Top 7 tietoturvastandardia, vaatimuskehikkoa ja lakia tutuksi

Digiturvamallissa on saatavilla useita vaatimuskehikkoja, joiden tarkoituksena on auttaa organisaatioita parantamaan tietoturvaansa.

Vaatimuskehikkoja on monenlaisia esim. kansainvälisiä standardeja, paikallisia ohjelmia, EU:n asetuksia tai direktiivejä, toimialakohtaisia säädöksiä, organisaatiokohtaisia kriteeristöjä tai muita parhaita turvallisuuskäytäntöjä.

Tässä blogissa esitellään lyhyet johdannot suosituimpiin vaatimuskehikkoihin.

Viimeksi päivitetty: 4.3.2024

ISO 27001 -standardi

ISO/IEC 27001 on kansainvälinen standardi tietoturvan hallintaa varten. Siinä esitetään yksityiskohtaiset vaatimukset tietoturvan hallintajärjestelmän (ISMS) perustamista, toteuttamista, ylläpitoa ja jatkuvaa parantamista varten. Järjestelmän tavoitteena on auttaa organisaatioita parantamaan hallussaan olevan tiedon turvallisuutta.

ISO 27001 korostaa tietoturvariskien tunnistamisen ja arvioinnin merkitystä. Organisaatioiden on otettava käyttöön riskienhallintaprosesseja mahdollisten uhkien tunnistamiseksi, niiden vaikutusten arvioimiseksi ja lieventämisstrategioiden kehittämiseksi.

ISO 27001 edistää myös tietoturvan jatkuvan parantamisen kulttuuria. Säännöllinen seuranta, suorituskyvyn arviointi ja säännölliset tarkistukset auttavat organisaatioita sopeutumaan kehittyviin uhkiin ja parantamaan ISMS:n tehokkuutta.

ISO 27001 rakenne

22 vaatimusta tietoturvan hallinnalle

• 4. Organisaation toimintaympäristö
• 5. Johtaminen
• 6. Suunnittelu
• 7. Resurssit
• 8. Toiminta
• 9. Suorituskyvyn arviointi
• 10. Parantaminen

‍93 hallintakeinoa tietoturvan toteuttamiseksi‍

• 5. Hallinnolliset hallintakeinot (esim. omaisuuden hallinta, toimittajasuhteet, jatkuvuus).
• 6. Henkilöstölähtöiset hallintakeinot
• 7. Fyysiset hallintakeinot
• 8. Teknologiset hallintakeinot (esim. haavoittuvuuksien hallinta, tietoturvahäiriöiden hallinta, turvallinen konfiguraatio, sovellusturvallisuus)

ISO 27001:n erityispiirteet

• Julkaistiin alun perin vuonna 2005, päivitettiin vuonna 2013 ja uudelleen viimeksi vuonna 2022.
• Arvostettu standardi: tunnetaan kaikkialla maailmassa, ja monet muut lait, vaatimuskehikot jne. viittaavat ISO 27001:een.
• Sertifiointi saatavilla ja monia akkreditoituja auditointiyrityksiä useissa maissa.
• Saatavilla monia laajempia standardeja (ISO 27017 (pilviturvallisuus), ISO 27018 (pilvipalvelun tietosuoja), ISO 27701 (tietosuojan hallintajärjestelmä), ISO 27799 (terveydenhuolto), ISO 27031 (katastrofivalmius), ISO 27040 (storage security)).

DORA (Digital Operational Resilience Act)

Ennen DORA:a rahoituslaitoksilta vaadittiin riskien hallintaa esim. pääoman kohdentamisen näkökulmasta, mutta eikokonaisvaltaisesti operatiivisen resilienssin näkökulmasta.

DORA:n jälkeen on noudatettava myös vaatimuksia, jotka koskevat suojautumis-, havaitsemis-, eristämis-, elvytys- ja korjausvalmiuksia ICT-häiriöitä vastaan. DORA:ssa viitataan nimenomaisesti ICT-riskiin, ja siinä listataan vaatimuksia ICT-riskien hallinnasta, vaaratilanteiden raportoinnista, toiminnan häiriönsietokyvyn testauksesta sekä kolmannen osapuolen ICT-riskien seurannasta.

DORA:n rakenne

DORA sisältää yhteensä 41 vaatimusta. Pääasiallinen sisältö loppukäyttäjäorganisaatioille luvuissa II-VI.

• ICT riskienhallinta (5-16 artikla)
• ICT:hen liittyvien vaaratilanteiden hallinta, luokittelu ja raportointi (17-23 artikla).
• Digitaalisen toimintakyvyn testaus (24-27 artikla).
• Kolmannen osapuolen tieto- ja viestintätekniikkariskien hallinta (28-44 artikla).
• Tiedonjakojärjestelyt (45 artikla)

DORA:n erityispiirteet

• EU:n asetus
• Sovelletaan 17. tammikuuta 2025 alkaen
• Vaikuttaa rahoituslaitoksiin, kuten pankkeihin, vakuutusyhtiöihin tai sijoituspalveluyrityksiin ja niiden toimitusketjuihin.

