Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja
Aiheet
Alkuun pääsy
ISO 27001
NIS2
Tiedonhallinta
Jatkuva parantaminen
Tiimin yhteistyö
Dokumentointi
Henkilöstön ohjeet
Raportointi
Tehtävien hallinta
Yhteisö
Asetukset & advanced
Kokeilu ja tilaus
Käyttäjähallinta
Tuotteen tietoturva
Vaatimuskehikkojen hallinta
Henkilöstöturvallisuus
Riskien hallinta
Sisäinen auditointi
Työskentely kumppanina
GDPR
Näytä kaikki aiheet
Webinaarit
NIS2: Intro NIS2-direktiiviin sekä Digiturvamalli-työkaluun
ISO 27001: Rakenna digiturvasuunnitelma, joka täyttää standardin vaatimukset
Näytä kaikki webinaarit
Videot
Automatisoi henkilöstön tietoturvaohjeistus Teamsissa
Digiturvamallin yleisesittely
Dokumentoi oma tietojenkäsittely-ympäristö yhteistyössä
GDPR & ISO 27701:n hyvät käytännöt
ISO 27001 ja henkilöstön osaaminen
ISO 27001 ja riskien hallinta
ISO 27001 ja sertifiointiauditoinnin avainasiat
ISO 27001:n yleisesittely
Luo tehokas tietoturvariskien hallinnan toimintamalli
NIS2:n yleisesittely
Oman ISMS:n jatkuva parantaminen
Paranna omaa tietoturvasuunnitelmaa jatkuvasti
Tiedonhallintamalli ja riskien hallinta
Tiedonhallintamalli ja tietoturvatoimenpiteet
Tiedonhallintamallin perusteet
Näytä kaikki videot
Ohjeet
Asennus ja integraatiot
Dokumentaatio
Kumppaneille
Käyttäjähallinta
Muut ominaisuudet
Ohjeiden hallinta
Pääkäyttäjälle
Raportointi
Tehtävien hallinta
Vaatimuskehikot
Näytä kaikki ohjeet
Blogit
Helsingin tietomurto, AI:n vaikutukset sekä NIS2-edistyminen: Digiturvamallin tuote- ja uutiskooste 5/2024 🛡️
6 keinoa organisaation tietoturvatyön tehokkuuden arviointiin
Pääsynhallinta ja MFA (NIS2 21.2): Luo tukeva perusta ISO 27001:n parhaiden käytäntöjen avulla.
Henkilöstön tietoturvaperusteita ISO 27001 ja NIS2 -vaatimustenmukaisuutta varten
Kehitä NIS2 jatkuvuussuunnitelma ja varmuuskopioinnin toimenpiteet ISO 27001 -standardin mukaisesti
Näytä kaikki blogit
Sisältökirjasto
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.
Digiturvamalli.fi
Kokeile
Kirjaudu
Akatemian etusivu
Blogit
Tietoturvariskien hallinta Digiturvamallissa: Riskien tunnistaminen, arviointi, käsittely ja sulkeminen

Tietoturvariskien hallinta Digiturvamallissa: Riskien tunnistaminen, arviointi, käsittely ja sulkeminen

Riskienhallinta on yleinen fraasi nykyajan liiketoiminnassa. Ilman selkeitä toimintatapoja sen toteuttamiseen sekä arkeen kytkemiseen, riskienhallinnan on kuitenkin vaarana jäädä irralliseksi, turhalta tuntuvaksi kokonaisuudeksi.

Tietoturvariskien hallinta on yksi riskienhallinnan osa-alue, jonka painoarvo jatkuvasti kasvaa. Etenkin voimakkaasti digitaalisilla organisaatioilla sen tulisi kulkea riskienhallinnan etujoukoissa.

Tämän artikkelin ideana on tarjota selkeä toimintamalli tietoturvariskien hallintaan, joka ulottuu riskien tunnistamista niiden sulkemiseen asti, eri ihmisten osallistamiseen erilaisissa rooleissa sekä riskien käsittelyssä päätettyjen toiminpiteiden valvontaan. Käsittelemme asiaa pääosin ISO 27001 -tietoturvastandardin hyvien käytäntöjen näkökulmasta.

