Aina hankittaessa uusia tietojärjestelmiä noudatetaan ennalta määriteltyä hankintaprosessia ja -sääntöjä. Sääntöjen avulla varmistetaan, että toimittaja pystyy takaamaan riittävän turvallisuustason järjestelmän tärkeys huomioiden.

Tieto- ja viestintätekniikkajärjestelmien hankinta-, kehitys- ja ylläpitomenettelyssä on myös vahvistettava selkeät säännöt tietojen käsittelylle muissa kuin tuotantoympäristöissä:

• Varmistetaan, että muissa kuin tuotantoympäristöissä (kuten testaus-, kehitys- ja lavastusympäristöissä) säilytetään vain anonymisoituja, pseudonymisoituja tai satunnaistettuja tuotantotietoja.
• Toteutetaan toimenpiteitä, joilla suojataan muihin kuin tuotantoympäristöihin tallennettujen tietojen eheys ja luottamuksellisuus. Tähän kuuluu teknisten ja organisatoristen valvontatoimien, kuten salauksen, tiukan käyttöoikeuksien hallinnan, tarkastuskirjauksen, verkon segmentoinnin ja turvallisten käsittelykäytäntöjen soveltaminen tietojen luvattoman käytön, vuotamisen tai turmeltumisen estämiseksi.

Organisaation on varmistettava, että tieto- ja viestintäteknisten järjestelmien hankinta-, kehitys- ja ylläpitomenettelyyn sisältyy pakollisia lähdekoodin tarkistuksia, jotka kattavat sekä staattiset että dynaamiset testausmenetelmät. Tähän testaukseen on nimenomaisesti sisällyttävä internetiin altistuvien järjestelmien ja sovellusten tietoturvatestaus. Organisaation olisi:

• tunnistettava ja analysoitava lähdekoodissa testauksen aikana havaitut haavoittuvuudet ja poikkeavuudet ja arvioitava niiden mahdollinen vaikutus järjestelmän toiminnallisuuteen, turvallisuuteen ja liiketoimintaan.
• hyväksyttävä ja dokumentoitava toimintasuunnitelma havaittujen haavoittuvuuksien ja poikkeavuuksien korjaamiseksi. Toimintasuunnitelmassa olisi asetettava korjaaminen tärkeysjärjestykseen havaittujen ongelmien vakavuuden ja kriittisyyden perusteella.
• Seurataan toimintasuunnitelman täytäntöönpanoa sen varmistamiseksi, että haavoittuvuudet ja poikkeamat korjataan tehokkaasti, oikea-aikaisesti ja hallitusti ja että kaikki toteutetut korjaavat toimet ovat jäljitettävissä.

Organisaation on hankintamenettelyssään varmistettava, että kaikki tieto- ja viestintätekniikkajärjestelmät testataan ja hyväksytään ennen niiden käyttöönottoa ja huoltotoimenpiteiden jälkeen.

Keskeisiä vaatimuksia ovat seuraavat:

• Testauksen tason on oltava suhteessa siihen liittyvien liiketoimintaprosessien ja ICT-varojen kriittisyyteen.
• Testausprosessit on suunniteltava siten, että uudet tai muutetut tieto- ja viestintätekniset järjestelmät toimivat suunnitellusti, ja erityistä huomiota on kiinnitettävä sisäisesti kehitettyjen ohjelmistojen laadun varmistamiseen.

Lisäksi tietyntyyppisiin yhteisöihin sovelletaan erityisvaatimuksia:

Keskusvastapuolten on tarvittaessa otettava seuraavat sidosryhmät mukaan testaustoimien suunnitteluun ja toteuttamiseen:

• selvitysosapuolet ja asiakkaat,
• yhteentoimivat keskusvastapuolet,
• muut asianomaiset osapuolet.

Arvopaperikeskusten on tarvittaessa otettava seuraavat sidosryhmät mukaan testaustoimien suunnitteluun ja toteuttamiseen:

• käyttäjät,
• kriittiset apuohjelmat ja kriittiset palveluntarjoajat,
• muut arvopaperikeskukset,
• muut markkinainfrastruktuurit,
• kaikki muut laitokset, joilla on arvopaperikeskuksen toiminnan jatkuvuutta koskevan politiikan mukaan riippuvuussuhteita.

Organisaation on suoritettava ohjelmistopakettien tietoturvatestaus viimeistään integrointivaiheessa.