NIS2-direktiivi

NIS2 (The Network and Information Systems Directive 2) on EU:n uusi lainsäädäntö tärkeiden toimialojen tietoturvasta.

Direktiivi asettaa uudet minimivaatimukset tietoturvatoimille, laajentaa alkuperäisen version soveltamisalaa, tuo käyttöön aiempaa tiukempia valvontatoimia ja säätää mahdollisista rikkomuksista johtuvista rangaistuksista. Tavoitteena on turvata Euroopan tietoinfrastruktuuri paremmin.

Erityisen tärkeää on huomata, että NIS2:ssa ei vain aseteta vaatimuksia organisaatioiden tietoturvalle, vaan siinä asetetaan ylin johto vastuuseen niiden saavuttamisesta. Laiminlyönnillä tai riittämättömällä sitoutumisella näihin vaatimuksiin voi olla merkittäviä taloudellisia seurauksia. Jos organisaatio ei osoita asianmukaista huolellisuutta vaatimusten noudattamisessa NIS2-vaatimusten mukaisesti, ylin johto voidaan saattaa henkilökohtaisesti vastuuseen puutteista.

NIS2:n rakenne

NIS2-direktiivin luvussa IV luetellaan toimijoita koskevat vaatimukset.

Luvussa IV "Tietoturvariskien hallintatoimenpiteet ja raportointivelvoitteet" on seuraavat artiklat:

• 20 - Hallinnointi: Korostaa ylimmän johdon roolia, joka on vastuussa tietoturvatoimenpiteiden toteuttamisesta.
• 21 - Kyberturvallisuusriskien hallintatoimenpiteet: Luetellaan tietoturvan osa-alueet, joita varten organisaatioilla on oltava dokumentoidut ja toteutetut toimenpiteet.
• 22 - Kriittisiä toimitusketjuja koskevat unionin tason koordinoidut turvallisuusriskinarvioinnit
• 23 - Raportointivelvoitteet: Luetellaan vaatimukset, jotka koskevat vaaratilanteiden ilmoittamista viranomaisille ja palvelujen käyttäjille.
• 24 - Eurooppalaisten kyberturvallisuuden sertifiointijärjestelmien käyttö.
• 25 - Standardisointi

NIS 2:ssa edellytetään, että organisaatioilla on dokumentoidut ja toteutetut toimenpiteet seuraavilla tietoturvan osa-alueilla:

• Riskienhallinta ja tietojärjestelmien turvallisuus
• Häiriöiden hallinta ja raportointi
• Häiriöiden havaitseminen ja kirjaaminen
• Toiminnan jatkuvuus ja varmuuskopiot
• Toimitusketjun turvallisuus ja seuranta
• Turvallinen järjestelmähankinta ja -kehitys
• Tietoturvatoimien tehokkuuden arviointi
• Tietoturvan hygieniakäytännöt ja henkilöstön tietoturvakoulutus
• Salaus
• Henkilöstöturvallisuus
• Monivaiheinen tunnistautuminen (MFA)

NIS2:n erityispiirteet

• EU:n direktiivi
• Astuu voimaan 18.10.2024
• Soveltamisalaan kuuluvat toimialat
• Toimitusketjuvaikutus laajentaa soveltamisalaa myös NIS2 -toimijoiden sidosryhmiin.

NIST CSF (1.1)

NIST Cybersecurity Framework (CSF) on joukko Yhdysvaltojen kansallisen viranomaisen parhaita tietoturvakäytäntöjä ja suosituksia. Vaatimuskehikossa esitetään joukko hyviä käytäntöjä, joiden avulla organisaatiot voivat paremmin valmistautua kyberhyökkäysten tunnistamiseen ja havaitsemiseen, sekä kyberhyökkäyksiin vastaamiseen, niiden ehkäisyyn sekä niistä toipumiseen.

Vaatimuskehikkoa pidetään laajalti esimerkillisenä standardina kyberturvallisuusohjelman rakentamisesta.

NIST CSF:n rakenne

NIST CSF sisältää yhteensä 108 vaatimusta. Nämä vaatimukset on luokiteltu viiteen ydintoimintoon: Tunnistaminen (ID), suojaaminen (PR), havaitseminen (DE), reagointi (RS) ja palautuminen (RC).

