Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

1.3.2
TISAX

TISAX: Information security

5.13
ISO27k1 Täysi

ISO 27001 (2022): Täysi

8.2.2
ISO27 Täysi

ISO 27001 (2013): Täysi

8.3.2
ISO27 Täysi

ISO 27001 (2013): Täysi

CC6.5
SOC 2

SOC 2 (järjestelmät ja organisaation hallintakeinot)

TEK-21
Julkri

Julkri: TL IV-I

Muita saman teeman digiturvatehtäviä

Tietoluokkien määrittely ja luokkakohtaiset suojausmenettelyt

Critical
High
Normal
Low

Tietoluokittelun avulla voidaan antaa tietoja käsitteleville henkilöille nopea näkemys siitä, miten kriittistä tietoa on kyseessä ja kuinka tietoa pitää käsitellä sekä suojata.

Käytetyt tietoluokat ja niitä vastaavat suojaustasot on määritelty. Tietoluokka määritellään analysoimalla kyseessä olevan tiedon luottamuksellisuus, eheys ja saatavuus sekä mahdolliset muut vaatimukset. Kullekin tasolle annetaan selkeä ja kuvaava nimi.

Tietoluokat voivat olla esimerkiksi seuraavia:

  • tietojen paljastaminen ei aiheuta harmia (JULKINEN)
  • tietojen paljastaminen aiheuttaa lievää kiusaa tai vähäistä toiminnallista harmia (LUOTTAMUKSELLINEN)
  • tietojen paljastamisella on huomattavia lyhyen aikavälin vaikutuksia toimintaan tai taktisiin tavoitteisiin (RAJOITETTU)
  • tietojen paljastamisella on vakavia vaikutuksia pitkän aikavälin strategisiin tavoitteisiin tai se vaarantaa koko organisaation olemassaolon (KIELLETTY)

RAJOITETULTA paperitiedolta voidaan vaatia mm. seuraavia suojauksia:

  • Lukittu kaappi
  • Luotettu siirtokumppani
  • Sinetöidyt kirjekuoret
  • Turvallinen hävittäminen

RAJOITETULTA sähköiseltä tiedolta voidaan vaatia mm. seuraavia suojauksia:

  • Valitun salaustason käyttö
  • Salasanasuojaus
  • Turvallinen hävittäminen
  • Tarkemmin rajatut pääsyoikeudet
T07: Tietojen luokittelu
Katakri
8.2.1: Tiedon luokittelu
ISO27 Täysi
8.2.2: Tiedon merkintä
ISO27 Täysi
8.2: Tietojen luokittelu
ISO27 Täysi
8.2.3: Suojattavan omaisuuden käsittely
ISO27 Täysi

Tietoluokkien dokumentointi tietoaineistoille

Critical
High
Normal
Low

Tietoaineistojen omistajat (tai liittyvän tieto-omaisuuden, kuten tietovarannon tai tietojärjestelmän) omistajat vastaavat tietoaineistojen luokitteluista ja luokittelun vastaavuudesta tietoluokkien määritelmiin.

Omistaja päivittää tietoluokittelua omaisuuden elinkaaren aikana sen arvon, arkaluonteisuuden ja kriittisyyden vaihtelun mukaisesti.

T07: Tietojen luokittelu
Katakri
8.2.1: Tiedon luokittelu
ISO27 Täysi
18.1.3: Tallenteiden suojaaminen
ISO27 Täysi
ID.AM-5: Resource prioritization
NIST
HAL-04.2: Suojattavat kohteet - luokittelu
Julkri

Tietoluokkien merkitsemistapojen määrittely ja ohjeistaminen

Critical
High
Normal
Low

Tiedon merkitsemistavat on määritelty, ne ovat helposti tunnistettavia ja ne kattavat sekä fyysiset että sähköiset tiedot ja omaisuudet. Merkinnästä tulee käydä ilmi, miltä osin asiakirja on salassa pidettävä ja mihin salassapito perustuu. Henkilöstöä ohjeistetaan merkintöjen tekemisestä.

8.2.1: Tiedon luokittelu
ISO27 Täysi
8.2.2: Tiedon merkintä
ISO27 Täysi
12.1.1: Dokumentoidut toimintaohjeet
ISO27 Täysi
HAL-04.4: Suojattavat kohteet - merkitseminen
Julkri
5.13: Tiedon merkintä
ISO27k1 Täysi

Tietoluokittelu toimipisteille ja fyysiselle tieto-omaisuudelle

Critical
High
Normal
Low

Organisaatio on luokitellut tietoaineistojen lisäksi myös toimipisteet sekä fyysisen tieto-omaisuuden niissä käsiteltävän tiedon kriittisyyden perusteella.

