Tavoitteet

  • Toimintaprosesseihin ja digitaalisen turvallisuuden perustasoon vaikuttava poikkeava toiminta havaitaan ja tapahtumien mahdollinen vaikutus ymmärretään.

  • Havainnointiprosesseja ja -menettelyjä ylläpidetään ja testataan poikkeamien havainnointikyvykkyyden varmistamiseksi.


(lightbulb) VINKKI

     TIETOTURVAPOIKKEAMA

  • Tahallinen tai tahaton tapahtuma, jonka seurauksena organisaation vastuulla olevien tietojen ja palvelujen eheys, luottamuksellisuus tai tarkoituksenmukainen käytettävyystaso on tai saattaa olla vaarantunut.







Toimenpiteet poikkeamanhallinnan organisointiin:





Poikkeamanhallintaprosessi VAHTI 8/2017 -tietoturvapoikkeamatilanteiden hallintaohjeen mukaisesti:

 




Huom!


TASO 1 > TASO 2

Toimenpiteet on jaoteltu kahdelle tasolle siten, että perustason toimenpiteet toimivat pohjana edistyneemmän tason toimenpiteille.

TASO 1: Perustason kyvykkyydet

TASO 2: Edistyneemmät kyvykkyydet





H01: Käyttäjien, järjestelmien ja tietovirtojen digitaalisen turvallisuuden perustaso on määritetty ja hallinnoitu TASO 1

1.

Määritä kriittisten järjestelmien verkkotoimintojen ja tietovirtojen toiminnalliset saatavuusvaatimukset.

2.

Määritä saatavuusvaatimusten perusteella digitaalisen turvallisuuden perustaso kriittisille suojattaville kohteille.

3.

Määrittele digitaalisen turvallisuuden perustason vaatima hallintarakenne ja henkilöstö.

4.

Hyödynnä automaatiota perustason määrittelyssä, esim. SIEM-järjestelmän (Security Information and Event Management) avulla.

Lisätietoja

Linkit johtavat ulkoisille sivustoille.

Oletetut tuotokset

  • Määritelty digitaalisen turvallisuuden perustaso

  • Tarvittaessa myös järjestelmäkohtaisesti tietovirtojen odotettu perustaso









H02: Digitaalisen turvallisuuden poikkeamien käsittely täyttää kaikki sovellettavat vaatimukset TASO 1

1.

Dokumentoi digitaalisen turvallisuuden poikkeamien havainnointiin ja käsittelyyn vaatimukset, kuten lait, muut viranomaisvaatimukset, sidosryhmäsopimusten ja toimialakohtaiset vaatimukset.

2.

Toteuta tietoturvatapahtumien havaintotoimet vaatimusten mukaisesti, esim. tietosuoja ja henkilötietojen suojaaminen sekä tietosuojapoikkeamien havainnointi.

Lisätietoja

Linkit johtavat ulkoisille sivustoille.

Oletetut tuotokset

  • Havainnointiin liittyvät vaatimukset on dokumentoitu

(lightbulb) VINKKI

     MUISTILISTA ONNISTUMISEEN

  • Huomioi jatkuvuuden hallinnan säädösympäristö sekä siihen liittyvät organisaation toimintaa säätelevät lait, asetukset ja määräykset.
  • Jatkuvuuden hallinnan varmistaminen on merkittävä digitaalisen turvallisuuden osa-alue.










H03: Digitaalisen turvallisuuden poikkeamien reagointiin ja käsittelyyn liittyvät roolit ja vastuut on määritelty TASO 1

1.

Varmista, että organisaatiossa on määritelty roolit, vastuut ja menettelyt, joilla taataan pikainen, tehokas ja järjestelmällinen reagointi tietoturvahäiriöihin.

2.

Varmista, että vastuut ja menettelyt kattavat niin organisaation sisäiset kuin ulkoiset tietoturvahäiriöiden reagointiin liittyvät henkilöt ja sidosryhmät sekä digitaalisen turvallisuustapahtumien havainnointiin liittyvät koordinointi- ja valvontavastuut.

3.

Kehitä henkilöstön tietoturvapoikkeamien havainnointikyvykkyyttä säännöllisen ja pakollisen tietoturvakoulutuksen avulla.

4.

