Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

2.8.3
NSM ICT-SP

NSM ICT Security Principles (Norway)

SUM-01
Cyber Essentials

Cyber Essentials

Muita saman teeman digiturvatehtäviä

Tietojärjestelmien listaus ja omistajien nimeäminen

Critical
High
Normal
Low

Organisaation on ylläpidettävä listaa käytetyistä tietojärjestelmistä sekä tietojärjestelmille nimetyistä omistajista. Omistaja vastaa järjestelmän tietojen täydentämisestä sekä mahdollisista muista tietoturvatoimenpiteistä, jotka liittyvät tiiviisti järjestelmään.

Järjestelmiin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

  • Järjestelmään liittyvät vastuut ja sen käyttötarkoitus
  • Järjestelmän tietojen sijainti (käsitellään tarkemmin erillisessä tehtävässä)
  • Kuvaus järjestelmän ylläpito- ja kehitysvastuista sekä tähän mahdollisesti liittyvät toimittajat (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa tietojärjestelmän pääsyoikeusroolit ja tunnistautumistavat (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa liittymät muihin järjestelmiin (käsitellään tarkemmin erillisessä tehtävässä)
I06: Pääsyoikeuksien hallinnointi
Katakri
13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL
24. Rekisterinpitäjän vastuu
GDPR
5. Henkilötietojen käsittelyä koskevat periaatteet
GDPR
32. Käsittelyn turvallisuus
GDPR

Ohjeistukset henkilöstölle tietojärjestelmien ja tunnistautumistietojen käyttöön liittyen

Critical
High
Normal
Low

Organisaatiolla tulisi olla määritelly ohjeet tietojärjestelmien yleisesti hyväksyttävälle käytölle sekä tarvittavien tunnistautumistietojen hallinnalle.

Tärkeäksi luokiteltujen tietojärjestelmien omistaja voi lisäksi määritellä, dokumentoida ja jalkauttaa tarkempia sääntöjä juuri tämän tietojärjestelmän käytöstä. Nämä saannöt voivat kuvata mm. tietoturvavaatimukset, jotka järjestelmän sisältävään tietoon liittyvät.

32. Käsittelyn turvallisuus
GDPR
29. Tietojenkäsittely rekisterinpitäjän ja henkilötietojen käsittelijän alaisuudessa
GDPR
8.1.3: Suojattavan omaisuuden hyväksyttävä käyttö
ISO27 Täysi
12.1.1: Dokumentoidut toimintaohjeet
ISO27 Täysi
9.1.1: Pääsynhallintapolitiikka
ISO27 Täysi

Pilvipalveluiden käyttöä koskevat yleiset periaatteet

Critical
High
Normal
Low

Organisaation on määriteltävä (tarkempien toimittajavastuita, -häiriöitä sekä pilvipalveluiden hankintaa koskevien käytäntöjen lisäksi), millä yleisillä periaatteilla se aikoo hallita pilvipalveluiden käyttöön liittyviä tietoturvariskejä.

Määritelmissä on otettava huomioon mm.:

  • kuinka palveluntarjoajan mahdollistamia tietoturvaominaisuuksia hyödynnetään
  • kuinka vaatia todisteita palveluntarjoajan toteuttamista toimenpiteistä tietoturvan eteen
  • mitä tekijöitä on huomioitava omissa toimintatavoissa kun hyödynnetään isoa palveluntarjoaja määrää
  • pilvipalveluiden käytön huomiointi tietoturvariskien hallinnassa
  • toimintatavat pilvipalvelun käytön päättämishetkellä
5.23: Pilvipalvelujen tietoturvallisuus
ISO27k1 Täysi

Hyväksymisprosessi ennen uuden ohjelmiston käyttöönottoa

Critical
High
Normal
Low

Organisaatiolla on prosessi, jonka avulla ohjelmisto tarkastetaan ja hyväksytään ennen asennusta tai käyttöä. Prosessi sisältää ainakin seuraavat asiat

  • Arvioi rajoitettu hyväksyntä: Tarkistetaan, onko ohjelmisto hyväksytty tiettyihin käyttötapauksiin tai rooleihin organisaatiossa.
  • Tarkistetaan vaatimustenmukaisuus: Varmistetaan, että ohjelmisto täyttää organisaation tietoturvavaatimukset.
  • Tarkistetaan ohjelmiston käyttöoikeudet ja lisensointi: Varmistetaan, että ohjelmistolla on asianmukainen lisenssi aiottua käyttöä varten.
  • Arvioi lähde ja maine: Arvioi ohjelmiston toimittajan tai lähteen uskottavuus ja maine.

