Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

No items found.

Muita saman teeman digiturvatehtäviä

Omien varmuuskopiointiprosessien dokumentointi ja vastuuttaminen

Critical
High
Normal
Low

Kuvaamme tietojärjestelmälistauksen yhteydessä, minkä järjestelmien suhteen vastuu varmuuskopioinnin toteutuksesta on itsellämme. Organisaation omalla vastuulla olevat varmuuskopiointiprosessit on dokumentoitu ja jokaiselle on määritelty omistaja. Dokumentaatio sisältää mm.:

  • millä järjestelmällä ja kuinka usein varmuuskopiot toteutetaan?
  • kuinka varmuuskopiot suojataan (salaus, fyysinen sijainti)?
  • kuinka pitkään varmuuskopiot säilytetään?
I24: Varmuuskopiointi
Katakri
12.3.1: Tietojen varmuuskopiointi
ISO27 Täysi
12.3: Varmuuskopiointi
ISO27 Täysi
PR.IP-4: Backups
NIST
TEK-20: Varmuuskopiointi
Julkri

Varmuuskopioiden säännöllinen testaus, arviointi ja palautusohjeet

Critical
High
Normal
Low

Varmuuskopiointiin käytettäviä tietovälineitä ja varmuuskopioiden palauttamista testataan säännöllisesti, jotta voidaan varmistua siitä, että hätätilanteessa niihin voidaan luottaa.

Varmuuskopioiden palauttamisesta ylläpidetään tarkkoja ja täydellisiä ohjeita. Toimintaohjeiden avulla seurataan varmuuskopioiden toimintaa ja varaudutaan varmuuskopioiden epäonnistumiseen.

12.3: Varmuuskopiointi
ISO27 Täysi
12.3.1: Tietojen varmuuskopiointi
ISO27 Täysi
12.1.1: Dokumentoidut toimintaohjeet
ISO27 Täysi
PR.IP-4: Backups
NIST
TEK-20: Varmuuskopiointi
Julkri

Salassa pidettävää tietoa sisältävien varmuuskopioiden suojaus (ST III-II)

Critical
High
Normal
Low

Varmuuskopioinnin tavoitteena on rajata menetettävän tiedon määrää ja pystyä palauttamaan tiedot tarpeeksi nopeasti ja luotettavasti.

Suojaustasoilla III-II toteutetaan seuraavat toimenpiteet varmuuskopioiden suojaamiseksi:

  • Varmuuskopiot käsitellään ja säilytetään niiden elinkaaren ajan vähintään ko. suojaustason järjestelmissä
  • Käsiteltäessä samalla varmistusjärjestelmällä tarkastusoikeuden varaavien eri omistajien tietoja, tarkastusoikeuden mahdollistavat erottelumenettelyt on toteutettava ko. suojaustason mukaisesti varmistusjärjestelmän liittymien ja tallennemedioiden osalta
  • Varmuuskopioiden siirtämiseen sovelletaan samoja toimintatapoja kuin muun tietoaineiston siirtämiseen
  • Varmistusmediat hävitetään ko. suojaustason mukaisesti
  • Varmuuskopioista on rekisterit ja varmuuskopioiden käsittely kirjataan sähköiseen lokiin, tietojärjestelmään, asianhallintajärjestelmään, manuaaliseen diaariin tai asiakirjaan
I24: Varmuuskopiointi
Katakri

Salassa pidettävää tietoa sisältävien varmuuskopioiden suojaus (ST IV)

Critical
High
Normal
Low

Varmuuskopioinnin tavoitteena on rajata menetettävän tiedon määrää ja pystyä palauttamaan tiedot tarpeeksi nopeasti ja luotettavasti.

Suojaustasolla IV toteutetaan seuraavat toimenpiteet varmuuskopioiden suojaamiseksi:

  • Varmuuskopiot käsitellään ja säilytetään niiden elinkaaren ajan vähintään ko. suojaustason järjestelmissä
  • Käsiteltäessä samalla varmistusjärjestelmällä tarkastusoikeuden varaavien eri omistajien tietoja, tarkastusoikeuden mahdollistavat erottelumenettelyt on toteutettava ko. suojaustason mukaisesti varmistusjärjestelmän liittymien ja tallennemedioiden osalta
  • Varmuuskopioiden siirtämiseen sovelletaan samoja toimintatapoja kuin muun tietoaineiston siirtämiseen
  • Varmistusmediat hävitetään ko. suojaustason mukaisesti
I24: Varmuuskopiointi
Katakri

Tärkeän tieto-omaisuuden varmuuskopiointivastuiden selvittäminen

Critical
High
Normal
Low

Riittävien varmuuskopioiden avulla kaikki tärkeät tiedot ja ohjelmat voidaan palauttaa katastrofin tai tietovälinevian jälkeen. Tärkeä ensiaskel toimivassa varmuuskopioinnissa on tunnistaa, kenen vastuulla kunkin tiedon varmuuskopioiminen on. Varmuuskopioinnin vastuun selvittäminen on tieto-omaisuuden (järjestelmät, laitteisto) omistajien vastuulla.