Harjoittele säännöllisesti tietoturvahäiriöihin reagointia.

Lisätietoja

Linkit johtavat ulkoisille sivustoille.

Oletetut tuotokset

  • Havainnoinnin roolit ja vastuut

  • Poikkeamanhallintaprosessi

  • Jatkuvuus- ja varautumissuunnitelmat

ESIMERKKI

Esimerkkejä: Tietoturvapoikkeamien käsittelyvastuista

RooliVastuualueen kuvaus
Organisaation johtoVastaa päätöksenteosta ja poikkeamanhallintaan käytettävistä resursseista.
Tietoturvapoikkeaman käsittelyryhmän vetäjäKoordinoi käsittelyryhmän käytännön työskentelyä ja toimii yhdyshenkilönä organisaation johdolle.
AsiantuntijaVastaa asiantuntijana omaan alueeseensa kuuluvasta poikkeamanselvitystyöstä. Ei ole välttämättä organsaation oma työntekijä.
Tietotekniikkapalvelujen vastuuhenkilöVastaa teknisten tietoturvatapahtumien seurannasta ja analysoinnista sekä poikkeamaepäilyjen vastaanottamisesta, alustavasta luokittelusta ja asian saattamisesta käsittelyryhmän tiedoksi.
Viestinnästä vastaava henkilöVastaa organisaation sisäisen viestinnän lisäksi ulkoisesta viestinnästä eri sidosryhmille.
Palvelun omistajaTietoturvapoikkeaman kohteena olevan palvelun omistaja vastaa toimenpiteistä ja päätöksistä, joita palvelulle on tehtävä poikkeaman korjaamiseksi.

Lähde: Tietoturvapoikkeamatilanteiden hallinta, VAHTI 8/2017, Valtiovarainministeriö









H04: Digitaalisen turvallisuuden havainnointiin liittyvät viestintäkäytännöt ja -vastuut on määritelty TASO 1

1.

Määritä tietoturvatapahtumien havainnointiin ja poikkeamanhallintaan liittyvät sisäiset ja ulkoiset viestintäkäytännöt ja -vastuut.

2.

Määritä tietoturvatapahtumien havainnointiin liittyvät raportointikäytännöt ja -vastuut.

3.

Dokumentoi käytännöt viestintäsuunnitelmaan ja jalkauta suunnitelma organisaatioon, jotta tarvittavat henkilöt osaavat toimia oikein poikkeustilanteissa.

Lisätietoja

Linkit johtavat ulkoisille sivustoille.

Oletetut tuotokset

  • Viestintäsuunnitelma

  • Raportointikäytännöt

ESIMERKKI

Esimerkki: Tietoturvapoikkeamista ilmoittamisesta

TietoKenelle ilmoitetaanAIkaPeruste
Kansainväliseen turvaluokiteltuun tietoon kohdistunut väärinkäytös

Kansallinen turvallisuusviranomainen (UM/NSA)

Sähköposti: NSA (at) formin (piste) fi

24 h sisälläNeuvoston turvallisuusmääräys
Henkilötietoihin kohdistunut väärinkäytösKansallinen valvontaviranomainen (tietosuojavaltuutettu)72 h sisälläEU:n tietosuoja-asetus, velvoittava 25.5.2018 alkaen
Varoihin tai omaisuuteen kohdistunut väärinkäytösValtiontalouden tarkastusvirastoViipymättä

Laki (676/2000) 16 §

VTV:n ohje 30.6.2020

Vakoilun tai törkeän vakoilun ilmoittaminenPoliisi tai uhan kohdeViipymättäRikoslaki 15 luku, 10 §
Organisaatioon kohdistunut tietoturvaloukkaus

Liikenne- ja viestintäviraston Kyberturvallisuuskeskus

Sähköposti: cert (at) traficom (piste) fi



Kriittiset, yli organisaatiorajojen vaikuttavat tietoturvatapahtumat

VIRT

(Virtual Incident Response Team)



Kriittiset, yli organisaatiorajojen vaikuttavat  tietoturvatapahtumat

Valtorin SSOC-toiminto

(Security and Service Operations Center)



Lähde: Tietoturvapoikkeamatilanteiden hallinta, VAHTI 8/2017, Valtiovarainministeriö

