Organisaatiolla on oltava menettely, jolla varmistetaan, että ulkoisessa palvelussa on tehokas ympäristöjen (palveluntarjoajan asiakkaiden) erottelu, jotta estetään luvaton pääsy organisaation omaan ympäristöön.

Palveluntarjoajien erottelumenettely on dokumentoitava ja sen täytyy olla mukautettavissa muutoksiin. Seuraavat seikat tulisi ottaa huomioon:

• Tietojen erottelu
• Toiminnot
• Asiakaskohtaiset ohjelmistot
• Käyttöjärjestelmät
• Tallennusjärjestelmät
• Verkkoyhteydet

Myös riskiarviointi tulisi olla tehty koskien ulkopuolisten ohjelmistojen käyttöä jaetussa ympäristössä.

Organisaatioiden on toimitettava ja päivitettävä digitaalisen alustan kautta luettelo toiminnastaan ja palveluistaan toimivaltaiselle kansalliselle verkko- ja tietoturvaviranomaiselle. Tämä sisältää kaikki tarvittavat tiedot niiden luonnehdintaa ja merkityksellisyysluokan määrittämistä varten.

Organisaation on otettava käyttöön käytäntöjä ja menettelytapoja, jotta palveluista ulos tuleva tieto on kokonaista ja oikea-aikaista. Menettelytavoissa on otettava huomioon:

• Ulos tulevan tiedon suojaaminen, säilytettäessä tai siirrettäessä, varkaudelta, tuhoutumiselta, muokkaamiselta tai muulta tiedon eheyteen vaikuttavalta tapahtumalta
• Ulos tuleva tieto jaetaan vain tarkoitetuille kohteille
• Ulos tulevan tiedon lokitus

Kun tietoja toimitetaan osana palvelua tai tuotetta tai osana tuotetta tai palveluun liittyvää raportointivelvollisuutta on tietojen määritelmä oltava tietojen käyttäjien saatavilla.

Tietojen määritelmä sisältää seuraavat tiedot:

• Tietoon sisältyvien tapahtumien tai tapausten määrä
• Tietojen kunkin elementin (esimerkiksi kentän) sisältämän tiedon tyyppi (tapahtuma, johon kentän tieto liittyy)
• Tietojen lähteet
• Tietoelementtien (esimerkiksi kenttien) mittayksikkö(t)
• Mittauksen tarkkuus
• Epävarmuus tai luottamusväli, joka on luontainen jokaiselle tietoelementille
• Tietoon liittyvän tapahtuman päivämäärä tai ajanjakso
• Muuttujat (päivämäärän/ajanjakson lisäksi), joilla voidaan määritellä kohteiden sisällyttämistä tietoelementteihin

Organisaation on asetettava hallintakeinoja, joilla varmistetaan järjestelmiin tulevan tiedon kokonaisuus ja tarkkuus. Tätä varten tulisi määrittää:

• Tulevan tiedon tarvittavat ominaisuudet
• Tulevan tiedon lähteiden arviointi
• Tuleva tiedon lokitus ja lokin ylläpito

Organisaation tulee asettaa hallintakeinoja tietoturvatavoitteiden toteutumiseksi tarjotuissa palveluissa. Hallintakeinoissa tulee ottaa huomioon:

• Tiedon käsittelyn vaatimukset
• Tarvittava tietojen käsittely
• Tuotantovirheiden havaitseminen ja korjaaminen
• Tietojenkäsittelyn loki
• Tietojen syöttämisen kokonaisuus, tarkkuus ja ajantasaisuus

Organisaation on dokumentoitava selkeästi kaikki digipalvelut, joita se tarjoaa pilvipalvelumallin mukaisesti asiakkailleen.

Digipalvelujen dokumentaation on sisällettävä palvelun toimitusketjuun liittyvät kumppanit. Kumppanilistauksen on sisällettävä tukevat palvelut (kuten IaaS esim. AWS tai MS Azure), pääasiallisen palveluntarjoajan toimitusketjuun sisällyttämät muut kumppanit (esim. ulkoistettu kehitys) sekä varsinaista palvelua täydentävät muut palvelut (mm. IDaaS, CDN).

Toimitusketjuun liittyvää dokumentaatiota voidaan jatkossa hyödyntää tarkemman turvallisuusvastuujaon tarkastelemiseksi.