Lakisääteisten vaatimusten huomiointi tietoluokitteluun liittyvissä merkinnöissä

Critical
High
Normal
Low

Tiedon merkitsemistapojen pitää kattaa sekä fyysisessä että sähköisessä muodossa olevat tiedot ja niihin liittyvä suojattava omaisuus kuten tietovälineet.

Merkintöjen olisi oltava organisaation määrittelemien luokitteluperiaatteiden mukaisia ja helposti tunnistettavia. Organisaation olisi ohjeistettava, mihin ja miten merkinnät kiinnitetään. Ohjeistuksessa tulee ottaa huomioon myös tulosteet. Lisäksi tarpeettoman työn säästämiseksi kannattaa ohjeistaa, milloin merkintöjä ei tarvita.

Tietyissä tapauksissa, kuten esimerkiksi julkisuuslain mukaisista salassa pitoa koskevista merkinnöistä tulee myös käydä ilmi, miltä osin asiakirja on salassa pidettävä sekä mihin salassapito perustuu.



HAL-04.4: Suojattavat kohteet - merkitseminen
Julkri

Luottamuksellisen tiedon piilottamistarpeiden määrittäminen ja toteuttaminen

Critical
High
Normal
Low

Organisaation on määritettävä tilanteet, joissa henkilötietojen tai muiden luottamuksellisten tietojen suojaaminen on erityisen tärkeää, ja tarvittaessa toteutettava tällaisen tiedon piilottamista sopivan vahvuisilla menetelmillä, esimerkiksi naamiointia (masking), pseudonymisointia tai anonymisointia hyödyntäen.

Anonymisoinnin ja pseudonymisoinnin lisäksi mahdollisia käytettäviä tekniikoita ovat mm.:

  • salaus
  • merkkien nollaus tai poistaminen
  • arvojen vaihtaminen
  • arvojen korvaaminen hasheilla
8.11: Tietojen peittäminen
ISO27k1 Täysi

Documentation of data and metadata for designated datatypes

Critical
High
Normal
Low

Organization maintains a list of the designated data types of interest that could include for example:

  • Personally identifiable information
  • Protected health information
  • Financial account numbers
  • Organization intellectual property
  • Operational technology data

And tracks and documents metadata, of each instance of these designated data types like:

  • Provenance
  • Data owner
  • Geolocation

The organizations can also continuously discover and analyze ad hoc data to identify new instances of these designated data types.

Tietoluokittelun yleinen katselmointi

Critical
High
Normal
Low

Tietoluokittelun toimivuutta ja johdonmukaisuutta organisaatiossa kokonaisuutena tarkastalleen säännöllisesti.

Tietoluokittelun periaatteiden tulisi olla yhdenmukaisia koko organisaatiossa, jotta kaikilla on yhtenäinen ymmärrys suojausvaatimuksista ja yhtä kriittiselle tiedolle toteutetaan yhtä kattava suojaus.

8.2.3: Suojattavan omaisuuden käsittely
ISO27 Täysi

Turvallista hävittämistä edellyttävien tietovälineiden merkitseminen

Critical
High
Normal
Low

Turvallista hävittämistä edellyttävien tietovälineiden tunnistamiseen ja merkitseen on olemassa sovitut menettelyt.

8.2.2: Tiedon merkintä
ISO27 Täysi
8.3.2: Tietovälineiden hävittäminen
ISO27 Täysi
TEK-21: Sähköisessä muodossa olevien tietojen tuhoaminen
Julkri
5.13: Tiedon merkintä
ISO27k1 Täysi
CC6.5: Discontinuation of logical physical protections when no longer required
SOC 2

Luottamuksellisten tietojen tunnistaminen

Critical
High
Normal
Low

Organisaatiolla täytyy olla toimintatapa uusien luottamuksellista tietoa sisältävien tietoaineistojen tunnistamiseen niiden vastaanotto tai luontivaiheessa.

Luottamuksellisia tietoja sisältäville tietoaineistoille tulee määrittää säilytysaika, jonka jälkeen tiedot poistetaan tai arkistoidaan.

C1.1: Identification and maintainment of confidental information
SOC 2