Tavoitteet

  • Organisaation tehtävä, tavoitteet, sidosryhmät ja toiminta ymmärretään.

  • Käsitys omasta toimintaympäristöstä tukee muun muassa organisaation ulkoisten riippuvuuksien tunnistamista ja niiden kriittisyyden arviointia.

  • Tietoa toimintaympäristöstä käytetään digitaalisen turvallisuuden roolien ja vastuiden määrittelyyn, riskienhallintaan sekä jatkuvuuden ja varautumisen suunnitteluun.

Tiedonhallintalautakunnan suositus tiedonhallintamallista


Toimenpiteet toimintaympäristön tunnistamiseksi:


Huom!


TASO 1 > TASO 2

Toimenpiteet on jaoteltu kahdelle tasolle siten, että perustason toimenpiteet toimivat pohjana edistyneemmän tason toimenpiteille.

TASO 1: Perustason kyvykkyydet

TASO 2: Edistyneemmät kyvykkyydet




T01: Organisaation tehtävän, tavoitteiden ja toiminnan prioriteetit on määritetty ja tiedotettu TASO 1

1.

Tunnista organisaation toimintaympäristö ja tehtävä.

2.

Määrittele organisaation toiminnan tavoitteet ja prioriteetit. 

3.

Tiedota toiminnan ja tehtävien tavoitteiden ja tehtävien prioriteetit organisaation sisällä ja tarvittaville sidosryhmille.

4.

Toteuta kriittisyyden luokittelu tehtävän, tavoitteiden ja toiminnan prioriteettien mukaisesti.

5.

Hyödynnä Tiedonhallintalautakunnan suositusta tiedonhallintamallista (valtioneuvosto.fi) (Kappale 5: Toimintaympäristön kuvaus alkaa tehtävistä) organisaatio roolin ja tehtävien kuvaamisessa.

Lisatietoja

Linkit johtavat ulkoisille sivustoille.

Oletetut tuotokset

  • Toimintaympäristön kuvaus

ESIMERKKI

Esimerkki: Kriittisten kohteiden luokittelumenetelmä

Kriittisten kohteiden tunnistamisen ja luokittelun apuna voidaan käyttää digitaalisen turvallisuuden kehittäjäverkosto VAHTI:n kehittämää menetelmää.

Alla kuvatun menetelmän tavoitteena on auttaa organisaatiota tunnistamaan sellaiset suojattavat kohteet, joihin kohdistuva häiriö haittaa organisaation tehtävien, palvelujen tai tuotteiden tuottamista sekä arvioimaan näiden kriittisyyttä erilaisia näkökulmia hyödyntäen. Menetelmän avulla kyetään kohdentamaan rajallisia resursseja siten, että niistä saatavat hyödyt olisivat mahdollisimman suuria toiminnan turvallisuuden ja jatkuvuuden kannalta.

Lisätietoja menetelmästä on saatavilla VAHTI sivustolta alla olevien linkkien kautta:

Arvionnin vaiheet kuvan löydät linkistä Kriittisten kohteiden luokittelu työkalun käyttöohje (pdf)

Lähde: VAHTI hyvät käytännöt materiaalit 2022









T02: Kriittisten palveluiden tuottamisen riippuvuudet ja niihin liittyvät kriittiset toiminnot on määritetty TASO 1

1.

Tunnista kriittisten palveluiden tuottamiseen liittyvät sidosryhmät.

2.

Varmista, että kriittisten palveluiden tuottamiseen osallistuvat sidosryhmät tiedostavat roolinsa.

3.

Määrittele kriittisten palveluiden tuottamiselle sidosryhmävaatimukset ja seuraa vaatimusten toteutumista, jotta kriittiset palvelut ovat käytettävissä kaikissa vaadituissa toimintatiloissa.

4.

Varmista, että kommunikaatioketju on toimiva sidosryhmien välillä.

5.

Hyödynnä tiedonhallintalautakunnan suositusta tiedonhallintamallista (valtioneuvosto.fi) (Kappale 5: Toimintaympäristön kuvaus alkaa tehtävistä) organisaatio roolin ja tehtävien sekä niihin liittyvien riippuvuuksien kuvaamisessa.

Lisätietoja

Linkit johtavat ulkoisille sivustoille.

Oletetut tuotokset

  • Kriittisyysluokittelu

  • Riippuvuudet kuvattu osana kriittisyysluokittelua

ESIMERKKI

Esimerkki: Kriittisten kohteiden luokittelumenetelmä

Kriittisten kohteiden tunnistamisen ja luokittelun apuna voidaan käyttää digitaalisen turvallisuuden kehittäjäverkosto VAHTI:n kehittämää menetelmää.

Alla kuvatun menetelmän tavoitteena on auttaa organisaatiota tunnistamaan sellaiset suojattavat kohteet, joihin kohdistuva häiriö haittaa organisaation tehtävien, palvelujen tai tuotteiden tuottamista sekä arvioimaan näiden kriittisyyttä erilaisia näkökulmia hyödyntäen. Menetelmän avulla kyetään kohdentamaan rajallisia resursseja siten, että niistä saatavat hyödyt olisivat mahdollisimman suuria toiminnan turvallisuuden ja jatkuvuuden kannalta.