Tähän prosessiin olisi sisällyttävä myös erityistarkoituksiin käytettävien ohjelmistojen, kuten ylläpitotyökalujen, valinta.

1.3.4: Use of approved software
TISAX

Liittymien ja rajapintojen dokumentointi tietojärjestelmille

Critical
High
Normal
Low

Organisaatio pitää kirjaa tietojärjestelmän liittymistä muihin tietojärjestelmiin sekä liittymissä käytettävistä tiedonsiirtotavoista.

Dokumentaatio liittymien suhteen on katselmoitava säännöllisesti sekä järjestelmiin tehtävien muutosten jälkeen.

24 §: Tietoaineistojen luovuttaminen teknisen rajapinnan avulla muille kuin viranomaisille
TiHL
22 §: Tietojen luovuttaminen teknisen rajapinnan avulla viranomaisten välillä
TiHL
23 §: Katseluyhteyden avaaminen viranomaiselle
TiHL
8.1.1: Suojattavan omaisuuden luetteloiminen
ISO27 Täysi
DE.AE-1: Baseline of network operations
NIST

Tietojärjestelmien tekninen katselmointi

Critical
High
Normal
Low

Organisaatio katselmoi säännöllisesti tietojärjestelmien teknistä vaatimuksenmukaisuutta organisaatiota koskevien vaatimusten kanssa.

Katselmoinnissa voidaan hyödyntää manuaalista toteutusta kokeneiden ammattilaisten toimista tai automatisoituja työkaluja (mm. tunkeutumistestaus).

Tekninen katselmointi on aina suunniteltava ja toteutettava osaavan ja ennalta hyväksytyn henkilöstön toimesta.

Article 26: Advanced testing of ICT tools, systems and processes based on TLPT
DORA
4.1: Tietojärjestelmien tietoturvallisuus
TiHL: Tietoturva
PR.DS-6: Integrity checking mechanisms are used to verify software, firmware, and information integrity.
CyFun

Turhien ohjelmistojen ja verkkopalveluiden poistaminen

Critical
High
Normal
Low

Organisaation on huolehdittava turhien ohjelmistojen, kuten sovellusten, järjestelmien apuohjelmien ja tietoverkkopalveluiden poistamisesta.

SEC-03: Removing unnecessary software and network services
Cyber Essentials
2.3.3: Deactivate unnecessary functionality
NSM ICT-SP

Lisentoitujen ohjelmistojen ylläpito

Critical
High
Normal
Low

Organisaation täytyy huolehtia, että sen lisensoimat ohjelmistot:

  • ovat lisensoituja ja aktiivisesti tuettuja
  • poistetaan laitteista, kun ne eivät ole enään tuettuja
  • on säädetty päivittymään automaattisesti, kun mahdollista
SUM-01: Managing licensed software
Cyber Essentials
2.8.3: Only use supported email clients, browsers and plugins
NSM ICT-SP

Tietojen erottelumenettelyt varmistusjärjestelmissä (TL IV)

Critical
High
Normal
Low

Käsiteltäessä samalla varmistusjärjestelmällä eri omistajien tietoja, tarkastusoikeuden mahdollistavat erottelumenettelyt on toteutettava varmistusjärjestelmän liittymien ja tallennemedioiden osalta (esim. omistaja-/hankekohtaiset eri avaimilla salatut nauhat, joita säilytetään asiakaskohtaisissa kassakaapeissa/kassakaappilokeroissa).

TEK-20.1: Varmuuskopiointi
Julkri
I-20: TIETOJENKÄSITTELY-YMPÄRISTÖN SUOJAUS KOKO ELINKAAREN AJAN – VARMUUSKOPIOINTI
Katakri 2020

Tietojärjestelmien suojaus auditointeihin liittyvien testien aikana

Critical
High
Normal
Low

Tietojärjestelmiin kohdistuvien, esimerkiksi auditointien aikana tehtävien, tarkistusten sekä muiden varmennustoimien tulee olla ennalta suunniteltuja ja sovittuja asianmukaisten testaajien sekä johdon kanssa. Tällä pyritään minimoimaan toimien vaikutus toimintaprosesseihin.

