Hyväksyttyjen ohjelmistojen hallintaprosessi

Organisaation on ylläpidettävä listaa käytetyistä tietojärjestelmistä sekä tietojärjestelmille nimetyistä omistajista. Omistaja vastaa järjestelmän tietojen täydentämisestä sekä mahdollisista muista tietoturvatoimenpiteistä, jotka liittyvät tiiviisti järjestelmään.

Järjestelmiin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

• Järjestelmään liittyvät vastuut ja sen käyttötarkoitus
• Järjestelmän tietojen sijainti (käsitellään tarkemmin erillisessä tehtävässä)
• Kuvaus järjestelmän ylläpito- ja kehitysvastuista sekä tähän mahdollisesti liittyvät toimittajat (käsitellään tarkemmin erillisessä tehtävässä)
• Tarvittaessa tietojärjestelmän pääsyoikeusroolit ja tunnistautumistavat (käsitellään tarkemmin erillisessä tehtävässä)
• Tarvittaessa liittymät muihin järjestelmiin (käsitellään tarkemmin erillisessä tehtävässä)

Organisaatiolla tulisi olla määritelly ohjeet tietojärjestelmien yleisesti hyväksyttävälle käytölle sekä tarvittavien tunnistautumistietojen hallinnalle.

Tärkeäksi luokiteltujen tietojärjestelmien omistaja voi lisäksi määritellä, dokumentoida ja jalkauttaa tarkempia sääntöjä juuri tämän tietojärjestelmän käytöstä. Nämä saannöt voivat kuvata mm. tietoturvavaatimukset, jotka järjestelmän sisältävään tietoon liittyvät.

Organisaation on määriteltävä (tarkempien toimittajavastuita, -häiriöitä sekä pilvipalveluiden hankintaa koskevien käytäntöjen lisäksi), millä yleisillä periaatteilla se aikoo hallita pilvipalveluiden käyttöön liittyviä tietoturvariskejä.

Määritelmissä on otettava huomioon mm.:

• kuinka palveluntarjoajan mahdollistamia tietoturvaominaisuuksia hyödynnetään
• kuinka vaatia todisteita palveluntarjoajan toteuttamista toimenpiteistä tietoturvan eteen
• mitä tekijöitä on huomioitava omissa toimintatavoissa kun hyödynnetään isoa palveluntarjoaja määrää
• pilvipalveluiden käytön huomiointi tietoturvariskien hallinnassa
• toimintatavat pilvipalvelun käytön päättämishetkellä

Organisaatiolla on prosessi, jonka avulla ohjelmisto tarkastetaan ja hyväksytään ennen asennusta tai käyttöä. Prosessi sisältää ainakin seuraavat asiat

• Arvioi rajoitettu hyväksyntä: Tarkistetaan, onko ohjelmisto hyväksytty tiettyihin käyttötapauksiin tai rooleihin organisaatiossa.
• Tarkistetaan vaatimustenmukaisuus: Varmistetaan, että ohjelmisto täyttää organisaation tietoturvavaatimukset.
• Tarkistetaan ohjelmiston käyttöoikeudet ja lisensointi: Varmistetaan, että ohjelmistolla on asianmukainen lisenssi aiottua käyttöä varten.
• Arvioi lähde ja maine: Arvioi ohjelmiston toimittajan tai lähteen uskottavuus ja maine.

Tähän prosessiin olisi sisällyttävä myös erityistarkoituksiin käytettävien ohjelmistojen, kuten ylläpitotyökalujen, valinta.

Organisaatio pitää kirjaa tietojärjestelmän liittymistä muihin tietojärjestelmiin sekä liittymissä käytettävistä tiedonsiirtotavoista.

Dokumentaatio liittymien suhteen on katselmoitava säännöllisesti sekä järjestelmiin tehtävien muutosten jälkeen.

