ICT risk management

Organisaatio toteuttaa uhkatiedustelua keräämällä tietoa toimintaansa liittyvistä tietoturvauhkista ja niiltä suojautumisesta. Tavoitteena on kasvattaa tietoisuutta uhkaympäristöstä, jotta omaa suojaustasoa voidaan paremmin arvioida ja riittävät hallintakeinot toteuttaa.

Uhkatiedustelutiedon keräämisessä on huomioitava kaikki kolme tasoa:

• strateginen uhkatiedustelu (mm. tieto kasvavista hyökkääjä- ja hyökkäystyypeistä)
• taktinen uhkatiedustelu (mm. tieto hyökkäyksissä käytetyistä työkaluista ja teknologioista)
• operatiivinen uhkatiedustelu (mm. yksityiskohdat tietyistä hyökkäyksistä)

Uhkatiedusteluun liittyvien periaatteiden tulisi sisältää:

• tavoitteiden asettaminen uhkatiedustelulle
• uhkatiedustelussa käytettävien tietolähteiden tunnistaminen, tarkistaminen ja valinta
• uhkatiedustelutiedon kerääminen
• tiedon käsittely analyysiä varten (mm. kääntäminen, formatointi, tiivistäminen)

Organisaatio pyrkii ennakoivasti listaamaan ja arvioimaan erilaisten tietoturvariskien todennäköisyyttä ja vakavuutta. Dokumentaatio sisältää seuraavat asiat:

• Riskin kuvaus
• Riskin vakavuus ja todennäköisyys
• Riskiä hallitsevat ohjeet ja hallintatehtävät
• Riskin hyväksyttävyys

Organisaatio on määritellyt menettelyt tietoturvariskien arvioimiseksi ja käsittelemiseksi. Menettelyihin sisältyy ainakin:

• Riskien tunnistamismenetelmät
• Riskianalyysimenetelmät
• Riskien arviointiperusteet (vaikutus ja todennäköisyys).
• Riskien priorisointi, käsittelyvaihtoehdot ja valvontatehtävien määrittely.
• riskien hyväksymiskriteerit
• Prosessin toteuttamissykli, resursointi ja vastuut
• Tulokset olisi sisällytettävä organisaation riskinhallintaprosessiin.

Tehtävän omistaja tarkistaa säännöllisesti, että menettely on selkeä ja tuottaa johdonmukaisia tuloksia.

Kaikki tietoturvahäiriöt käsitellään johdonmukaisesti, jotta tietoturvaa voidaan parantaa tapahtuneen perusteella.

Häiriöiden käsittelyprosessissa:

• vahvistetaan raportoitu häiriö (tai todetaan tarpeettomaksi kirjata ylös)
• dokumentoidaan häiriön tyyppi ja syy
• dokumentoidaan häiriöön liittyneet riskit
• käsitellään riskit, mikäli häiriön perusteella niiden käsittelyä täytyy päivittää
• määritellään ja dokumentoidaan toimenpiteet riskien pienentämiseksi tai päätös niiden hyväksymisestä
• määritellään tahot, joille on tärkeää tiedottaa käsittelyn tuloksista (myös organisaation ulkopuoliset)
• määritetään tarve häiriön jälkianalyysille

Organisaatio on määritelly prosessin, jonka perusteella tunnistetut tekniset haavoittuvuudet käsitellään.

Osa haavoittuvuuksista voidaan korjata suoraan, mutta merkittäviä vaikutuksia omaavat haavoittuvuudet tulisi dokumentoida myös tietoturvahäiriöinä. Merkittäviä vaikutuksia omaavan haavoituvuuden tunnistamisen jälkeen:

• yksilöidään haavoittuvuuteen liittyvät riskit ja tarvittavat toimenpiteet (esim. järjestelmän paikkaus tai muut hallintatehtävät)
• aikataulutetaan tarvittavat toimenpiteet
• dokumentoidaan kaikki toimenpiteet

Organisaation tulisi laatia ja ylläpitää häiriönhallintasuunnitelmia. Hallintasuunnitelmien tulisi sisältää ainakin seuraavat seikat

• Häiriö tai häiriön tyyppi, jota varten suunnitelma on laadittu
• Suunnitelman tavoite
• Vastuuhenkilöt ja asiaan liittyvät sidosryhmät sekä yhteystiedot
• Suunnitellut välittömät toimet
• Suunnitellut seuraavat vaiheet

Organisaation on laadittava selkeä ja kattava määritelmä siitä, mikä on raportoitava turvallisuustapahtuma tai havainto, ja varmistettava, että se kattaa seuraavat luokat:

• Henkilöstön rikkomukset tai väärinkäytökset.
• Tunkeutuminen, varkaus, luvaton pääsy turvavyöhykkeille ja turvavyöhykkeiden haavoittuvuudet.
• Kyberturvallisuustapahtumat, kuten tietojärjestelmien haavoittuvuudet ja havaitut onnistuneet tai epäonnistuneet kyberhyökkäykset.
• Toimittajien ja yhteistyökumppaneiden vaaratilanteet, jotka voivat vaikuttaa kielteisesti organisaation turvallisuuteen.

