Voit antaa sivustoon liittyvää palautetta lähettämällä sähköpostia osoitteeseen digiturva@dvv.fi.
Toimenpiteet tiedon suojaukseen:
Huom! | TASO 1 > TASO 2 |
---|---|
Toimenpiteet on jaoteltu kahdelle tasolle siten, että perustason toimenpiteet toimivat pohjana edistyneemmän tason toimenpiteille. TASO 1: Perustason kyvykkyydet TASO 2: Edistyneemmät kyvykkyydet |
1. | Määrittele tiedonsuojausmenetelmät, joilla tieto suojataan siirrettäessä tiedon luokittelun ja tyypin (esim. turvallisuusluokiteltavat ja henkilötiedot) mukaisesti. |
2. | Tutustu myös seuraaviin ohjeisiin ja suosituksiin tiedon ja viestinnän suojaukseen ja salaukseen liittyen:
|
Lisätietoja
Tiedonhallintalaki 906/2019: 14§
NIST CSF PR.DS-2 (englanniksi)
CIS CSC 3, 12, 16 (englanniksi)
ISO/IEC 27001:2022 A.5.14, A.8.20
JulKri FYY-08, FYY-09, FYY-10, TEK-01, TEK-05, TEK-16, TEK-20
Katakri 2020 F-08, I-01, I-02, I-04, I-05, I-11, I-13, I-15, I-21
PiTuKri IP-03, JT-05, MH-02, SA-01, SA-02, SA-03, SI-02, TJ-05, TT-01, TT-02
VAHTI 2/2015
Linkit johtavat ulkoisille sivustoille.
VINKKI TIEDON SALAUKSESTA SIIRRETTÄESSÄ
|
1. | Määrittele menettelytavat koko tiedon elinkaaren eri vaiheisiin kattaen tiedon siirron, luovutuksen ja tuhoamisen. |
2. | Määrittele tiedolle tuhoamiskäytännöt osaksi tiedon elinkaarenhallintaa tiedon luokittelun mukaisesti. |
3. | Tuhoa tiedot käytäntöjen mukaisesti säilytysajan tai käyttötarpeen päättyessä. |
4. | Huomioi henkilötietojen elinkaari. |
5. | Varmista, että tiedot tuhotaan menetelmillä, joilla estetään tiedon kokoaminen uudelleen kokonaan tai osittain. |
6. | Tutustu myös seuraaviin ohjeisiin ja suosituksiin:
|
Lisätietoja
Tiedonhallintalaki 906/2019: 4§, 21§
NIST CSF PR.DS-3, PR.IP-6 (englanniksi)
CIS CSC 1, 3 (englanniksi)
ISO/IEC 27001:2022 A.5.33, A.5.34, A.7.14, A.8.10, A.8.11, A.8.12
- JulKri FYY-03, FYY-08, FYY-09, FYY-10, FYY-11, TEK-21
Katakri 2020 F-04, F-08, I-18, I-21
PiTuKri IP-03, JT-05, SA-02, SI-02
Linkit johtavat ulkoisille sivustoille.
VINKKI Lähde: Valtiovarainministeriö |
SISÄÄNRAKENNETTU JA OLETUSARVOINEN TIETOSUOJA Sisäänrakennettu tietosuoja tarkoittaa, että organisaation on huomioitava tietosuoja henkilötietojen uusien käsittelytapojen suunnittelun alkuvaiheessa. Tämän periaatteen mukaisesti rekisterinpitäjän on toteutettava kaikki tarvittavat tekniset ja organisatoriset toimenpiteet tietosuojaperiaatteiden toteuttamiseksi ja henkilöiden oikeuksien suojelemiseksi. Nämä toimenpiteet voivat sisältää esimerkiksi salanimen käytön. Oletusarvoinen tietosuoja tarkoittaa, että organisaation on aina tehtävä yksityisyyden kunnioittamisesta oletusasetus. Esimerkiksi jos järjestelmän asetuksissa on kaksi mahdollista yksityisyysasetusta ja yksi näistä estää muiden henkilöiden pääsyn henkilötietoihin, tätä olisi käytettävä oletusasetuksena. |
1. | Laadi ja jalkauta siirrettävien tietovälineiden (tietokoneet, mobiililaitteet, siirrettävät muistit jne.) hallinnan ohjeistus tiedon luokittelun mukaisesti. |
2. | Suojaa siirrettävät tietovälineet tiedon luokittelun mukaisesti (esim. kiintolevyjen ja muistien salaus). |
3. | Tutustu myös seuraaviin ohjeisiin ja suosituksiin:
|
Lisätietoja
Tiedonhallintalaki 906/2019: 15§
NIST CSF PR.PT-2 (englanniksi)
CIS CSC 3, 10 (englanniksi)
ISO/IEC 27001:2022 A.5.12, A.5.13, A.5.14
- JulKri FYY-03, FYY-04, FYY-08, FYY-09, TEK-16, TEK-18
- Katakri 2020 F-04, F-08, I-18, I-21, T-08
PiTuKri IP-03, JT-05, SA-02, SI-02, TJ-06
Linkit johtavat ulkoisille sivustoille.