Organisaatio katselmoi säännöllisesti tietojärjestelmien teknistä vaatimuksenmukaisuutta organisaatiota koskevien vaatimusten kanssa.

Katselmoinnissa voidaan hyödyntää manuaalista toteutusta kokeneiden ammattilaisten toimista tai automatisoituja työkaluja (mm. tunkeutumistestaus).

Tekninen katselmointi on aina suunniteltava ja toteutettava osaavan ja ennalta hyväksytyn henkilöstön toimesta.

Organisaation on huolehdittava turhien ohjelmistojen, kuten sovellusten, järjestelmien apuohjelmien ja tietoverkkopalveluiden poistamisesta.

Organisaation täytyy huolehtia, että sen lisensoimat ohjelmistot:

• ovat lisensoituja ja aktiivisesti tuettuja
• poistetaan laitteista, kun ne eivät ole enään tuettuja
• on säädetty päivittymään automaattisesti, kun mahdollista

Käsiteltäessä samalla varmistusjärjestelmällä eri omistajien tietoja, tarkastusoikeuden mahdollistavat erottelumenettelyt on toteutettava varmistusjärjestelmän liittymien ja tallennemedioiden osalta (esim. omistaja-/hankekohtaiset eri avaimilla salatut nauhat, joita säilytetään asiakaskohtaisissa kassakaapeissa/kassakaappilokeroissa).

Tietojärjestelmiin kohdistuvien, esimerkiksi auditointien aikana tehtävien, tarkistusten sekä muiden varmennustoimien tulee olla ennalta suunniteltuja ja sovittuja asianmukaisten testaajien sekä johdon kanssa. Tällä pyritään minimoimaan toimien vaikutus toimintaprosesseihin.

Käytäntöjä suunniteltaessa on huomioitava seuraavat seikat:

• tarkastuspyynnöt hyväksytään asianmukaisen vastuuhenkilön kanssa
• teknisten testien laajudesta sovitaan etukäteen ja niiden toteutusta valvotaan
• testit rajoitetaan mahdollisuuksien mukaan vain luku -käyttöön tai toteutetaan vain kokeneiden järjestelmänvalvojien toimesta
• turvallisuusvaatimusten toteutuminen varmistetaan ennalta laitteissa, joilla tarvitaan pääsyä järjestelmiin
• testit, jotka voivat vaikuttaa tärkeiden järjestelmän käytettävyyteen, suoritetaan virka-ajan ulkopuolella
• tarkastuksissa tehdyt toimet ja niitä varten myönnetyt pääsyoikeudet kirjataan lokiin

Organisaation tietojärjestelmät ja laitteisto ovat kattavasti järjestelmienhallinnan piirissä. Järjestelmienhallinnan kautta voidaan mahdollistaa mm. automaattiset päivitykset.

Jos palvelulla on saatavuus vaatimuksia, seurataan sen saatavuutta valvontajärjestelmällä. Valvontajärjestelmän tulee lähettää hälyttää havaitusta saatavuuspoikkeamista.

Viranomaisen on varmistettava tietojärjestelmien saatavuus koko niiden elinkaaren ajan. Tämän vuoksi eri tietojärjestelmien saatavuusvaatimukset (etenkin pisin aika, jonka järjestelmä voi olla pois käytöstä, palautusaikatavoite sekä palautuspistetavoite).

Saatavuusvaatimusten toteutuksen tulee huomioida tietojärjestelmältä edellytettävä kuormituksen kesto, vikasietoisuus ja palautumisaika.

Lisäksi tarve saatavuutta suojaaville menettelyille on tunnistettu ja menettelyt on toteutettu kriittisille järjestelmille järjestelmäkohtaisesti räätälöidyillä suojauksilla. Suojauksiin voi sisältyä esimerkiksi keskeisten verkkoyhteyksien, laitteistojen ja sovellusten ajoympäristöjen kahdentamiset.

