View Source

2 Suojautuminen (”Miten suojaudumme uhilta?”)

Suojautumisvaiheen tavoitteena on, että organisaatio suojaa tunnistetut kohteet, kuten tietojärjestelmät, tietovarannot ja tiedot riskienhallinnan keinoin tunnistetuilta uhilta ja riskeiltä. Käytännössä tämä tarkoittaa muun muassa identiteetin- ja pääsynhallinnan, tietoverkkojen turvallisuuden, tietoturvallisuuden, tietoturvateknologian suunnittelua ja toteuttamista suhteessa tunnistettuihin riskeihin sekä näiden toimenpiteiden dokumentointia ja kuvaamista.

Suojaamisen kannalta olennaista on ottaa huomioon erilaiset vaatimukset ja tietoturvaratkaisut tietojärjestelmien, palveluiden ja näitä tukevan infrastruktuurin elinkaaren kaikissa vaiheissa aina kehityksestä ylläpitoon ja päättämiseen.

Koska suojattavien kohteiden tietoturva- ja tietosuojavaatimukset vaihtelevat käsiteltävän tiedon ja toimintaympäristön mukaisesti, on erityisen tärkeätä tunnistaa oman organisaation toimintaan ja tietoon kohdistuvat vaatimukset kohdassa viitekehyksen kohdassa Tunnistaminen.

Viitekehyksessä esitellyt suojaustoimenpiteet ovat kansainvälisistä tietoturvallisuuden, kyberturvallisuuden ja digitaalisen turvallisuuden standardeista johdettuja toimenpiteitä, joiden avulla organisaation on mahdollista rakentaa suojaustaan kokonaisuutena erillisten ratkaisujen sijaan.

HUOM! Yksittäisten suojattavien kohteiden suojaustoimenpiteet on aina syytä määrittää riskiarvion ja tunnistettujen vaatimusten perusteella.

TUNNISTAMINEN	SUOJAUTUMINEN	HAVAINNOINTI	REAGOINTI	PALAUTUMINEN
Toimintaympäristön tunnistaminen	Identiteetin- ja pääsynhallinta	Poikkeamanhallinnan organisointi	Poikkeamien analysointi	Poikkeamista toipuminen
Suojattavan omaisuuden hallinta	Tietoisuus ja koulutus	Poikkeamien havaitseminen	Tietoturvatiedon jakaminen ja viestintä	Viestintä
Digitaalisen turvallisuuden hallinta	Tiedon suojaus		Poikkeamien käsittely	Jatkotoimenpiteet
Riskienhallinta	Tietojenkäsittely-ympäristöjen suojaus
	Tietojärjestelmien hankinta ja elinkaari
	Muutoshallinta
	Fyysisen toimintaympäristön suojaus
	Jatkuvuus ja varautuminen

Käyttövaltuuksia ja -oikeuksia myönnetään, hallitaan, katselmoidaan ja poistetaan valtuutetuille laitteille, käyttäjille ja prosesseille
Fyysistä pääsyä suojattaviin kohteisiin hallitaan ja suojataan
Etäkäyttöä hallitaan
Käyttövaltuuksia ja -oikeuksia hallinnoidaan vähimmäisoikeuksien ja työtehtävien eriyttämisen periaatteilla
Identiteetti todennetaan ja sidotaan käyttäjätunnuksiin
Käyttäjät, laitteet ja muut resurssit tunnistetaan
Digitaalinen turvallisuus huomioidaan henkilöstöhallintaprosesseissa

Ylin johto ymmärtää digitaalisen turvallisuuden roolinsa ja vastuunsa
Kaikki käyttäjät saavat koulutusta ja tiedotusta digitaalisesta turvallisuudesta
Korotettujen oikeuksien käyttäjät ymmärtävät digitaalisen turvallisuuden roolinsa ja vastuunsa
Fyysisen ja digitaalisen turvallisuuden henkilöstö ymmärtää roolinsa ja vastuunsa
Kolmansien osapuolten sidosryhmät ymmärtävät digitaalisen turvallisuuden roolinsa ja vastuunsa

Tieto on suojattu tallennettaessa suhteessa tunnistettuihin riskeihin
Tieto on suojattu siirrettäessä suhteessa tunnistettuihin riskeihin
Suojattavan tiedon siirtoa, luovutusta ja tuhoamista hallinnoidaan muodollisen menettelyn avulla suhteessa tunnistettuihin riskeihin (esim. tietoturva-, tietosuoja- ja organisaatioriskit)
Siirrettävät tietovälineet on suojattu ja niiden käyttöä rajoitetaan sovittujen käytäntöjen mukaisesti
Tietojen varmuuskopiointi määritetään, suoritetaan ja testataan
Auditointi- ja lokitiedot on määritetty, dokumentoidu ja tarkastettu sovittujen käytäntöjen mukaisesti

Informaatioteknologian (IT, Information Technology) sekä tuotantoverkkojen ja -järjestelmien (OT, Operational Technology) peruskonfiguraatio luodaan ja ylläpidetään mukaan lukien turvallisuusperiaatteet
Kriittisten tietojenkäsittely-ympäristöjen ja -palveluiden saatavuus varmistetaan
Tietoverkot ja niiden eheys on suojattu
Eheyskontrolleja käytetään ohjelmistojen, laitteiden, laiteohjelmistojen ja tietojen eheyden tarkistamiseen
Kontrollit tiedon luottamuksellisuuden varmistamiseksi on toteutettu suhteessa tunnistettuihin riskeihin

