Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

4.1.4
NSM ICT-SP

NSM ICT Security Principles (Norway)

75
Kokonaiskuva (DVV)

Digiturvan kokonaiskuvapalvelu (DVV)

Muita saman teeman digiturvatehtäviä

Toimittajatyyppien määrittely, joille sallitaan pääsy luottamuksellisiin tietoihin

Critical
High
Normal
Low

Määrittelemme ennakkoon toimittajatyypit, joiden kanssa yhteistyö vaatii pääsyä luottamuksellisiin tietoihin tai niiden käsittelyalueille sekä tätä kautta mm. käsittelysopimusten tekemistä. Tällaisia toimittajatyyppejä voivat olla esim. tietotekniset palvelut, logistiikka, taloushallinto sekä tietotekniset infrastruktuurikomponentit.

15.1.1: Toimittajasuhteiden tietoturvapolitiikka
ISO27 Täysi
ID.BE-1: Role in supply chain
NIST
5.19: Tietoturvallisuus toimittajasuhteissa
ISO27k1 Täysi
6.1.1: Partner Information security
TISAX

Kriteerit korkean prioriteetin kumppaneille

Critical
High
Normal
Low

Organisaatio on määritellyt tärkeiltä kumppaneilta vaaditut sertifioinnit tai noudatettavat standardit. Yleisesti tunnistettuja digiturvaan liittyviä standardeja ovat mm.:

  • ISO 27001 (tietoturvan hallintajärjestelmä)
  • SOC2 (yleinen tietoturva, kutsutaan myös SSAE 16)
  • ISO 27701 (tietosuojan hallintajärjestelmä)
  • ISO 27017 (digiturva pilvipalveluissa) tai ISO 27018 (tietosuoja pilvipalveluissa)
  • muita suosittuja mm. NIST (yleinen), CSA (pilviohjelmistot), PCI DSS (korttimaksaminen)

Esimerkiksi kumppanilta vaadittava sertifiointi voi tehostaa omaa kumppanihallintaa ja toimia hyvänä todisteena kumppanin tietystä tietoturva- tai tietosuojatasosta.

15.1.1: Toimittajasuhteiden tietoturvapolitiikka
ISO27 Täysi
ID.BE-1: Role in supply chain
NIST
ID.SC-4: Audit suppliers and third-party partners
NIST
TSU-04: Henkilötietojen käsittelijä
Julkri
5.19: Tietoturvallisuus toimittajasuhteissa
ISO27k1 Täysi

Minimivaatimukset kumppaniyrityksille saadakseen pääsy eri tasoiseen tietoon

Critical
High
Normal
Low

Digiturvan minimitasoa koskevat vaatimukset on määritetty luottamuksellista tietoamme käsittelevillä kumppaniyrityksille ja nämä on sisällytetty toimittajasopimuksiin. Vaatimukset vaihtelevat sen mukaan, kuinka kriittistä tietoa kumppani käsittelee.

Vaatimusten on järkevää koostua säännöistä ja käytännöistä, joita omassa organisaatiossanne noudatetaan. Voitte jaotella vaatimustasot matalan, keskitason ja korkean riskin toimittajiin.

15.1.1: Toimittajasuhteiden tietoturvapolitiikka
ISO27 Täysi
15.1.3: Tieto- ja viestintätekniikan toimitusketju
ISO27 Täysi
ID.BE-1: Role in supply chain
NIST
5.21: Tietoturvallisuuden hallinta tietotekniikan toimitusketjussa
ISO27k1 Täysi
6.5: Tietojärjestelmien perustiedot, kuvaukset ja olennaisten vaatimusten täyttyminen
Tietoturvasuunnitelma

Kriittisille verkkopalveluille on määritelty vaaditut turvajärjestelyt

Critical
High
Normal
Low

Kriittisten verkkopalvelujen tarvitsemat turvajärjestelyt, kuten turvallisuusominaisuudet, palvelutasot ja hallintavaatimukset, on huolellisesti määritelty ennakkoon. Verkkopalveluja ovat mm. liitännät, verkot ja verkon turvallisuusratkaisut (esim. palomuurit).

Verkkopalvelujen turvallisuusominaisuudet voivat olla mm. seuraavanlaisia:

  • vaadittu turvallisuuteen liittyvä teknologia, kuten todennus, salaustekniikka ja verkkoyhteyden hallintakeinot
  • verkkopalvelujen suojatun yhteyden edellyttämät tekniset parametrit
  • verkkopalvelun käyttökriteerit, jotka rajoittavat pääsyä verkkopalveluun tai sovelluksiin tarvittaessa
13.1.2: Verkkopalvelujen turvaaminen
ISO27 Täysi
15.2.1: Toimittajien palvelujen seuranta ja katselmointi
ISO27 Täysi
ID.BE-5: Resilience requirements
NIST
DE.CM-1: The network monitoring
NIST
5.22: Toimittajien palvelujen seuranta, katselmointi ja muutoksenhallinta
ISO27k1 Täysi

Toimittajahallintakokousten järjestäminen digiturvan käsittelemiseksi

Critical
High
Normal
Low

Organisaatio käsittelee säännöllisesti digiturvallisuutta kriittisten toimittajien ja muiden kumppanien kanssa toimittajahallintakokouksissa.

