Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

HAL-16
Julkri

Julkisen hallinnon tietoturvakriteeristö

Muita saman teeman digiturvatehtäviä

Järjestelmien hankintaa ja valintaa koskevat yleiset säännöt

Critical
High
Normal
Low

Aina hankittaessa uusia tietojärjestelmiä noudatetaan ennalta määriteltyä hankintaprosessia ja -sääntöjä. Sääntöjen avulla varmistetaan, että toimittaja pystyy takaamaan riittävän turvallisuustason järjestelmän tärkeys huomioiden.

14.1.1: Information security requirements analysis and specification
ISO 27001
4 luku, 13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL
HAL-16: Hankintojen turvallisuus
Julkri
5.23: Pilvipalvelujen tietoturvallisuus
ISO 27001
52: Tietoturva- ja tietousojavaatimukset hankintavaatimuksissa

Hankitun järjestelmän koodin tarkistettavuus (ST III-II)

Critical
High
Normal
Low

Kaikki hankitun palvelun/sovelluksen/järjestelmän turvallisuuteen oleellisesti vaikuttava koodi on tarkastettavissa (esim. mahdolliset takaportit, turvattomat toteutukset).

I13: Ohjelmistoilla toteutettavat pääsynhallintatoteutukset
Katakri

Tietojärjestelmien kehittämistä ja hankintaa koskevat turvallisuussäännöt

Critical
High
Normal
Low

Aina hankittaessa tai kehitettäessä uusia tietojärjestelmiä noudatetaan ennalta määritettyjä turvallisuussääntöjä huomioiden järjestelmän prioriteetti. Sääntöjen avulla varmistetaan, että tietojen käsittelyn turvallisuus järjestelmässä on varmistettu riittävin toimenpitein.

I13: Ohjelmistoilla toteutettavat pääsynhallintatoteutukset
Katakri
4 luku, 13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL
14.1.1: Information security requirements analysis and specification
ISO 27001
14.1.2: Securing application services on public networks
ISO 27001
14.2.5: Secure system engineering principles
ISO 27001

Kriteerit korkean prioriteetin tietojärjestelmien toimittajille

Critical
High
Normal
Low

Organisaatio on määritellyt tärkeiltä kumppaneilta vaaditut sertifioinnit tai noudatettavat standardit. Yleisesti tunnistettuja digiturvaan liittyviä standardeja ovat mm.:

  • ISO 27001 (tietoturvan hallintajärjestelmä)
  • SOC2 (yleinen tietoturva, kutsutaan myös SSAE 16)
  • ISO 27701 (tietosuojan hallintajärjestelmä)
  • ISO 27017 (digiturva pilvipalveluissa) tai ISO 27018 (tietosuoja pilvipalveluissa)
  • muita suosittuja mm. NIST (yleinen), CSA (pilviohjelmistot), PCI DSS (korttimaksaminen)

Esimerkiksi kumppanilta vaadittava sertifiointi voi tehostaa omaa kumppanihallintaa ja toimia hyvänä todisteena kumppanin tietystä tietoturva- tai tietosuojatasosta.

14.1.1: Information security requirements analysis and specification
ISO 27001
15.1.1: Information security policy for supplier relationships
ISO 27001
15.2.1: Monitoring and review of supplier services
ISO 27001
ID.SC-1: Cyber supply chain
NIST
ID.SC-4: Audit suppliers and third-party partners
NIST

Pilvipalveluiden tarjoamista koskevien sopimusehtojen kattavuus

Critical
High
Normal
Low

Pilvipalvelun tarjoajan ja organisaation välisen sopimuksen tulee sisältää vaatimukset organisaation tietojen suojaamisesta ja palvelujen saatavuudesta mm. seuraavilla tavoilla:

  • ratkaisun tarjoaminen alalla yleisesti hyväksyttyihin arkkitehtuuri- ja infrastruktuuristandardeihin perustuen
  • käyttöoikeuksien hallinta organisaation vaatimusten täyttämiseksi
  • haittaohjelmien valvonta- ja suojaratkaisujen toteuttaminen
  • organisaation arkaluonteisten tietojen käsittely ja säilytys hyväksytyissä sijainneissa (esim. tietty maa tai lainsäädäntöalue)
  • tuen tarjoaminen tietoturvahäiriön sattuessa
  • organisaation tietoturvavaatimusten täyttymisen varmistaminen myös alihankintaketjuissa
  • tuen tarjoaminen digitaalisten todisteiden keräämisessä
  • riittävän tuen tarjoaminen, kun organisaatio haluaa päättää palvelun käytön
  • vaadittu varmuuskopiointi ja varmuuskopioiden turvallinen hallinta soveltuvin osin
  • organisaation omistamien tietojen (mahdollisesti esim. lähdekoodin, palveluun täytetyn / muodostuneen datan) palauttaminen pyydettäessä tai palvelun päättyessä
  • ilmoitusvaatimukset merkittäviin muutoksiin (kuten infrastruktuuriin, tärkeisiin ominaisuuksiin, tiedon sijaintiin tai alihankkijoiden käyttöön) liittyen
5.23: Pilvipalvelujen tietoturvallisuus
ISO 27001