Organisaation on laadittava, toteutettava ja ylläpidettävä tietoturvakäytäntöjä ja -menetelmiä, jotka liittyvät tieto- ja viestintätekniikkajärjestelmien hankintaan, kehittämiseen ja ylläpitoon. Organisaation on erityisesti

• tunnistettava sovellettavat tekniset eritelmät ja asetuksen (EU) N:o 1025/2012 2 artiklan kohdissa 4 ja 5 määritellyt tieto- ja viestintätekniikan tekniset eritelmät. Tämä edellyttää asiaankuuluvien eurooppalaisten standardien ja teknisten kehysten tunnistamista ja varmistamista, että järjestelmät ovat yhdenmukaisia näiden kanssa.
• määriteltävä yksityiskohtaiset vaatimukset tieto- ja viestintätekniikkajärjestelmien turvalliselle hankinnalle, kehittämiselle ja ylläpidolle.
• kiinnitettävä erityistä huomiota tieto- ja viestintätekniikan tietoturvavaatimuksiin, kuten turvalliseen koodauskäytäntöön, turvallisen suunnittelun periaatteisiin, riskinarviointeihin ja tietoturvatestausmenettelyihin.
• varmistettava, että kaikki tällaiset vaatimukset tarkastetaan ja hyväksytään virallisesti asianomaisessa liiketoimintatoiminnossa ja tieto- ja viestintätekniikkaresurssien omistajan toimesta organisaation sisäisiä hallintoprosesseja noudattaen.

Hankintaprosessissa on myös määriteltävä ja pantava täytäntöön toimenpiteet, joilla pyritään vähentämään seuraavia riskejä:

• tieto- ja viestintätekniikkajärjestelmien tahaton muuttaminen (esim. virheiden, ohjelmistovikojen tai virheellisten konfiguraatioiden vuoksi),
• tahallinen manipulointi (esim. verkkohyökkäysten, sisäpiirin uhkien tai luvattomien muutosten kautta).

Toimenpiteisiin voivat kuulua versionhallinta, käyttöoikeuksien hallinta, muutoksenhallintaprosessit, koodin tarkistukset, eheyden valvonta ja salaussuojausten käyttö.

Uudet järjestelmät on testattava ja hyväksyttävä ennen niiden käyttöönottoa ja ennen niiden lisäämistä tuotantoympäristöön.

Järjestelmien tahattoman muuttamisen tai tahallisen manipuloinnin riskin pienentämiseksi kehityksen ja käyttöönoton aikana olisi oltava käytössä toimenpiteitä.

Hanki vain sellaisia IoT-laitteita, joissa on sisäänrakennetut turvatoiminnot ja jotka saavat tietoturvapäivityksiä.

On myös tärkeää varmistaa, että kaikki vakiosalasanat on mahdollista vaihtaa ja että IoT-laitteet voidaan pakottaa käyttämään vain sellaisia verkkoja, jotka ovat organisaation hallinnassa.

Pilvipalvelun tarjoajan ja organisaation välisen sopimuksen tulee sisältää vaatimukset organisaation tietojen suojaamisesta ja palvelujen saatavuudesta mm. seuraavilla tavoilla:

• ratkaisun tarjoaminen alalla yleisesti hyväksyttyihin arkkitehtuuri- ja infrastruktuuristandardeihin perustuen
• käyttöoikeuksien hallinta organisaation vaatimusten täyttämiseksi
• haittaohjelmien valvonta- ja suojaratkaisujen toteuttaminen
• organisaation arkaluonteisten tietojen käsittely ja säilytys hyväksytyissä sijainneissa (esim. tietty maa tai lainsäädäntöalue)
• tuen tarjoaminen tietoturvahäiriön sattuessa
• organisaation tietoturvavaatimusten täyttymisen varmistaminen myös alihankintaketjuissa
• tuen tarjoaminen digitaalisten todisteiden keräämisessä
• riittävän tuen tarjoaminen, kun organisaatio haluaa päättää palvelun käytön
• vaadittu varmuuskopiointi ja varmuuskopioiden turvallinen hallinta soveltuvin osin
• organisaation omistamien tietojen (mahdollisesti esim. lähdekoodin, palveluun täytetyn / muodostuneen datan) palauttaminen pyydettäessä tai palvelun päättyessä
• ilmoitusvaatimukset merkittäviin muutoksiin (kuten infrastruktuuriin, tärkeisiin ominaisuuksiin, tiedon sijaintiin tai alihankkijoiden käyttöön) liittyen

