2 Suojautuminen (”Miten suojaudumme uhilta?”)

Suojautumisvaiheen tavoitteena on, että organisaatio suojaa tunnistetut kohteet, kuten tietojärjestelmät, tietovarannot ja tiedot riskienhallinnan keinoin tunnistetuilta uhilta ja riskeiltä. Käytännössä tämä tarkoittaa muun muassa identiteetin- ja pääsynhallinnan, tietoverkkojen turvallisuuden, tietoturvallisuuden, tietoturvateknologian suunnittelua ja toteuttamista suhteessa tunnistettuihin riskeihin sekä näiden toimenpiteiden dokumentointia ja kuvaamista.

Suojaamisen kannalta olennaista on ottaa huomioon erilaiset vaatimukset ja tietoturvaratkaisut tietojärjestelmien, palveluiden ja näitä tukevan infrastruktuurin elinkaaren kaikissa vaiheissa aina kehityksestä ylläpitoon ja päättämiseen.

Koska suojattavien kohteiden tietoturva- ja tietosuojavaatimukset vaihtelevat käsiteltävän tiedon ja toimintaympäristön mukaisesti, on erityisen tärkeätä tunnistaa oman organisaation toimintaan ja tietoon kohdistuvat vaatimukset kohdassa viitekehyksen kohdassa Tunnistaminen.

Viitekehyksessä esitellyt suojaustoimenpiteet ovat kansainvälisistä tietoturvallisuuden, kyberturvallisuuden ja digitaalisen turvallisuuden standardeista johdettuja toimenpiteitä, joiden avulla organisaation on mahdollista rakentaa suojaustaan kokonaisuutena erillisten ratkaisujen sijaan.

HUOM! Yksittäisten suojattavien kohteiden suojaustoimenpiteet on aina syytä määrittää riskiarvion ja tunnistettujen vaatimusten perusteella.



TUNNISTAMINEN


SUOJAUTUMINEN

HAVAINNOINTI

REAGOINTI

PALAUTUMINEN

Toimintaympäristön tunnistaminen

Identiteetin- ja pääsynhallinta

Poikkeamanhallinnan organisointi

Poikkeamien analysointi

Poikkeamista toipuminen

Suojattavan omaisuuden hallinta

Tietoisuus ja koulutus

Poikkeamien havaitseminen

Tietoturvatiedon jakaminen ja viestintä

Viestintä

Digitaalisen turvallisuuden hallinta

Tiedon suojaus


Poikkeamien käsittely

Jatkotoimenpiteet

Riskienhallinta

Tietojenkäsittely-ympäristöjen suojaus





Tietojärjestelmien hankinta ja elinkaari





Muutoshallinta





Fyysisen toimintaympäristön suojaus





Jatkuvuus ja varautuminen





IDENTITEETIN- JA PÄÄSYNHALLINTA

  • Käyttövaltuuksia ja -oikeuksia myönnetään, hallitaan, katselmoidaan ja poistetaan valtuutetuille laitteille, käyttäjille ja prosesseille
  • Fyysistä pääsyä suojattaviin kohteisiin hallitaan ja suojataan 
  • Etäkäyttöä hallitaan 
  • Käyttövaltuuksia ja -oikeuksia hallinnoidaan vähimmäisoikeuksien ja työtehtävien eriyttämisen periaatteilla 
  • Identiteetti todennetaan ja sidotaan käyttäjätunnuksiin 
  • Käyttäjät, laitteet ja muut resurssit tunnistetaan 
  • Digitaalinen turvallisuus huomioidaan henkilöstöhallintaprosesseissa 

TIETOISUUS JA KOULUTUS

  • Ylin johto ymmärtää digitaalisen turvallisuuden roolinsa ja vastuunsa
  • Kaikki käyttäjät saavat koulutusta ja tiedotusta digitaalisesta turvallisuudesta 
  • Korotettujen oikeuksien käyttäjät ymmärtävät digitaalisen turvallisuuden roolinsa ja vastuunsa 
  • Fyysisen ja digitaalisen turvallisuuden henkilöstö ymmärtää roolinsa ja vastuunsa 
  • Kolmansien osapuolten sidosryhmät ymmärtävät digitaalisen turvallisuuden roolinsa ja vastuunsa 

TIEDON SUOJAUS

  • Tieto on suojattu tallennettaessa suhteessa tunnistettuihin riskeihin 
  • Tieto on suojattu siirrettäessä suhteessa tunnistettuihin riskeihin
  • Suojattavan tiedon siirtoa, luovutusta ja tuhoamista hallinnoidaan muodollisen menettelyn avulla suhteessa tunnistettuihin riskeihin (esim. tietoturva-, tietosuoja- ja organisaatioriskit) 
  • Siirrettävät tietovälineet on suojattu ja niiden käyttöä rajoitetaan sovittujen käytäntöjen mukaisesti 
  • Tietojen varmuuskopiointi määritetään, suoritetaan ja testataan
  • Auditointi- ja lokitiedot on määritetty, dokumentoidu ja tarkastettu sovittujen käytäntöjen mukaisesti 

TIETOJENKÄSITTELY-YMPÄRISTÖJEN SUOJAUS

  • Informaatioteknologian (IT, Information Technology) sekä tuotantoverkkojen ja -järjestelmien (OT, Operational Technology) peruskonfiguraatio luodaan ja ylläpidetään mukaan lukien turvallisuusperiaatteet 
  • Kriittisten tietojenkäsittely-ympäristöjen ja -palveluiden saatavuus varmistetaan 
  • Tietoverkot ja niiden eheys on suojattu 
  • Eheyskontrolleja käytetään ohjelmistojen, laitteiden, laiteohjelmistojen ja tietojen eheyden tarkistamiseen 
  • Kontrollit tiedon luottamuksellisuuden varmistamiseksi on toteutettu suhteessa tunnistettuihin riskeihin 

TIETOJÄRJESTELMIEN HANKINTA JA ELINKAARI

  • Tietojärjestelmät on määritelty tarjoamaan ainoastaan toiminnan kannalta välttämättömät ominaisuudet
  • Järjestelmien kehittämisen elinkaari järjestelmien hallitsemiseksi on määritelty 
  • Kehitys- ja testausympäristöt ovat erillään tuotantoympäristöistä 

MUUTOSHALLINTA

  • Muutoshallintaprosessi on määritelty
  • Organisaation suojattavan omaisuuden ylläpito ja niihin liittyvät korjaukset suoritetaan ja kirjataan hyväksytyillä ja valvotuilla työkaluilla

FYYSINEN TOIMINTAYMPÄRISTÖ SUOJAUS

  • Organisaation fyysistä toimintaympäristöä koskevat käytännöt ja määräykset täyttyvät 

JATKUVUUS JA VARAUTUMINEN

  • Jatkuvuus- ja varautumissuunnitelmat on toteutettu ja hallittu 
  • Jatkuvuus- ja varautumissuunnittelu ja niiden testaus toteutetaan toimittajien ja kolmansien osapuolten kanssa
  • Jatkuvuus- ja varautumissuunnitelmia testataan 

dfsdfsd



  • No labels

Voit antaa sivustoon liittyvää palautetta lähettämällä sähköpostia osoitteeseen digiturva@dvv.fi.