Lisätietoja menetelmästä on saatavilla VAHTI sivustolta alla olevien linkkien kautta:

Kriittisten kohteiden luokittelu menetelmäkuvaus (pdf)

Kriittisten kohteiden luokittelu työkalun käyttöohje (pdf)

Arvionnin vaiheet kuvan löydät linkistä Kriittisten kohteiden luokittelu työkalun käyttöohje (pdf)

Lähde: VAHTI hyvät käytännöt materiaalit 2022










T03: Kriittisten palveluiden tuottamista tukevat jatkuvuus- ja varautumisvaatimukset on määritelty TASO 1

1.

Tunnista kriittisten palveluiden eri toimintatilat (esim. hyökkäyksen aikana, palautumisen aikana, normaalitilassa) ja niihin liittyvät jatkuvuus- ja varautumisvaatimukset palvelujen toteuttamien toimintaprosessien kriittisyyden näkökulmasta.

2.

Varmista, että jatkuvuus- ja varautumisvaatimukset ja niiden toteutumisen seuranta on kirjattu palvelusopimuksiin.

3.

Varmista testaamalla, että palvelutuotanto täyttää jatkuvuus- ja varautumisvaatimukset kaikissa palveluun liittyvissä toimitatiloissa.

4.

Ota huomioon Tiedonhallintalautakunnan suositus tiettyjen tietoturvallisuussäännösten soveltamisesta (Kappale 7: Vikasietoisuus ja toiminnallinen käytettävyys).

Lisätietoja

Linkit johtavat ulkoisille sivustoille.

Oletetut tuotokset

  • Kriittisyyden luokittelun myötä tunnistettu vaatimukset jatkuvuudelle ja palautumiselle

ESIMERKKI

Esimerkki: Palautumistavoitteiden määrittely

Toiminnon, prosessin tai palvelun omistaja määrittelee sen palautumistavoitteet. Jos niitä ei ole määritelty, toipumissuunnitelmat eivät välttämättä vastaa toiminnan tarpeita. Palvelutuottajat käyttävät palautumistavoitteina yleisesti sopimuksiin kirjattuja RTO- ja RPO-arvoja. Toiminnan keskeytysvaikutusanalyysin perusteella saadaan käsitys pisimmästä toiminnan sietämästä käyttökatkosta (RTO, toipumisaika) sekä siitä, kuinka pitkältä ajalta tietoa voidaan menettää (RPO, toipumispiste). Toipumispistettä määritettäessä on varauduttava siihen, että häiriön alkamisaika ei välttämättä ole oikea tiedon palautuspiste, vaan saatetaan joutua palaamaan aikaisempaan palautuspisteeseen. Palvelutuottajan pitää pystyä osoittamaan miten palautumistavoitteet saavutetaan käytännössä.

Lisätietoa kuvasta Palautumistavoitteiden määrittely löytyy seuraavasta kappaleesta

Yllä oleva kuva havainnollistaa kustannusten ja ajan suhdetta palautumistavoitteita määriteltäessä. Lyhyet palautumistavoitteet johtavat korkeisiin kustannuksiin. Esimerkkinä tästä ovat korkean käytettävyyden ratkaisut, kuten kahdennetut ympäristöt, hajautetut fyysiset ja loogiset komponentit sekä maantieteellisesti toisiaan peilaavat ratkaisut elintärkeissä järjestelmissä.

KohdePrioriteettiPalautumistavoite
Infrastruktuuri11 tunti
Kriittinen sovellus24 tuntia
Toimintaa tukeva sovellus38 tuntia
Muut sovellukset45 vuorokautta


(lightbulb) VINKKI

TOIPUMISAIKA (RTO)

Recovery Point Objective (RPO) tarkoittaa tavoitellun toipumispisteen määrittelyä. Toipumispiste määrittelee sen tilan, johon toiminta, tiedot tai järjestelmät tulee saada palautettua häiriön jälkeen. Toipumispiste ei välttämättä ole sama kuin vakavan häiriön alkamishetki, mihin toiminnasta vastaavien tahojen on varauduttava erilaisin järjestelyin

TOIPUMISPISTE (RPO)

Recovery Time Objective (RTO) tarkoittaa tavoitellun toipumisajan määrittelyä. Toipumisaika määrittelee sen ajan, sekunteina, tunteina tai päivinä, jonka kuluessa kyseessä oleva asia tai toiminto tulee saada palautettua takaisin toimintaan häiriötilanteessa.











T04: Toimintaympäristöön kohdistuvat sisäiset ja ulkoiset uhat on tunnistettu ja dokumentoitu TASO 1

1.

Tunnista kriittisiin kohteisiin liittyvät uhkatietojen tietolähteet (esim. Kyberturvallisuuskeskus) ja kerää ajantasaista tietoa kriittisiin kohteisiin liittyvistä uhista.

2.

Seuraa Kyberturvallisuuskeskuksen tiedotteita ja Kybersää-palvelua.

3.

Tutustu Suojelupoliisin turvallisuuskatsauksiin.

4.

