Safe termination of critical relationships

Määrittelemme ennakkoon toimittajatyypit, joiden kanssa yhteistyö vaatii pääsyä luottamuksellisiin tietoihin tai niiden käsittelyalueille sekä tätä kautta mm. käsittelysopimusten tekemistä. Tällaisia toimittajatyyppejä voivat olla esim. tietotekniset palvelut, logistiikka, taloushallinto sekä tietotekniset infrastruktuurikomponentit.

Organisaatio on määritellyt tärkeiltä kumppaneilta vaaditut sertifioinnit tai noudatettavat standardit. Yleisesti tunnistettuja digiturvaan liittyviä standardeja ovat mm.:

• ISO 27001 (tietoturvan hallintajärjestelmä)
• SOC2 (yleinen tietoturva, kutsutaan myös SSAE 16)
• ISO 27701 (tietosuojan hallintajärjestelmä)
• ISO 27017 (digiturva pilvipalveluissa) tai ISO 27018 (tietosuoja pilvipalveluissa)
• muita suosittuja mm. NIST (yleinen), CSA (pilviohjelmistot), PCI DSS (korttimaksaminen)

Esimerkiksi kumppanilta vaadittava sertifiointi voi tehostaa omaa kumppanihallintaa ja toimia hyvänä todisteena kumppanin tietystä tietoturva- tai tietosuojatasosta.

Digiturvan minimitasoa koskevat vaatimukset on määritetty luottamuksellista tietoamme käsittelevillä kumppaniyrityksille ja nämä on sisällytetty toimittajasopimuksiin. Vaatimukset vaihtelevat sen mukaan, kuinka kriittistä tietoa kumppani käsittelee.

Vaatimusten on järkevää koostua säännöistä ja käytännöistä, joita omassa organisaatiossanne noudatetaan. Voitte jaotella vaatimustasot matalan, keskitason ja korkean riskin toimittajiin.

Kriittisten verkkopalvelujen tarvitsemat turvajärjestelyt, kuten turvallisuusominaisuudet, palvelutasot ja hallintavaatimukset, on huolellisesti määritelty ennakkoon. Verkkopalveluja ovat mm. liitännät, verkot ja verkon turvallisuusratkaisut (esim. palomuurit).

Verkkopalvelujen turvallisuusominaisuudet voivat olla mm. seuraavanlaisia:

• vaadittu turvallisuuteen liittyvä teknologia, kuten todennus, salaustekniikka ja verkkoyhteyden hallintakeinot
• verkkopalvelujen suojatun yhteyden edellyttämät tekniset parametrit
• verkkopalvelun käyttökriteerit, jotka rajoittavat pääsyä verkkopalveluun tai sovelluksiin tarvittaessa

Organisaatio käsittelee säännöllisesti digiturvallisuutta kriittisten toimittajien ja muiden kumppanien kanssa toimittajahallintakokouksissa.

Tietoliikennepalveluissa ja -sopimuksissa on huomioitu toiminnan kannalta tärkeiden palveluiden saatavuus häiriötilanteissa.

Tärkeiden palvelujen verkkoympäristöt ja tietoliikennepalvelut varmennetaan esimerkiksi kahdentamalla. Tietoliikenne voidaan kahdentaa fyysisesti kahta eri reittiä pitkin kahden eri operaattorin toimesta.

Tärkeissä ympäristöissä varmistetaan, että yksittäisen tietoliikennekomponentin vikaantuminen ei keskeytä palvelun toimintaa.

Erikseen valittuihin työasemiin voidaan esimerkiksi asentaa erillinen tietoliikenneyhteys, jonka kautta voi päästä yleiseen tietoverkkoon.

Sopimusvaiheessa tulisi huomioida myös Suomen ulkopuolisten yhteyksien vikasietoisuus.

Organization should prioritize their partners based on:

• Sensitivity and confidentiality of data processed or possessed by suppliers
• The degree of access to the organization’s systems
• The importance of the products or services to the organization’s mission

Organisaatio sopii ja toteuttaa yhteisen tietoturvariskien hallintamenettelyn ja prosessit sidosryhmien kanssa.

Organisaation tulisi pyrkiä integroimaan kolmannen osapuolen riskien hallinta osaksi oman organisaation yleistä tietoturvariskienhallintaa. Siinä tulisi:

• Arvioida keskenäisiä riippuvuuksia
• Arvioida riskejä liittyen kolmannen osapuolen tarjoamiin sopimuksiin
• Huolehtia riskienhallinnan skaalasta organisaation koon ja tarpeen perusteella

Organisaation on tunnistettava kriittiset IT-kumppanit. Kriittisellä kumppanilla (sisäinen tai ulkoinen) tarkoitetaan kumppania, jota ilman toiminta keskeytyy.

