Seuraava webinaari
"
Pääkäyttäjäkoulutus (osa 5/5): Hallintajärjestelmän operointi, kehittäminen ja raportointi
"
alkaa
00
pv
00
h
00
min
päästä  
Digiturvamalli
Digiturvamallin sisältökirjastoTekninen tietoturvaSalaus

Aineiston välitys postilla tai kuriirilla (ST III)

Kun salassa pidettäviä tietoja siirretään fyysisesti suojattujen alueiden ulkopuolella, pyritään tiedot ensisijaisesti siirtämään tietoverkon yli sähköisesti viranomaisen hyväksymillä salaustuotteilla suojattuina.

Jos edellä mainittua menettelyä ei käytetä:

 • salassa pidettävät tiedot kuljetetaan joko viranomaisen hyväksymillä salaustuotteilla suojatuilla sähköisillä välineillä (kuten USB-muistitikut, CD-levyt, kiintolevyt) tai
 • muissa tapauksissa viranomaisen ohjeita noudattaen

Lisäksi suojaustasolla III toteutetaan alla mainitut toimenpiteet:

 • Organisaatiossa on tunnistettu vaatimukset ja toteutettu menettelyt erityissuojattavien tietoaineistojen (esimerkiksi salausavaimet) välittämiseksi.
 • Aineisto pakataan suljettavaan kaksinkertaiseen kirjekuoreen tai vastaavaan. Pakkauksen ulkokuoressa ei saa olla merkintää suojaustasosta eikä pakkaus saa ulkoisesti muuten paljastaa sen sisältävän salassa pidettävää aineistoa (kirjekuorien tai vastaavien on oltava läpinäkymättömiä).
 • Aineisto toimitetaan kotimaassa viranomaisen erillishyväksyntään pohjautuen kirjattuna kirjeenä tai viranomaisen ko. suojaustasolle hyväksymän kuriirimenettelyn mukaisesti. Ulkomaille toimitus postin välityksellä voi tapahtua vain viranomaisen erillishyväksyntään pohjautuen.
 • Organisaation sisäiseen postin käsittelyketjuun kuuluu vain hyväksyttyä turvallisuusselvitettyä henkilöstöä.

Tehtävään liittyvät Digiturvamallin ominaisuudet

Näytä vaatimustenmukaisuus raporttikirjaston avulla

Digiturvamalli sisältää raporttikirjaston, josta löytyvät omat raporttipohjat jokaiselle vaatimuskehikolle.

Olipa kuulijana oma johto, viranomainen, auditoija tai asiakas, saat tarvittavan raportin muodostettua yhdellä klikkauksella.

Lue lisää raportoinnista

Vastuuta tehtävät ja kuvaa oma toteutus

Tehtävälistat sisältävät digiturvan ydinasiat. Päätä, mitkä tehtävät teillä hoidetaan ja kuka vastaa. Näet vaaditut tehtävät suoraan valitun vaatimuskehikon perusteella, ja voit halutessasi täydentää listaa omilla.

Lue lisää tietoturvatehtävistä

Jakele ohjeet automaattisesti ja valvo lukemista

Kohdista ohjeet kaikilla tai vain relevanteille yksiköille. Saat ehdotuksia suoraan valitun vaatimuskehikon perusteella ja voit lisätä omat ohjeenne.

Työntekijöille ohjeet jaellaan Teams-botin kautta. Botti ei myöskään anna lukemisen unohtua.

Lue lisää tietoturvaohjeista

Dokumentoi esimerkkien ja älykkäiden pohjien avulla

Digiturvamalli sisältää älykkäät mallipohjat mm. järjestelmien, henkilötietojen ja riskien dokumentointiin. Et turhaan kirjoita tai piirrä, vaan klikkailet linkittäen tietoja, jolloin automaattinen raportointi mahdollistuu.

