Tavoitteet
|
Toimenpiteet tiedon suojaukseen:
Huom! | TASO 1 > TASO 2 |
---|---|
Toimenpiteet on jaoteltu kahdelle tasolle siten, että perustason toimenpiteet toimivat pohjana edistyneemmän tason toimenpiteille. TASO 1: Perustason kyvykkyydet TASO 2: Edistyneemmät kyvykkyydet |
S13: Tieto on suojattu siirrettäessä suhteessa tunnistettuihin riskeihin TASO 1 |
1. | Määrittele tiedonsuojausmenetelmät, joilla tieto suojataan siirrettäessä tiedon luokittelun ja tyypin (esim. turvallisuusluokiteltavat ja henkilötiedot) mukaisesti. |
2. | Tutustu myös seuraaviin ohjeisiin ja suosituksiin tiedon ja viestinnän suojaukseen ja salaukseen liittyen:
|
Linkit johtavat ulkoisille sivustoille. |
|
VINKKI TIEDON SALAUKSESTA SIIRRETTÄESSÄ
|
S14: Suojattavan tiedon siirtoa, luovutusta ja tuhoamista hallinnoidaan muodollisen menettelyn avulla suhteessa tunnistettuihin riskeihin (esim. tietoturva-, tietosuoja- ja organisaatioriskit) TASO 1 |
1. | Määrittele menettelytavat koko tiedon elinkaaren eri vaiheisiin kattaen tiedon siirron, luovutuksen ja tuhoamisen. |
2. | Määrittele tiedolle tuhoamiskäytännöt osaksi tiedon elinkaarenhallintaa tiedon luokittelun mukaisesti. |
3. | Tuhoa tiedot käytäntöjen mukaisesti säilytysajan tai käyttötarpeen päättyessä. |
4. | Huomioi henkilötietojen elinkaari. |
5. | Varmista, että tiedot tuhotaan menetelmillä, joilla estetään tiedon kokoaminen uudelleen kokonaan tai osittain. |
6. | Tutustu myös seuraaviin ohjeisiin ja suosituksiin:
|
Linkit johtavat ulkoisille sivustoille. |
|
VINKKI Lähde: Valtiovarainministeriö |
SISÄÄNRAKENNETTU JA OLETUSARVOINEN TIETOSUOJA Sisäänrakennettu tietosuoja tarkoittaa, että organisaation on huomioitava tietosuoja henkilötietojen uusien käsittelytapojen suunnittelun alkuvaiheessa. Tämän periaatteen mukaisesti rekisterinpitäjän on toteutettava kaikki tarvittavat tekniset ja organisatoriset toimenpiteet tietosuojaperiaatteiden toteuttamiseksi ja henkilöiden oikeuksien suojelemiseksi. Nämä toimenpiteet voivat sisältää esimerkiksi salanimen käytön. Oletusarvoinen tietosuoja tarkoittaa, että organisaation on aina tehtävä yksityisyyden kunnioittamisesta oletusasetus. Esimerkiksi jos järjestelmän asetuksissa on kaksi mahdollista yksityisyysasetusta ja yksi näistä estää muiden henkilöiden pääsyn henkilötietoihin, tätä olisi käytettävä oletusasetuksena. |
S15: Siirrettävät tietovälineet on suojattu ja niiden käyttöä rajoitetaan sovittujen käytäntöjen mukaisesti TASO 1 |
1. | Laadi ja jalkauta siirrettävien tietovälineiden (tietokoneet, mobiililaitteet, siirrettävät muistit jne.) hallinnan ohjeistus tiedon luokittelun mukaisesti. |
2. | Suojaa siirrettävät tietovälineet tiedon luokittelun mukaisesti (esim. kiintolevyjen ja muistien salaus). |
3. | Tutustu myös seuraaviin ohjeisiin ja suosituksiin:
|
Linkit johtavat ulkoisille sivustoille. |
|
VINKKI SIIRRETTÄVIEN TIETOVÄLINEIDEN SALAUKSESTA
|
S16: Tietojen varmuuskopiointi määritetään, suoritetaan ja testataan TASO 1 |
1. | Määrittele varmuuskopiointiperiaatteet kaikille toiminnan kannalta kriittisille tiedoille, ohjelmistoille ja järjestelmille. |
2. | Ota säännöllisesti varmuuskopiot varmuuskopioitavista kohteista. |
3. | Testaa säännöllisesti varmuuskopioiden palautuksen toimivuus. |
4. | Ota varmuuskopiointivaatimukset huomioon kumppanisopimuksissa. |
5. | Huomioi henkilötietojen käsittely varmuuskopioinnissa. |
6. | Katso myös Tiedonhallintalautakunnan suositus tiettyjen tietoturvallisuussäännösten soveltamisesta (Kappale 5: Tiedon elinkaaren huomioiminen tietojärjestelmissä). |
Linkit johtavat ulkoisille sivustoille. |
|
S17: Auditointi- ja lokitiedot on määritetty, dokumentoitu ja tarkastettu sovittujen käytäntöjen mukaisesti TASO 1 |
1. | Määrittele organisaation lokipolitiikka, jonka perusteella tallennetaan lokeihin käyttäjien suorittamat toiminnot, tapahtuneet poikkeamat, virheet ja tietoturvatapahtumat. |
2. | Suojaa lokitiedot ja niiden kirjauspalvelut peukaloinnilta ja luvattomalta pääsyltä (huomioi myös pääkäyttäjälokit). |
3. | Huomioi myös lokivaatimukset henkilötietojen keräämisessä. |
4. | Määrittele lokitietojen elinkaari riittävän pitkäksi, jotta ne toimivat tarvittaessa evidenssinä. |
5. | Varmista sopimuksilla, että kumppaneiden lokitus täyttää organisaation lokivaatimukset. |
6. | Tutustu myös seuraaviin ohjeisiin ja suosituksiin: Lokien keräys ja käyttö (Traficom). Tiedonhallintalautakunnan suositus tiettyjen tietoturvallisuussäännösten soveltamisesta (Kappale 14: Lokitietojen kerääminen). |
Linkit johtavat ulkoisille sivustoille. |
|
HENKILÖTIEDOT LOKIENKERÄYKSESSÄ Lokitietojen tulee olla vain niihin oikeutettujen käytössä, eli lokitietoihin pääsy tulee rajoittaa käyttövaltuushallinnan kautta vain niille, joiden työtehtävään on organisaation toimesta määritelty lokienhallinnan kuuluvan. |
S18: Tieto on suojattu tallennettaessa suhteessa tunnistettuihin riskeihin TASO 2 |
1. | Määrittele tiedonsuojausmenetelmät, joilla tieto suojataan tallennettaessa tiedon luokittelun mukaisesti. |
2. | Huomioi myös henkilötietojen suojaus. |
3. | Tutustu myös seuraaviin ohjeisiin ja suosituksiin:
|
Linkit johtavat ulkoisille sivustoille. |
|
VINKKI TIEDON SALAUKSESTA TALLENNETTAESSA
|