Käytäntöjä suunniteltaessa on huomioitava seuraavat seikat:

  • tarkastuspyynnöt hyväksytään asianmukaisen vastuuhenkilön kanssa
  • teknisten testien laajudesta sovitaan etukäteen ja niiden toteutusta valvotaan
  • testit rajoitetaan mahdollisuuksien mukaan vain luku -käyttöön tai toteutetaan vain kokeneiden järjestelmänvalvojien toimesta
  • turvallisuusvaatimusten toteutuminen varmistetaan ennalta laitteissa, joilla tarvitaan pääsyä järjestelmiin
  • testit, jotka voivat vaikuttaa tärkeiden järjestelmän käytettävyyteen, suoritetaan virka-ajan ulkopuolella
  • tarkastuksissa tehdyt toimet ja niitä varten myönnetyt pääsyoikeudet kirjataan lokiin
8.34: Tietojärjestelmien suojaus auditointitestauksen aikana
ISO27k1 Täysi
5.2.6: IT System Management
TISAX

Tietojärjestelmien ja laitteiden hallinta järjestelmienhallinnassa

Critical
High
Normal
Low

Organisaation tietojärjestelmät ja laitteisto ovat kattavasti järjestelmienhallinnan piirissä. Järjestelmienhallinnan kautta voidaan mahdollistaa mm. automaattiset päivitykset.

43: Tietojärjestelmien ja laitteiden hallinta
Kokonaiskuva (DVV)
ID.AM-2: Software platforms and applications used within the organization are inventoried.
CyFun

Saatavuusvaatimuksia omaavien järjestelmien valvonta

Critical
High
Normal
Low

Jos palvelulla on saatavuus vaatimuksia, seurataan sen saatavuutta valvontajärjestelmällä. Valvontajärjestelmän tulee lähettää hälyttää havaitusta saatavuuspoikkeamista.

TEK-22.2: Tietojärjestelmien saatavuus - palveluiden valvonta
Julkri

Tietojärjestelmien saatavuus ja saatavuutta suojaavat menettelyt

Critical
High
Normal
Low

Viranomaisen on varmistettava tietojärjestelmien saatavuus koko niiden elinkaaren ajan. Tämän vuoksi eri tietojärjestelmien saatavuusvaatimukset (etenkin pisin aika, jonka järjestelmä voi olla pois käytöstä, palautusaikatavoite sekä palautuspistetavoite).

Saatavuusvaatimusten toteutuksen tulee huomioida tietojärjestelmältä edellytettävä kuormituksen kesto, vikasietoisuus ja palautumisaika.

Lisäksi tarve saatavuutta suojaaville menettelyille on tunnistettu ja menettelyt on toteutettu kriittisille järjestelmille järjestelmäkohtaisesti räätälöidyillä suojauksilla. Suojauksiin voi sisältyä esimerkiksi keskeisten verkkoyhteyksien, laitteistojen ja sovellusten ajoympäristöjen kahdentamiset.

TEK-22: Tietojärjestelmien saatavuus
Julkri
TEK-22.1: Tietojärjestelmien saatavuus - saatavuutta suojaavat menettelyt
Julkri
31: Toipumissuunnitelmat kriittisille järjestelmille
Kokonaiskuva (DVV)
Article 7: ICT systems, protocols and tools
DORA
Article 9a: Protection
DORA

Tietojenkäsittely-ympäristöjen turvallisuusdokumentaation ylläpito

Critical
High
Normal
Low

Tietojärjestelmiin ja verkkoihin liittyvää turvallisuusdokumentaatiota ylläpidetään ja sitä kehitetään jatkuvasti tärkeänä osana yleistä muutostenhallintaprosessia.