Organisaation tarjoamiin digipalveluihin liittyvät sopimusehdot on kartoitettu ja dokumentoitu. Sopimusehtoihin sisältyvät vähintään seuraavat kohdat:

• Tarjotun palvelun luonne ja laajuus
• Tietoturvallisuusvaatimukset (sisältäen jaetun turvallisuuden mallin)
• Muutostenhallintamenettelyn kuvaus
• Tallennetut lokit ja niiden valvonta
• Häiriöiden hallinnan ja ilmoittamisen toimintatavat
• Oikeus auditointiin ja kolmannen osapuolen arviointiin
• Yhteensopivuus
• Tietosuojavaatimukset ja kuvaukset henkilötietojen käsittelystä
• Palvelun päättäminen

Organisaation on ylläpidettävä listaa tarjotuista digipalveluista sekä näille nimetyistä omistajista. Omistaja vastaa palvelun tietojen täydentämisestä sekä mahdollisista muista tietoturvatoimenpiteistä, jotka liittyvät tiiviisti palveluun.

Digipalveluun liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

• Tarjotun digipalvelun tyyppi, palvelukategoria sekä käyttötarkoitus
• Tietojen rekisterinpitäjä sekä liittyvät käsittelysopimukset
• Palvelun toimitusketjuun liittyvät avainkumppanit ja turvallisuuvastuiden jakautuminen (käsitellään tarkemmin erillisessä tehtävässä)

Organisaation kaikkien palvelinten suojana tulisi olla oikein konfiguroitu ohjelmistopalomuuri, joka tarkkailee liikennettä, hyväksyy säännöt täyttävän liikenteen sekä toteuttaa käyttäjien valvontaa.

WAF:in (web application firewall) avulla tulisi suojata tarjottuja digipalveluja hyökkäyksiltä (kuten SQL injection).

Pilvipalveluita hyödyntäessä tai tarjottaessa turvallisuusvastuita voi olla sekä palveluntarjoajalla että asiakkaalla. Palveluntarjoaja voi vastata teknisestä kyberturvallisuudesta, mutta esim. asiakas pääsynhallinnasta ja turvallisen käytön ohjeistamisesta.

Vastuut jaetuista tietoturvarooleista tarjottavia pilvipalveluita ja pilvipohjaisten tietojärjestelmien hyödyntämistä kohtaan on määriteltävä ja dokumentoitava selkeästi sekä pilvipalvelun asiakkaan että palveluntarjoajan toimesta.

Pilvipalveluita tarjottaessa pilvipalveluasiakkaan virtuaaliympäristö tulee erottaa ja suojata muista asiakkailta ja asiattomilta henkilöiltä.

Tämän varmistamiseksi organisaation tulee varmistaa pilvipalvelun asiakastietojen, virtualisoitujen sovellusten, käyttöjärjestelmien, tallennustilan ja verkon asianmukainen looginen erottelu.

Erottelun tulisi myös varmistaa pilvipalvelun tarjoajan sisäisen hallinnon erottaminen pilvipalveluasiakkaiden käyttämistä resursseista.

Kriittiset järjestelmänvalvojan toiminnot tarkoittavat toimintoja, joissa vika voi aiheuttaa peruuttamatonta vahinkoa pilvilaskentaympäristön omaisuudelle.

Kriittiset järjestelmänvalvojan toiminnot voivat sisältää esimerkiksi virtualisoituihin laitteisiin (esim. palvelimet, verkot, tallennus) liittyvät muutokset, lopetusmenettelyt, varmuuskopiointi ja palautus.

Kaikkien tarjottujen pilvipalveluiden kriittiset järjestelmänvalvojan toiminnot dokumentoidaan. Myös kriittisten järjestelmänvalvojatoimintojen suorittamisen menettelyt on dokumentoitu etukäteen tarvittavalla tarkkuudella.

Aina kun kriittinen järjestelmänvalvojan toiminto suoritetaan, dokumentaatiossa nimetty valvoja valvoo toimintaa.

Pilvipalvelun tarjoajan on tarjottavien pilvipalvelujen osalta toimitettava asiakkaiden vaatiessa dokumentaatio kriittisistä järjestelmänvalvojan toiminnoista ja toimenpiteistä.

Pilvipalvelun asiakas toimii usein henkilötietojen rekisterinpitäjänä ja on vastuussa rekisteröidyn oikeuksien toteuttamisesta, esimerkiksi pääsystä tietoihin ja niiden korjaamisesta tai poistamisesta. Pilvipalveluntarjoajan tulee tarjota asiakkaalle tarvittavat keinot tämän mahdollistamiseksi.

Organisaatio on määritellyt toimenpiteet, joilla tarjotaan pilvipalveluissa rekisterinpitäjiä autetaan rekisteröidyn oikeuksien toteuttamisessa. Tämä voi sisältää esimerkiksi pilvipalvelun ominaisuuksia tai manuaalisia tukitoimenpiteitä.

Asiaankuuluvat tiedot ja mahdolliset helpotukseen liittyvät tekniset toimenpiteet on määriteltävä asiaa koskevassa sopimuksessa.