Identify (ID) -toiminto kattaa seuraavat turvallisuusnäkökohdat:

• Omaisuuden hallinta
• Liiketoimintaympäristö
• Hallinto
• Riskien arviointi
• Riskienhallintastrategia
• Toimitusketjun riskienhallinta

Protect (PR) -toiminto kattaa seuraavat turvallisuusnäkökohdat:

• Identiteetinhallinta, todennus ja pääsynvalvonta
• Tietoisuus ja koulutus
• Tietoturva
• Tietosuojaprosessit ja -menettelyt
• Ylläpito
• Ennakoiva teknologia

Detect (DE) -toiminto kattaa seuraavat turvallisuusnäkökohdat:

• Poikkeavuudet ja tapahtumat
• Turvallisuuden jatkuva seuranta
• Havaitsemisprosessit

Respond (RS) -toiminto kattaa seuraavat turvallisuusnäkökohdat:

• Reagoinnin suunnittelu
• Viestintä
• Analyysi
• Lieventäminen
• Parantaminen

Recover (RC) -toiminto kattaa seuraavat turvallisuusnäkökohdat:

• Palauttamisen suunnittelu
• Parannukset
• Viestintä

NIST CSF erityispiirteet

• Arvostettu standardi kyberturvallisuusohjelman rakentamisessa - erityisesti Pohjois-Amerikan markkinoilla.
• Monet muut viitekehykset ovat omaksuneet NIST CSF:n ydintoimintojen jaottelun: Identify-Protect-Detect-Respond-Recover
• NIST on myös julkaissut enemmän teknisiä luetteloita tietoturva- ja yksityisyydensuojan valvonnasta, esimerkiksi NIST SP 800-53 ja NIST SP 800-171.
• Julkaistu alun perin vuonna 2014, päivitetty huhtikuussa 2018 v1.1:ksi.

NIST CSF (2.0)

NIST CSF päivitetään vuoden 2024 alussa.

Tärkeimmät muutokset:

• Otetaan käyttöön kuudes ydintoiminto "Govern", jolla korostetaan hallintoon liittyviä vaatimuksia.
• Eksplisiittinen ohjeistus laajennetaan koskemaan kaikenkokoisia, -alaisia ja -kypsyystasoltaan erilaisia organisaatioita.
• Tavoitteena on antaa pienemmille yrityksille mahdollisuus hyödyntää kehystä tehokkaasti.

Cybersecurity Capability Maturity Model (C2M2)

Cybersecurity Capability Maturity Model (C2M2) auttaa organisaatioita arvioimaan kyberturvallisuusvalmiuksiaan ja optimoimaan tietoturvainvestointeja.

Vaikka Yhdysvaltain energiaministeriö ja energia-ala johtivat C2M2-mallin kehittämistä ja edistivät sen käyttöönottoa, mikä tahansa organisaatio - koosta, tyypistä tai toimialasta riippumatta - voi käyttää mallia arvioidakseen, priorisoidakseen ja parantaakseen kyberturvallisuusvalmiuksiaan.

C2M2:n rakenne

C2M2 on laaja vaatimuskehikko, jossa on yhteensä 356 vaatimusta/käytäntöä, jotka on jaettu kolmeen eri kypsyystasoon.
Taso 1 sisältää 56 vaatimusta, taso 2 yhteensä 222 ja taso 3 kaikki 356 vaatimusta.

Vaatimuskehikon sisällöt on jaettu seuraavasti:

• ASSET: 5 osiota ja 23 vaatimusta, jotka liittyvät omaisuuserien, muutosten ja kokoonpanojen hallintaan.
• THREATS: 3 osiota ja 19 uhkien ja haavoittuvuuksien hallintaan liittyvää vaatimusta.
• RISK: 5 osiota ja 23 riskienhallintaan liittyvää vaatimusta.
• ACCESS: 4 osiota ja 25 vaatimusta, jotka liittyvät identiteetin ja käyttöoikeuksien hallintaan.
• SITUATION: 4 osiota ja 16 tilannetietoisuuteen liittyvää vaatimusta.
• RESPONSE: 5 osiota ja 32 vaatimusta, jotka liittyvät tapahtumiin ja häiriötilanteisiin vastaamiseen ja toiminnan jatkuvuuteen.
• THIRD PARTIES: 3 osiota ja 14 kolmannen osapuolen riskienhallintaan liittyvää vaatimusta.
• WORKFORCE: 5 osiota ja 19 työvoiman hallintaan liittyvää vaatimusta.
• ARCHITECTURE: 6 osiota ja 36 kyberturvallisuusarkkitehtuuriin liittyvää vaatimusta.
• PROGRAM: 3 osiota ja 15 kyberturvallisuusohjelman hallintaan liittyvää vaatimusta.