TEK-17.2: Muutoshallintamenettelyt - dokumentointi
Julkri
I-16: TURVALLISUUSLUOKITELLUN TIEDON KÄSITTELYYN LIITTYVÄN TIETOJENKÄSITTELY-YMPÄRISTÖN SUOJAUS KOKO ELINKAAREN AJAN – MUUTOSHALLINTAMENETTELYT
Katakri 2020

Tietojärjestelmien vikasietoisuus ja toiminnallinen käytettävyys

Critical
High
Normal
Low

Olennaisilla tietojärjestelmillä tarkoitetaan sellaisia tietojärjestelmiä, jotka ovat kriittisiä viranomaisen lakisääteisten tehtäviä toteuttamisen kannalta erityisesti hallinnon asiakkaille palveluja tuotettaessa.

Toiminnallisella käytettävyydellä tarkoitetaan tietojärjestelmän käyttäjän kannalta sen varmistamista, että tietojärjestelmä on helposti opittava ja käytössä sen toimintalogiikka on helposti muistettava, sen toiminta tukee niitä työtehtäviä, joita käyttäjän pitää tehdä tietojärjestelmällä ja tietojärjestelmä edistää sen käytön virheettömyyttä.

  • Organisaatio tunnistaa ja luetteloi tehtävien hoitamisen kannalta olennaiset tietojärjestelmät esimerkiksi osana suojattavien kohteiden luettelointia ja tiedon luokittelua.
  • Organisaatio määrittelee olennaisten tietojärjestelmien saatavuuskriteerit, joita vasten vikasietoisuus voidaan testata. Järjestelmäkohtaisten saatavuuskriteerien määrittelyssä voidaan hyödyntää tietojärjestelmien saatavuusluokittelua.
  • Organisaatio määrittelee toiminnallisen käytettävyyden kriteerit.
  • Organisaation hankintaprosesseissa ja hankintaohjeissa on huomioitu toiminnalliseen käytettävyyteen ja vikasietoisuuteen liittyvät vaatimukset.
  • Organisaatio dokumentoi vikasietoisuuden testaukset.

Orgaisaation on myös varmistettava digitaalisten palveluiden saavutettavuus lainsäädännön edellyttämässä laajuudessa:

Saavutettavuus tarkoittaa sitä, että mahdollisimman moni erilainen ihminen voi käyttää verkkosivuja ja mobiilisovelluksia mahdollisimman helposti. Saavutettavuus on ihmisten erilaisuuden ja moninaisuuden huomiointia verkkosivujen ja mobiilisovelluksien suunnittelussa ja toteutuksessa. Saavutettavan digipalvelun suunnittelussa ja toteutuksessa pitää huomioida kolme osa-aluetta: tekninen toteutus, helppokäyttöisyys ja sisältöjen selkeys ja ymmärrettävyys.

HAL-17.1: Tietojärjestelmien toiminnallinen käytettävyys ja vikasietoisuus - saavutettavuus
Julkri
4.1: Tietojärjestelmien tietoturvallisuus
TiHL: Tietoturva
4.3: Vikasietoisuuden ja toiminnallisen käytettävyyden testaus
TiHL: Tietoturva

Sietokykyä edistävien toimintojen toteuttaminen

Critical
High
Normal
Low

Organisaation on hyödynnettävä mekanismeja kuten:

  • Vikaturvallisuutta (failsafe) minimoimaan vahingot ongelman sattuessa
  • Kuorman tasausta, vähentämään riskiä ongelmaan
  • “Kuumana vaihdettavuutta” (hot swappable) eli komponentteja tai muita prosessin osia voidaan vaihtaa ilman toimintakatkosta
PR.PT-5: Mechanisms
NIST

Vähimmän toiminnallisuuden periaate järjestelmissä

Critical
High
Normal
Low

Organisaatio hyödyntää vähimmän toiminnallisuuden periaatetta (principle of least functionality) järjestelmien käyttöönotossa ja asetuksissa. Järjestelmillä ei saa olla oikeuksia mihinkään mitä ei tarvita toteuttamaan sitä mihin ne on tarkoitettu.

