Tavoitteet

  • Suojattavan omaisuuden tunnistaminen ja hallinta toimii perustana turvallisuustoimenpiteille, riskienhallinnalle ja ohjeistuksille.

  • Suojattava omaisuus voi sisältää organisaatiosta riippuen esimerkiksi tietoa, tietojärjestelmiä, palveluita ja laitteita.

  • Organisaation käsittelemät tiedot, henkilöstö, roolit, laitteet, tietojärjestelmät ja tilat, jotka mahdollistavat organisaation toiminnan tietohallinnon viitekehyksessä, on tunnistettava, jotta niitä kyetään hallitsemaan toiminnan tärkeyden perusteella. Toiminnan tärkeyden perusteella digitaalisen turvallisuuden toimenpiteet voidaan kohdistaa tehokkaasti oikeisiin kohteisiin.


Toimenpiteet suojattavan omaisuuden hallintaan: 


Huom!


TASO 1 > TASO 2

Toimenpiteet on jaoteltu kahdelle tasolle siten, että perustason toimenpiteet toimivat pohjana edistyneemmän tason toimenpiteille.

TASO 1: Perustason kyvykkyydet

TASO 2: Edistyneemmät kyvykkyydet







T07: Organisaatio on tunnistanut fyysisen tietojenkäsittely-ympäristönsä (laitteet, järjestelmät, tietovarannot) TASO 1

1.

Hyödynnä automaatiota ja työkaluja organisaation verkkoon kytkettyjen laitteiden tunnistamiseen.

2.

Määrittele laitteille ja järjestelmille omistaja.

3.

Ylläpidä laiterekisteriä.

4.

Luokittele tunnistetut laitteet niiden toiminnan kriittisyyden mukaan.

Lisätietoja

Linkit johtavat ulkoisille sivustoille.

Oletetut tuotokset

  • Laiterekisteri

(lightbulb) VINKKI

      TIETOJENKÄSITTELY-YMPÄRISTÖN TUNNISTAMISESTA

  • Organisaation kannattaa ylläpitää yksityiskohtaista ja ajantasalla olevaa luetteloa kaikista suojattavista kohteista, joilla tallennetaan ja käsitellään tietoja. Näitä ovat muun muassa loppukäyttäjien laitteet, kuten kannettavat tietokoneet ja mobiililaitteet, verkkolaitteet, IoT-laitteet (Internet of Things, esineiden internet) ja palvelimet. Luetteloon tulisi kirjata ainakin laitteen verkko-osoite (mikäli staattinen), koneen nimi, laitteen omistaja, laitteen organisaatio/osasto sekä tieto siitä, että laite on hyväksytty organisaation verkkoon kytkettäväksi. 

  • Luettelon tulisi sisältää kaikki laitteet, jotka on yhdistetty organisaation tietojenkäsittely-ympäristöön fyysisesti, virtuaalisesti tai pilviympäristöistä. Lisäksi tulisi ylläpitää tietoa laitteista, jotka ovat säännöllisesti yhteydessä organisaation tietojenkäsittely-ympäristöön, vaikkeivat ne olisi organisaation hallinnassa. Mobiililaitteiden tunnistamisessa suositellaan hyödynnettäväksi MDM-työkaluja (Mobile Device Management).












T08: Organisaatio on tunnistanut ohjelmistoalustat, ohjelmistot, tietojärjestelmät ja tietovarannot TASO 1

1.

Hyödynnä automaatiota ja työkaluja organisaation käytössä olevien ohjelmistojen sekä järjestelmien tunnistamiseen.

2.

Ylläpidä rekisteriä tietojärjestelmistä, tietovarannoista ja ohjelmistoista sekä niiden toimittajista ja sopimuksista.

3.

Määrittele tietojärjestelmille, tietovarannoille ja ohjelmistoille omistaja.

4.

Varmista, että tietojärjestelmät, tietovarannot ja ohjelmistot ovat toimittajan ylläpidon piirissä.

5.

Luokittele tietojärjestelmät, tietovarannot ja ohjelmistot niiden toiminnan kriittisyyden mukaan.

6.

Tiedonhallintalautakunnan suositus tiedonhallintamallista -sivustolta löydät suosituksen sekä työkalun tiedonhallintamallin laatimiseen.

7.

