Tavoitteet
|
Toimenpiteet toimintaympäristön tunnistamiseksi:
T01: Organisaation tehtävän, tavoitteiden ja toiminnan prioriteetit on määritetty ja tiedotettu TASO 1 |
1. | Tunnista organisaation toimintaympäristö ja tehtävä. |
2. | Määrittele organisaation toiminnan tavoitteet ja prioriteetit. |
3. | Tiedota toiminnan ja tehtävien tavoitteiden ja tehtävien prioriteetit organisaation sisällä ja tarvittaville sidosryhmille. |
4. | Toteuta kriittisyyden luokittelu tehtävän, tavoitteiden ja toiminnan prioriteettien mukaisesti. |
5. | Hyödynnä Tiedonhallintalautakunnan suositusta tiedonhallintamallista (valtioneuvosto.fi) (Kappale 5: Toimintaympäristön kuvaus alkaa tehtävistä) organisaatio roolin ja tehtävien kuvaamisessa. |
Linkit johtavat ulkoisille sivustoille. |
|
Esimerkki: Kriittisten kohteiden luokittelumenetelmä Kriittisten kohteiden tunnistamisen ja luokittelun apuna voidaan käyttää digitaalisen turvallisuuden kehittäjäverkosto VAHTI:n kehittämää menetelmää. Alla kuvatun menetelmän tavoitteena on auttaa organisaatiota tunnistamaan sellaiset suojattavat kohteet, joihin kohdistuva häiriö haittaa organisaation tehtävien, palvelujen tai tuotteiden tuottamista sekä arvioimaan näiden kriittisyyttä erilaisia näkökulmia hyödyntäen. Menetelmän avulla kyetään kohdentamaan rajallisia resursseja siten, että niistä saatavat hyödyt olisivat mahdollisimman suuria toiminnan turvallisuuden ja jatkuvuuden kannalta. Lisätietoja menetelmästä on saatavilla VAHTI sivustolta alla olevien linkkien kautta:
|
T02: Kriittisten palveluiden tuottamisen riippuvuudet ja niihin liittyvät kriittiset toiminnot on määritetty TASO 1 |
1. | Tunnista kriittisten palveluiden tuottamiseen liittyvät sidosryhmät. |
2. | Varmista, että kriittisten palveluiden tuottamiseen osallistuvat sidosryhmät tiedostavat roolinsa. |
3. | Määrittele kriittisten palveluiden tuottamiselle sidosryhmävaatimukset ja seuraa vaatimusten toteutumista, jotta kriittiset palvelut ovat käytettävissä kaikissa vaadituissa toimintatiloissa. |
4. | Varmista, että kommunikaatioketju on toimiva sidosryhmien välillä. |
5. | Hyödynnä tiedonhallintalautakunnan suositusta tiedonhallintamallista (valtioneuvosto.fi) (Kappale 5: Toimintaympäristön kuvaus alkaa tehtävistä) organisaatio roolin ja tehtävien sekä niihin liittyvien riippuvuuksien kuvaamisessa. |
Linkit johtavat ulkoisille sivustoille. |
|
Esimerkki: Kriittisten kohteiden luokittelumenetelmä Kriittisten kohteiden tunnistamisen ja luokittelun apuna voidaan käyttää digitaalisen turvallisuuden kehittäjäverkosto VAHTI:n kehittämää menetelmää. Alla kuvatun menetelmän tavoitteena on auttaa organisaatiota tunnistamaan sellaiset suojattavat kohteet, joihin kohdistuva häiriö haittaa organisaation tehtävien, palvelujen tai tuotteiden tuottamista sekä arvioimaan näiden kriittisyyttä erilaisia näkökulmia hyödyntäen. Menetelmän avulla kyetään kohdentamaan rajallisia resursseja siten, että niistä saatavat hyödyt olisivat mahdollisimman suuria toiminnan turvallisuuden ja jatkuvuuden kannalta. Lisätietoja menetelmästä on saatavilla VAHTI sivustolta alla olevien linkkien kautta: Kriittisten kohteiden luokittelu menetelmäkuvaus (pdf) Kriittisten kohteiden luokittelu työkalun käyttöohje (pdf) Lähde: VAHTI hyvät käytännöt materiaalit 2022 |
