Digiturvamallin kirjastossa vaatimuskehikko on kokoelma erilaisia tietoturvaan kohdistuvia vaatimuksia, hallintakeinoja tai kriteerejä. Vaatimuskehikko voi olla mm. kansainvälinen standardi, kansallinen kriteeristö, laki, asetus tai muu hyvien käytäntöjen paketti.
Vaatimuskehikot on suunniteltu auttamaan teitä kohdistamaan digiturvatyön resurssit työhön, joka auttaa vastaamaan juuri näihin vaatimuksiin.
Tuomme uusia vaatimuskehikkoja mukaan jatkuvasti. Kehikoilla on seuraavat tiedot:
- Nimi
- Kuvaus
- Tyyppi (tietoturva / tietosuoja / julkishallinto)
- Avainsanat
Asettaaksesi kehikon päälle tai pois päältä:
- Klikkaa "Vaatimuskehikot" työpöydän vasemmasta valikosta
- Valitse sopiva vaatimuskehikko
- Vaihda tila oikeasta laidasta kohtaan Käytössä / Ei käytössä
Vaatimuskehikon ottaminen käyttöön korostaa tehtävät, ohjeet ja dokumentaation, jotka liittyvät tämän kehikon vaatimuksiin. Näet myös työpöydällä yhteenvedon edistymisestäsi näiden kehikkojen sisällössä. Joillakin vaatimuskehikoilla on myös mukautettuja raportteja.
Tällä hetkellä saatavilla olevat vaatimuskehikot ovat:
CSA Cloud Controls Matrix
Cloud Security Alliance (CSA) tarjoaa pilvipalveluihin erikoistunutta tutkimusta sekä sertifiointia (CSA STAR), joka hyödyntää cloud controls matrixia (CCM) selkärankanaan.
GDPR - Yleinen tietosuoja-asetus
GDPR asettaa vaatimukset henkilötietojen lailliselle käsittelylle ja tietojen riittävän suojaamisen osoittamiselle.
ISO 27001 - 3 eri tasoa
ISO 27001 -kehikko sisältää vaikuttavan kattauksen turvallisuusvaatimuksia, jotka kattavat kaikki tietoturvan osa-alueet.
- ISO 27001: Startti (taso 1/3): 20% poiminto ISO 27001 -standardista. Ilman näitä ydinasioita on vaikeaa luvata asiakkaille heidän tietojensa olevan turvassa.
- ISO 27001: Laajenna (taso 2/3): 50% poiminto ISO 27001 -standardista. Sisältää edistyneitä hallintakeinoja tietoturvan parantamiseen, muttei etene sertifiointitasoon asti.
- ISO 27001: Täysi (taso 3/3): Täysi, sertifionnin mahdollistava tietoturvan hallintajärjestelmä. Koko kattaus hallintakeinoja sekä johdon, auditoinnin sekä riskienhallinnan näkökulmat.
ISO 27017
ISO 27017 on tietoturvastandardi, joka on kehitetty erityisesti pilvipalveluntarjoajille ja käyttäjille turvallisemman pilvipohjaisen ympäristön luomiseksi ja tietoturvahäiriöiden riskin vähentämiseksi.
ISO 27018
ISO 27018 on tietoturvastandardi, joka on kehitetty erityisesti pilvipalveluntarjoajille, jotta voidaan varmistaa riskien arvioiminen ja valvonnan toteuttaminen henkilötietojen suojaamiseksi.
ISO 27701
ISO 27701 on tietosuojalaajennus ISO 27001 -standardiin. Vaatimuskehikon avulla olemassaoleva tietoturvan hallintajärjestelmä (ISMS) laajennetaan henkilötietojen käsittelyä ja suojaamista koskevilla vaatimuksilla tietosuojan hallintajärjestelmäksi (PIMS).
Julkri (julkisen hallinnon tietoturvakriteeristö) - 4 eri tasoa
Julkri sisältää vaikuttavan kattauksen tietoturvakriteerejä, jotka on suunniteltu suomalaisen julkishallinnon tarpeiden näkökulmasta mm. auttamaan tiedonhallintalain sekä tietosuoja-asetuksen tietoturvaan liittyvien vaatimusten täyttämistä.
- Julkri: Startti (taso 1/4): Tämä vaatimuskehikko sisältää tärkeimmät ydinkriteerit, joilla organisaatio voi aloittaa tietoturvan kehittämisen.
- Julkri: Täysi (taso 2/4): Tämä vaatimuskehikko sisältää koko kriteeristön ilman turvaluokitellun tiedon erityisvaatimuksia.
- Julkri: Täysi + TL IV (taso 3/4): Tämä vaatimuskehikko sisältää Julkri: Täysi -kehikon lisäksi TL IV -tasolle turvallisuusluokitellun tiedon erityiskriteerit.
- Julkri: Täysi + TL IV-I (taso 4/4): Tämä vaatimuskehikko sisältää Julkri: Täysi -kehikon lisäksi kaikki turvallisuusluokitellun tiedon (TL IV, TL III, TL II tai TL I) erityiskriteerit.
Katakri (kansallinen turvallisuusauditointikriteeristö)
Katakria käytetään arvioitaessa kohdeorganisaation kykyä suojata viranomaisen salassa pidettävää tietoa. Sitä voidaan käyttää ohjaamaan turvallisuustyötä organisaaiossa, joka haluaa olla valmis viranomaisen toteuttamaan auditointiin.
Tiedonhallintalaki (TiHL)
Tiedonhallintalain tarkoituksena on edistää julkisen hallinnon tiedonhallintaa, tietoturvallisuutta sekä digitalisointia.
Tässä on esiteltynä vain osa saatavilla olevista vaatimuskehikoista. Lue koko lista Digiturvamallista Vaatimuskehikko-välilehdeltä tai verkkosivuiltamme.