Vaatimukset organisaation tietoturvariskien hallinnalle

Karkeasti yleistäen voi sanoa, että jokainen tietoturvastandardi tai aihepiiriä sivuava lainsäädäntö nostaa riskien hallintaa esille. ISO 27001 esittää omat vaatimuksensa, mutta hyvin samansuuntaisia kohtia on mm. tiedonhallintalaissa, NIST-kehikossa, Katakrissa tai CSA Star -kehikossa.

Jos omaa tietoturvariskien hallintaa lähtee edistämään ISO 27001:n näkökulmasta, tekeminen on varmasti yleisten käytäntöjen mukaista ja hyödyllistä.

ISO 27001 listaa tietoturvariskien hallinnalle mm. seuraavia selkeitä vaatimuksia:

  • 6.1.1: On oltava dokumentoitu menettely, jonka mukaisesti tunnistetaan, arvioidaan ja käsitellään tietoturvariskit
  • 6.1.3c: Kaikki ISO 27002:n listaamat hallintakeinot huomioidaan riskien käsittelyvaiheessa
  • 6.1.3d: Muodostetaan soveltuvuuslausunto hallintakeinojen toteuttamisesta

Ensimmäinen vaatimus ohjaa organisaatiota kokonaisuutena toteuttamaan riskienhallintaa yhteisten ja kaikkien noudattamien pelisääntöjen mukaan. Se on jo itsessään merkittävä riski, jos jokainen arvioi riskejä "vähän omaan tyyliinsä".

Toinen kohta vaatii organisaatiota riskien käsittelyvaiheessa käymään kattavasti läpi ISO 27002:n sisältämä hallintakeinot. Standardi tarjoaa siis riskien käsittelyyn tukea - pitkän listan keinoja, joilla riskejä voidaan saada pienennettyä kohti hyväksyttävää tasoa.

Kolmas kohta vaatii organisaatiota katsomaan omaa hallintakeinojen palettia kokonaisuutena. Mitä ISO 27002:n suosittelemista hallintakeinoista olemme toteuttaneet ja millä perusteille olemme jättäneet joitain hallintakeinoja toteuttamatta? Soveltuvuuslausunnon kautta on mahdollista saada kokonaisnäkemys, vaikka varsinaista riskien arviointia ja käsittelyä tehdään kulloinkin yksittäisen riskin näkökulmasta.

Hyvän riskienhallintaprosessin hyödyt

Toimiessaan hyvä tietoturvariskienhallintaprosessi:

  • Tehostaa tietoturvatyötä, kun ensin tehdään tehokkaasti ydinasiat kuntoon ja sitten kehitystä priorisoidaan riskienhallinnan avustamana
  • Kohdistaa katseen oikein, kun oman toiminnan erityispiirteet pääsevät korostumaan sopivasti tietoturvatyössä riskien hallinnan kautta
  • On helppo näyttää toimivaksi, kun riskien käsittely johtaa selkeisiin toimenpiteisiin, joilla on vastuuhenkilö, aikataulu sekä status ja työn edistymistä valvotaan (parhaillaan automatisoidusti)

Tärkeää on kuitenkin ymmärtää, ettei riskien hallintaan välttämättä kannata sukeltaa suorilta, mikäli tietoturvan perusteet eivät organisaatiossa ole kunnossa. Riskien tunnistamista ja arviointia on hyvin vaikeaa tehdä, mikäli organisaatiolla ei ole systemaattisia toimintatapoja kuvata omaa digitaaliseen turvallisuuteen liittyvää toimintaympäristöään, kuvata tietoturvatoimenpiteillä suojattavaa omaisuutta sekä hahmottaa jo nykyään tehtäviä tietoturvatoimenpiteitä. Tämän takia Digiturvamalli pyrkii tarjoamaan valmiit toimintamallit näihin kaikkii osa-alueisiin ja suosittelee riskienhallintaan edettevän ns. perusasioiden jälkeen.

Riskienhallintaprosessin vaiheet Digiturvamallissa

Esittelemme seuraavaksi vaihe vaiheelta riskien hallinnan toteuttamista Digiturvamallissa.

Eri vaiheissa olevia tietoturvariskejä

1. Riskien tunnistaminen

Uusia riskejä voidaan Digiturvamallissa tunnistaa mm. seuraavilla tavoilla:

Automatisoitu tietoturvariskien tunnistaminen tietoturvatehtäviä aktivoimalla. Digiturvamalli sisältää taustatietoa liittyvistä riskeistä jokaiselle tehtävälle. Kun tehtävä aktivoidaan Digiturvamallissa, liittyvät riskit lisätään automaattisesti riskirekisteriin.