Mikäli varmuuskopiointi on kumppanin vastuulla selvitämme:

  • kuinka kattavasti kumppani varmuuskopioi tiedot?
  • kuinka tiedot ovat tarvittaessa palautettavissa?
  • mitä varmuuskopioinnista on sovittu sopimuksissa?

Mikäli varmuuskopiointi on omalla vastuullamme selvitämme:

  • onko tietoihin liittyvä varmuuskopiointiprosessi olemassa ja dokumentoitu?
  • onko varmuuskopioinnin kattavuus ja toteutussykli tietojen tärkeyden vaatimalla tasolla?
I24: Varmuuskopiointi
Katakri
12.3.1: Tietojen varmuuskopiointi
ISO27 Täysi
12.3: Varmuuskopiointi
ISO27 Täysi
PR.IP-4: Backups
NIST
TEK-20: Varmuuskopiointi
Julkri

Varautuminen nopeaan tietojen palauttamiseen vikatilanteissa

Critical
High
Normal
Low

Palautuskyky viittaa siihen, miten nopeasti henkilötietojen saatavuus ja pääsy henkilötietoihin voidaan palauttaa fyysisen tai teknisen vian sattuessa.

12.3.1: Tietojen varmuuskopiointi
ISO27 Täysi
17.1.2: Tietoturvallisuuden jatkuvuuden toteuttaminen
ISO27 Täysi
12.3: Varmuuskopiointi
ISO27 Täysi
PR.PT-5: Mechanisms
NIST
TEK-22: Tietojärjestelmien saatavuus
Julkri

Varmuuskopioiden rekisteröinti ja käsittelyn seuranta (TL III)

Critical
High
Normal
Low

Varmuuskopioista on rekisterit ja varmuuskopioiden käsittely kirjataan sähköiseen lokiin, tietojärjestelmään, asianhallintajärjestelmään, manuaaliseen diaariin tai tietoon (esimerkiksi dokumentin osaksi).

TEK-20.2: Varmuuskopiointi - varmuuskopioiden rekisteröinti ja käsittelyn seuranta - TL III
Julkri
I-20: TIETOJENKÄSITTELY-YMPÄRISTÖN SUOJAUS KOKO ELINKAAREN AJAN – VARMUUSKOPIOINTI
Katakri 2020

Menettelyt ja loki tietojen palauttamista varten

Critical
High
Normal
Low

Organisaatiolla tulee olla selkeä, kirjallinen vaiheittainen menettely tietojen palauttamista varten. Myös suoritetuista tietojen palautuksista tulee tehdä loki. Lokin tulee sisältää:

  • vastuuhenkilö
  • restauroinnin päivämäärä ja kellonaika
  • palautettujen tietojen kuvaus
  • manuaalisesti palautetut tiedot
A.11.3: Control and logging of data restoration
ISO 27018

Varmuuskopioi käyttöjärjestelmien ja asennusohjelmistojen pääkuvat

Critical
High
Normal
Low

Varmuuskopioi käyttöjärjestelmien ja asennusohjelmistojen pääkuvat, jotta voidaan varmistaa palautusvalmiudet ohjelmistojen näkökulmasta.

Protecting backups against intentional and unintentional deletion and manipulation

Critical
High
Normal
Low

Copies of backups must be kept separate from the organization's production environment. Access to these copies should be restricted to only employees and system processes involved in data restoration.

Backups, which are inaccessible through the organization's networks, should be created regularly.

These security measures ensures the integrity and availability of the backups.

Varmuuskopiointistrategian määrittäminen

Critical
High
Normal
Low

Riittävien varmuuskopioiden avulla kaikki tärkeät tiedot ja ohjelmat voidaan palauttaa katastrofin tai tietovälinevian jälkeen. Varmuuskopiointistrategian määrittämiseksi on tärkeää kartoittaa / päättää ainakin seuraavat asiat:

  • Minkä tiedon varmuuskopiointi on omalla vastuullamme?
  • Kuinka kriittistä mikäkin tieto on ja kuinka usein tämän perusteella mitkäkin tiedot on tarve varmuuskopioida ja kuinka laajasti (osittainen vai täydellinen kopio)?
  • Missä varmuuskopioit säilytetään ja kuinka ne on suojattu?
  • Kuinka pitkään varmuuskopiot on tarpeen säilyttää?
  • Millä järjestelmällä varmuuskopiot otetaan?
  • Kuinka varmistusmediat hävitetään luotettavasti?
12.3.1: Tietojen varmuuskopiointi
ISO27 Täysi
12.3: Varmuuskopiointi
ISO27 Täysi
TEK-20: Varmuuskopiointi
Julkri
8.13: Tietojen varmuuskopiointi
ISO27k1 Täysi
A1.2: Recovery of infrastructure according to objectives
SOC 2