Voit antaa sivustoon liittyvää palautetta lähettämällä sähköpostia osoitteeseen digiturva@dvv.fi.
Page History
Tip | ||
---|---|---|
| ||
Tavoitteet
|
Toimenpiteet riskienhallintaan:
Table of Contents | ||
---|---|---|
|
Huom! | TASO 1 > TASO 2 |
---|---|
Toimenpiteet on jaoteltu kahdelle tasolle siten, että perustason toimenpiteet toimivat pohjana edistyneemmän tason toimenpiteille. TASO 1: Perustason kyvykkyydet TASO 2: Edistyneemmät kyvykkyydet |
Warning | ||
---|---|---|
| ||
T14: Riskienhallinnan periaatteet on laadittu, hallinnoitu ja sovittu organisaation sidosryhmien kanssa TASO 1 |
1. | Tunnista riskienhallintaprosessiin ja riskienhallintatoimenpiteisiin liittyvätsidosryhmät ja sovi riskienhallintamenettelyistä heidän kanssaan. |
2. | Varmista, että digitaalisen turvallisuuden riskienhallinnasta on sovittu kumppanisopimuksissa:
|
Info | ||
---|---|---|
| ||
Linkit johtavat ulkoisille sivustoille. |
Note | ||||
---|---|---|---|---|
| ||||
|
Tip | ||
---|---|---|
| ||
Esimerkki: Riskienhallinnan viitekehys. Jokainen organisaatio vastaa itse omista riskienkäsittelyä koskevista päätöksistään ja niiden perusteella tehtävistä toimenpiteistä
Lähde: VM 22/2017. Kuva perustuu standardiin SFS-ISO 31000 |
VINKKI RISKIENHALLINTAPOLITIIKKA
|
Warning | ||
---|---|---|
| ||
T15: Organisaation riskinsietokyky on määritetty ja tiedotettu TASO 1 |
1. | Organisaation johto määrittää organisaation riskiensietokyvyn pohjautuen organisaation rooliin kriittisessä infrastruktuurissa ja toimialalla.
|
2. | Määritä tunnistetuille riskeille hyväksyttävä riskinsietotaso. |
3. | Tiedota organisaation riskinsietokyky tunnistettujen riskien osalta tarvittaville sisäisille ja ulkoisille sidosryhmille. |
4. | Katso myös Tiedonhallintalautakunnan suositus tiettyjen tietoturvallisuussäännösten soveltamisesta (Kappale 6: Riskienhallinta). |
Info | ||
---|---|---|
| ||
Linkit johtavat ulkoisille sivustoille. |
Note | ||||
---|---|---|---|---|
| ||||
|
VINKKI RISKINSIETOKYKY
RISKINOTTOHALU
RISKIENHALLINNAN VIESTINNÄSTÄ
|
Warning | ||
---|---|---|
| ||
T16: Hallinnointi- ja riskienhallintaprosesseissa käsitellään myös digitaalisen turvallisuuden riskejä TASO 1 |
1. | Määrittele tietoturva- ja tietosuojariskienhallinta osaksi organisaation yleisiä riskienhallintaprosesseja. |
2. | Varmista, että digitaalisen turvallisuuden riskejä arvioidaan ja käsitellään riskienhallinnan vuosikellon mukaisesti.
|
3. | Tutustu myös oheisiin suosituksiin:
|
Info | ||
---|---|---|
| ||
Linkit johtavat ulkoisille sivustoille. |
Note | ||||
---|---|---|---|---|
| ||||
|
Tip | |||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| |||||||||||||||||||||||||||||||||
Esimerkki: Riskienhallinnan vuosikellosta Riskienhallinnan vuosittaiset toimenpiteet tulisi kuvata vuosikelloon ja riskienhallinnassa tulisi käsitellä myös digitaalisen turvallisuuden riskejä. Vuosikello voi olla organisaation toiminnan ja talouden suunnittelun vuosikello tai erillinen riskienhallinnan (kuten oheisessa kuvassa) tai digitaalisen turvallisuuden vuosikello. Lisää esimerkkejä riskienhallinnan vuosikellosta VAHTI 22/2017 riskienhallintaohjeen liitteestä 4. Julkisen hallinnon digitaalisen turvallisuuden riskejä kartoitettiin Digi- ja väestötietoviraston riskikyselyssä. Alla olevassa taulukossa on lueteltu muutamia yleisimpiä riskiväitteitä.