C2M2:n erityispiirteet

• Jakaa kaikki käytännöt kolmeen erilliseen MIL:ään (eli kypsyystasoon), jotta organisaatiot voivat laskea ja vertailla omaa kyberturvallisuuden tasoa.
• C2M2-puitteista on luotu kansallisia sovelluksia (esim. Suomessa Kybermittari).
• MIL:t ja vaatimusten jakaminen Täysin / Suurelta osin / Osittain / Ei toteutettuun auttavat laskemaan suhteellista kypsyyttä ja vertaamaan sitä muihin organisaatioihin.

CIS Critical Security Controls v8 (CIS 18)

Center for Internet Security (CIS) Critical Security Controls (CIS) (aiemmin SANS Top 20) on priorisoitu joukko suojatoimia, joilla pyritään lieventämään järjestelmiin ja verkkoihin kohdistuvia yleisimpiä verkkohyökkäyksiä.

CIS Controls on varsin tekninen lähestymistapa tietoturvaan, ja sitä voidaan soveltaa menestyksekkäästi turvallisuuden hallintaan liittyvien kehysten, kuten ISO 27001:n tai NIST CSF:n, rinnalla teknisten suojausten vahvistamiseksi.

Vuosien mittaan CIS Controls on kehittynyt kansainväliseksi yhteisöksi, johon kuuluu vapaaehtoisia henkilöitä ja laitoksia, jotka jakavat tietoa tietoverkkouhkista, tunnistavat perimmäiset syyt ja muuttavat ne puolustustoimiksi.

CIS Controls:n rakenne

CIS Controls sisältää 18 ylätason vaatimusta, ja ne on jaettu edelleen varsinaisiin vaatimuksiin (joita kutsutaan suojatoimiksi).
CIS Controls sisältää yhteensä 163 vaatimusta/suojatoimea.

18 CIS vaatimusta ovat seuraavat:

• 01 - Yrityksen omaisuuden inventointi ja valvonta (5 suojatoimenpidettä)
• 02 - Ohjelmisto-omaisuuden inventointi ja valvonta (7 suojatoimenpidettä)
• 03 - Tietosuoja: Tietojen tunnistaminen ja luokittelu. Käsittele, säilytä ja hävitä tietoja turvallisesti. (14 suojatoimenpidettä)
• 04 - Yrityksen omaisuuden ja ohjelmistojen turvallinen konfigurointi (12 suojatoimenpidettä)
• 05 - Tilinhallinta: Käyttäjätilien valtuuksien määrittäminen ja hallinta. (6 suojatoimenpidettä)
• 06 - Kulunvalvonnan hallinta: Luo, määritä, hallitse ja peruuta käyttöoikeudet turvallisesti. (8 suojatoimenpidettä)
• 07 - Jatkuva haavoittuvuuden hallinta (7 suojatoimenpidettä)
• 08 - Tarkastuslokien hallinta (12 suojatoimenpidettä)
• 09 - Sähköpostin ja verkkoselaimen suojaus (7 suojatoimenpidettä)
• 10 - Haittaohjelmien torjunta (7 suojatoimenpidettä)
• 11 - Tietojen palauttaminen: Käytännöt, joilla yrityksen omaisuus palautetaan onnettomuutta edeltävään ja luotettuun tilaan. (5 suojatoimenpidettä)
• 12 - Verkkoinfrastruktuurin hallinta (8 suojatoimenpidettä)
• 13 - Verkon valvonta (11 suojatoimenpidettä)
• 14 - Turvallisuustietoisuutta ja -taitoja koskeva koulutus (9 suojatoimenpidettä)
• 15 - Palveluntarjoajien hallinnointi (7 suojatoimenpidettä)
• 16 - Sovellusohjelmistojen turvallisuus: Kehitettyjen tai hankittujen ohjelmistojen tietoturvan elinkaaren hallinta heikkouksien ehkäisemiseksi. (14 suojatoimenpidettä)
• 17 - Häiriötilanteiden hallinta (19 suojatoimenpidettä)
• 18 - Tunkeutumistestaus (5 suojatoimenpidettä)

CIS Controls:n erityispiirteet

• CIS Controlsin ensimmäinen versio julkaistiin vuonna 2008. Viimeisin päivitys (versio 8) julkaistiin vuonna 2021.
• Täytäntöönpanoryhmät (IG): CIS Controls on jaettu kolmeen erilliseen täytäntöönpanoryhmään - vähän kuin tasot. IG1 on määritelty "keskeiseksi kyberhygieniaksi", ja myöhemmät suojatoimet perustuvat siihen.
• Kartoitus: CIS-hallintakeinot on melko hyvin kartoitettu yhteisiin vaatimustenmukaisuuden viitekehyksiin, kuten ISO 27001 ja NIST CSF, jotta varmistetaan yhdenmukaisuus ja tuodaan yhteiset tavoitteet näkyviin.