Tunnistetut sisäiset ja ulkoiset uhat on dokumentoitu riskienhallintajärjestelmään kriittisiin kohteisiin kohdistuvien riskien tunnistamiseksi.

5.

Huomioi Tiedonhallintalautakunnan suositus tiettyjen tietoturvallisuussäännösten soveltamisesta (Kappale 6: Riskienhallinta).

6.

Hyödynnä uhkamallinnusmenetelmiä teknisten uhkien kartoittamiseen. Lisätietoa uhkamallinnuksesta löytyy Turvallisen sovelluskehityksen käsikirjasta (Liite 5: Uhkamallinnuksen toteutusohje).

7.

Huomioi myös tietosuojaa koskevat vaikutusarvioinnit.

Lisätietoja

Linkit johtavat ulkoisille sivustoille.

Oletetut tuotokset

  • Uhkatiedon lähteet määritelty

  • Listaus sisäisistä ja ulkoisista uhista digitaalisen turvallisuuden riskienhallintaa varten

  • Uhkaraportti organisaation johdolle

ESIMERKKI

Esimerkki: Uhkamallinnus

Uhkamallinnus (threat modeling tai architectural risk analysis) on menetelmä, jossa kartoitetaan arkkitehtuurin ja tietovuokaavion avulla mahdollisia sovellusturvallisuuden ja tietosuojan riskejä sekä riskien hallintamekanismeja. Uhkamallinnuksen tuloksena syntyy lista mahdollisista tietoturvaheikkouksista tai haavoittuvuuksista ja yleensä myös suoraan ehdotuksia asioista, mitä näille voisi tehdä. Tyypillisiä tuloksia ovat esimerkiksi testaustarpeet, tietyt yksittäiset testitapaukset, tarve muuttaa arkkitehtuuria tai matalamman tason suunnittelua, tai jonkin tietoturvaominaisuuden lisääminen.

Uhkamallinnus kuvan löydät linkistä Turvallisen sovelluskehityksen käsikirja

Lähde: Turvallisen sovelluskehityksen käsikirja

ESIMERKKI

Esimerkki: Kyberturvallisuuskeskuksen tiedotteesta

Varo tekstiviestitse levitettävää haittaohjelmaa kuvan löydät linkistä Kyberturvallisuuskeskuksen tiedotteesta

(lightbulb) HENKILÖTIETOIHIN KOHDISTUVIA UHKIA

TIetoturvaloukkaukset aiheuttavat uhkia myös henkilötietohin ja niiden käsittelyyn. Tietoturvaloukkauksia voivat olla esimerkiksi:

Hävinnyt tiedonsiirtoväline, kuten USB-tikku

Varastettu tietokone

Hakkerointi

Haittaohjelmatartunta

Kyberhyökkäys

Tulipalo datakeskuksessa

Tietoturvaloukkauksesta voi seurata esimerkiksi henkilötietojen valvomiskyvyn menettäminen, identiteettivarkaus tai petos, maineen vahingoittuminen tai pseudonymisoitujen tai salassapitovelvollisuuden alaisten henkilötietojen paljastuminen.  Tai kun henkilötietoihin pääsy on tilapäisesti estetty.









T05: Organisaation rooli toimitusketjussa on tunnistettu ja tiedotettu TASO 2

1.

Tunnista organisaation rooli osana toiminnan kannalta kriittisiä palvelu- ja kumppaniketjuja.

2.

Määrittele kumppaneiden tietoturvavaatimukset osaksi kumppanisopimuksia.

3.

Määrittele kumppaneiden palveluiden seuranta- ja muutoshallintamenettelyt.

4.

Tiedota organisaation roolista organisaation sisällä ja kumppaneille.

5.

Hyödynnä tiedonhallintalautakunnan suositusta tiedonhallintamallista (valtioneuvosto.fi) (Kappale 5: Toimintaympäristön kuvaus alkaa tehtävistä) organisaatio roolin ja tehtävien kuvaamisessa.

Lisätietoja

Linkit johtavat ulkoisille sivustoille.

Oletetut tuotokset

  • Sidosryhmäluettelo
  • Digitaalisen turvallisuuden vaatimukset kumppaneille










T06: Organisaation merkitys osana toimialan kriittistä infrastruktuuria on tunnistettu ja tiedotettu TASO 2

1.

Tunnista organisaation rooli osana toimialan kriittistä infrastruktuuria.

2.

Määrittele toimialan kannalta kriittiset suojattavat kohteet.

3.

Määrittele kriittisille suojattaville kohteille menettelyt, joilla varmistetaan suojattavien kohteiden toiminta kaikissa tilanteissa toimialan kriittisen infrastruktuurin vaatimusten mukaisesti.

Lisätietoja

  • NIST CSF ID.BE-2 (englanniksi)

  • ISO/IEC 27001:2022 Kappale 4.1

  • JulKri VAR-08.1

Linkit johtavat ulkoisille sivustoille.

Oletetut tuotokset

  • Tunnistettu toimialan kannalta kriittiset suojattavat kohteet








  • No labels

Voit antaa sivustoon liittyvää palautetta lähettämällä sähköpostia osoitteeseen digiturva@dvv.fi.