T03: Kriittisten palveluiden tuottamista tukevat jatkuvuus- ja varautumisvaatimukset on määritelty TASO 1 |
1. | Tunnista kriittisten palveluiden eri toimintatilat (esim. hyökkäyksen aikana, palautumisen aikana, normaalitilassa) ja niihin liittyvät jatkuvuus- ja varautumisvaatimukset palvelujen toteuttamien toimintaprosessien kriittisyyden näkökulmasta. |
2. | Varmista, että jatkuvuus- ja varautumisvaatimukset ja niiden toteutumisen seuranta on kirjattu palvelusopimuksiin. |
3. | Varmista testaamalla, että palvelutuotanto täyttää jatkuvuus- ja varautumisvaatimukset kaikissa palveluun liittyvissä toimitatiloissa. |
4. | Ota huomioon Tiedonhallintalautakunnan suositus tiettyjen tietoturvallisuussäännösten soveltamisesta (Kappale 7: Vikasietoisuus ja toiminnallinen käytettävyys). |
Linkit johtavat ulkoisille sivustoille. |
|
Esimerkki: Palautumistavoitteiden määrittely Toiminnon, prosessin tai palvelun omistaja määrittelee sen palautumistavoitteet. Jos niitä ei ole määritelty, toipumissuunnitelmat eivät välttämättä vastaa toiminnan tarpeita. Palvelutuottajat käyttävät palautumistavoitteina yleisesti sopimuksiin kirjattuja RTO- ja RPO-arvoja. Toiminnan keskeytysvaikutusanalyysin perusteella saadaan käsitys pisimmästä toiminnan sietämästä käyttökatkosta (RTO, toipumisaika) sekä siitä, kuinka pitkältä ajalta tietoa voidaan menettää (RPO, toipumispiste). Toipumispistettä määritettäessä on varauduttava siihen, että häiriön alkamisaika ei välttämättä ole oikea tiedon palautuspiste, vaan saatetaan joutua palaamaan aikaisempaan palautuspisteeseen. Palvelutuottajan pitää pystyä osoittamaan miten palautumistavoitteet saavutetaan käytännössä. Yllä oleva kuva havainnollistaa kustannusten ja ajan suhdetta palautumistavoitteita määriteltäessä. Lyhyet palautumistavoitteet johtavat korkeisiin kustannuksiin. Esimerkkinä tästä ovat korkean käytettävyyden ratkaisut, kuten kahdennetut ympäristöt, hajautetut fyysiset ja loogiset komponentit sekä maantieteellisesti toisiaan peilaavat ratkaisut elintärkeissä järjestelmissä.
|
VINKKI TOIPUMISAIKA (RTO) Recovery Point Objective (RPO) tarkoittaa tavoitellun toipumispisteen määrittelyä. Toipumispiste määrittelee sen tilan, johon toiminta, tiedot tai järjestelmät tulee saada palautettua häiriön jälkeen. Toipumispiste ei välttämättä ole sama kuin vakavan häiriön alkamishetki, mihin toiminnasta vastaavien tahojen on varauduttava erilaisin järjestelyin TOIPUMISPISTE (RPO) Recovery Time Objective (RTO) tarkoittaa tavoitellun toipumisajan määrittelyä. Toipumisaika määrittelee sen ajan, sekunteina, tunteina tai päivinä, jonka kuluessa kyseessä oleva asia tai toiminto tulee saada palautettua takaisin toimintaan häiriötilanteessa. |
T04: Toimintaympäristöön kohdistuvat sisäiset ja ulkoiset uhat on tunnistettu ja dokumentoitu TASO 1 |
1. | Tunnista kriittisiin kohteisiin liittyvät uhkatietojen tietolähteet (esim. Kyberturvallisuuskeskus) ja kerää ajantasaista tietoa kriittisiin kohteisiin liittyvistä uhista. |
---|---|