75: Digiturvallisuusyhteistyö kriittisten toimittajien ja alihankkjoiden kanssa
Kokonaiskuva (DVV)
4.1.4: Establish agreements with relevant third parties
NSM ICT-SP

Tietoliikenteen toimivuuden varmistaminen

Critical
High
Normal
Low

Tietoliikennepalveluissa ja -sopimuksissa on huomioitu toiminnan kannalta tärkeiden palveluiden saatavuus häiriötilanteissa.

Tärkeiden palvelujen verkkoympäristöt ja tietoliikennepalvelut varmennetaan esimerkiksi kahdentamalla. Tietoliikenne voidaan kahdentaa fyysisesti kahta eri reittiä pitkin kahden eri operaattorin toimesta.

Tärkeissä ympäristöissä varmistetaan, että yksittäisen tietoliikennekomponentin vikaantuminen ei keskeytä palvelun toimintaa.

Erikseen valittuihin työasemiin voidaan esimerkiksi asentaa erillinen tietoliikenneyhteys, jonka kautta voi päästä yleiseen tietoverkkoon.

Sopimusvaiheessa tulisi huomioida myös Suomen ulkopuolisten yhteyksien vikasietoisuus.

VAR-06: Tietoliikenteen varmistaminen
Julkri

Prioritization of partners based on criticality

Critical
High
Normal
Low

Organization should prioritize their partners based on:

  • Sensitivity and confidentiality of data processed or possessed by suppliers
  • The degree of access to the organization’s systems
  • The importance of the products or services to the organization’s mission
ID.SC-2: Suppliers and third party partners of information systems
NIST
ID.SC-2: Suppliers and third-party partners of information systems, components, and services are identified, prioritized, and assessed using a cyber supply chain risk assessment process.
CyFun

Toimitusketjun tietoturvariskien hallinta

Critical
High
Normal
Low

Organisaatio sopii ja toteuttaa yhteisen tietoturvariskien hallintamenettelyn ja prosessit sidosryhmien kanssa.

Organisaation tulisi pyrkiä integroimaan kolmannen osapuolen riskien hallinta osaksi oman organisaation yleistä tietoturvariskienhallintaa. Siinä tulisi:

  • Arvioida keskenäisiä riippuvuuksia
  • Arvioida riskejä liittyen kolmannen osapuolen tarjoamiin sopimuksiin
  • Huolehtia riskienhallinnan skaalasta organisaation koon ja tarpeen perusteella
ID.SC-1: Cyber supply chain
NIST
21.3: Defining and monitoring required supply chain security measures
NIS2
CC3.2: Identification of risks related to objectives
SOC 2
Article 28: General principles
DORA
9.4 §: Toimitusketjun hallinta ja valvonta
KyberTL

Kriittisten IT-kumppanien tunnistaminen

Critical
High
Normal
Low

Organisaation on tunnistettava kriittiset IT-kumppanit. Kriittisellä kumppanilla (sisäinen tai ulkoinen) tarkoitetaan kumppania, jota ilman toiminta keskeytyy.

THIRD-PARTIES-1: Identify and Prioritize Third Parties
C2M2: MIL1
1.2.4: Definition of responsibilities with service providers
TISAX

Kriittisten ICT-palvelujen poistumisstrategiat

Critical
High
Normal
Low

Organisaatio on ottanut käyttöön kriittisiä tai tärkeitä toimintoja tukevia ICT-palveluja koskevat poistumisstrategiat, joilla varaudutaan mahdollisiin vikoihin, laadun heikkenemiseen tai muihin palveluun liittyviin liiketoimintahäiriöihin.

Poistumisstrategioilla varmistetaan, että organisaatio voi luopua asiaan liittyvistä sopimusjärjestelyistä ilman:

  • häiriöitä liiketoiminnalleen
  • vaatimusten laiminlyömistä
  • haittaa tarjottujen palvelujen jatkuvuudelle tai laadulle.

Poistumissuunnitelmat ovat kattavia, dokumentoituja, riittävästi testattuja ja säännöllisesti tarkistettuja.

Organisaatio on osana poistumisstrategioita myös yksilöinyt vaihtoehtoisia ratkaisuja ja laatinut siirtymäsuunnitelmia, joiden avulla se voi vaihtaa palveluja ja siirtää asiaankuuluvat tiedot turvallisesti.