Määrittele sallitut ohjelmistot ja estä luvattomien ohjelmien asennus.

8.

Tunnista tietojärjestelmät ja tietovarannot, joissa käsitellään organisaation vastuulla olevaa henkilötietoa.

Lisätietoja

Linkit johtavat ulkoisille sivustoille.

Oletetut tuotokset

  • Tietojärjestelmärekisteri

  • Tietovarantorekisteri

  • Ohjelmistorekisteri

  • Henkilötietojärjestelmärekisteri

(lightbulb) VINKKI

      OHJELMISTOJEN TUNNISTAMISESTA

  • Organisaation kannattaa ylläpitää yksityiskohtaista ja ajantasalla olevaa luetteloa kaikista asennetuista lisensoiduista ohjelmistoista. Ohjelmistoluetteloon tulisi kirjata ainakin kunkin ohjelmiston nimi, julkaisija, ensimmäinen asennus- tai käyttöönottopäivämäärä ja ohjelmiston käyttötarkoitus. Lisäksi suositellaan kirjattavaksi tarvittaessa ohjelmiston URL-osoite (Uniform Resource Locator), sovelluskauppa, versiot, asennus- tai käyttöönottomekanismi ja käytöstä poistopäivämäärä.  
  • On hyvä huomioida, että organisaation tietojenkäsittely-ympäristössä tulisi käyttää ainoastaa organisaation hyväksymiä ohjelmistoja. Mikäli ohjelmistoa ei tueta, mutta se on kuitenkin välttämätön jonkun tietyn tehtävän toteuttamiseksi, tulisi tällaisesta ohjelmistosta kirjata poikkeus, joka sisältää ohjelmiston aiheuttamien riskien hallintatoimenpiteet ja jäännösriskin hyväksymisen. Kaikki muut ohjelmistot, joita ei ole hyväksytty organisaation käyttöön, tulisi merkitä luvattomaksi ja määrittää mekanismi niiden poistamiseksi organisaation tietojenkäsittely-ympäristöstä.











T09: Organisaatio on tunnistanut tietovirtansa TASO 1

1.

Tunnista organisaatioon saapuvat ja sieltä lähtevät tietovirrat.

2.

Määrittele toiminnan kannalta kriittiset tietovirrat.

3.

Määrittele tiedonsiirtopolitiikka eri luokittelutasoisille tiedoille.

4.

Ylläpidä tietoa tietovirroista ja niissä siirrettävistä tiedoista.

5.

Tunnista henkilötietoa sisältävät tietovirrat, missä henkilötietoa käsittellään ja ketkä.

6.

Huomioi Tiedonhallintalautakunnan suositus tiedonhallintamallista ja mitä siinä suositellaan kuvaamaan liittymistä ja tiedonsiirtotavoista.

7.

Huomioi myös Tiedonhallintalautakunnan suositus tiettyjen tietoturvallisuussäännösten soveltamisesta (Kappale 10.1: Organisaatioiden sisäinen ja niiden välinen tietojensiirto).

Lisätietoja

Linkit johtavat ulkoisille sivustoille.

Oletetut tuotokset

Tietovirtaluettelo

  • Tiedot liittymistä ja tiedonsiirtotavoista sisäisiin tietojärjestelmiin

  • Tiedot liittymistä ja tiedonsiirtotavoista ulkoisiin tietojärjestelmiin

  • Tiedot henkilötietoa sisältävistä liittymistä ja tietovirroista

ESIMERKKI

Esimerkki: Yksinkertaistettu esimerkki tietovirtojen kuvaamisesta

Lisätietoa kuvasta Yksinkertaistettu esimerkki tietovirtojen kuvaamisesta löytyy seuraavasta kappaleesta

TunnusLähde-järjestelmäKohde-järjestelmäSiirrettävä tietoTiedon-siirtotapaSisältää henkilö-tietoa
int01HR-järjestelmäPalkanlaskenta-järjestelmäTyöntekijätiedotAPIKyllä
int02Matkakulu-järjestelmäPalkanlaskenta-järjestelmäMatkakulutSiirtotiedostoKyllä
ext02Palkanlaskenta-järjestelmäPankin maksujärjestelmä (ulkoinen)Palkat ja kulukorvauksetSiirtotiedostoKyllä

Esimerkissä on erotettu sisäiset ja ulkoiset tietovirrat. Tietovirroille suositellaan annettavaksi yksilöllinen tunniste ja tietovirtoihin voi lisätä digitaalisen turvallisuuden kannalta oleellisia tietoja, kuten viittaukset tietovirran sisältämien tietojen tarkempiin kuvauksiin, siirtosekvenssiin ja tiedon luokitteluun sekä kriittisyyteen toiminnan kannalta.