Lue lisää dokumentoinnista

Tehtävään liittyvät vaatimukset eri vaatimuskehikoista

Saman teeman muita tehtäviä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

Salassapidettävien tietojen turvallinen siirtäminen tietoverkossa

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Viranomaisen on toteutettava tietojensiirto yleisessä tietoverkossa salattua tai muuten suojattua tiedonsiirtoyhteyttä tai -tapaa käyttämällä, jos siirrettävät tiedot ovat salassa pidettäviä. Lisäksi tietojensiirto on järjestettävä siten, että vastaanottaja varmistetaan tai tunnistetaan riittävän tietoturvallisella tavalla ennen kuin vastaanottaja pääsee käsittelemään siirrettyjä salassa pidettäviä tietoja.

Salauksen ja salausavainten hallinnan huomiointi riskienhallintamenettelyissä

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation riskienhallintamenettelyssä on huomioitava riittävällä prioriteetilla salausavainten hallintaan liittyvien riskien tunnistaminen, arvionti, käsittely ja seuraaminen.

Aineiston välitys postilla tai kuriirilla (ST II)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kun salassa pidettäviä tietoja siirretään fyysisesti suojattujen alueiden ulkopuolella, pyritään tiedot ensisijaisesti siirtämään tietoverkon yli sähköisesti viranomaisen hyväksymillä salaustuotteilla suojattuina.

Jos edellä mainittua menettelyä ei käytetä:

 • salassa pidettävät tiedot kuljetetaan joko viranomaisen hyväksymillä salaustuotteilla suojatuilla sähköisillä välineillä (kuten USB-muistitikut, CD-levyt, kiintolevyt) tai
 • muissa tapauksissa viranomaisen ohjeita noudattaen

Lisäksi suojaustasolla II toteutetaan alla mainitut toimenpiteet:

 • Organisaatiossa on tunnistettu vaatimukset ja toteutettu menettelyt erityissuojattavien tietoaineistojen (esimerkiksi salausavaimet) välittämiseksi.
 • Organisaation sisäiseen postin käsittelyketjuun kuuluu vain hyväksyttyä turvallisuusselvitettyä henkilöstöä.
 • Aineisto pakataan suljettavaan kaksinkertaiseen kirjekuoreen tai vastaavaan. Pakkauksen ulkokuoressa ei saa olla merkintää suojaustasosta eikä pakkaus saa ulkoisesti muuten paljastaa sen sisältävän salassa pidettävää aineistoa (kirjekuorien tai vastaavien on oltava läpinäkymättömiä). Sisäkuoren on oltava sinetöity. Vastaanottaja on ohjeistettava tarkistamaan sinetöinnin eheys ja ilmoitettava välittömästi, mikäli eheyden vaarantumista epäillään.
 • Aineisto toimitetaan kotimaassa ja ulkomaille viranomaisen ko. suojaustasolle hyväksymän kuriirimenettelyn mukaisesti.

Aineiston välitys postilla tai kuriirilla (ST IV)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kun salassa pidettäviä tietoja siirretään fyysisesti suojattujen alueiden ulkopuolella, pyritään tiedot ensisijaisesti siirtämään tietoverkon yli sähköisesti viranomaisen hyväksymillä salaustuotteilla suojattuina.

Jos edellä mainittua menettelyä ei käytetä:

 • salassa pidettävät tiedot kuljetetaan joko viranomaisen hyväksymillä salaustuotteilla suojatuilla sähköisillä välineillä (kuten USB-muistitikut, CD-levyt, kiintolevyt) tai
 • muissa tapauksissa viranomaisen ohjeita noudattaen

Lisäksi suojaustasolle IV toteutetaan alla mainitut toimenpiteet:

 • Aineisto pakataan suljettavaan kirjekuoreen tai vastaavaan. Pakkauksen ulkokuoressa ei saa olla merkintää suojaustasosta eikä pakkaus saa ulkoisesti muuten paljastaa sen sisältävän salassa pidettävää aineistoa (kirjekuoren tai vastaavan on oltava läpinäkymätön).
 • Aineisto toimitetaan kotimaassa tavallisena postina, kirjattuna kirjeenä tai viranomaisen ko. suojaustasolle hyväksymän kuriirimenettelyn mukaisesti. Ulkomaille toimitus postin välityksellä vain viranomaisen erillishyväksyntään pohjautuen.
 • Organisaation sisäiseen postin käsittelyketjuun kuuluu vain hyväksyttyä henkilöstöä.
 • Organisaatiossa on tunnistettu vaatimukset ja toteutettu menettelyt erityissuojattavien tietoaineistojen (esimerkiksi salausavaimet) välittämiseksi

Aineiston sähköinen välitys (ST IV-II)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Aineiston sähköinen välitys kattaa esimerkiksi puhelimen, faksin, sähköpostin, pikaviestimet ja muut vastaavat tietoverkon kautta toimivat tiedonsiirtomenetelmät.