Tietojärjestelmiin ja verkkoihin liittyvää turvallisuusdokumentaatiota ylläpidetään ja sitä kehitetään jatkuvasti tärkeänä osana yleistä muutostenhallintaprosessia.

Olennaisilla tietojärjestelmillä tarkoitetaan sellaisia tietojärjestelmiä, jotka ovat kriittisiä viranomaisen lakisääteisten tehtäviä toteuttamisen kannalta erityisesti hallinnon asiakkaille palveluja tuotettaessa.

Toiminnallisella käytettävyydellä tarkoitetaan tietojärjestelmän käyttäjän kannalta sen varmistamista, että tietojärjestelmä on helposti opittava ja käytössä sen toimintalogiikka on helposti muistettava, sen toiminta tukee niitä työtehtäviä, joita käyttäjän pitää tehdä tietojärjestelmällä ja tietojärjestelmä edistää sen käytön virheettömyyttä.

• Organisaatio tunnistaa ja luetteloi tehtävien hoitamisen kannalta olennaiset tietojärjestelmät esimerkiksi osana suojattavien kohteiden luettelointia ja tiedon luokittelua.
• Organisaatio määrittelee olennaisten tietojärjestelmien saatavuuskriteerit, joita vasten vikasietoisuus voidaan testata. Järjestelmäkohtaisten saatavuuskriteerien määrittelyssä voidaan hyödyntää tietojärjestelmien saatavuusluokittelua.
• Organisaatio määrittelee toiminnallisen käytettävyyden kriteerit.
• Organisaation hankintaprosesseissa ja hankintaohjeissa on huomioitu toiminnalliseen käytettävyyteen ja vikasietoisuuteen liittyvät vaatimukset.
• Organisaatio dokumentoi vikasietoisuuden testaukset.

Orgaisaation on myös varmistettava digitaalisten palveluiden saavutettavuus lainsäädännön edellyttämässä laajuudessa:

Saavutettavuus tarkoittaa sitä, että mahdollisimman moni erilainen ihminen voi käyttää verkkosivuja ja mobiilisovelluksia mahdollisimman helposti. Saavutettavuus on ihmisten erilaisuuden ja moninaisuuden huomiointia verkkosivujen ja mobiilisovelluksien suunnittelussa ja toteutuksessa. Saavutettavan digipalvelun suunnittelussa ja toteutuksessa pitää huomioida kolme osa-aluetta: tekninen toteutus, helppokäyttöisyys ja sisältöjen selkeys ja ymmärrettävyys.

Organisaation on hyödynnettävä mekanismeja kuten:

• Vikaturvallisuutta (failsafe) minimoimaan vahingot ongelman sattuessa
• Kuorman tasausta, vähentämään riskiä ongelmaan
• “Kuumana vaihdettavuutta” (hot swappable) eli komponentteja tai muita prosessin osia voidaan vaihtaa ilman toimintakatkosta

Organisaatio hyödyntää vähimmän toiminnallisuuden periaatetta (principle of least functionality) järjestelmien käyttöönotossa ja asetuksissa. Järjestelmillä ei saa olla oikeuksia mihinkään mitä ei tarvita toteuttamaan sitä mihin ne on tarkoitettu.

Kriittiset järjestelmänvalvojan toiminnot tarkoittavat toimintoja, joissa vika voi aiheuttaa peruuttamatonta vahinkoa pilvilaskentaympäristön sisällölle.

Kriittiset järjestelmänvalvojan toiminnot voivat sisältää esimerkiksi virtualisoituihin laitteisiin (esim. palvelimet, verkot, tallennus) liittyvät muutokset, lopetusmenettelyt, varmuuskopiointi ja palautus.

Jos tietojärjestelmä sisältää säännöllisiä kriittisiä järjestelmänvalvojan toimintoja, ne dokumentoidaan. Myös kriittisten järjestelmänvalvojatoimintojen suorittamisen menettelyt on dokumentoitu etukäteen tarvittavalla tarkkuudella kaikille käytettäville tietojärjestelmille.