ESIMERKKI

Esimerkki: Tietoturvapoikkeaman rungosta

Aihe ja tavoitteet
Kuvaus viestinnän aiheesta ja tavoitteista: viestintäsuunnitelman tavoitteena on varmistaa, että organisaation viestimät tiedot ovat takkoja, oikea-aikaisia ja johdonmukaisia.
Kohderyhmät

Määrittely viestinnän kohteista (oma organisaatio, yhteistyökumppanit, viranomaiset, kansalaiset, media). Poikkeamista tiedotetaan pääsääntöisesti vain niitä, joiden toimintaan, oikeuksiin tai tietosuojaan poikkeama vaikuttaa.

Määritelmä siitä, minkälaista tieto eri kohderyhmälle voidaan toimittaa. Tiedottamisessa on huomioitava tietojen salassapitovaatimukset.

Viestintäsuunnitelmassa on huomioitava eri kohderyhmien tiedottamisessa:

  • yhteystiedot ja toimintavalmius virka-aikana ja sen ulkopuolella.
  • mahdollisten salausavainten luominen ja toimittaminen suojattua yhteydenpitoa varten.
  • päätöksenteko- ja viestintämalli tilanteissa, joissa tietoturvapoikkeama koskee useampaa tahoa.
Viestintävälineet

Kuvaus siitä, minkälaisia kanavia viestinnässä käytetään. Viestintäkanavia voivat tilanteen mukaan olla mm.

  • puhelin
  • kirjalliset tiedotteet
  • ilmoitustaulut
  • suullinen informaatio
  • tiedotusvälineet (TV, radio, sanomalehdet)
  • sähköposti / sähköpostilistat
  • tekstiviestit
  • sähköiset ilmoitustaulut (esim. intranetissä)
  • käyttöjärjestelmän sisäiset tiedotteet (esim. käyttäjän tietokoneen työpöydälle ilmestyvä tiedote)
  • verkkosivut
  • pikaviestimet
  • sosiaalinen media (Facebook, Twitter tms.)

Myös viestintävälineiden toimimattomuuteen on varauduttava ja määriteltävä viestintäkanaville varajärjestelyt.

Organisaatio, roolit ja vastuut

Kuvaus viestintäorganisaation rakenteesta varahenkilöineen sekä siitä, mitä rooleja kullakin organisaation jäsenellä on.

Määrittely siitöm kuka päättää viestinnän sisällöstä ja ajankohdasta.

Erityisvaatimukset

Poikkeamaviestinnän erityisvaatimukset esimerkiksi luottamuksellisen tiedon tai sopimusvelvoitteiden suhteen.

Viestintäsuunnitelmaan on syytä kuvata lähetettävistä tiedotteista ja muista viesteistä luonnokset, joita voidaan poikkeamatilantessa helposti täydentää.

Lähde: Tietoturvapoikkeamatilanteiden hallinta, VAHTI 8/2017, Valtiovarainministeriö

(lightbulb) AVOIN TIEDOTUS HENKILÖTIETOJEN KÄSITTELYSTÄ

Henkilöille on annettava selkeä tieto siitä, kuka käsittelee heidän henkilötietojaan ja miksi. Vähintään seuraavat tiedot on annettava:

  • Kuka käsittelee tietoja
  • Miksi henkilötietoja käsitellään
  • Mikä käsittelyn oikeusperusta on
  • Kuka vastaanottaa tiedot (tarvittaessa).

Joissain tapauksissa organisaation antamista tiedoista on käytävä ilmi myös seuraavaa:

  • Mahdollisen tietosuojavastaavan yhteystiedot
  • Mikä on organisaation oikeutettu etu silloin kun sitä pidetään käsittelyn oikeudellisena perustana
  • Sovellettavat toimenpiteet, kun tietoja siirretään EU:n ulkopuoliseen maahan
  • Kuinka kauan tietoja säilytetään
  • Henkilön tietosuojaoikeudet (oikeus päästä tietoihin, oikaista ja poistaa niitä, rajoittaa tai vastustaa tietojen käsittelyä, siirtää tiedot järjestelmästä toiseen)
  • Miten suostumus voidaan perua (kun suostumus on tietojenkäsittelyn oikeudellinen perusta)
  • Onko henkilötietojen antaminen lakisääteinen tai sopimukseen perustuva vaatimus
  • Automaattisessa päätöksenteossa tiedot käsittelyyn liittyvästä logiikasta, merkityksestä ja seurauksista

Tämä tieto on esitettävä selkeällä ja yksinkertaisella kielellä.