VINKKI SIIRRETTÄVIEN TIETOVÄLINEIDEN SALAUKSESTA
|
1. | Määrittele varmuuskopiointiperiaatteet kaikille toiminnan kannalta kriittisille tiedoille, ohjelmistoille ja järjestelmille. |
2. | Ota säännöllisesti varmuuskopiot varmuuskopioitavista kohteista. |
3. | Testaa säännöllisesti varmuuskopioiden palautuksen toimivuus. |
4. | Ota varmuuskopiointivaatimukset huomioon kumppanisopimuksissa. |
5. | Huomioi henkilötietojen käsittely varmuuskopioinnissa. |
6. | Katso myös Tiedonhallintalautakunnan suositus tiettyjen tietoturvallisuussäännösten soveltamisesta (Kappale 5: Tiedon elinkaaren huomioiminen tietojärjestelmissä). |
Lisätietoja
Tiedonhallintalaki 906/2019: 13§, 15§
NIST CSF PR.IP-4 (englanniksi)
CIS CSC 11 (englanniksi)
ISO/IEC 27001:2022 A.5.30, A.5.33, A.8.13
- JulKri TEK-20
- Katakri 2020 I-10, I-20, T-06
PiTuKri JT-01, KT-03, TJ-05
VAHTI 2/2009, VAHTI 3/2009, VAHTI 2/2016
Linkit johtavat ulkoisille sivustoille.
1. | Määrittele organisaation lokipolitiikka, jonka perusteella tallennetaan lokeihin käyttäjien suorittamat toiminnot, tapahtuneet poikkeamat, virheet ja tietoturvatapahtumat. |
2. | Suojaa lokitiedot ja niiden kirjauspalvelut peukaloinnilta ja luvattomalta pääsyltä (huomioi myös pääkäyttäjälokit). |
3. | Huomioi myös lokivaatimukset henkilötietojen keräämisessä. |
4. | Määrittele lokitietojen elinkaari riittävän pitkäksi, jotta ne toimivat tarvittaessa evidenssinä. |
5. | Varmista sopimuksilla, että kumppaneiden lokitus täyttää organisaation lokivaatimukset. |
6. | Tutustu myös seuraaviin ohjeisiin ja suosituksiin: Lokien keräys ja käyttö (Traficom). Tiedonhallintalautakunnan suositus tiettyjen tietoturvallisuussäännösten soveltamisesta (Kappale 14: Lokitietojen kerääminen). |
Lisätietoja
Tiedonhallintalaki 906/2019: 17§
NIST CSF PR.PT-1 (englanniksi)
CIS CSC 8 (englanniksi)
ISO/IEC 27001:2022 A.8.15, A.8.17, A.8.34
- JulKri HAL-07, TEK-12, TEK-13
- Katakri 2020 I-10, I-11
PiTuKri JT-01, TJ-05
VAHTI 3/2009
Linkit johtavat ulkoisille sivustoille.
HENKILÖTIEDOT LOKIENKERÄYKSESSÄ Lokitietojen tulee olla vain niihin oikeutettujen käytössä, eli lokitietoihin pääsy tulee rajoittaa käyttövaltuushallinnan kautta vain niille, joiden työtehtävään on organisaation toimesta määritelty lokienhallinnan kuuluvan. |
1. | Määrittele tiedonsuojausmenetelmät, joilla tieto suojataan tallennettaessa tiedon luokittelun mukaisesti. |
2. | Huomioi myös henkilötietojen suojaus. |
3. | Tutustu myös seuraaviin ohjeisiin ja suosituksiin:
|
Lisätietoja
Tiedonhallintalaki 906/2019: 15§, 18§
NIST CSF PR.DS-1 (englanniksi)
CIS CSC 3, 16 (englanniksi)
ISO/IEC 27001:2017 A.8.2.3
ISO/IEC 27040:2015
JulKri FYY-04, FYY-10, TEK-09, TEK-16
- Katakri 2020 F-08, I-21
PiTuKri SI-02
Linkit johtavat ulkoisille sivustoille.
VINKKI TIEDON SALAUKSESTA TALLENNETTAESSA
|