(lightbulb) HENKILÖTIETOJA SISÄLTÄVÄT TIETOVIRRAT JA AUTOMAATTINEN HENKILÖTIETOJEN KÄSITTELY

Henkilötiedon käsittely tarkoittaa esimerkiksi henkilötietojen keräämistä, säilyttämistä, käyttöä, siirtämistä ja luovuttamista. Kaikki henkilötietoihin kohdistuvat toimenpiteet henkilötietojen käsittelyn suunnittelusta henkilötietojen poistamiseen ovat henkilötietojen käsittelyä.

Käsittelyn aikana henkilötiedot kulkevat organisaation sisällä useiden tietojärjestelmien, prosessien sekä roolien läpi. Sen lisäksi henkilötieto voi myös kulkea useiden yritysten tai organisaatioiden läpi.

Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön, jota kutsutaan myös rekisteröidyksi. Henkilötietoja ovat muun muassa:

  • Nimi, osoite
  • Puhelinnumero
  • Henkilökortin/passin numero
  • Sijaintitiedot
  • Tulot
  • Kulttuurinen profiili
  • IP-osoite
  • Sairaalan tai lääkärin hallussa olevat tiedot (jotka yksiselitteisesti yksilöivät henkilön terveydenhuollon piirissä).

Henkilöillä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn. Tähän sääntöön on kuitenkin joitakin poikkeuksia, esimerkiksi tapauksissa, joissa henkilö on antanut nimenomaisen suostumuksensa automaattiseen päätökseen. Tähän eivät sisälly tapaukset, joissa automaattinen päätös perustuu lakiin, jolloin organisaation on:

  • ilmoitettava henkilölle automaattisesta päätöksenteosta
  • annettava henkilölle oikeus saada tarkistaa automaattinen päätös
  • annettava henkilölle tilaisuus riitauttaa automaattinen päätös











T10: Tunnistetut suojattavat kohteet on luokiteltu niiden kriittisyyden ja toiminta-arvon perusteella TASO 1

1.

Määrittele kriittisyyden luokittelumenetelmä suojattavan kohteiden (resurssit, kuten laitteisto, tieto, henkilöstö ja järjestelmät) kriittisyyden määrittämiseksi.

2.

Tunnista toiminnan kannalta kriittiset suojattavat kohteet ja määrittele niille suojakontrollit niiden kriittisyyden sekä niissä käsiteltävien tietojen luokittelun perusteella.

Lisätietoja

Linkit johtavat ulkoisille sivustoille.

Oletetut tuotokset

  • Kriittisyysluokittelu

  • Luettelo kriittisistä suojattavista kohteista

ESIMERKKI

Esimerkki : Kriittisten kohteiden luokittelumenetelmä

Kriittisten kohteiden tunnistamisen ja luokittelun apuna voidaan käyttää digitaalisen turvallisuuden kehittäjäverkosto VAHTI:n kehittämää menetelmää.

Alla kuvatun menetelmän tavoitteena on auttaa organisaatiota tunnistamaan sellaiset suojattavat kohteet, joihin kohdistuva häiriö haittaa organisaation tehtävien, palvelujen tai tuotteiden tuottamista sekä arvioimaan näiden kriittisyyttä erilaisia näkökulmia hyödyntäen. Menetelmän avulla kyetään kohdentamaan rajallisia resursseja siten, että niistä saatavat hyödyt olisivat mahdollisimman suuria toiminnan turvallisuuden ja jatkuvuuden kannalta.

Lisätietoja menetelmästä on saatavilla VAHTI sivustolta alla olevien linkkien kautta:

Arvionnin vaiheet kuvan löydät linkistä Kriittisten kohteiden luokittelu työkalun käyttöohje (pdf)

Lähde: VAHTI hyvät käytännöt materiaalit 2022







  • No labels

Voit antaa sivustoon liittyvää palautetta lähettämällä sähköpostia osoitteeseen digiturva@dvv.fi.