Järjestelmäportfolion hallinta ja ennakoiva suunnittelu

Critical
High
Normal
Low

Määrätietoinen järjestelmäportfolion hallinta tarkoittaa selkeää kuvaa organisaation järjestelmäkokonaisuudesta, eri järjestelmien hyödyistä ja tulevista tarpeista.

Järjestelmäportfolion hallinnalla pyritään saavuttamaan mm.:

  • tehokkuushyötyjä ymmärtämällä kokonaisuus ja esim. integraatioiden mahdollisuudet
  • poistamaan päällekkäisyyksiä
  • säästämään turhissa lisenssikustannuksissa
  • hallitsemaan toimittajien määrää
  • helpottamaan henkilöstön ohjeistamista
14.1.1: Information security requirements analysis and specification
ISO 27001

Tärkeiden järjestelmätoimittajien käsittelysopimusten erillinen analysointi

Critical
High
Normal
Low

Käsittelysopimuksella sidotaan henkilötietojen käsittelijän (kuten järjestelmätoimittajan) tekemisiä.

Meille voi olla tärkeää vastuuttaa tärkeää kumppania haluamallamme tasolla huolehtimaan mm. käytön valvonnasta (lokituksista) sekä tietojen palauttamisesta sopimuksen päättyessä haluamiemme toimintatapojen mukaan.

28. Henkilötietojen käsittelijä
GDPR
14.1.1: Information security requirements analysis and specification
ISO 27001
15.1.2: Addressing security within supplier agreements
ISO 27001
HAL-16.1: Hankintojen turvallisuus - sopimukset
Julkri
TSU-04.1: Henkilötietojen käsittelijä - Sopimukset
Julkri

Järjestelmäkuvauksen vaatiminen hankittavien tärkeiden tietojärjestelmien toimittajilta

Critical
High
Normal
Low

Organisaation on varmistettava jo ennakolta, että hankittavat tietojärjestelmät ovat tietoturvallisia. Tämän varmistamiseksi tärkeä hankittavan tietojärjestelmän toimittajalta on vaadittava riittäviä turvallisuuteen liittyviä selvityksiä jo hankintavaiheessa.

Toimittajan tulee selvittää vähintään seuraavat:

  • Palvelusta on järjestelmäkuvaus. Palveluntarjoajan kuvauksen perusteella on pystyttävä arvioimaan kyseisen palvelun yleistä soveltuvuutta kyseiseen asiakkaan käyttötapaukseen. Järjestelmäkuvauksesta tulee käydä ilmi vähintään
  • Palvelun palvelu- ja toteutusmallit, sekä näihin liittyvät palvelutasosopimukset (Service Level Agreements, SLAs).
  • Palvelun tarjoamisen elinkaaren (kehittäminen, käyttö, käytöstä poisto) periaatteet, menettelyt ja turvatoimet, valvontatoimet mukaan lukien.
  • Palvelun kehittämisessä, ylläpidossa/hallinnassa ja käytössä käytettävän infrastruktuurin, verkon ja järjestelmäkomponenttien kuvaus.
  • Muutostenhallinnan periaatteet ja käytännöt, erityisesti turvallisuuteen vaikuttavien muutosten käsittelyprosessit.
  • Käsittelyprosessit merkittäville normaalikäytöstä poikkeaville tapahtumille, esimerkiksi toimintatavat merkittävissä järjestelmävikaantumisissa.
  • Palvelun tarjoamiseen ja käyttöön liittyvät roolit ja vastuunjako asiakkaan ja palveluntarjoajan välillä. Kuvauksesta on käytävä selvästi esille ne toimet, jotka kuuluvat asiakkaan vastuulle palvelun turvallisuuden varmistamisessa. Palveluntarjoajan vastuisiin tulee sisältyä yhteistyövelvollisuus erityisesti poikkeamatilanteiden selvittelyssä.
  • Alihankkijoille siirretyt tai ulkoistetut toiminnot.
HAL-16: Hankintojen turvallisuus
Julkri