Sähköisen tietojen välittämisen turvaamiseksi organisaatio toteuttaa seuraavat toimenpiteet:

 • Kun salassa pidettävää aineistoa siirretään hyväksyttyjen fyysisesti suojattujen alueiden ulkopuolella, aineisto / liikenne salataan viranomaisen ko. suojaustasolle hyväksymällä menetelmällä
 • Tilanteissa, joissa salassa pidettävää aineistoa siirretään fyysisesti suojattujen alueiden sisäpuolella
 • a) ko. suojaustason liikennekanava on fyysisesti suojattu (esimerkiksi kaapelointi, joka kulkee kokonaisuudessaan suppean, esimerkiksi vain yhden huoneen kattavan ko. suojaustason fyysisesti suojatun alueen sisällä), tai
 • b) aineisto suojataan viranomaisen erillishyväksyntään perustuen matalamman tason salauksella (esim. HTTPS)

Yleinen, riskilähtöinen salauspolitiikka

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Salausratkaisujen tarpeellisuudesta päättäminen nähdään osana kokonaisprosessia, johon sisältyvät riskien arviointi ja muiden hallintatehtävien määrittely.

Organisaatio on laatinut yleisen salauspolitiikan, jota noudatetaan aina tietoa suojattaessa salauksen avulla.

Salauspolitiikka määrittelee:

 • yleiset periaatteet salauksen hallintakeinojen käytölle koko organisaatiossa
 • tarvittavan salaustason määrittelytavat omaisuuden riskien arvioinnin perusteella
 • salauksen käytön mobiililaitteissa
 • tavat salausavainten suojaukseen ja salatun tiedon palauttamiseen avainten kadotessa
 • roolit ja velvollisuudet salaukseen liittyen
 • salauksen vaikutukset muihin tietoturvan hallintajärjestelmän tehtäviin

Kannettavien tietokoneiden salaus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kannettavat tietokoneet on suojattu full-disk -salauksella.

Älypuhelinten ja tablettien salaus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Työkäyttöön tarkoitetuiksi älypuhelimiksi ja tableteiksi valitaan laitteita, jotka tukevat full-device -salausta ja salaukset asetetaan päälle.

Siirrettävien tietovälineiden salaus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Luottamuksellisen tiedon varastoimista siirrettävissä tietovälineissä pyritään välttämään. Kun siirrettäviä tietovälineitä käytetään luottamuksellisen tiedon siirtämiseen, käytetään asiallista suojausta (esim. koko levyn salausta pre-boot autentikoinnilla).

Palvelinten salaus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Palvelinten levy- ja tiedostojärjestelmä on suojattu salauksella, jotta palvelinten fyysisen varkauden aiheuttamia vaikutuksia voidaan hallita.

Varmuuskopioiden salaus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kun varmuuskopioiden luottamuksellisuus on tärkeää, varmuuskopiot suojataan salauksella. Varmuuskopioiden salaamisen tarve voi korostua, kun varmuuskopioita säilytetään fyysisessä sijainnissa, jonka turvallisuuskäytännöistä ei ole varmuutta.

Salaustapojen tarkistaminen ja riittävyyden arviointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Käytettäviä salaustapoja valittaessa olisi otettava huomioon mm. seuraavat seikat:

 • salauksen käyttökustannukset
 • salauksen taso (esim. salausalgoritmin tyyppi, voimakkuus ja laatu)
 • suojattavan omaisuuden arvo

Salaushallintakeinojen valinnassa harkitaan aina ulkoisten asiantuntijoiden neuvojen tarpeellisuutta.

