidaan liittää tiedot kohteista, joihin ne kohdistuvat, riskien vakavuudet sekä tiedot keinoista, joilla riskejä on käsitelty. Riskeistä voidaan tulostaa erilaisia raportteja.

Tietoturvallisuuden kehittämissuunnitelma

Tietoturvamenettelyjen toteuttamista koskevat ja muut tietoturvallisuuteen liittyvät tehtävät voidaan kirjata CastilSeciin. Tehtävät voidaan osoittaa vastuuhenkilöille ja nämä saavat uusista tehtävistä ilmoituksen sähköpostiinsa.

CastilSeciin kirjatut tehtävät muodostavat työsuunnitelman tietoturvallisuuden kehittämiseksi organisaation tavoittelemalle tasolle. Tietoturvallisuuden jatkuvaan ylläpitoon liittyvät, säännöllisesti toistuvat tehtävät voidaan myös kirjata. Näin CastilSecissä on aina ajantasainen tieto toimenpiteistä, joita tietoturvallisuuden varmistamiseksi on tehtävä.

Tietoturvapoikkeamien hallinta

Tietoturvapoikkeamia voidaan hallita CastilSecin avulla. Poikkeamat voidaan kuitata käsitellyiksi ja niistä voidaan tulostaa raportteja.

Tietoturvadokumenttien hallinta

Tietoturvallisuuden hallinta edellyttää usein CastilSeciin tallennettujen tietojen lisäksi erilaisten dokumenttien laatimista ja hallintaa. Tarvittavat dokumentit voidaan tallentaa turvallisesti CastilSeciin, missä ne ovat aina tietoturvallisuuden hallinnasta vastaavien henkilöiden saatavilla.

Tietoturvallisuuden kokonaiskuva

CastilSec tuottaa kokonaiskuvan tietoturvallisuuden tilasta organisaatiossa pylväsdiagrammina.

Ota yhteyttä tai pyydä tarjous