2. | Seuraa Kyberturvallisuuskeskuksen tiedotteita ja Kybersää-palvelua. |
3. | |
4. | Tunnistetut sisäiset ja ulkoiset uhat on dokumentoitu riskienhallintajärjestelmään kriittisiin kohteisiin kohdistuvien riskien tunnistamiseksi. |
5. | Huomioi Tiedonhallintalautakunnan suositus tiettyjen tietoturvallisuussäännösten soveltamisesta (Kappale 6: Riskienhallinta). |
6. | Hyödynnä uhkamallinnusmenetelmiä teknisten uhkien kartoittamiseen. Lisätietoa uhkamallinnuksesta löytyy Turvallisen sovelluskehityksen käsikirjasta (Liite 5: Uhkamallinnuksen toteutusohje). |
7. | Huomioi myös tietosuojaa koskevat vaikutusarvioinnit. |
Linkit johtavat ulkoisille sivustoille. |
|
Esimerkki: Uhkamallinnus Uhkamallinnus (threat modeling tai architectural risk analysis) on menetelmä, jossa kartoitetaan arkkitehtuurin ja tietovuokaavion avulla mahdollisia sovellusturvallisuuden ja tietosuojan riskejä sekä riskien hallintamekanismeja. Uhkamallinnuksen tuloksena syntyy lista mahdollisista tietoturvaheikkouksista tai haavoittuvuuksista ja yleensä myös suoraan ehdotuksia asioista, mitä näille voisi tehdä. Tyypillisiä tuloksia ovat esimerkiksi testaustarpeet, tietyt yksittäiset testitapaukset, tarve muuttaa arkkitehtuuria tai matalamman tason suunnittelua, tai jonkin tietoturvaominaisuuden lisääminen. |
Esimerkki: Kyberturvallisuuskeskuksen tiedotteesta |
HENKILÖTIETOIHIN KOHDISTUVIA UHKIA TIetoturvaloukkaukset aiheuttavat uhkia myös henkilötietohin ja niiden käsittelyyn. Tietoturvaloukkauksia voivat olla esimerkiksi: Hävinnyt tiedonsiirtoväline, kuten USB-tikku Varastettu tietokone Hakkerointi Haittaohjelmatartunta Kyberhyökkäys Tulipalo datakeskuksessa Tietoturvaloukkauksesta voi seurata esimerkiksi henkilötietojen valvomiskyvyn menettäminen, identiteettivarkaus tai petos, maineen vahingoittuminen tai pseudonymisoitujen tai salassapitovelvollisuuden alaisten henkilötietojen paljastuminen. Tai kun henkilötietoihin pääsy on tilapäisesti estetty. |
T05: Organisaation rooli toimitusketjussa on tunnistettu ja tiedotettu TASO 2 |
1. | Tunnista organisaation rooli osana toiminnan kannalta kriittisiä palvelu- ja kumppaniketjuja. |
2. | Määrittele kumppaneiden tietoturvavaatimukset osaksi kumppanisopimuksia. |
3. | Määrittele kumppaneiden palveluiden seuranta- ja muutoshallintamenettelyt. |
4. | Tiedota organisaation roolista organisaation sisällä ja kumppaneille. |
5. | Hyödynnä tiedonhallintalautakunnan suositusta tiedonhallintamallista (valtioneuvosto.fi) (Kappale 5: Toimintaympäristön kuvaus alkaa tehtävistä) organisaatio roolin ja tehtävien kuvaamisessa. |
Linkit johtavat ulkoisille sivustoille. |
|
T06: Organisaation merkitys osana toimialan kriittistä infrastruktuuria on tunnistettu ja tiedotettu TASO 2 |
1. | Tunnista organisaation rooli osana toimialan kriittistä infrastruktuuria. |
2. | Määrittele toimialan kannalta kriittiset suojattavat kohteet. |
3. | Määrittele kriittisille suojattaville kohteille menettelyt, joilla varmistetaan suojattavien kohteiden toiminta kaikissa tilanteissa toimialan kriittisen infrastruktuurin vaatimusten mukaisesti. |
Linkit johtavat ulkoisille sivustoille. |
|