Salausavainten hyvät hallintatavat

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiomme on määritellyt toimintatavat salausavainten luomiseen, säilyttämiseen, jakamiseen ja poistamiseen.

Salausavainten pituudet ja käyttökäytännöt pyritään valitsemaan parhaiden yleisten käytäntöjen mukaisesti seuraamalla alan kehitystä.

Salausavainten aktivoitumis- ja päättymispäivien hallinta

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Jotta sopimattoman käytön todennäköisyyttä saataisiin pienennettyä, salausavaimille määritellään aktivoitumis- ja vanhentumispäivämäärät, jotta avaimia voidaan käyttää ainoastaan niin kauan kuin on määritelty.

Salausavainten luettelointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation täytyy toteuttaa tekniset toimenpiteet salausavainten hallintajärjestelmälle seurata ja raportoida kaikista kryptografisista materiaaleista ja muutoksista niiden tilassa.

Toteutuksessa tulee ottaa huomioon lakisääteiset vaatimukset ja säännökset.

Salausavainten palauttaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation täytyy arvioida salattujen tietojen, katoamisen tai vuotamisen, jos salausmateriaali katoaa tai vahingoittuu, aiheuttaman riskin operatiiviselle jatkuvuudelle. Riskin vakavuuden perusteella organisaation täytyy mahdollistaa salausmateriaalin palauttaminen, tai uudelleenluominen, varmuuskopioista tai arkistoista.

Salausavainten kumoaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation täytyy toteuttaa tekniset toimenpiteet vaarantuneiden avaimien käyttöön salauksessa vain kontrolloidussa ympäristössä. Sen jälkeen vain salauksen purkamiseen ja ei enään ollenkaan salaamiseen.

Toteutuksessa tulee ottaa huomioon lakisääteiset vaatimukset ja säännökset.

Salausavainten arkistointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation täytyy toteuttaa tekniset toimenpiteet arkistoitujen salausavaimien hallintaan turvallisessa arkistossa, joka toimii pienimmän käyttöoikeuden periaatteen mukaan.

Toteutuksessa tulee ottaa huomioon lakisääteiset vaatimukset ja säännökset.

Salausavainten lepotila

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation täytyy toteuttaa tekniset toimenpiteet salausavaimien valvontaan, tarkastamiseen ja hyväksymiseen avainten siirtämisessä mistä tahansa tilasta lepotilaan tai toisinpäin. Toteutuksessa tulee ottaa huomioon lakisääteiset vaatimukset ja säännökset.

Salausavainten deaktivointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation täytyy toteuttaa tekniset toimenpiteet salausavaimien käytöstä poistamiseen niiden käyttöajan umpeutuessa. Toteutuksessa tulee ottaa huomioon lakisääteiset vaatimukset ja säännökset.

Salausavainten keskeyttäminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Salausavainten aktivointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation täytyy toteuttaa tekniset toimenpiteet salausavaimien luomiseen esiaktivoituun tilaan, kun ne on luotu, mutta ei vielä hyväksytty käyttöön. Toteutuksessa tulee ottaa huomioon lakisääteiset vaatimukset ja säännökset.

Salausavainten tuhoaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation täytyy toteuttaa tekniset toimenpiteet salausavaimen tuhomaiseksi, kun ne on varastoitu turvallisen ympäristön ulkopuolelle. Sen lisäksi täytyy poistaa käytöstä avaimet, jotka on varastoitu HSM:iin (Hardware Security Modules), kun niitä ei enään tarvita.

Toteutuksessa tulee ottaa huomioon lakisääteiset vaatimukset ja säännökset.

Salausavainten kumoaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation täytyy toteuttaa tekniset toimenpiteet salausavaimen käytön hylkäämiseksi tai poistamiseksi ennen asetetun salausjakson päättymistä. Samat toimenpiteet täytyy tehdä myös, jos avainmen eheys vaarantuu tai salauksen kohde ei enään ole osa organisaatiota.

Toteutuksessa tulee ottaa huomioon lakisääteiset vaatimukset ja säännökset.

