Virhe- ja ongelmatilanteiden varalle tulee tietoturvallisuuden omavalvonnan kohteella olla ennalta määritellyt ja selkeät toimintatavat, toimintaohjeet ja vastuut kyseisten tilanteiden ennalta havainnointiin, tiedottamiseen, korjaamiseen ja tilanteista toipumiseen (tietoturvapoikkeaman hallinta - incident management).
Selvittelykäytänteiden ja hallintamallien kuvaaminen sekä vastuiden määrittely tulee tehdä verkko- ja tietoliikenneongelmien, tietojärjestelmien käyttöongelmien sekä havaittujen ja toteutuneiden tietoturvaloukkausten varalta. Lisäksi tulee olla kuvattuna, kuinka palvelunantajan on mahdollista saada käyttöönsä häiriötilanteesta tarkempaa seurantatietoa, kuten esimerkiksi tapahtumalokeja aikaleimoineen tilanteen ja tapahtuneen selvittämiseen.
Potilasturvallisuutta ja tietoturvallisuutta uhanneista tapahtumista tulisi kerätä oleelliset tiedot, jotta toimintaa voidaan kehittää edelleen.
Asiakastietolain 41 §:n mukaisesti tulee tietojärjestelmän olennaisten vaatimusten merkittävistä poikkeamista ilmoittaa tietojärjestelmäpalvelun tuottajalle. Merkittäviä poikkeamia on kuvattu THL:n määräyksen 5/2021 luvussa 10.4. Tietojärjestelmien merkittävistä poikkeamista tulee ilmoittaa Valviralle, erityisesti tilanteissa, joissa poikkeama voi aiheuttaa merkittävän riskin asiakas- tai potilasturvallisuudelle tai tietoturvalle. Merkittävien poikkeamien korjaamiseksi on ryhdyttävä korjaaviin toimenpiteisiin.
Asiakastietolain 41 §:n mukaan, jos palvelunantaja tai muu taho havaitsee tietojärjestelmän olennaisten vaatimusten täyttymisessä tietosuojapoikkeamia, sen on ilmoitettava asiasta tietosuojavaltuutetulle. Henkilötietojen tietoturvaloukkauksesta ilmoittamisesta säädetään EU:n yleisen tietosuoja-asetuksen 33 ja 34 artikloissa. Henkilötietojen tietoturvaloukkausten hallinta tietoturvallisuuden omavalvonnan kohteessa tulee olla dokumentoitu joko suoraan tietoturvasuunnitelmaan tai muihin asiakirjoihin, joihin viitataan tietoturvasuunnitelmassa.
Kaikki tietoturvahäiriöt käsitellään johdonmukaisesti, jotta tietoturvaa voidaan parantaa tapahtuneen perusteella.
Häiriöiden käsittelyprosessissa:
Organisaatio huolehtii siitä, että häiriöhallintaan on nimetty selkeät vastuuhenkilöt, jotka vastaavat esimerkiksi häiriöiden ensimmäisen tason käsittelystä.
Häiriöiden hallinnasta vastaavia henkilöitä on ohjeistettava ja koulutettava, jotta he ymmärtävät organisaation prioriteetit tietoturvahäiriöiden käsittelyssä.
Häiriöiden ilmoittamiseen ylläpidetään prosessia, joka auttaa henkilöstöä ilmoittamaan häiriöistä tehokkaasti ja johdonmukaisesti.
Häiriönä ilmoitettavia asioita ovat mm.:
Henkilöstön ohjeissa korostetaan velvollisuutta raportoida tietoturvahäiriöistä mahdollisimman pian sovitun prosessin mukaisesti. Ohjeistus kuvaa myös muun toiminnan häiriön tapauksessa (mm. virheilmoitusten ja muiden yksityiskohtien kirjaaminen ylös).