|
Warning | ||
---|---|---|
| ||
T17: Tietojärjestelmien, komponenttien ja palvelujen toimittajat ja kolmannet osapuolet on tunnistettu, priorisoitu ja arvioitu toimitusketjun digitaalisen turvallisuuden riskienhallintaprosessin avulla TASO 1 |
1. | Arvioi kriittisten tietojärjestelmien, komponenttien ja palveluiden toimittajat ja muut kriittiset sidosryhmät riskienhallintaprosessin avulla. |
2. | Tutustu myös Tiedonhallintalautakunnan suositukseen turvallisuusluokiteltavien asiakirjojen käsittelystä pilvipalvelussa (Kappale 4: Turvallisuusluokiteltavien asiakirjojen käsittelyssä käytettävien pilvipalveluiden ja niiden tarjoajien luotettavuuden arvioinnista). |
Info | ||
---|---|---|
| ||
Linkit johtavat ulkoisille sivustoille. |
Note | ||||
---|---|---|---|---|
| ||||
|
VINKKI
|
Warning | ||
---|---|---|
| ||
T18: Suojattavan omaisuuden haavoittuvuudet on tunnistettu ja dokumentoitu TASO 1 |
1. | Määrittele menettely, kuinka sekä sisäisistä että ulkoisista lähteistä (esim. haavoittuvuusskannaus) saadaan ajanmukaista tietoa tietojenkäsittely-ympäristön haavoittuvuuksista haavoittuvuuksien- ja poikkeamanhallintaprosessien käsiteltäväksi. |
2. | Kerää tietoa keskitetysti suojattaviin kohteisiin ja omaisuuteen liittyvistä haavoittuvuuksista ja luokittele tunnistetut haavoittuvuudet niiden toiminnalle kohdistuvan uhan perusteella. |
3. | Määrittele prosessi kriittisten järjestelmien haavoittuvuuksien tarkastukseen tietojenkäsittely-ympäristön muutosten yhteydessä. |
4. | Yksilöi havaittuihin haavoittuvuuksiin liittyvät riskit ja määrittele riskin mukaiset toimenpiteet. |
5. | Hyödynnä haavoittuvuusskannaukseen tarkoitettuja työkaluja. |
6. | Määrittele menettely, jolla vastataan tilanteeseen, jossa tunnistettuun haavoittuvuuteen ei ole soveltuvaa korjausta (esim. jäännösriskin hyväksyminen riskienhallintaprosessissa). |
7. | Luo kanava havaittujen tietoturvaheikkouksien raportointiin. |
8. | Seuraa Kyberturvallisuuskeskuksen sekä kansainvälisiä haavoittuvuustiedotteita, kuten esimerkiksi: |
Info | ||
---|---|---|
| ||
Linkit johtavat ulkoisille sivustoille. |
Note | ||||
---|---|---|---|---|
| ||||
|
Tip | ||
---|---|---|
| ||
Esimerkki: Haavoittuvuuksien eskaloitumisesta erityyppisiksi riskeiksi Haavoittuvuuksiin liittyvät tekniset riskit voivat aiheuttaa tietovuodon ja ne voivat eskaloitua uusiksi muun tyyppisiksi riskeiksi, jotka pahimmillaan voivat uhata jopa organisaation toimintaa. Tarkastellaan asiaa esimerkin avulla. Teknisiä riskejä ovat esimerkiksi:
Edellä mainitut tekniset riskit voivat aiheuttaa tietovuodon ja tiedon luokittelun sekä kriittisyyden mukaisesti tietovuoto voi eskaloitua muiksi riskeiksi, esimerkiksi:
|
VINKKI
|
Warning | ||
---|---|---|
| ||
T19: Mahdolliset vaikutukset toimintaan on tunnistettu ja niiden todennäköisyys on arvioitu TASO 1 |
1. | Tunnista ja dokumentoi sisäisten ja ulkoisten uhkien vaikutukset toimintaan. |
2. | Arvioi ja dokumentoi uhkien todennäköisyys:
|
3. | Tutustu myös oheisiin suosituksiin:
|
Info | ||
---|---|---|
| ||
Linkit johtavat ulkoisille sivustoille. |
Note | ||||
---|---|---|---|---|
| ||||
|
Tip | ||
---|---|---|
| ||
Esimerkki: Riskimatriisista (VM 22/2017, Liite 5, sivu 6) |
VINKKI RISKIANALYYSI
|
Warning | ||
---|---|---|
| ||
T20: Uhka-, haavoittuvuus-, todennäköisyys- ja vaikuttavuustietoa käytetään riskin merkityksen arviointiin TASO 1 |
1. | Tunnista digitaalisen turvallisuuden riskit ja arvioi niiden merkitys organisaation toiminnalle tunnistettujen haavoittuvuuksien ja uhkien sekä niiden todennäköisyys- ja vaikuttavuustietojen perusteella:
|
2. | Katso myös Tiedonhallintalautakunnan suositus tiettyjen tietoturvallisuussäännösten soveltamisesta (Kappale 6: Riskienhallinta). |
Info | ||
---|---|---|
| ||
Linkit johtavat ulkoisille sivustoille. |
Note | ||||
---|---|---|---|---|
| ||||
|
VINKKI RISKIN MERKITYKSEN ARVIOINTI
|
Warning | ||
---|---|---|
| ||
T21: Riskienhallintakeinot on tunnistettu ja priorisoitu TASO 1 |
1. | Määritä tunnistetuille riskeille on riskienhallintatoimenpiteet, priorisoi riskilista, vastuuta riskienhallintatoimenpiteet ja seuraa niitä:
|
2. | Katso myös Tiedonhallintalautakunnan suositus tiettyjen tietoturvallisuussäännösten soveltamisesta (Kappale 6: Riskienhallinta). |
Info | ||
---|---|---|
| ||
Linkit johtavat ulkoisille sivustoille. |
Note | ||||
---|---|---|---|---|
| ||||
|
Tip | ||
---|---|---|
| ||
Esimerkki: Riskirekisteristä VAHTI 22/2017 -ohjeen liitteissä on Excel-pohjaisista riskienhallintatyökaluista perus- ja laajempi versio. Vaikka etenkin suurempien organisaatioiden suositellaan käyttävän riskirekisterin laadintaan ja ylläpitoon erillisistä riskienhallintajärjestelmään, on Excel-pohjaisissa riskienhallintatyökaluissa riskirekisterin vaatimat tiedot:
|
VINKKI RISKIEN KÄSITTELY
|