Organisaatio on ottanut käyttöön kriittisiä tai tärkeitä toimintoja tukevia ICT-palveluja koskevat poistumisstrategiat, joilla varaudutaan mahdollisiin vikoihin, laadun heikkenemiseen tai muihin palveluun liittyviin liiketoimintahäiriöihin.

Poistumisstrategioilla varmistetaan, että organisaatio voi luopua asiaan liittyvistä sopimusjärjestelyistä ilman:

• häiriöitä liiketoiminnalleen
• vaatimusten laiminlyömistä
• haittaa tarjottujen palvelujen jatkuvuudelle tai laadulle.

Poistumissuunnitelmat ovat kattavia, dokumentoituja, riittävästi testattuja ja säännöllisesti tarkistettuja.

Organisaatio on osana poistumisstrategioita myös yksilöinyt vaihtoehtoisia ratkaisuja ja laatinut siirtymäsuunnitelmia, joiden avulla se voi vaihtaa palveluja ja siirtää asiaankuuluvat tiedot turvallisesti.

The Organization should have defined and documented processes for terminating critical relationships with suppliers in both normal and adverse circumstances. Adverse circumstances could include:

• Data breach or security incident
• Legal, ethical or regulatory violations
• Contract breach or service failure

The processes should at least define:

• How assets containing organization's data are returned or disposed safely and supplier access to organizational resources is removed
• System continuity and resilience e.g. how dependent operations are kept functional when removing or changing supplier
• Component end-of-life maintenance support and obsolescence
• Means to prevent and mitigate data leakage or risks related to data and systems with supplier termination

All potential suppliers, providers of critical resources and other relevant third-parties are assessed before acquisition with means such as:

• Performing thorough due diligence that is proper to level of risk, criticality, and complexity of each supplier relationship and procurement planning
• Assessing the suitability of the technology and the risk management and cybersecurity practices
• Conducting supplier risk assessments against business and applicable cybersecurity requirements
• Assessing the authenticity, integrity, and security of critical products prior to acquisition and use

Kun esimerkiksi tietoliikenneverkon vikasietoisuus on kriittistä, sitä voidaan parantaa entisestään hankkimalla verkon peruspalvelut useampaa reittiä ja useamman palveluntuottajan kautta.

Tietoteknisissä ympäristöissä ja niihin liittyvissä sopimuksissa on huomioitu toiminnan kannalta tärkeiden palveluiden saatavuus häiriötilanteissa.

Tärkeiden palvelujen tietotekniset ympäristöt varmennetaan esimerkiksi kahdentamalla siten, että yksittäisten komponenttien vikaantumiset eivät aiheuta toiminnan edellyttämää palvelutasoa pidempiä käyttökatkoja.

Tietotekniset ympäristöt voidaan varmentaa varavoimalla tai varavoimaliitännöillä siten, että sähkönjakelu voidaan käynnistää riittävän nopeasti ja ylläpitää sitä riittävän ajan suhteessa toiminnan vaatimuksiin.

Kun organisaatio päättää käyttää toisen pilvipalvelun tarjoajan palveluita omien pilvipalveluidensa tuottamiseen, organisaation on varmistettava, että sen asiakkaiden tietoturvataso säilyy tai ylittyy.

Tämän varmistamiseksi organisaation tulee määritellä tarvittavat turvallisuustavoitteet toimitusketjuun kuuluville alihankkijoille. Näiden tavoitteiden tulisi edellyttää riskienhallinnan suorittamista tavoitteiden saavuttamiseksi.

Kun organisaatio käyttää pilvipohjaista tietojärjestelmää, organisaation tulee ymmärtää ja vahvistaa siihen liittyvät tietoturvaroolit ja -vastuut palvelusopimuksen mukaisesti.

Näihin voi kuulua esimerkiksi seuraaviin vastuisiin liittyviä tehtäviä:

• Suojaus haittaohjelmilta
• Kryptografiset ohjaimet
• Varmuuskopiointi
• Haavoittuvuuden ja tapausten hallinta
• Vaatimustenmukaisuus ja turvallisuustestaus
• Tunnistus, identiteetin ja käyttöoikeuksien hallinta