Aina kun kriittinen järjestelmänvalvojan toiminto suoritetaan, dokumentaatiossa nimetty valvoja valvoo toimintaa.

Organisaation tulisi:

• Tunnistaa ja luetella hallinnoitavat ohjelmistotyypit, mukaan lukien laiteohjelmistot, käyttöjärjestelmät, sovellukset, kirjastot ja laiteajurit.
• Varmistaa, että hallinnoitavien ohjelmistojen arkistoja luodaan ja ylläpidetään.
• Toteuttaa turvatoimet, joilla suojataan ohjelmistovarastot luvattomalta käytöltä ja manipuloinnilta.
• Suorittaa säännöllisiä tarkistuksia varmistaakseen, että kaikki käytössä olevat ohjelmistot pysyvät hyväksyttyinä ja täyttävät organisaation turvallisuus- ja toimintastandardit.
• Pidä päivitettyä rekisteriä kaikista ohjelmistoversioista ja niiden korjaustasoista sen varmistamiseksi, että kaikki ohjelmistot ovat ajan tasalla ja turvallisia.

Organisaatiolla on oltava määritellyt vaatimukset tietojärjestelmien auditointien suorittamiselle tai auditointia suorittavalle palvelulle. Lisäksi on otettava huomioon seuraavat seikat:

• Järjestelmäauditoinnin laajuuden määrittely ajoissa.
• Auditoinnit on sovitettava yhteen järjestelmän ylläpitäjien ja käyttäjien kanssa.
• Auditointitulokset tulee olla tallennettu jäljitettävällä tavalla ja raportoidaan asianomaiselle johdolle.
• Tulokset on analysoitava, jotta niiden perusteella voidaan johtaa uusia toimenpiteitä.

Varmista ulkoisten järjestelmien yhteyksien turvallisuus tarkistamalla ja dokumentoimalla ne virallisilla sopimuksilla. Tarkista nykyiset yhteydet ja niiden turvatoimenpiteet dokumentoitujen sopimusten puitteissa, kuten esimerkiksi:

• Palvelutasosopimus (SLA)
• tietojenkäsittelysopimus (DPA)
• salassapitosopimus (NDA)
• Yhteenliittämisen turvallisuussopimus (ISA)
• Kolmannen osapuolen riskienhallintasopimus

Kattavan turvallisuusarkkitehtuurin luominen ja ylläpitäminen. ICT-järjestelmään olisi sisällytettävä seuraavat toiminnot:

• Käyttäjien ja tilien hallintatoiminnot
• Toiminnallisuus laitteiden (esim. asiakkaiden) hallinnassa pysymistä varten.
• Toiminnallisuus resurssien ja palveluiden käyttöoikeuksien hallintaa varten
• Toiminnallisuus ohjelmistojen suorittamisen ja asennuksen valvomiseksi (erityisesti asiakkaissa).
• Työkalut koko ICT-arkkitehtuurin tai sen osien käyttämiseen ja virtualisointiin (paikallisesti ja pilvipalveluna).
• Verkkolaitteet (kytkimet, reitittimet, yhteyspisteet) ja palomuurit.
• Haittaohjelmien torjuntamekanismit (virustorjunta).
• Salausmoduulit
• Digitaaliset varmenteet ja julkisen avaimen infrastruktuuri (PKI).
• Tietokannat
• Järjestelmänvalvontatyökalut
• Työkalut tietoturvamääritysten hallintaan
• tunkeutumisen havaitsemis- (IDS) ja suojausjärjestelmät (IPS).
• Varmuuskopiointi ja palautus

Suunnittele ICT-järjestelmä käyttäen hyvin integroitavia ICT-tuotteita. Tämä tarkoittaa, että:

• Käytettävien ICT-tuotteiden tulisi olla moduulipohjaisia. (Järjestelmien vähimmän toiminnallisuuden periaate)
• Käytettyjen ICT-tuotteiden tulisi olla alan standardien mukaisia.
• Tuotteiden ja tietoturvatoimintojen (myös eri toimittajilta) tulisi toimia hyvin yhteen tietoturvan kannalta. Näiden tuotteiden olisi käytettävä uudelleen organisaatioiden yhteisestä identiteettitietokannasta otettuja tunnisteita.

