Tietojärjestelmien siirtyminen yhä enemmän internetiin on tehnyt tietoturvan huomioimisesta ohjelmistotuotannossa entistä tärkeämpää. Lukuisat esimerkit tietomurroista todistavat uhkien todellisuutta eritasoisissa organisaatioissa. Tietoturvan varmistamiseksi on olemassa erilaisia standardeja, joita käyttämällä tietoturvavaatimukset on mahdollista määritellä kattavalla tasolla. Yksi käytetyimmistä standardeista on ISO/IEC 27002, joka ottaa kantaa tietoturvan organisointiin kokonaisvaltaisesti. Tässä tutkielmassa tarkastellaan standardin käyttökelpoisuutta tietoturvavaatimusten määrittelyn pohjana.
Tutkielmassa tietoturvaa tarkastellaan Suomen Pankin tietoturvaprosessin kautta. Tietoturvan suunnittelu ohjelmistotuotantoprojekteissa pohjautuu ISO/IEC 27002-standardiin. Standardi on mukautettu vastaamaan keskuspankkiympäristön tarpeita. Esimerkkiprojektissa tietoturvavaatimukset määriteltiin ohjeistuksen pohjalta, ja toteutuksen vaatimuksenmukaisuus varmistettiin vertaamalla toteutusta standardin asettamiin vaatimuksiin. Järjestelmän tietoturvan määrittäminen aloitetaan määrittelemällä järjestelmän kriittisyys. Tietoturvavaatimukset suhteutetaan kriittisyystasoon, jotta ne ovat järjestelmän liiketoimintaan sopivat. Kriittisyys määritetään luottamuksellisuuden, eheyden ja saatavuuden kautta. Tietoturvan vaatimuksenmukaisuus todennetaan käytännön tietoturvatarkastuksen, sekä vaatimuksenmukaisuuden avulla. Puutteet raportoidaan järjestelmän omistajalle riskiarvion muodossa. Jokaisesta riskistä arvioidaan vaikutus ja todennäköisyys. Järjestelmän omistaja päättää hyväksytäänkö riski, vai tehdäänkö riskiä lieventäviä tai poistavia toimenpiteitä.
Esimerkkiprojektissa tietoturvavaatimusten laatimiseen käytettiin runsaasti aikaa ja työpanosta. Vaatimusten huolellinen laatiminen pakotti projektin ottamaan tietoturvan osaksi kaikkea järjestelmään liittyvää suunnittelua. Myös liiketoimintaan liittyvien prosessien tietoturva-aspektit huomioitiin tarkalla tasolla. Tietoturvan tasoa todennettaessa tietoturvatarkastuksella, sekä riskiarviolla tietoturvatason todettiin olevan korkea, eikä merkittäviä puutteita havaittu. Suurin osa alemman tason puutteista pystyttiin myös korjaamaan ennen järjestelmän tuotantoon ottoa.
Tietoturvavaatimusten laadinta ISO/IEC 27002 standardin pohjalta on vaativa prosessi, mutta sen avulla tietoturvan taso on mahdollista rakentaa tarvittavalle tasolle. Varsinkin kriittisten järjestelmien kohdalla tietoturvan huomioiminen näin tarkasti kannattaa, sillä tietoturvan määrittelyyn käytettävä aika säästää työtä määritysten puutteellisuudesta johtuvien vikojen korjauksesta.