Organisaatiolla on oltava määritelty menettely häiriötilanteiden raportointia varten, ja siitä on tiedotettava henkilöstölle:

• Suunnitellaan ja otetaan käyttöön tehokkaat raportointimekanismit, jotka on räätälöity havaittujen riskien mukaan.
• Varmistetaan, että näistä mekanismeista tiedotetaan hyvin ja että ne ovat kaikkien työntekijöiden, sidosryhmien ja asiaankuuluvien osapuolten saatavilla, jotta turvallisuustapahtumista voidaan raportoida ajoissa ja täsmällisesti.
• Järjestetään koulutustilaisuuksia ja tiedotusohjelmia sen varmistamiseksi, että kaikki asianomaiset työntekijät ja sidosryhmät ymmärtävät raportoitavien turvallisuustapahtumien määritelmän ja tuntevat raportointimekanismit.

Organisaation on ottanut käyttöön asset-kohtaisen riskienhallinnan hallintajärjestelmän asetuksista.

Asset-kohtainen riskienhallinta asetetaan kattamaan kaikki relevantit omaisuustyypit, joiden kriittisyys nähdään riittävän suurena. Asset-kohtaista riskienhallintaa tulisi harkita ainakin seuraavien listausten yhteydessä:

• Järjestelmätoimittajat
• Tietojärjestelmät
• Tietovarannot
• Muut sidosryhmät
• Muu suojattava omaisuus

Organisaation on osana tietoturvariskien arviointia tehtävä arviot riskin toteutumisen vakavuudesta ja todennäköisyydestä.

Organisaatiolla on oltava selkeästi ohjeistettu riskiasteikko, jonka avulla jokainen riskien arviointiin osallistuva pystyy päättämään oikean tason vakavuudelle ja todennäköisyydelle.

Organisaation täytyy määrittää hyväksyttävä taso riskeille. Taso lasketaan riskien todennäköisyyden, vakavuuden ja hallintakeinojen pohjalta.

Tietoturvariskien hallintaa toteuttaessaan organisaation on tunnistettava käsittelyä vaativat riskit ja määriteltävä näille käsittelysuunnitelmat, jotka usein koostuvat uusista tietoturvallisuustoimenpiteistä.

Organisaatio on määritellyt, kuinka säännöllisesti arvioidaan kokonaisuutena määriteltyjä käsittelysuunnitelmia ja niiden oikeasuhtaisuutta riskeille täytettyihin arvioihin (riskin vakavuus ja todennäköisyys) verrattuna.

Toteutettuja riskienhallintatoimenpiteitä sekä riskienhallinnan kokonaistilannetta tarkastalleen säännöllisesti.

Toimintamalli riskienhallinnan tilan seuraamiseen on selkeästi kuvattu.

Riittämätön muutosten hallinta on yleinen syy tietojenkäsittelypalvelujen toiminta- ja turvallisuushäiriöille.

Organisaation on dokumentoitava muutostenhallintaprosessi, jota on noudatettava aina tehtäessä merkittäviä tietoturvallisuuten vaikuttavia muutoksia itse kehitettyihin digipalveluihin tai muihin tietojenkäsittelypalveluihin. Prosessi sisältää vaatimukset mm. seuraaville asioille:

• muutoksen määrittely ja dokumentointi
• riskien arviointi ja tarvittavien hallintakeinojen määrittely
• muutoksen muu vaikutusten arviointi
• testaus ja laadunvarmistus
• muutoksen julkaisun hallittu toteutus
• muutoslokin päivittäminen

Organisaatiolla on toimintamalli riskienhallintaprosessin toimivuuden ja tehokkuuden jatkuvaan parantamiseen.

Parantamisessa voidaan hyödyntää mm. yleisiä standardeja (mm. ISO 27005) tai riskienhallintaan osallistuneiden henkilöiden palautteita.

Organisaation on huomioitava uhkatiedustelussa tehdyt löydökset tietoturvariskien hallintaprosessissa. Uhkatiedustelussa voidaan havaita esimerkiksi tietyntyyppisten hyökkäysten yleistymistä tai uusien teknologioiden kehittymistä, joiden perusteella tiettyjen tietoturvariskien arvioita on päivitettävä, joka voi johtaa tarpeeseen pienentää riskejä käsittelysuunnitelmien kautta.