H05: Digitaalisen turvallisuuden häiriöihin reagoidaan poikkeamasuunnitelman mukaan häiriön aikana ja sen jälkeen TASO 1

1.

Toteuta menettelyohje kriittisille suojattaville kohteille, kuinka digitaalisen turvallisuuden häiriöihin reagoidaan.

2.

Varmista, että menettelyohje sisältää ainakin:

  • Todistusaineiston keräämisen
  • Häiriön eskalointiprosessin
  • Toimenpiteiden kirjaamiskäytännöt
  • Häiriön yksityiskohtien viestinnän tarvittaville sisäisille ja ulkoisille sidosryhmille
  • Häiriön aiheuttaneiden tietoturvaheikkouksien korjaamisen
  • Häiriön sulkemisen häiriön hoitamisen jälkeen
  • Häiriön jälkianalysoinnin tietoturvan 

Lisätietoja

Linkit johtavat ulkoisille sivustoille.

Oletetut tuotokset

  • Poikkeamanhallintaprosessi

  • Jatkuvuus- ja varautumissuunnitelmat

ESIMERKKI

Esimerkki: Poikkeamanhallintaan reagoimisesta

Lähde: Tietoturvapoikkeamatilanteiden hallinta, VAHTI 8/2017, Valtiovarainministeriö

ESIMERKKI

Esimerkki: Poikkeamatilanneohjeistuksesta

Palvelunestohyökkäys organisaation verkkosivuille tai sähköisiin asiointipalveluihin

Kuvaus

Tahallisella ulkoisella kuormituksella tukitaan tai häiritään organisaation verkkosivuja tai sähkäisiä asiointipalveluja siten, etteivät ne ole käytössä tai ne toimivat hitaasti tai virheellisesti yli neljän tunnin ajan. Kuormitus voi olla virheellistä tai oikeanlaista liikennettä ja johtaa verkko- tai alustakapasiteetin loppumiseen tai palvelun kaatumiseen virheellisen toiminnon takia.

Tietoturvapoikkeaman käsittelyryhmä

PakollinenTarpeen mukaan

ICT-tietoturvapäällikkö

Turvallisuuspäällikkö

Tuotantopäällikkö

Verkkoarkkitehti

Käyttöpalvelutoimittajan tietoturvavastaava

Palvelutoimittajan verkkovastaava

Palvelutiiminvetäjä

Viestintäasiantuntija

Tuotantoryhmän vetäjä

Palvelutoimittajan tietoturvavastaava

Sidosryhmät

Liikenne- ja viestintäviraston Kyberturvallisuuskeskus

Poliisi

Käyttöpalvelutoimittaja

Operaattori

Viestintä

Turvallisuuspäällikkö tiedottaa virastoa johtoa sähköpostilla kahdesti päivässä. Vastaavasti päivitettävä tiedote julkaistaan intranetissä ja sidosryhmille lähetetään häiriötiedote. Jos kyseessä on vakava häiriö, viestintäasiantuntija valmistelee mediatiedotteen, joka julkaistaan lisäksi organisaation nettisvuilla ja sosiaalisen median kanavissa (Facebook, Twitter). Tilannepäivityksiä julkaistaan näissä kahdesti päivässä. Medialle ja ulkoisiin kyselyihin vastaa tietohallintojohtaja tai turvallisuuspäällikkö.

Tapahtumalokin ylläpito

Päätetään kirjuri ja kirjataan tehdyt päätökset sekä oleelliset tapahtumat ja havainnot ajankohtineen.