PR.PT-3: Principle of least functionality
NIST
PR.PT-3: The principle of least functionality is incorporated by configuring systems to provide only essential capabilities.
CyFun
2.3.3: Deactivate unnecessary functionality
NSM ICT-SP
2.2.2: Design the ICT system using ICT products which integrate well
NSM ICT-SP

Dokumentoidut menettelyt ja valvonta kriittisille järjestelmänvalvojan toiminnoille käytetyissä tietojärjestelmissä

Critical
High
Normal
Low

Kriittiset järjestelmänvalvojan toiminnot tarkoittavat toimintoja, joissa vika voi aiheuttaa peruuttamatonta vahinkoa pilvilaskentaympäristön sisällölle.

Kriittiset järjestelmänvalvojan toiminnot voivat sisältää esimerkiksi virtualisoituihin laitteisiin (esim. palvelimet, verkot, tallennus) liittyvät muutokset, lopetusmenettelyt, varmuuskopiointi ja palautus.

Jos tietojärjestelmä sisältää säännöllisiä kriittisiä järjestelmänvalvojan toimintoja, ne dokumentoidaan. Myös kriittisten järjestelmänvalvojatoimintojen suorittamisen menettelyt on dokumentoitu etukäteen tarvittavalla tarkkuudella kaikille käytettäville tietojärjestelmille.

Aina kun kriittinen järjestelmänvalvojan toiminto suoritetaan, dokumentaatiossa nimetty valvoja valvoo toimintaa.

CLD 12.1: Operational procedures and responsibilities
ISO 27017
CLD 12.1.5: Administrator's operational security
ISO 27017

Hyväksyttyjen ohjelmistojen hallintaprosessi

Critical
High
Normal
Low

Organisaation tulisi:

  • Tunnistaa ja luetella hallinnoitavat ohjelmistotyypit, mukaan lukien laiteohjelmistot, käyttöjärjestelmät, sovellukset, kirjastot ja laiteajurit.
  • Varmistaa, että hallinnoitavien ohjelmistojen arkistoja luodaan ja ylläpidetään.
  • Toteuttaa turvatoimet, joilla suojataan ohjelmistovarastot luvattomalta käytöltä ja manipuloinnilta.
  • Suorittaa säännöllisiä tarkistuksia varmistaakseen, että kaikki käytössä olevat ohjelmistot pysyvät hyväksyttyinä ja täyttävät organisaation turvallisuus- ja toimintastandardit.
  • Pidä päivitettyä rekisteriä kaikista ohjelmistoversioista ja niiden korjaustasoista sen varmistamiseksi, että kaikki ohjelmistot ovat ajan tasalla ja turvallisia.


1.3.4: Use of approved software
TISAX

Tietojärjestelmien tarkastusvaatimusten määrittely

Critical
High
Normal
Low

Organisaatiolla on oltava määritellyt vaatimukset tietojärjestelmien auditointien suorittamiselle tai auditointia suorittavalle palvelulle. Lisäksi on otettava huomioon seuraavat seikat:

  • Järjestelmäauditoinnin laajuuden määrittely ajoissa.
  • Auditoinnit on sovitettava yhteen järjestelmän ylläpitäjien ja käyttäjien kanssa.
  • Auditointitulokset tulee olla tallennettu jäljitettävällä tavalla ja raportoidaan asianomaiselle johdolle.
  • Tulokset on analysoitava, jotta niiden perusteella voidaan johtaa uusia toimenpiteitä.
5.2.6: IT System Management
TISAX

Ulkoisten järjestelmäyhteyksien turvallisuuden varmistaminen

Critical
High
Normal
Low

Varmista ulkoisten järjestelmien yhteyksien turvallisuus tarkistamalla ja dokumentoimalla ne virallisilla sopimuksilla. Tarkista nykyiset yhteydet ja niiden turvatoimenpiteet dokumentoitujen sopimusten puitteissa, kuten esimerkiksi:

  • Palvelutasosopimus (SLA)
  • tietojenkäsittelysopimus (DPA)
  • salassapitosopimus (NDA)
  • Yhteenliittämisen turvallisuussopimus (ISA)
  • Kolmannen osapuolen riskienhallintasopimus
PR.AC-3: Remote access is managed.
CyFun

Varmista, että ICT-järjestelmässä on toteutettu tarvittavat turvatoiminnot

Critical
High
Normal
Low

Kattavan turvallisuusarkkitehtuurin luominen ja ylläpitäminen. ICT-järjestelmään olisi sisällytettävä seuraavat toiminnot:

