|
Akatemia
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Organisaatiolla on oltava menettely, jolla varmistetaan, että ulkoisessa palvelussa on tehokas ympäristöjen (palveluntarjoajan asiakkaiden) erottelu, jotta estetään luvaton pääsy organisaation omaan ympäristöön.
Palveluntarjoajien erottelumenettely on dokumentoitava ja sen täytyy olla mukautettavissa muutoksiin. Seuraavat seikat tulisi ottaa huomioon:
Myös riskiarviointi tulisi olla tehty koskien ulkopuolisten ohjelmistojen käyttöä jaetussa ympäristössä.
Organisaation tulisi mahdollistaa asiakkaalle rekisteröityjä koskevien velvoitteiden täyttämisen.
Organisaation tulisi toimittaa asiakkaalle tarvittavat tiedot, jotta asiakas pystyy osoittamaan täyttävänsä velvollisuutensa.
Organisaation oma paikka ja rooli kriittisessä infrastruktuurissa on määritelty ja kommunikoidaan eteenpäin tarpeellisille osapuolille.
Tärkeää on tunnistaa, onko yhteiskunta laajemmin riippuvainen organisaation tuottamista palveluista. Toiminnan tällainen kriittisyys voi lisätä esimerkiksi hybridi- ja informaatiovaikuttamisen riskejä ja korostaa niihin varautumisen tarvetta.
Organisaation oma rooli toimitusketjussa on määritelty ja se kommunikoidaan eteenpäin tarpeellisille kumppaneille.
Organisaation on kuvattava viestintään liittyvät hallinnolliset tietovirrat. Hallinnollisten tietovirtojen kuvaus täydentään järjestelmien välisten integraatioiden kuvaamista.
Pilvipalvelun tarjoajan tulee luoda prosessi immateriaalioikeuksia koskeviin valituksiin vastaamiseksi.
Pilvipalveluita tarjoaessaan organisaatiolla on oltava käytössään menettelyt palveluntarjonnassa käytettyjen resurssien turvalliseen hävittämiseen tai mahdolliseen uudelleenkäyttöön, kuten:
Pilvipalveluita hyödyntäessään asiakasorganisaation tulee varmistaa turvallinen hävittäminen pyytämällä pilvipalveluntarjoajalta vahvistus näistä toimenpiteistä.
Tarjotessaan pilvipalveluita asiakkaille organisaation tulee tunnistaa ja listata asiakkaan hallitsemiin pilvipalveluihin liittyvät tiedot. Näillä viitataan ulkopuolisiin tietopankkeihin.
Organisaation on myös inventoitava pilvipalvelun tarjoamisen kautta luotuja tietoja. Organisaatio voi hallita niitä ja listata järjestelmädokumentaatiossa ulkoisten tietopankkien sijaan.
Pilvipalveluita tarjoaessaan organisaation tulee tiedottaa asiakkaalle selkeästi ja aktiivisesti organisaation maantieteellisestä sijainnista ja maista, joissa asiakkaan tietoja säilytetään.
Nämä tiedot voivat auttaa asiakasta esimerkiksi määrittämään asiaankuuluvat valvontaviranomaiset ja lainkäyttöalueet pilvipalvelua hyödyntäessään.
Kun organisaatio tarjoaa asiakkailleen pilvipalveluita, tulee palveluntarjoajan ja asiakkaan välisessä sopimuksessa määritellä selkeästi tietoturvan varmistamiseksi toteutetut tekniset ja organisatoriset toimenpiteet.
Sopimuksessa tulee myös mainita, että tietoja ei käsitellä muuhun tarkoitukseen kuin rekisterinpitäjän ohjeiden mukaisesti.
Pilvipalveluita tarjoaessaan palveluntarjoajan tulee olla läpinäkyvä tietoturvatoimenpiteistään sopimuksen solmimisprosessin aikana. Asiakkaan vastuulla on kuitenkin viime kädessä varmistaa, että palveluntarjoajan toteuttamat toimenpiteet täyttävät sen velvoitteet.
Tarjottuihin pilvipalveluihin liittyvät henkilötiedot tulee hävittää asianmukaisesti ja tallennusrajoitusperiaatteita noudattaen. Hävittäminen voi sisältää tietojen palauttamisen asiakkaalle pyynnöstä, siirtämisen toiselle yritykselle (esim. sulautumisen seurauksena) tai joko tuhoamisen, anonymisoimisen tai arkistoinnin turvallisesti.
Organisaatiolla tulee olla selkeä kirjallinen kuvaus henkilötietojen säilytysajasta sekä palautus-, siirto- ja hävitysmekanismeista. Tämä kuvaus tulee olla asiakkaan saatavilla.
Tätä kuvausta käyttämällä asiakkaan tulee pystyä ymmärtämään, kuinka organisaatio varmistaa, että sopimuksen nojalla käsitellyt henkilötiedot poistetaan (myös minkä tahansa sen alihankkijan toimesta) kaikista tallennuspaikoista (mukaan lukien esim. varmuuskopiointitarkoitukset) heti, kun ne on poistettu. ei ole enää asiakkaalle välttämätön.
Pilvipalvelun asiakas toimii usein henkilötietojen rekisterinpitäjänä ja on vastuussa rekisteröidyn oikeuksien toteuttamisesta, esimerkiksi pääsystä tietoihin ja niiden korjaamisesta tai poistamisesta. Pilvipalveluntarjoajan tulee tarjota asiakkaalle tarvittavat keinot tämän mahdollistamiseksi.
Organisaatio on määritellyt toimenpiteet, joilla tarjotaan pilvipalveluissa rekisterinpitäjiä autetaan rekisteröidyn oikeuksien toteuttamisessa. Tämä voi sisältää esimerkiksi pilvipalvelun ominaisuuksia tai manuaalisia tukitoimenpiteitä.