Tehtävän aktivoinnin yhteydessä automatisoidusti tunnistettuja riskejä

Riskien tunnistaminen häiriön tai muutoksen käsittelyn kautta. Organisaation tietoturvahäiriöiden tai merkittävien tietoturvaan vaikuttavien muutosten käsittelyprosessit sisältävät riskianalyysin. Tässä pyritään tunnistamaan kyseiseen tapahtumaan liittyvät riskit, jotka etenevät sitten riskien arviointivaiheeseen. Riskit voivat olla täysin uusia tai tapahtuman kautta uudelleenarviointia vaativia.

Häiriön käsittelyn yhteydessä tunnistettu riski

Kriittiseen omaisuuteen liittyvien riskien tunnistaminen. Halutessaan riskejä voi tunnistaa aina kun tieto-omaisuutta (esim. tietojärjestelmä, tietovaranto, kumppani) luokitellaan 'Kriittiseksi" hallintajärjestelmässä. Tämän toteuttaminen voi olla omaisuuden omistajan valvonnassa. Kaikki tunnistetut riskit linkitetään vastaavaan omaisuuteen riskin dokumentaatiokortilla.

Työpajat Digiturvamallin esimerkkiriskien avulla. Digiturvamalli sisältää kattavan esimerkkiluettelon tietoturvariskeistä. Tätä luetteloa käytetään laiminlyötyjen uhkien määrittämiseen ja uusien riskien tunnistamiseen. Suosittelemme tällaisten työpajojen käyttöä tarvittaessa, esim. mikäli muita tässä kuvattuja menetelmiä ei ole käytetty viimeisen 6 kuukauden aikana.

Riskien esimerkkilistausta Digiturvamallissa

2. Riskien esikäsittely

Kun riski on tunnistettu, ensimmäinen toimenpide on riskin omistajan valinta. Automaattinen oletusvalinta uusien riskien omistajana on Digiturvamallissa koko Riskienhallinta ja johtaminen -teeman omistaja. Tämän henkilön tulisi siirtää riski eteenpäin omaisuuden omistajalle, kun riski liittyy selvästi vastaavaan omaisuuteen, tai muun digiturvateeman omistajalle, kun riski liittyy selvästi vastaavaan teemaan. Delegointi tapahtuu asettamalla oikea käyttäjä riskin omistajaksi dokumentaatiokortilla.

Riskin omistajan ensimmäiset toimet ovat:

  • Liittyvän omaisuuden tunnistaminen. Tämä on yksi menetelmä, joka yhdistää riskinarvioinnin ja käsittelyn muihin hallintajärjestelmän osiin. Riskit voidaan liittää muuhun omaisuuteen (mm. tietojärjestelmään tai kumppaniin) dokumentointikortin kentässä 'Liittyvät kohteet hallintajärjestelmässä'. Jos riski liittyy selvästi muihin resursseihin, joilla ei ole omaa dokumentointikorttia hallintajärjestelmässä, tämä kuvataan kentässä 'Muut liittyvä omaisuus'.
  • Nykyisten riskiä hallitsevien tehtävien tunnistaminen. Tämän kohdan ideana on hahmottaa, kuinka paljon organisaatio jo nykyisellään tekee tämän riskin hallitsemiseksi. Näiden huomioiminen on tärkeää riskien arviointivaiheessa. Tässä kohti riskien arvioinnin on tärkeää tapahtua samassa järjestelmässä, missä tietoturvatoimenpiteitäkin valvotaan.

3. Riskien arviointi

Riskien arviointivaiheessa riskille annetaan numeerinen arvo sen mahdollisista vaikutuksista sekä todennäköisyydestä. Organisaatio voi valita käyttöön joko suppeamman (1-3) tai leveämmän (1-5) arviointiskaalan omien tottumustensa mukaan.