Suunnittele ICT-järjestelmä käyttäen hyvin integroitavia ICT-tuotteita. Tämä tarkoittaa, että:

• Käytettävien ICT-tuotteiden tulisi olla moduulipohjaisia. (Järjestelmien vähimmän toiminnallisuuden periaate)
• Käytettyjen ICT-tuotteiden tulisi olla alan standardien mukaisia.
• Tuotteiden ja tietoturvatoimintojen (myös eri toimittajilta) tulisi toimia hyvin yhteen tietoturvan kannalta. Näiden tuotteiden olisi käytettävä uudelleen organisaatioiden yhteisestä identiteettitietokannasta otettuja tunnisteita.

Kartoita työprosessien, käyttäjien, laitteiden ja palvelujen välinen tiedonkulku. Tämä kartoitus auttaa organisaatiota ymmärtämään tiedonkulkua paremmin.

Organisaatioilla olisi oltava selkeä suunnitelma, jossa esitetään yksityiskohtaisesti, miten käytöstä poistamista hallitaan. Suunnitelmaan olisi sisällyttävä esimerkiksi prosessit ja se, miten uuteen tuotteeseen siirtyminen hoidetaan.

Jos ICT-tuotteessa ei ole viimeisimpiä turvatoimintoja ja -protokollia, sitä ei pitäisi käyttää ja se on poistettava käytöstä asteittain.

Vaiheittainen käytöstä poistaminen olisi suunniteltava etukäteen, ennen kuin palveluntarjoaja lopettaa tuotetuen, jotta voidaan varmistaa uusimpien tietoturvatoimintojen ja -protokollien käyttö. Esimerkiksi joissakin vanhemmissa sovelluksissa saattaa olla uusimmat turvatoiminnot, mutta ne eivät toimi hyvin uudempien hyökkäysten esto työkalujen kanssa. Tässä tilanteessa olisi tehtävä poikkeuksia, jotta suojausta ei poistettaisi kokonaan käytöstä, mutta on tärkeää muistaa, että käytöstä poistamisprosessi on todennäköisesti ajankohtainen lähitulevaisuudessa.

Vaiheittaisen poistamisen jälkeen on tärkeää arvioida prosesseja ja dokumentoida niistä opitut asiat tulevaisuutta varten.

Kun ICT-tuotteita huolletaan, palveluntarjoajan fyysistä pääsyä on säänneltävä ja valvottava.

Ohjelmistotuotteet tulisi ladata vain palveluntarjoajan viralliselta verkkosivustolta (vain HTTPS-yhteyden kautta). Näin varmistetaan ohjelmiston eheys ja legitimiteetti. Organisaation tulisi säilyttää kaikki asennusohjelmistot tiedostokansioissa, joihin vain ohjelmistojen asennuksesta vastaavilla henkilöillä on kirjoitusoikeus.

Organization defines processes and means to ensure the confidentiality, integrity and availability of the data in use. These processes can include for example:

• Removing confidential data from processors, memory and cache immediately after it is no longer needed to minimize exposure risks
• Ensuring that data in use is isolated and protected from unauthorized access by other users or processes on the same platform
• Applying hardware-based protections (e.g., Trusted Execution Environments or Secure Enclaves) to prevent tampering or unauthorized access to sensitive data while it is being processed
• Limiting the exposure of data to only those who require it

Keskimäärin IT-pääkäyttäjä arvioi henkilöstön käyttävän n. 50 pilvipalvelua, kun todellinen määrä on 1 000. Useat näistä ovat tärkeitä henkilöstön tuottavuuden kannalta ja niitä käytetään organisaation verkon ulkopuolelta, joten palomuurisäännöillä ei haastetta ratkaista.