Tietojärjestelmät on määritelty tarjoamaan ainoastaan toiminnan kannalta välttämättömät ominaisuudet
Järjestelmien kehittämisen elinkaari järjestelmien hallitsemiseksi on määritelty
Kehitys- ja testausympäristöt ovat erillään tuotantoympäristöistä

Muutoshallintaprosessi on määritelty
Organisaation suojattavan omaisuuden ylläpito ja niihin liittyvät korjaukset suoritetaan ja kirjataan hyväksytyillä ja valvotuilla työkaluilla

Organisaation fyysistä toimintaympäristöä koskevat käytännöt ja määräykset täyttyvät

Jatkuvuus- ja varautumissuunnitelmat on toteutettu ja hallittu
Jatkuvuus- ja varautumissuunnittelu ja niiden testaus toteutetaan toimittajien ja kolmansien osapuolten kanssa
Jatkuvuus- ja varautumissuunnitelmia testataan

dfsdfsd

Toimintaympäristön tunnistaminen

Identiteetin- ja pääsynhallinta

Poikkeamanhallinnan organisointi

Poikkeamien analysointi

Poikkeamista toipuminen

Suojattavan omaisuuden hallinta

Tietoisuus ja koulutus

Poikkeamien havaitseminen

Tietoturvatiedon jakaminen ja viestintä

Viestintä

Digitaalisen turvallisuuden hallinta

Tiedon suojaus

Poikkeamien käsittely

Jatkotoimenpiteet

Riskienhallinta

Tietojenkäsittely-ympäristöjen suojaus

Tietojärjestelmien hankinta ja elinkaari

Muutoshallinta

Fyysisen toimintaympäristön suojaus

Jatkuvuus ja varautuminen

Käyttövaltuuksia ja -oikeuksia myönnetään, hallitaan, katselmoidaan ja poistetaan valtuutetuille laitteille, käyttäjille ja prosesseille

Fyysistä pääsyä suojattaviin kohteisiin hallitaan ja suojataan

Etäkäyttöä hallitaan

Käyttövaltuuksia ja -oikeuksia hallinnoidaan vähimmäisoikeuksien ja työtehtävien eriyttämisen periaatteilla

Identiteetti todennetaan ja sidotaan käyttäjätunnuksiin

Käyttäjät, laitteet ja muut resurssit tunnistetaan

Digitaalinen turvallisuus huomioidaan henkilöstöhallintaprosesseissa

Ylin johto ymmärtää digitaalisen turvallisuuden roolinsa ja vastuunsa

Kaikki käyttäjät saavat koulutusta ja tiedotusta digitaalisesta turvallisuudesta

Korotettujen oikeuksien käyttäjät ymmärtävät digitaalisen turvallisuuden roolinsa ja vastuunsa

Fyysisen ja digitaalisen turvallisuuden henkilöstö ymmärtää roolinsa ja vastuunsa

Kolmansien osapuolten sidosryhmät ymmärtävät digitaalisen turvallisuuden roolinsa ja vastuunsa

Tieto on suojattu tallennettaessa suhteessa tunnistettuihin riskeihin

Tieto on suojattu siirrettäessä suhteessa tunnistettuihin riskeihin

Suojattavan tiedon siirtoa, luovutusta ja tuhoamista hallinnoidaan muodollisen menettelyn avulla suhteessa tunnistettuihin riskeihin (esim. tietoturva-, tietosuoja- ja organisaatioriskit)

Siirrettävät tietovälineet on suojattu ja niiden käyttöä rajoitetaan sovittujen käytäntöjen mukaisesti

Tietojen varmuuskopiointi määritetään, suoritetaan ja testataan

Auditointi- ja lokitiedot on määritetty, dokumentoidu ja tarkastettu sovittujen käytäntöjen mukaisesti

Informaatioteknologian (IT, Information Technology) sekä tuotantoverkkojen ja -järjestelmien (OT, Operational Technology) peruskonfiguraatio luodaan ja ylläpidetään mukaan lukien turvallisuusperiaatteet

Kriittisten tietojenkäsittely-ympäristöjen ja -palveluiden saatavuus varmistetaan

Tietoverkot ja niiden eheys on suojattu

Eheyskontrolleja käytetään ohjelmistojen, laitteiden, laiteohjelmistojen ja tietojen eheyden tarkistamiseen

Kontrollit tiedon luottamuksellisuuden varmistamiseksi on toteutettu suhteessa tunnistettuihin riskeihin

Tietojärjestelmät on määritelty tarjoamaan ainoastaan toiminnan kannalta välttämättömät ominaisuudet

Järjestelmien kehittämisen elinkaari järjestelmien hallitsemiseksi on määritelty

Kehitys- ja testausympäristöt ovat erillään tuotantoympäristöistä

Muutoshallintaprosessi on määritelty

Organisaation suojattavan omaisuuden ylläpito ja niihin liittyvät korjaukset suoritetaan ja kirjataan hyväksytyillä ja valvotuilla työkaluilla

Organisaation fyysistä toimintaympäristöä koskevat käytännöt ja määräykset täyttyvät

Jatkuvuus- ja varautumissuunnitelmat on toteutettu ja hallittu

Jatkuvuus- ja varautumissuunnittelu ja niiden testaus toteutetaan toimittajien ja kolmansien osapuolten kanssa

Jatkuvuus- ja varautumissuunnitelmia testataan