Tavoitteet
|
Toimenpiteet tietojärjestelmien hankintaan ja niiden elinkaari:
Huom! | TASO 1 > TASO 2 |
---|---|
Toimenpiteet on jaoteltu kahdelle tasolle siten, että perustason toimenpiteet toimivat pohjana edistyneemmän tason toimenpiteille. TASO 1: Perustason kyvykkyydet TASO 2: Edistyneemmät kyvykkyydet |
S24: Kehitys- ja testausympäristöt ovat erillään tuotantoympäristöistä TASO 1 |
1. | Varmista, että kehitys-, testaus- ja tuotantoympäristöt ovat eriytetty toisistaan. |
2. | Varmista, ettei tuotantoympäristössä tehdä kehitys- ja testausympäristöissä tehtäviä toimenpiteitä. |
3. | Varmista, että ympäristöjen eriyttäminen on otettu huomioon kumppanisopimuksissa |
4. | Tutustu myös seuraaviin ohjeisiin:
|
.
Linkit johtavat ulkoisille sivustoille. |
|
S25: Tietojärjestelmät on määritelty tarjoamaan ainoastaan toiminnan kannalta välttämättömät ominaisuudet TASO 2 |
1. | Kuvaa tietojärjestelmän toiminnalliset vaatimukset ja niiden perusteella poistetaan järjestelmästä ylimääräinen toiminnallisuus. |
2. | Määrittele tietojärjestelmien käyttövaltuudet roolipohjaisesti. |
3. | Määrittele rooleille vähimmäisoikeudet, joilla roolin mukaiset tehtävät voidaan suorittaa. |
4. | Salli pääsy ainoastaan niihin tietoverkkoihin ja tietojenkäsittelypalveluihin, joihin roolille on nimenomaisesti myönnetty pääsyoikeus. |
5. | Huomio tietosuojan vaikutusarviointi |
Linkit johtavat ulkoisille sivustoille. |
|
Esimerkkejä: Hankintojen tietoturva- ja tietosuojavaatimuksista:
|
TIETOSUOJAN VAIKUTUSARVIOINNISTA Tietosuojaa koskeva vaikutustenarviointi on pakollinen aina, kun käsittelyyn liittyy henkilön oikeuksien ja vapauksien kannalta suuri riski, esim. uusia tekniikoita käytettäessä. Tällainen suuri riski on olemassa silloin, kun
|
S26: Järjestelmien kehittämisen elinkaari järjestelmien hallitsemiseksi on määritelty TASO 2 |
1. | Kuvaa yhteistyössä järjestelmätoimittajien kanssa jokaisen järjestelmän kehittämisen elinkaarimalli (Software Development Lifecycle, SDLC) järjestelmien hallitsemiseksi (esim. DevSecOps-malli). |
2. | Ota SDLC huomioon uusia järjestelmiä hankittaessa ja sopimuksia uusittaessa. |
3. | Tutustu myös seuraaviin ohjeisiin ja suosituksiin:
|
Linkit johtavat ulkoisille sivustoille. |
|
Esimerkki: DevSecOps:n mukaisista ohjelmistokehitys- ja ylläpitovaiheista ja niihin liittyvistä tietoturvakontrolleista DevOps eli autonomisten kehitys- ja tuotantoaikaisista toimenpiteistä vastaavien tiimien luominen on digitaalisen turvallisuuden kannalta lähes aina positiivinen asia. DevOps-kypsyyden parantaminen on tämän vuoksi suositeltavaa. Digitaalisen turvallisuuden yhteydessä käytetään enenevässä määrin termiä DevSecOps, jolla viitataan siihen, että tuotetiimillä on vastuuta ohjelmistokehityksen (Dev) ja käytönaikaisten toimenpiteiden (Ops) lisäksi myös tietoturvasta (Sec) |