Pilvipalvelujen tunnistamiseen ja hallintaan keskittyvien järjestelmien avulla voit tunnistaa henkilöstön käyttämiä pilvipalveluita ja valvoa eri palvelujen käyttäjiä. Tämä auttaa mm.:

• määrittämään omaa riskitasoanne pilvipalveluissa olevan tiedon suhteen
• tarkistamaan palveluita tietoturvan suhteen
• pystymään raportoimaan vaatimusten mukaisesti esim. tietojen sijiannista ja kumppaneista

Organisaation on varmistettava, että tietojärjestelmiä asentaa, ylläpitää ja päivittää ainoastaan henkilöstö, jolla on siihen tarvittava ammattitaito ja asiantuntemus. Lisäksi on kuvattava tietojärjestelmiä asentavan, ylläpitävän ja päivittävän henkilön rooli ja vastuut suhteessa organisaation sekä tietojärjestelmän tuottajaan.

Tietoturvallisuutta koskevat tarkastukset ja uudelleentarkastelut on tärkeää suorittaa määräajoin tietojenkäsittely-ympäristön normaalin toiminnan aikana, huoltotoimenpiteiden yhteydessä sekä poikkeuksellisten tilanteiden ilmetessä.

Organisaatio on määritellyt aikamääreet ja tapahtumat, joiden mukaisesti tietoturvallisuutta koskevia tarkastuksia suoritetaan.

Organisaatioilla olisi oltava selkeä suunnitelma, jossa esitetään yksityiskohtaisesti, miten käytöstä poistamista hallitaan. Suunnitelmaan olisi sisällyttävä esimerkiksi prosessit ja se, miten uuteen tuotteeseen siirtyminen hoidetaan.

Jos ICT-tuotteessa ei ole viimeisimpiä turvatoimintoja ja -protokollia, sitä ei pitäisi käyttää ja se on poistettava käytöstä asteittain.

Vaiheittainen käytöstä poistaminen olisi suunniteltava etukäteen, ennen kuin palveluntarjoaja lopettaa tuotetuen, jotta voidaan varmistaa uusimpien tietoturvatoimintojen ja -protokollien käyttö. Esimerkiksi joissakin vanhemmissa sovelluksissa saattaa olla uusimmat turvatoiminnot, mutta ne eivät toimi hyvin uudempien hyökkäysten esto työkalujen kanssa. Tässä tilanteessa olisi tehtävä poikkeuksia, jotta suojausta ei poistettaisi kokonaan käytöstä, mutta on tärkeää muistaa, että käytöstä poistamisprosessi on todennäköisesti ajankohtainen lähitulevaisuudessa.

Vaiheittaisen poistamisen jälkeen on tärkeää arvioida prosesseja ja dokumentoida niistä opitut asiat tulevaisuutta varten.

Tietojärjestelmälistausta on katselmoitava säännöllisesti, jotta varmistetaan sen tarkkuus, ajantasaisuus ja johdonmukaisuus.

Jokaiselle tietojärjestelmälle nimetään omistaja. Omistaja on vastuussa tieto-omaisuuden elinkaaresta ja vastaa kyseiseen omaisuuteen liittyvien hallintatehtävien toteuttamisesta.

Omistajan tehtäviin kuuluu mm.:

• varmistaa omaisuuden dokumentointi
• varmistaa omaisuuden asianmukainen suojaus
• pääsyoikeuksien säännöllinen katselmointi
• varmistaa tietojen asianmukainen käsittely, myös tietoja tuhottaessa

Omistaja voi delegoida osan tehtävistä eteenpäin, mutta vastuu säilyy omistajalla.