  • Käyttäjien ja tilien hallintatoiminnot
  • Toiminnallisuus laitteiden (esim. asiakkaiden) hallinnassa pysymistä varten.
  • Toiminnallisuus resurssien ja palveluiden käyttöoikeuksien hallintaa varten
  • Toiminnallisuus ohjelmistojen suorittamisen ja asennuksen valvomiseksi (erityisesti asiakkaissa).
  • Työkalut koko ICT-arkkitehtuurin tai sen osien käyttämiseen ja virtualisointiin (paikallisesti ja pilvipalveluna).
  • Verkkolaitteet (kytkimet, reitittimet, yhteyspisteet) ja palomuurit.
  • Haittaohjelmien torjuntamekanismit (virustorjunta).
  • Salausmoduulit
  • Digitaaliset varmenteet ja julkisen avaimen infrastruktuuri (PKI).
  • Tietokannat
  • Järjestelmänvalvontatyökalut
  • Työkalut tietoturvamääritysten hallintaan
  • tunkeutumisen havaitsemis- (IDS) ja suojausjärjestelmät (IPS).
  • Varmuuskopiointi ja palautus
2.2.1: Establish and maintain a comprehensive security architecture
NSM ICT-SP

Suunnittele ICT-järjestelmä käyttäen hyvin integroitavia ICT-tuotteita

Critical
High
Normal
Low

Suunnittele ICT-järjestelmä käyttäen hyvin integroitavia ICT-tuotteita. Tämä tarkoittaa, että:

  • Käytettävien ICT-tuotteiden tulisi olla moduulipohjaisia. (Järjestelmien vähimmän toiminnallisuuden periaate)
  • Käytettyjen ICT-tuotteiden tulisi olla alan standardien mukaisia.
  • Tuotteiden ja tietoturvatoimintojen (myös eri toimittajilta) tulisi toimia hyvin yhteen tietoturvan kannalta. Näiden tuotteiden olisi käytettävä uudelleen organisaatioiden yhteisestä identiteettitietokannasta otettuja tunnisteita.
2.2.1: Establish and maintain a comprehensive security architecture
NSM ICT-SP
2.2.2: Design the ICT system using ICT products which integrate well
NSM ICT-SP

Suunnittele ICT-järjestelmä käyttäen hyvin integroitavia ICT-tuotteita

Critical
High
Normal
Low

Suunnittele ICT-järjestelmä käyttäen hyvin integroitavia ICT-tuotteita. Tämä tarkoittaa, että:

  • Käytettävien ICT-tuotteiden tulisi olla moduulipohjaisia. (Järjestelmien vähimmän toiminnallisuuden periaate)
  • Käytettyjen ICT-tuotteiden tulisi olla alan standardien mukaisia.
  • Tuotteiden ja tietoturvatoimintojen (myös eri toimittajilta) tulisi toimia hyvin yhteen tietoturvan kannalta. Näiden tuotteiden olisi käytettävä uudelleen organisaatioiden yhteisestä identiteettitietokannasta otettuja tunnisteita.

Kartoita työprosessien, käyttäjien, laitteiden ja palveluiden välinen tiedonkulku

Critical
High
Normal
Low

Kartoita työprosessien, käyttäjien, laitteiden ja palvelujen välinen tiedonkulku. Tämä kartoitus auttaa organisaatiota ymmärtämään tiedonkulkua paremmin.

1.1.6: Identify information processing and data flow
NSM ICT-SP

Vanhentuneiden ICT-tuotteiden asteittainen poistaminen käytöstä

Critical
High
Normal
Low

Organisaatioilla olisi oltava selkeä suunnitelma, jossa esitetään yksityiskohtaisesti, miten käytöstä poistamista hallitaan. Suunnitelmaan olisi sisällyttävä esimerkiksi prosessit ja se, miten uuteen tuotteeseen siirtyminen hoidetaan.

Jos ICT-tuotteessa ei ole viimeisimpiä turvatoimintoja ja -protokollia, sitä ei pitäisi käyttää ja se on poistettava käytöstä asteittain.