Salausavainten kierrätys

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on kierrätettävä salausavaimia lasketun salausjakson mukaisesti. Sen tulee sisältää säännökset tietojen paljastumisen riskin sekä lakisääteisten vaatimusten huomioon ottamiseksi.

Salausavainten käyttötarkoitussidonnaisuus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation tulee hallinnoida salausavaimia, jotka on varattu ainutlaatuiseen tarkoitukseen.

Salausavainten jakaminen ja käyttäminen vaatii seuraavien asioiden huomioimista:

 • symmetriset, epäsymmetriset ja muut salausavainmateriaalit tarvitsevat omat suojausmenetelmansa niiden käyttöönotossa
 • jaellut avaimet tulee suojata levossa, varastoinnissa ja siirron aikana
 • aivaimien toimista tuleé kerätä lokia
 • avainten jakelu tulisi mielellään toteuttaa automaattisesti

Toimialalla hyväksyttyjen salauskirjastojen käyttö

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio käyttää salausavainten luomiseen ainoastaan toimialalla yleisesti hyväksyttyjä salauskirjastoja. Kirjastot määrittävät käytetyn salausalgoritmin vahvuuden sekä mm. käytetyn satunnaisnumerogeneraattorin.

Salaus- ja salausavainten hallintajärjestelmien säännöllinen auditointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation täytyy toteuttaa auditointi salauksen ja salausavainten hallintajärjestelmistä, politiikoista ja käytännöistä. Auditointi tulee toteuttaa väliajoin, joka on suhteutettu järjestelmän riskialttiuteen. Auditointi tulisi toteuttaa jatkuvana, mutta vähintää vuosittain ja muutosten jälkeen.

Salausavainten hallintamahdollisuuksien tarjoaminen asiakkaille

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Palveluntuottajan täytyy tuottaa kyky ja lupa asiakkaan hoitaa itsenäisesti sen omistamien tai hallinoimien tietojen salauksessa käytettävien salausavainten säilytys ja hallinta.

Salauksen ja salausavainten hallinnan valvonta

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiolla täytyy olla valvonta ja sisäinen raportointijärjestelmä. Tällä täytyy voida valvoa ja hallita salauksen ja salausavaimien käyttöä, hallintakeinoja, toimintatapoja ja ohjaimia.

Vaarantuneiden salausavainten hallinta

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiolla on oltava keinot, joiden mukaisesti vaarantuneita salausavaimia käsitellään. Vaarantuneet salausavaimet voivat olla tilassa, jossa ne odottavat tarkempaa tutkintaa asiallisten toimenpiteiden selvittämiseksi.

Vaarantuneiden salausavainten käsittelyssä on huomioitava vähintään seuraavat seikat:

 • vaarantuneita salausavaimia on käytettävä tiedon salaamiseen ainoastaan hallituissa erityisolosuhteissa
 • vaarantuneita salausavaimia on käytettävä yleisesti ainoastaan salauksen purkamiseen eikä salaukseen
 • vaarantuneet avaimet on sisällytettävät organisaation CKL-listoille (compromised key lists)
 • tarvittaessa liittyviä sidosryhmiä on tiedotettava avainten vaarantumisesta

Vaarantuneiden salausavainten pikaiseen kumoamiseen tulisi soveltaa organisaation hätäkumoamisprosesseja.

Kuvaukset käytetystä kryptografiasta suhteessa tarjottuihin pilvipalveluihin

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Pilvipalveluita tarjoaessaan organisaation tulee toimittaa pilvipalvelun asiakkaalle kuvaukset toteutetuista salausohjauksista soveltuvien sopimusten, lakien ja määräysten noudattamisen tarkistamiseksi.

Käytettyjen salausohjaimien vaatimustenmukaisuus suhteessa sovellettaviin vaatimuksiin

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation tulee varmistaa, että tietojärjestelmien käyttöön sovellettavat kryptografiset säännöt ja toimintatavat ovat asiaankuuluvien sopimusten, lakien ja määräysten mukaisia.

Oletko valmis aloittamaan?

Aloita kokeilu tai varaa demo.