Article 28: General principles
DORA

Safe termination of critical relationships

Critical
High
Normal
Low

The Organization should have defined and documented processes for terminating critical relationships with suppliers in both normal and adverse circumstances. Adverse circumstances could include:

  • Data breach or security incident
  • Legal, ethical or regulatory violations
  • Contract breach or service failure

The processes should at least define:

  • How assets containing organization's data are returned or disposed safely and supplier access to organizational resources is removed
  • System continuity and resilience e.g. how dependent operations are kept functional when removing or changing supplier
  • Component end-of-life maintenance support and obsolescence
  • Means to prevent and mitigate data leakage or risks related to data and systems with supplier termination

Evaluation of prospective suppliers

Critical
High
Normal
Low

All potential suppliers, providers of critical resources and other relevant third-parties are assessed before acquisition with means such as:

  • Performing thorough due diligence that is proper to level of risk, criticality, and complexity of each supplier relationship and procurement planning
  • Assessing the suitability of the technology and the risk management and cybersecurity practices
  • Conducting supplier risk assessments against business and applicable cybersecurity requirements
  • Assessing the authenticity, integrity, and security of critical products prior to acquisition and use

Kriittisten laitteiden tai verkkopalvelujen hankkiminen useaa reittiä

Critical
High
Normal
Low

Kun esimerkiksi tietoliikenneverkon vikasietoisuus on kriittistä, sitä voidaan parantaa entisestään hankkimalla verkon peruspalvelut useampaa reittiä ja useamman palveluntuottajan kautta.

13.1.2: Verkkopalvelujen turvaaminen
ISO27 Täysi
ID.BE-4: Dependencies and critical functions
NIST
ID.BE-5: Resilience requirements
NIST
VAR-08: Vikasietoisuus
Julkri
8.14: Tietojenkäsittelypalvelujen vikasietoisuus
ISO27k1 Täysi

Tietoteknisten ympäristöjen toimivuuden varmistaminen

Critical
High
Normal
Low

Tietoteknisissä ympäristöissä ja niihin liittyvissä sopimuksissa on huomioitu toiminnan kannalta tärkeiden palveluiden saatavuus häiriötilanteissa.

Tärkeiden palvelujen tietotekniset ympäristöt varmennetaan esimerkiksi kahdentamalla siten, että yksittäisten komponenttien vikaantumiset eivät aiheuta toiminnan edellyttämää palvelutasoa pidempiä käyttökatkoja.

Tietotekniset ympäristöt voidaan varmentaa varavoimalla tai varavoimaliitännöillä siten, että sähkönjakelu voidaan käynnistää riittävän nopeasti ja ylläpitää sitä riittävän ajan suhteessa toiminnan vaatimuksiin.

VAR-07: Tietoteknisten ympäristöjen varmentaminen
Julkri
6.11: Alusta- ja verkkopalvelujen tietoturvallinen käyttö tietosuojan ja varautumisen kannalta
Tietoturvasuunnitelma

Tarjottujen digipalvelujen alihankkijoille liittyvät pakolliset tietoturvatavoitteet

Critical
High
Normal
Low

Kun organisaatio päättää käyttää toisen pilvipalvelun tarjoajan palveluita omien pilvipalveluidensa tuottamiseen, organisaation on varmistettava, että sen asiakkaiden tietoturvataso säilyy tai ylittyy.

Tämän varmistamiseksi organisaation tulee määritellä tarvittavat turvallisuustavoitteet toimitusketjuun kuuluville alihankkijoille. Näiden tavoitteiden tulisi edellyttää riskienhallinnan suorittamista tavoitteiden saavuttamiseksi.

15.1.3: Tieto- ja viestintätekniikan toimitusketju
ISO 27017

Käytettyihin pilvipalveluihin liittyvien tietoturvaroolien ja -vastuiden vahvistaminen

Critical
High
Normal
Low

Kun organisaatio käyttää pilvipohjaista tietojärjestelmää, organisaation tulee ymmärtää ja vahvistaa siihen liittyvät tietoturvaroolit ja -vastuut palvelusopimuksen mukaisesti.

Näihin voi kuulua esimerkiksi seuraaviin vastuisiin liittyviä tehtäviä:

  • Suojaus haittaohjelmilta
  • Kryptografiset ohjaimet
  • Varmuuskopiointi
  • Haavoittuvuuden ja tapausten hallinta
  • Vaatimustenmukaisuus ja turvallisuustestaus
  • Tunnistus, identiteetin ja käyttöoikeuksien hallinta
15: Suhteet toimittajiin
ISO 27017
15.1: Tietoturvallisuus toimittajasuhteissa
ISO 27017
15.1.2: Toimittajasopimusten turvallisuus
ISO 27017
15.1.3: Tieto- ja viestintätekniikan toimitusketju
ISO 27017
5.23: Pilvipalvelujen tietoturvallisuus
ISO27k1 Täysi