Vaiheittainen käytöstä poistaminen olisi suunniteltava etukäteen, ennen kuin palveluntarjoaja lopettaa tuotetuen, jotta voidaan varmistaa uusimpien tietoturvatoimintojen ja -protokollien käyttö. Esimerkiksi joissakin vanhemmissa sovelluksissa saattaa olla uusimmat turvatoiminnot, mutta ne eivät toimi hyvin uudempien hyökkäysten esto työkalujen kanssa. Tässä tilanteessa olisi tehtävä poikkeuksia, jotta suojausta ei poistettaisi kokonaan käytöstä, mutta on tärkeää muistaa, että käytöstä poistamisprosessi on todennäköisesti ajankohtainen lähitulevaisuudessa.

Vaiheittaisen poistamisen jälkeen on tärkeää arvioida prosesseja ja dokumentoida niistä opitut asiat tulevaisuutta varten.

Palveluntarjoajan fyysisen pääsyn sääntely ja valvonta ICT-tuotteiden huollon yhteydessä

Critical
High
Normal
Low

Kun ICT-tuotteita huolletaan, palveluntarjoajan fyysistä pääsyä on säänneltävä ja valvottava.

2.1.4: Reduce the risk of targeted manipulation of ICT products in the supply chain
NSM ICT-SP

Varmista ladattujen ohjelmistotuotteiden eheys

Critical
High
Normal
Low

Ohjelmistotuotteet tulisi ladata vain palveluntarjoajan viralliselta verkkosivustolta (vain HTTPS-yhteyden kautta). Näin varmistetaan ohjelmiston eheys ja legitimiteetti. Organisaation tulisi säilyttää kaikki asennusohjelmistot tiedostokansioissa, joihin vain ohjelmistojen asennuksesta vastaavilla henkilöillä on kirjoitusoikeus.

2.1.4: Reduce the risk of targeted manipulation of ICT products in the supply chain
NSM ICT-SP

Protection of data in use

Critical
High
Normal
Low

Organization defines processes and means to ensure the confidentiality, integrity and availability of the data in use. These processes can include for example:

  • Removing confidential data from processors, memory and cache immediately after it is no longer needed to minimize exposure risks
  • Ensuring that data in use is isolated and protected from unauthorized access by other users or processes on the same platform
  • Applying hardware-based protections (e.g., Trusted Execution Environments or Secure Enclaves) to prevent tampering or unauthorized access to sensitive data while it is being processed
  • Limiting the exposure of data to only those who require it

Varjo-IT:n tunnistaminen ja hallinta

Critical
High
Normal
Low

Keskimäärin IT-pääkäyttäjä arvioi henkilöstön käyttävän n. 50 pilvipalvelua, kun todellinen määrä on 1 000. Useat näistä ovat tärkeitä henkilöstön tuottavuuden kannalta ja niitä käytetään organisaation verkon ulkopuolelta, joten palomuurisäännöillä ei haastetta ratkaista.

Pilvipalvelujen tunnistamiseen ja hallintaan keskittyvien järjestelmien avulla voit tunnistaa henkilöstön käyttämiä pilvipalveluita ja valvoa eri palvelujen käyttäjiä. Tämä auttaa mm.:

  • määrittämään omaa riskitasoanne pilvipalveluissa olevan tiedon suhteen
  • tarkistamaan palveluita tietoturvan suhteen
  • pystymään raportoimaan vaatimusten mukaisesti esim. tietojen sijiannista ja kumppaneista
9.2.2: Pääsyoikeuksien jakaminen
ISO27 Täysi
5.18: Pääsyoikeudet
ISO27k1 Täysi
1.1.5: Identify the organisation’s deliverables, information systems and supporting ICT functions
NSM ICT-SP

Tietojärjestelmiä ylläpitävän henkilöstön pätevyys ja vastuut

Critical
High
Normal
Low

Organisaation on varmistettava, että tietojärjestelmiä asentaa, ylläpitää ja päivittää ainoastaan henkilöstö, jolla on siihen tarvittava ammattitaito ja asiantuntemus. Lisäksi on kuvattava tietojärjestelmiä asentavan, ylläpitävän ja päivittävän henkilön rooli ja vastuut suhteessa organisaation sekä tietojärjestelmän tuottajaan.