Organisaation on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset sekä niiden vaikutukset ja toteutetut korjaavat toimet riippumatta siitä, mitä toimenpiteitä tietoturvaloukkauksesta lopulta seuraa.
Dokumentointivelvollisuuden tai ilmoituksen tekemisen laiminlyöminen on tietosuoja-asetuksen vastaista. Se voi johtaa tietosuoja-asetuksessa määritettyihin seuraamuksiin.
Henkilötietojen tietoturvaloukkauksesta täytyy ilmoittaa valvontaviranomaiselle, mikäli loukkauksesta voi aiheutua riski ihmisten oikeuksille ja vapauksille. Rekisteröidyille on puolestaan ilmoitettava, mikäli loukkauksestta todennäköisesti aiheutuu korkean riski oikeuksille ja vapauksille. Ilmoituksen perusteella rekisteröidyt voivat esimerkiksi ryhtyä toimiin haittavaikutuksen pienentämiseksi (esim. sulkemalla luottokorttinsa).
Ilmoitukseen on sisällytettävä seuraavat tiedot:
Organisaation on Asiakastietolain 41 §:n mukaisesti ilmoitettava tietojärjestelmän tuottajalle, mikäli järjestelmässä ilmenee poikkeama järjestelmien olennaisista vaatimuksista. Poikkeamia on kuvattu THL:n määräyksen 5/2021 luvussa 10.4
Tietojärjestelmien merkittävistä poikkeamista on ilmoitettava Valviralle, erityisesti tilanteissa, joissa poikkeama voi aiheuttaa merkittävän riskin asiakas- tai potilasturvallisuudelle tai tietoturvalle. Merkittävien poikkeamien korjaamiseksi on ryhdyttävä korjaaviin toimenpiteisiin.
Organisaatio on määritellyt prosessin ja siihen osallistuvan tiimin, jonka avulla tietoturvahäiriöihin reagoidaan pikaisesti ja sopivat jatkotoimet päätetään johdonmukaisesti.
Ensimmäisen tason reagointiprosessissa vähintään:
Organisaation on luotava toimintatavat, joiden avulla tunnistetaan, kerätään ja säilytetään tietoturvahäiriöihin liittyvä relevantti todistetieto. Todisteiden voi olla tarpeen olla kerätty tavalla, joka voidaan hyväksyä relevanteissa tuomioistuimissa tai muissa vastaavissa kurinpitoelimissä.
Todistemateriaaliin liittyen pitäisi pystyä osoittamaan mm.:
Liittyvän henkilökunnan sekä työkalujen sertifiointia tai muita pätevyystodisteita voidaan lisäksi harkita sovellettavan todisteiden arvon vahvistamiseksi.
Organisaation on luotava häiriöön vastaamissuunnitelma kriittisiin tietojärjestelmiin tapahtuvia tietoturvahäiriöitä varten. Vastaamissuunnitelmia tulee myös testata tarvittavien organisaation elementtien toimesta. Suunnitelmassa tulisi ottaa huomioon ainakin:
Lisäksi suunnitelman tulisi ainakin:
Mikäli häiriön ensisijaisen käsittelyn perusteella on vaikeaa tunnistaa tietoturvahäiriön lähde, suoritetaan häiriölle erillinen jälkianalyysi, jossa lähde pyritään tunnistamaan.
Tietoturvahäiriöiden analysoinnista ja ratkaisemisesta saatua tietämystä olisi hyödynnettävä tulevien häiriöiden todennäköisyyden vähentämisessä ja niiden vaikutuksen pienentämisessä.
Organisaatio analysoi säännöllisesti tapahtuneita häiriöitä kokonaisuutena. Tässä prosessissa tutkitaan häiriöiden tyyppiä, määrää ja kustannuksia tavoitteena tunnistaa toistuvia ja vaikutuksiltaan merkittäviä häiriöitä.
Mikäli reagointia vaativia toistuvia häiriöitä tunnistetaan, niiden perusteella:
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