Tarjottuihin pilvipalveluihin liittyvät henkilötiedot tulee hävittää asianmukaisesti ja tallennusrajoitusperiaatteita noudattaen. Hävittäminen voi sisältää tietojen palauttamisen asiakkaalle pyynnöstä, siirtämisen toiselle yritykselle (esim. sulautumisen seurauksena) tai joko tuhoamisen, anonymisoimisen tai arkistoinnin turvallisesti.

Organisaatiolla tulee olla selkeä kirjallinen kuvaus henkilötietojen säilytysajasta sekä palautus-, siirto- ja hävitysmekanismeista. Tämä kuvaus tulee olla asiakkaan saatavilla.

Tätä kuvausta käyttämällä asiakkaan tulee pystyä ymmärtämään, kuinka organisaatio varmistaa, että sopimuksen nojalla käsitellyt henkilötiedot poistetaan (myös minkä tahansa sen alihankkijan toimesta) kaikista tallennuspaikoista (mukaan lukien esim. varmuuskopiointitarkoitukset) heti, kun ne on poistettu. ei ole enää asiakkaalle välttämätön.

Kun organisaatio tarjoaa asiakkailleen pilvipalveluita, tulee palveluntarjoajan ja asiakkaan välisessä sopimuksessa määritellä selkeästi tietoturvan varmistamiseksi toteutetut tekniset ja organisatoriset toimenpiteet.

Sopimuksessa tulee myös mainita, että tietoja ei käsitellä muuhun tarkoitukseen kuin rekisterinpitäjän ohjeiden mukaisesti.

Pilvipalveluita tarjoaessaan palveluntarjoajan tulee olla läpinäkyvä tietoturvatoimenpiteistään sopimuksen solmimisprosessin aikana. Asiakkaan vastuulla on kuitenkin viime kädessä varmistaa, että palveluntarjoajan toteuttamat toimenpiteet täyttävät sen velvoitteet.

Pilvipalveluita tarjoaessaan organisaation tulee tiedottaa asiakkaalle selkeästi ja aktiivisesti organisaation maantieteellisestä sijainnista ja maista, joissa asiakkaan tietoja säilytetään.

Nämä tiedot voivat auttaa asiakasta esimerkiksi määrittämään asiaankuuluvat valvontaviranomaiset ja lainkäyttöalueet pilvipalvelua hyödyntäessään.

Tarjotessaan pilvipalveluita asiakkaille organisaation tulee tunnistaa ja listata asiakkaan hallitsemiin pilvipalveluihin liittyvät tiedot. Näillä viitataan ulkopuolisiin tietopankkeihin.

Organisaation on myös inventoitava pilvipalvelun tarjoamisen kautta luotuja tietoja. Organisaatio voi hallita niitä ja listata järjestelmädokumentaatiossa ulkoisten tietopankkien sijaan.

Pilvipalveluita tarjoaessaan organisaatiolla on oltava käytössään menettelyt palveluntarjonnassa käytettyjen resurssien turvalliseen hävittämiseen tai mahdolliseen uudelleenkäyttöön, kuten:

• Välineet
• Laitteet
• Tietovarasto
• Tiedostot
• Muisti

Pilvipalveluita hyödyntäessään asiakasorganisaation tulee varmistaa turvallinen hävittäminen pyytämällä pilvipalveluntarjoajalta vahvistus näistä toimenpiteistä.

Pilvipalvelun tarjoajan tulee luoda prosessi immateriaalioikeuksia koskeviin valituksiin vastaamiseksi.

Organisaation on kuvattava viestintään liittyvät hallinnolliset tietovirrat. Hallinnollisten tietovirtojen kuvaus täydentään järjestelmien välisten integraatioiden kuvaamista.

Organisaation oma rooli toimitusketjussa on määritelty ja se kommunikoidaan eteenpäin tarpeellisille kumppaneille.

Organisaation oma paikka ja rooli kriittisessä infrastruktuurissa on määritelty ja kommunikoidaan eteenpäin tarpeellisille osapuolille.

Tärkeää on tunnistaa, onko yhteiskunta laajemmin riippuvainen organisaation tuottamista palveluista. Toiminnan tällainen kriittisyys voi lisätä esimerkiksi hybridi- ja informaatiovaikuttamisen riskejä ja korostaa niihin varautumisen tarvetta.

Organisaation tulisi toimittaa asiakkaalle tarvittavat tiedot, jotta asiakas pystyy osoittamaan täyttävänsä velvollisuutensa.

Organisaation tulisi mahdollistaa asiakkaalle rekisteröityjä koskevien velvoitteiden täyttämisen.

Organisaation on määriteltävä turvallisuusarviointi ja toteutettava se tarjottujen digipalveluiden toimitusketjuun kuuluville kumppaneille säännöllisesti.

Tällä tulisi varmistaa tarjottaiven palvelujen turvallisuuteen vaikuttavien kumppanien vaatimustenmukaisuus ja sitä kautta sopimusehtojen täyttyminen.