6.5: Tietojärjestelmien asennus, ylläpito ja päivitys
Omavalvonta
6.6: Tietojärjestelmien asennus, ylläpito ja päivitys
Tietoturvasuunnitelma
4.1: Tietojärjestelmien tietoturvallisuus
TiHL: Tietoturva

Tietoturvallisuutta koskevien tarkastusten suorittaminen määräajoin ja poikkeustilanteissa

Critical
High
Normal
Low

Tietoturvallisuutta koskevat tarkastukset ja uudelleentarkastelut on tärkeää suorittaa määräajoin tietojenkäsittely-ympäristön normaalin toiminnan aikana, huoltotoimenpiteiden yhteydessä sekä poikkeuksellisten tilanteiden ilmetessä.

Organisaatio on määritellyt aikamääreet ja tapahtumat, joiden mukaisesti tietoturvallisuutta koskevia tarkastuksia suoritetaan.

TEK-17.1: Muutoshallintamenettelyt - uudelleenarviointi
Julkri
CC7.1: Procedures for monitoring changes to configurations
SOC 2

Vanhentuneiden ICT-tuotteiden asteittainen poistaminen käytöstä

Critical
High
Normal
Low

Organisaatioilla olisi oltava selkeä suunnitelma, jossa esitetään yksityiskohtaisesti, miten käytöstä poistamista hallitaan. Suunnitelmaan olisi sisällyttävä esimerkiksi prosessit ja se, miten uuteen tuotteeseen siirtyminen hoidetaan.

Jos ICT-tuotteessa ei ole viimeisimpiä turvatoimintoja ja -protokollia, sitä ei pitäisi käyttää ja se on poistettava käytöstä asteittain.

Vaiheittainen käytöstä poistaminen olisi suunniteltava etukäteen, ennen kuin palveluntarjoaja lopettaa tuotetuen, jotta voidaan varmistaa uusimpien tietoturvatoimintojen ja -protokollien käyttö. Esimerkiksi joissakin vanhemmissa sovelluksissa saattaa olla uusimmat turvatoiminnot, mutta ne eivät toimi hyvin uudempien hyökkäysten esto työkalujen kanssa. Tässä tilanteessa olisi tehtävä poikkeuksia, jotta suojausta ei poistettaisi kokonaan käytöstä, mutta on tärkeää muistaa, että käytöstä poistamisprosessi on todennäköisesti ajankohtainen lähitulevaisuudessa.

Vaiheittaisen poistamisen jälkeen on tärkeää arvioida prosesseja ja dokumentoida niistä opitut asiat tulevaisuutta varten.

2.1.2: Procure modern and up-to-date hardware and software
NSM ICT-SP
2.3.8: Do not deactivate exploit protection functions
NSM ICT-SP

Järjestelmädokumentaation säännöllinen katselmointi

Critical
High
Normal
Low

Tietojärjestelmälistausta on katselmoitava säännöllisesti, jotta varmistetaan sen tarkkuus, ajantasaisuus ja johdonmukaisuus.

24. Rekisterinpitäjän vastuu
GDPR
8.1.1: Suojattavan omaisuuden luetteloiminen
ISO27 Täysi

Tietojärjestelmien omistajien nimeäminen

Critical
High
Normal
Low

Jokaiselle tietojärjestelmälle nimetään omistaja. Omistaja on vastuussa tieto-omaisuuden elinkaaresta ja vastaa kyseiseen omaisuuteen liittyvien hallintatehtävien toteuttamisesta.

Omistajan tehtäviin kuuluu mm.:

  • varmistaa omaisuuden dokumentointi
  • varmistaa omaisuuden asianmukainen suojaus
  • pääsyoikeuksien säännöllinen katselmointi
  • varmistaa tietojen asianmukainen käsittely, myös tietoja tuhottaessa

Omistaja voi delegoida osan tehtävistä eteenpäin, mutta vastuu säilyy omistajalla.

13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL
32. Käsittelyn turvallisuus
GDPR
8.1.2: Suojattavan omaisuuden omistajuus
ISO27 Täysi
6.1.1: Tietoturvaroolit ja -vastuut
ISO27 Täysi
9.2.2: Pääsyoikeuksien jakaminen
ISO27 Täysi