Organisaatio on määritellyt tärkeiltä kumppaneilta vaaditut sertifioinnit tai noudatettavat standardit. Yleisesti tunnistettuja digiturvaan liittyviä standardeja ovat mm.:

• ISO 27001 (tietoturvan hallintajärjestelmä)
• SOC2 (yleinen tietoturva, kutsutaan myös SSAE 16)
• ISO 27701 (tietosuojan hallintajärjestelmä)
• ISO 27017 (digiturva pilvipalveluissa) tai ISO 27018 (tietosuoja pilvipalveluissa)
• muita suosittuja mm. NIST (yleinen), CSA (pilviohjelmistot), PCI DSS (korttimaksaminen)

Esimerkiksi kumppanilta vaadittava sertifiointi voi tehostaa omaa kumppanihallintaa ja toimia hyvänä todisteena kumppanin tietystä tietoturva- tai tietosuojatasosta.

Aina hankittaessa tai kehitettäessä uusia tietojärjestelmiä noudatetaan ennalta määritettyjä turvallisuussääntöjä huomioiden järjestelmän prioriteetti. Sääntöjen avulla varmistetaan, että tietojen käsittelyn turvallisuus järjestelmässä on varmistettu riittävin toimenpitein.

Kaikki hankitun palvelun/sovelluksen/järjestelmän turvallisuuteen oleellisesti vaikuttava koodi on tarkastettavissa (esim. mahdolliset takaportit, turvattomat toteutukset).

Organisaation on varmistettava jo ennakolta, että hankittavat tietojärjestelmät ovat tietoturvallisia. Tämän varmistamiseksi tärkeä hankittavan tietojärjestelmän toimittajalta on vaadittava riittäviä turvallisuuteen liittyviä selvityksiä jo hankintavaiheessa.

Toimittajan tulee selvittää vähintään seuraavat:

• Palvelusta on järjestelmäkuvaus. Palveluntarjoajan kuvauksen perusteella on pystyttävä arvioimaan kyseisen palvelun yleistä soveltuvuutta kyseiseen asiakkaan käyttötapaukseen. Järjestelmäkuvauksesta tulee käydä ilmi vähintään
• Palvelun palvelu- ja toteutusmallit, sekä näihin liittyvät palvelutasosopimukset (Service Level Agreements, SLAs).
• Palvelun tarjoamisen elinkaaren (kehittäminen, käyttö, käytöstä poisto) periaatteet, menettelyt ja turvatoimet, valvontatoimet mukaan lukien.
• Palvelun kehittämisessä, ylläpidossa/hallinnassa ja käytössä käytettävän infrastruktuurin, verkon ja järjestelmäkomponenttien kuvaus.
• Muutostenhallinnan periaatteet ja käytännöt, erityisesti turvallisuuteen vaikuttavien muutosten käsittelyprosessit.
• Käsittelyprosessit merkittäville normaalikäytöstä poikkeaville tapahtumille, esimerkiksi toimintatavat merkittävissä järjestelmävikaantumisissa.
• Palvelun tarjoamiseen ja käyttöön liittyvät roolit ja vastuunjako asiakkaan ja palveluntarjoajan välillä. Kuvauksesta on käytävä selvästi esille ne toimet, jotka kuuluvat asiakkaan vastuulle palvelun turvallisuuden varmistamisessa. Palveluntarjoajan vastuisiin tulee sisältyä yhteistyövelvollisuus erityisesti poikkeamatilanteiden selvittelyssä.
• Alihankkijoille siirretyt tai ulkoistetut toiminnot.

Käsittelysopimuksella sidotaan henkilötietojen käsittelijän (kuten järjestelmätoimittajan) tekemisiä.

Meille voi olla tärkeää vastuuttaa tärkeää kumppania haluamallamme tasolla huolehtimaan mm. käytön valvonnasta (lokituksista) sekä tietojen palauttamisesta sopimuksen päättyessä haluamiemme toimintatapojen mukaan.

Määrätietoinen järjestelmäportfolion hallinta tarkoittaa selkeää kuvaa organisaation järjestelmäkokonaisuudesta, eri järjestelmien hyödyistä ja tulevista tarpeista.

Järjestelmäportfolion hallinnalla pyritään saavuttamaan mm.:

• tehokkuushyötyjä ymmärtämällä kokonaisuus ja esim. integraatioiden mahdollisuudet
• poistamaan päällekkäisyyksiä
• säästämään turhissa lisenssikustannuksissa
• hallitsemaan toimittajien määrää
• helpottamaan henkilöstön ohjeistamista