Voit antaa sivustoon liittyvää palautetta lähettämällä sähköpostia osoitteeseen digiturva@dvv.fi.
- Created by Pelttari Tuomas (DVV) on 09.12.2022
2 Suojautuminen (”Miten suojaudumme uhilta?”)
Suojautumisvaiheen tavoitteena on, että organisaatio suojaa tunnistetut kohteet, kuten tietojärjestelmät, tietovarannot ja tiedot riskienhallinnan keinoin tunnistetuilta uhilta ja riskeiltä. Käytännössä tämä tarkoittaa muun muassa identiteetin- ja pääsynhallinnan, tietoverkkojen turvallisuuden, tietoturvallisuuden, tietoturvateknologian suunnittelua ja toteuttamista suhteessa tunnistettuihin riskeihin sekä näiden toimenpiteiden dokumentointia ja kuvaamista.
Suojaamisen kannalta olennaista on ottaa huomioon erilaiset vaatimukset ja tietoturvaratkaisut tietojärjestelmien, palveluiden ja näitä tukevan infrastruktuurin elinkaaren kaikissa vaiheissa aina kehityksestä ylläpitoon ja päättämiseen.
Koska suojattavien kohteiden tietoturva- ja tietosuojavaatimukset vaihtelevat käsiteltävän tiedon ja toimintaympäristön mukaisesti, on erityisen tärkeätä tunnistaa oman organisaation toimintaan ja tietoon kohdistuvat vaatimukset kohdassa viitekehyksen kohdassa Tunnistaminen.
Viitekehyksessä esitellyt suojaustoimenpiteet ovat kansainvälisistä tietoturvallisuuden, kyberturvallisuuden ja digitaalisen turvallisuuden standardeista johdettuja toimenpiteitä, joiden avulla organisaation on mahdollista rakentaa suojaustaan kokonaisuutena erillisten ratkaisujen sijaan.
HUOM! Yksittäisten suojattavien kohteiden suojaustoimenpiteet on aina syytä määrittää riskiarvion ja tunnistettujen vaatimusten perusteella.
TUNNISTAMINEN | SUOJAUTUMINEN | HAVAINNOINTI | REAGOINTI | PALAUTUMINEN |
---|---|---|---|---|
Toimintaympäristön tunnistaminen | Identiteetin- ja pääsynhallinta | Poikkeamanhallinnan organisointi | Poikkeamien analysointi | Poikkeamista toipuminen |
Suojattavan omaisuuden hallinta | Tietoisuus ja koulutus | Poikkeamien havaitseminen | Tietoturvatiedon jakaminen ja viestintä | Viestintä |
Digitaalisen turvallisuuden hallinta | Tiedon suojaus | Poikkeamien käsittely | Jatkotoimenpiteet | |
Riskienhallinta | Tietojenkäsittely-ympäristöjen suojaus | |||
Tietojärjestelmien hankinta ja elinkaari | ||||
Muutoshallinta | ||||
Fyysisen toimintaympäristön suojaus | ||||
Jatkuvuus ja varautuminen |
IDENTITEETIN- JA PÄÄSYNHALLINTA
Käyttövaltuuksia ja -oikeuksia myönnetään, hallitaan, katselmoidaan ja poistetaan valtuutetuille laitteille, käyttäjille ja prosesseille
Fyysistä pääsyä suojattaviin kohteisiin hallitaan ja suojataan
Etäkäyttöä hallitaan
Käyttövaltuuksia ja -oikeuksia hallinnoidaan vähimmäisoikeuksien ja työtehtävien eriyttämisen periaatteilla
Identiteetti todennetaan ja sidotaan käyttäjätunnuksiin
Käyttäjät, laitteet ja muut resurssit tunnistetaan
Digitaalinen turvallisuus huomioidaan henkilöstöhallintaprosesseissa
TIETOISUUS JA KOULUTUS
Ylin johto ymmärtää digitaalisen turvallisuuden roolinsa ja vastuunsa
Kaikki käyttäjät saavat koulutusta ja tiedotusta digitaalisesta turvallisuudesta
Korotettujen oikeuksien käyttäjät ymmärtävät digitaalisen turvallisuuden roolinsa ja vastuunsa
Fyysisen ja digitaalisen turvallisuuden henkilöstö ymmärtää roolinsa ja vastuunsa
Kolmansien osapuolten sidosryhmät ymmärtävät digitaalisen turvallisuuden roolinsa ja vastuunsa
TIEDON SUOJAUS
Tieto on suojattu tallennettaessa suhteessa tunnistettuihin riskeihin
Tieto on suojattu siirrettäessä suhteessa tunnistettuihin riskeihin
Suojattavan tiedon siirtoa, luovutusta ja tuhoamista hallinnoidaan muodollisen menettelyn avulla suhteessa tunnistettuihin riskeihin (esim. tietoturva-, tietosuoja- ja organisaatioriskit)
Siirrettävät tietovälineet on suojattu ja niiden käyttöä rajoitetaan sovittujen käytäntöjen mukaisesti
Tietojen varmuuskopiointi määritetään, suoritetaan ja testataan
Auditointi- ja lokitiedot on määritetty, dokumentoidu ja tarkastettu sovittujen käytäntöjen mukaisesti
TIETOJENKÄSITTELY-YMPÄRISTÖJEN SUOJAUS
Informaatioteknologian (IT, Information Technology) sekä tuotantoverkkojen ja -järjestelmien (OT, Operational Technology) peruskonfiguraatio luodaan ja ylläpidetään mukaan lukien turvallisuusperiaatteet
Kriittisten tietojenkäsittely-ympäristöjen ja -palveluiden saatavuus varmistetaan
Tietoverkot ja niiden eheys on suojattu
Eheyskontrolleja käytetään ohjelmistojen, laitteiden, laiteohjelmistojen ja tietojen eheyden tarkistamiseen
Kontrollit tiedon luottamuksellisuuden varmistamiseksi on toteutettu suhteessa tunnistettuihin riskeihin
TIETOJÄRJESTELMIEN HANKINTA JA ELINKAARI
Tietojärjestelmät on määritelty tarjoamaan ainoastaan toiminnan kannalta välttämättömät ominaisuudet
Järjestelmien kehittämisen elinkaari järjestelmien hallitsemiseksi on määritelty
Kehitys- ja testausympäristöt ovat erillään tuotantoympäristöistä
MUUTOSHALLINTA
Muutoshallintaprosessi on määritelty
Organisaation suojattavan omaisuuden ylläpito ja niihin liittyvät korjaukset suoritetaan ja kirjataan hyväksytyillä ja valvotuilla työkaluilla
FYYSINEN TOIMINTAYMPÄRISTÖ SUOJAUS
Organisaation fyysistä toimintaympäristöä koskevat käytännöt ja määräykset täyttyvät
JATKUVUUS JA VARAUTUMINEN
Jatkuvuus- ja varautumissuunnitelmat on toteutettu ja hallittu
Jatkuvuus- ja varautumissuunnittelu ja niiden testaus toteutetaan toimittajien ja kolmansien osapuolten kanssa
Jatkuvuus- ja varautumissuunnitelmia testataan
dfsdfsd
- No labels
Voit antaa sivustoon liittyvää palautetta lähettämällä sähköpostia osoitteeseen digiturva@dvv.fi.