Tavoitteet
|
Toimenpiteet suojattavan omaisuuden hallintaan:
Huom! | TASO 1 > TASO 2 |
---|---|
Toimenpiteet on jaoteltu kahdelle tasolle siten, että perustason toimenpiteet toimivat pohjana edistyneemmän tason toimenpiteille. TASO 1: Perustason kyvykkyydet TASO 2: Edistyneemmät kyvykkyydet |
T07: Organisaatio on tunnistanut fyysisen tietojenkäsittely-ympäristönsä (laitteet, järjestelmät, tietovarannot) TASO 1 |
1. | Hyödynnä automaatiota ja työkaluja organisaation verkkoon kytkettyjen laitteiden tunnistamiseen. |
2. | Määrittele laitteille ja järjestelmille omistaja. |
3. | Ylläpidä laiterekisteriä. |
4. | Luokittele tunnistetut laitteet niiden toiminnan kriittisyyden mukaan. |
Linkit johtavat ulkoisille sivustoille. |
|
VINKKI TIETOJENKÄSITTELY-YMPÄRISTÖN TUNNISTAMISESTA
|
T08: Organisaatio on tunnistanut ohjelmistoalustat, ohjelmistot, tietojärjestelmät ja tietovarannot TASO 1 |
1. | Hyödynnä automaatiota ja työkaluja organisaation käytössä olevien ohjelmistojen sekä järjestelmien tunnistamiseen. |
2. | Ylläpidä rekisteriä tietojärjestelmistä, tietovarannoista ja ohjelmistoista sekä niiden toimittajista ja sopimuksista. |
3. | Määrittele tietojärjestelmille, tietovarannoille ja ohjelmistoille omistaja. |
4. | Varmista, että tietojärjestelmät, tietovarannot ja ohjelmistot ovat toimittajan ylläpidon piirissä. |
5. | Luokittele tietojärjestelmät, tietovarannot ja ohjelmistot niiden toiminnan kriittisyyden mukaan. |
6. | Tiedonhallintalautakunnan suositus tiedonhallintamallista -sivustolta löydät suosituksen sekä työkalun tiedonhallintamallin laatimiseen. |
7. | Määrittele sallitut ohjelmistot ja estä luvattomien ohjelmien asennus. |
8. | Tunnista tietojärjestelmät ja tietovarannot, joissa käsitellään organisaation vastuulla olevaa henkilötietoa. |
Linkit johtavat ulkoisille sivustoille. |
|
VINKKI OHJELMISTOJEN TUNNISTAMISESTA
|
T09: Organisaatio on tunnistanut tietovirtansa TASO 1 |
1. | Tunnista organisaatioon saapuvat ja sieltä lähtevät tietovirrat. |
2. | Määrittele toiminnan kannalta kriittiset tietovirrat. |
3. | Määrittele tiedonsiirtopolitiikka eri luokittelutasoisille tiedoille. |
4. | Ylläpidä tietoa tietovirroista ja niissä siirrettävistä tiedoista. |
5. | Tunnista henkilötietoa sisältävät tietovirrat, missä henkilötietoa käsittellään ja ketkä. |
6. | Huomioi Tiedonhallintalautakunnan suositus tiedonhallintamallista ja mitä siinä suositellaan kuvaamaan liittymistä ja tiedonsiirtotavoista. |
7. | Huomioi myös Tiedonhallintalautakunnan suositus tiettyjen tietoturvallisuussäännösten soveltamisesta (Kappale 10.1: Organisaatioiden sisäinen ja niiden välinen tietojensiirto). |
Linkit johtavat ulkoisille sivustoille. |
Tietovirtaluettelo
|
Esimerkki: Yksinkertaistettu esimerkki tietovirtojen kuvaamisesta
Esimerkissä on erotettu sisäiset ja ulkoiset tietovirrat. Tietovirroille suositellaan annettavaksi yksilöllinen tunniste ja tietovirtoihin voi lisätä digitaalisen turvallisuuden kannalta oleellisia tietoja, kuten viittaukset tietovirran sisältämien tietojen tarkempiin kuvauksiin, siirtosekvenssiin ja tiedon luokitteluun sekä kriittisyyteen toiminnan kannalta. |
HENKILÖTIETOJA SISÄLTÄVÄT TIETOVIRRAT JA AUTOMAATTINEN HENKILÖTIETOJEN KÄSITTELY Henkilötiedon käsittely tarkoittaa esimerkiksi henkilötietojen keräämistä, säilyttämistä, käyttöä, siirtämistä ja luovuttamista. Kaikki henkilötietoihin kohdistuvat toimenpiteet henkilötietojen käsittelyn suunnittelusta henkilötietojen poistamiseen ovat henkilötietojen käsittelyä. Käsittelyn aikana henkilötiedot kulkevat organisaation sisällä useiden tietojärjestelmien, prosessien sekä roolien läpi. Sen lisäksi henkilötieto voi myös kulkea useiden yritysten tai organisaatioiden läpi. Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön, jota kutsutaan myös rekisteröidyksi. Henkilötietoja ovat muun muassa:
Henkilöillä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn. Tähän sääntöön on kuitenkin joitakin poikkeuksia, esimerkiksi tapauksissa, joissa henkilö on antanut nimenomaisen suostumuksensa automaattiseen päätökseen. Tähän eivät sisälly tapaukset, joissa automaattinen päätös perustuu lakiin, jolloin organisaation on:
|
T10: Tunnistetut suojattavat kohteet on luokiteltu niiden kriittisyyden ja toiminta-arvon perusteella TASO 1 |
1. | Määrittele kriittisyyden luokittelumenetelmä suojattavan kohteiden (resurssit, kuten laitteisto, tieto, henkilöstö ja järjestelmät) kriittisyyden määrittämiseksi. |
2. | Tunnista toiminnan kannalta kriittiset suojattavat kohteet ja määrittele niille suojakontrollit niiden kriittisyyden sekä niissä käsiteltävien tietojen luokittelun perusteella. |
Linkit johtavat ulkoisille sivustoille. |
|
Esimerkki : Kriittisten kohteiden luokittelumenetelmä Kriittisten kohteiden tunnistamisen ja luokittelun apuna voidaan käyttää digitaalisen turvallisuuden kehittäjäverkosto VAHTI:n kehittämää menetelmää. Alla kuvatun menetelmän tavoitteena on auttaa organisaatiota tunnistamaan sellaiset suojattavat kohteet, joihin kohdistuva häiriö haittaa organisaation tehtävien, palvelujen tai tuotteiden tuottamista sekä arvioimaan näiden kriittisyyttä erilaisia näkökulmia hyödyntäen. Menetelmän avulla kyetään kohdentamaan rajallisia resursseja siten, että niistä saatavat hyödyt olisivat mahdollisimman suuria toiminnan turvallisuuden ja jatkuvuuden kannalta. Lisätietoja menetelmästä on saatavilla VAHTI sivustolta alla olevien linkkien kautta:
Lähde: VAHTI hyvät käytännöt materiaalit 2022 |