Riskin arviointi riskikortilla

Digiturvamalli pyrkii auttamaan riskien analyysia tarjoamalla pikavastauksia perusteluiksi, kun riskille ei valita korkeaa vakavuutta tai todennäköisyyttä. Riski voi olla esimerkiksi organisaation toiminnan piirteiden takia vakavuudeltaan pienentynyt, tai nykyisten hyvien hallintakeinojen takia todennäköisyydeltään pienentynyt.

Arvioinnin perusteella riskille lasketaan automaattisesti riskitaso. Organisaatio voi itse määritellä hyväksyttävän riskin tason, jonka ylittävien riskien tulee jatkaa käsittelyvaiheeseen, jossa eri toimenpiteiden kautta riskitasoa pyritään pienentämään.

4. Riskien käsittely

Arvioinnissa määritelty riskitaso kertoo, pitääkö riskin hallintaa jatkaa pidemmälle.

Riski vaatii käsittelyä

Mikäli riskitaso on hyväksyttävällä tasolla tai sen alapuolella, riski voidaan tässä vaiheessa hyväksyä.

Riski vaikuttaa hyväksyttävältä

Tarvittaessa riskin hallinta jatkuu käsittelyvaiheeseen, jossa:

  • Valitaan sopiva riskin käsittelyvaihtoehto ohjeiden avulla
  • Määritetään tarkemmat toimenpiteet, joilla riskitasoa pystytään pienentämään

Yleisin valinta on riskin vähentäminen uusia tehtäviä lisäämällä, eli parantamalla omaa tietoturvatekemistä. Tässä kohdassa on erityisen tärkeää, että päätetyt tehtävät listataan samaan järjestelmään, missä riskienhallinta tehdään. Näin riskienhallinta johtaa todellisiin tuloksiin, jotka päätyvät automaattisesti saman valvontaprosessin piiriin.

Yksittäisen riskin käsittelysuunnitelma

Tätä suunnitelmaa riskin pienentämiseksi hyväksyttävälle tasolle voidaan kutsua joko yhden tai koko riskikattauksen "käsittelysuunnitelmaksi" (risk treatment plan). Tässä vaiheessa viimeinen vaihe on riskin omistajan hyväksyntä tälle käsittelysuunnitelmalle.

5. Riskin seuranta ja sulkeminen

Kun suunniteltu riskin käsittely on toteutettu, eli tehtäville määritellyt omistajat ovat kuitanneet tehtävien olevan kunnossa (tai muut hallintatoimet on toteutettu), riski voidaan tämän jälkeen sulkea. Riskien hallintaprosessi päättyy siis selkeään lopputulokseen.

Riski voi nousta uudelleen arviointiin esimerkiksi omistajan tarkistuksen, tapahtuneen tietoturvahäiriön tai organisaation toimintaan kohdistuvan merkittävän muutoksen kautta, jotka nostavat uudelleen riskin vakavuutta tai todennäköisyyttä.

Riski voi nousta uudelleen arviointiin esimerkiksi omistajan tarkistuksen, tapahtuneen tietoturvahäiriön tai organisaation toimintaan kohdistuvan merkittävän muutoksen kautta.

Vinkkejä riskienhallinnan toteuttamiseen Digiturvamallissa

Seuraavassa vielä muutamia nostoja, jotka voivat auttaa riskienhallintatyön toteuttamista organisaatiossanne:

  • Kannattaa tutustua riskienhallintaan liittyviin raporttipohjiin Digiturvamallissa, joita ovat mm. Riskienhallinnan raportti (suppeampi) sekä Riskienhallinnan menettelykuvaus ja tulokset (laajempi). Etenkin jälkimmäinen toimii hyvänä ohjeistusmateriaalina kaikille tietoturvariskien hallintaan osallistuville.
  • Tietoturvariskit-listaukselle voi halutessaan asettaa tarkistusvälin. Tämän avulla Digiturvamallin Teams-sovellus voi muistuttaa riskien omistajia tietoturvariskien tarkistamisesta esim. kerran 6 kuukaudessa. Näin voidaan tunnistaa syystä tai toisesta selvästi muuttuneet tietoturvariskit uudelleenarvioitaviksi.
  • Luo omat ohjeet riskien omistajille. Digiturvamallissa ohjeita on mahdollista kohdistaa yksiköille. Yksi tällainen "dynaaminen yksikkö" ovat riskeille nimetyt omistajat. Voit siis lisätä tärkeät esim. riskien arviointiin liittyvät ohjeet Ohjekirjaan ja varmistaa Digiturvamallin avulla, että riskien omistajat lukevat ne säännöllisesti.