Toimet

  1. Häiriöhallintaprosessista otetaan yhteyttä tietoturvapäällikköön ja tuotantopäällikköön.
  2. Tietoturvapäällikkö ja / tai tuotantopäällikkö arvioivat, onko kyseessä todellinen palvelunestohyökkäys ja minkä tahojen palveluihin hyökkäys kohdistuu.
  3. Tapauksesta tiedotetaan sähköpostilla / tekstiviestillä turvallisuuspäällikköä, tietohallintojohtajaa, palvelun ICT-omistajaa, palvelutiimin vetäjää sekä palvelutoimittajan tietoturvavastaavaa.
  4. ICT-tietoturvapäällikkö tai tuotantopäällikkö kutsuu kriisiryhmän kokooon kriisinjohtokeskukseen (tarkoitukseen soveltuvat neuvotteluhuone tmns.) sekä avaa viestintäkanavat.
  5. Arvioidaan hyökkäyksen laajuus, vaikutukset ja tyyppi:
    1. Mikä on liikenteen määrä ja lähde (kotimaa / ulkomaat) ja tyyppi?
    2. Mitkä ovat häiriön vaikutus? Vaikuttaako organisaation kriittisiin sovelluksiin?
    3. Onko kyseessä hajautettu palvelunestohyökkäys? Mihin kuormitus kohdistuu?
    4. Onko viitteitä kiristyksestä tai aiemmasta uhkauksesta?
    5. Hyödyntääkö hyökkäys haavoittuvuutta vai pelkkää resurssien ylikuormitusta?
    6. Voidaanko poikkeava liikenne tunnistaa?
  6. Tiedotetaan tarpeen mukaan viraston johtoa, henkilöstöä ja sidosryhmiä (häiriötiedote) sekä otetaan viestintäyksikkö mukaan ulkoiseen tiedottamiseen (mediatiedote, sosiaalinen media).
  7. Jos tapaukseen liittyy kiristystä, vaateisiin tai viesteihin ei vastata.
  8. Otetaan yhteyttä Liikenne- ja viestintäviraaston Kyberturvallisuuskeskuksen päivystäjään (ICT-tietoturvapäällikkö) sekä poliisiin asiantuntija-avun saamiseksi. Asianomistaja tekee asiasta rikosilmoituksen.
  9. .Käyttöpalvelutoimittaja ottaa käyttöön teknisiä rajoituskeinoja.
    1. Jos vihamielinen liikenne voidaan tunnistaa, tutkitaan mahdollisuutta sen torjumiseen kuormantasaajalla, konesaliverkon tai operaattorin palomuureissa.
    2. Tutkitaan, voiko osoitteita vaihtaa tai käsitellä liikenne operaattorin DoS-torjuntapalvelussa.
      1. Jos hyökkäys kohdistuu DNS-nimeen, harkitaan nimen vaihtoa, ja jos kohdistuu IP-osoitteesee, vaihdetaan IP-osoitetta.
    3. Tutkitaan mahdollisuutta lisätä verkkokapasiteettia tai käyttää useampaa operaattoria.
      1. Reititysmuutoksen (ohjataan palvelu toiselle operaattorille)
      2. Palveluiden hajauttaminen
    4. Harkitaan mahdollisuutta estää ulkomailta tuleva liikenne.
      1. Harkitaan palveluiden jakoa erillisen verkon kautta (Akamai, Cloudfare jne.)
      2. Sisäisen kapasiteetin kasvatus
      3. Ajetaan alas toiminnallisuuksia
      4. Otetaan käyttöön kevennetyt staattiset sivut hyökkäyksen kohteena olevalla sivustolla
  10. Viestitään käyttöön otetuista teknisistä ratkaisuista ja uusista palvelusijanneista mediatiedotteella ja sosiaalisessa mediassa.
  11. Vakavan häiriön jatkuessa yli 4 h ajan otetaan käyttöön varamenettelyt sähköisissä palveluissa sekä vaihtoehtoiset tiedotustavat organisaation nettisivujen osalta (esim. sosiaalinen media).
  12. Häiriön loppuessa tiedotetaan sidosryhmiä, pidetään poikkeaman jälkeinen palaveri ja kirjataan ylös opit sekä kehitystoimet.

Lisäohjeet

Tarkemmat toimintaohjeet ja tiedotepohjat ovat täällä (viittaus tallennuspaikkaan).

Lähde: Tietoturvapoikkeamatilanteiden hallinta, VAHTI 8/2017, llite 6, Valtiovarainministeriö







  • No labels

Voit antaa sivustoon liittyvää palautetta lähettämällä sähköpostia osoitteeseen digiturva@dvv.fi.