Asiaankuuluvat tiedot ja mahdolliset helpotukseen liittyvät tekniset toimenpiteet on määriteltävä asiaa koskevassa sopimuksessa.
Kriittiset järjestelmänvalvojan toiminnot tarkoittavat toimintoja, joissa vika voi aiheuttaa peruuttamatonta vahinkoa pilvilaskentaympäristön omaisuudelle.
Kriittiset järjestelmänvalvojan toiminnot voivat sisältää esimerkiksi virtualisoituihin laitteisiin (esim. palvelimet, verkot, tallennus) liittyvät muutokset, lopetusmenettelyt, varmuuskopiointi ja palautus.
Kaikkien tarjottujen pilvipalveluiden kriittiset järjestelmänvalvojan toiminnot dokumentoidaan. Myös kriittisten järjestelmänvalvojatoimintojen suorittamisen menettelyt on dokumentoitu etukäteen tarvittavalla tarkkuudella.
Aina kun kriittinen järjestelmänvalvojan toiminto suoritetaan, dokumentaatiossa nimetty valvoja valvoo toimintaa.
Pilvipalvelun tarjoajan on tarjottavien pilvipalvelujen osalta toimitettava asiakkaiden vaatiessa dokumentaatio kriittisistä järjestelmänvalvojan toiminnoista ja toimenpiteistä.
Pilvipalveluita tarjottaessa pilvipalveluasiakkaan virtuaaliympäristö tulee erottaa ja suojata muista asiakkailta ja asiattomilta henkilöiltä.
Tämän varmistamiseksi organisaation tulee varmistaa pilvipalvelun asiakastietojen, virtualisoitujen sovellusten, käyttöjärjestelmien, tallennustilan ja verkon asianmukainen looginen erottelu.
Erottelun tulisi myös varmistaa pilvipalvelun tarjoajan sisäisen hallinnon erottaminen pilvipalveluasiakkaiden käyttämistä resursseista.
Pilvipalveluita hyödyntäessä tai tarjottaessa turvallisuusvastuita voi olla sekä palveluntarjoajalla että asiakkaalla. Palveluntarjoaja voi vastata teknisestä kyberturvallisuudesta, mutta esim. asiakas pääsynhallinnasta ja turvallisen käytön ohjeistamisesta.
Vastuut jaetuista tietoturvarooleista tarjottavia pilvipalveluita ja pilvipohjaisten tietojärjestelmien hyödyntämistä kohtaan on määriteltävä ja dokumentoitava selkeästi sekä pilvipalvelun asiakkaan että palveluntarjoajan toimesta.
Organisaation kaikkien palvelinten suojana tulisi olla oikein konfiguroitu ohjelmistopalomuuri, joka tarkkailee liikennettä, hyväksyy säännöt täyttävän liikenteen sekä toteuttaa käyttäjien valvontaa.
WAF:in (web application firewall) avulla tulisi suojata tarjottuja digipalveluja hyökkäyksiltä (kuten SQL injection).
Organisaation on ylläpidettävä listaa tarjotuista digipalveluista sekä näille nimetyistä omistajista. Omistaja vastaa palvelun tietojen täydentämisestä sekä mahdollisista muista tietoturvatoimenpiteistä, jotka liittyvät tiiviisti palveluun.
Digipalveluun liittyvä dokumentaatio sisältää mm. seuraavia tietoja:
Organisaation tarjoamiin digipalveluihin liittyvät sopimusehdot on kartoitettu ja dokumentoitu. Sopimusehtoihin sisältyvät vähintään seuraavat kohdat:
Organisaation on dokumentoitava selkeästi kaikki digipalvelut, joita se tarjoaa pilvipalvelumallin mukaisesti asiakkailleen.
Digipalvelujen dokumentaation on sisällettävä palvelun toimitusketjuun liittyvät kumppanit. Kumppanilistauksen on sisällettävä tukevat palvelut (kuten IaaS esim. AWS tai MS Azure), pääasiallisen palveluntarjoajan toimitusketjuun sisällyttämät muut kumppanit (esim. ulkoistettu kehitys) sekä varsinaista palvelua täydentävät muut palvelut (mm. IDaaS, CDN).
Toimitusketjuun liittyvää dokumentaatiota voidaan jatkossa hyödyntää tarkemman turvallisuusvastuujaon tarkastelemiseksi.
Organisaation tulee asettaa hallintakeinoja tietoturvatavoitteiden toteutumiseksi tarjotuissa palveluissa. Hallintakeinoissa tulee ottaa huomioon:
Organisaation on asetettava hallintakeinoja, joilla varmistetaan järjestelmiin tulevan tiedon kokonaisuus ja tarkkuus. Tätä varten tulisi määrittää:
Kun tietoja toimitetaan osana palvelua tai tuotetta tai osana tuotetta tai palveluun liittyvää raportointivelvollisuutta on tietojen määritelmä oltava tietojen käyttäjien saatavilla.
Tietojen määritelmä sisältää seuraavat tiedot:
Organisaation on otettava käyttöön käytäntöjä ja menettelytapoja, jotta palveluista ulos tuleva tieto on kokonaista ja oikea-aikaista. Menettelytavoissa on otettava huomioon:
Organisaation on määriteltävä turvallisuusarviointi ja toteutettava se tarjottujen digipalveluiden toimitusketjuun kuuluville kumppaneille säännöllisesti.
Tällä tulisi varmistaa tarjottaiven palvelujen turvallisuuteen vaikuttavien kumppanien vaatimustenmukaisuus ja sitä kautta sopimusehtojen täyttyminen.
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