Haluatko kuulla teemasta lisää?

Mikäli haluat kuulla tarkemmin tietoturvariskien hallinasta, tule mukaan teemaan liittyviin tuleviin webinaareihimme tai poimi sinulle sopiva aika Teams-palaverille, niin jatketaan henkilökohtaisen keskustelun merkeissä.

Kirjoittanut
Aleksi Pulkkanen
17.9.2021
@
apulkkanen
LinkedIn

Sisältö

Jaa artikkeli

Muuta samanlaista sisältöä Akatemiassa

Blogikirjoitukset

Helsingin tietomurto, AI:n vaikutukset sekä NIS2-edistyminen: Digiturvamallin tuote- ja uutiskooste 5/2024 🛡️

Toukokuun tuote-ja uutiskooste esittelee kuukausittaiset ISMS-raportit sekä Mittarit sivun. Lisäksi aiheina on Digiturvamallin uusi vaatimuskehikko DORA ja lähiaikoina tapahtuneita tietomurtoja maailmalla.
17.5.2024

6 keinoa organisaation tietoturvatyön tehokkuuden arviointiin

Kyberturvallisuuden tehokkuuden arviointiin kuuluu nykyisten turvatoimien sopivuuden tarkastelu. Tämä prosessi auttaa sinua tunnistamaan tietoturvan nykytilan ja määrittämään tarvittavat toimet turvallisuuden parantamiseksi ja vahvistamiseksi.
3.5.2024

ISO 27001 -standardin parhaat käytännöt turvalliseen järjestelmähankintaan ja kehittämiseen: Luo NIS2-toimenpiteet

Lue vinkkejä järjestelmien turvalliseen hankintaan ja kehittämiseen ISO 27001 -standardin mukaisesti, jotta voidaan täyttää NIS2-vaatimukset. Mukana keskeisiä näkökohtia, kuten turvallinen koodaus ja hankinta sekä valvottu testaus ja julkaisu.
17.4.2024

Liity Akatemian postituslistalle tänään

Elevate Your Knowledge with Exclusive Access to Weekly Webinars, Video Courses, Help Articles, and Blogs.

Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.

Tutustu tiimiimme

Tiimillämme on vankka osaaminen tietourvasta, ohjelmistokehityksestä, tietosuojasta sekä compliancesta.

Lähde mukaan kumppaniksi? 

Kumppanoidumme mielellään muiden alan osaajien kanssa. Varaa palaveri, niin keskustellaan asiasta lisää.
Aiheet
Henkilöstön ohjeet
Asetukset & advanced
Henkilöstöturvallisuus
Kokeilu ja tilaus
Raportointi
Näytä kaikki
Webinarit
ISO 27001: Rakenna digiturvasuunnitelma, joka täyttää standardin vaatimukset
NIS2: Intro NIS2-direktiiviin sekä Digiturvamalli-työkaluun
Näytä kaikki
Videot
Automatisoi henkilöstön tietoturvaohjeistus Teamsissa
ISO 27001 ja sertifiointiauditoinnin avainasiat
GDPR & ISO 27701:n hyvät käytännöt
ISO 27001 ja henkilöstön osaaminen
Tiedonhallintamallin perusteet
Näytä kaikki
Ohjeet
Ohjeiden hallinta
Käyttäjähallinta
Pääkäyttäjälle
Tehtävien hallinta
Muut ominaisuudet
Näytä kaikki
Blogit
Helsingin tietomurto, AI:n vaikutukset sekä NIS2-edistyminen: Digiturvamallin tuote- ja uutiskooste 5/2024 🛡️
6 keinoa organisaation tietoturvatyön tehokkuuden arviointiin
ISO 27001 -standardin parhaat käytännöt turvalliseen järjestelmähankintaan ja kehittämiseen: Luo NIS2-toimenpiteet
Kehitä NIS2 jatkuvuussuunnitelma ja varmuuskopioinnin toimenpiteet ISO 27001 -standardin mukaisesti
Henkilöstön tietoturvaperusteita ISO 27001 ja NIS2 -vaatimustenmukaisuutta varten
Näytä kaikki
Sisältökirjasto
Avaa sisältökirjastoLabs
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.