Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

I22
Katakri

Katakri - Tietoturvan auditointityökalu viranomaisille

Muita saman teeman digiturvatehtäviä

VPN-palvelun hankinta ja ohjeistus

Critical
High
Normal
Low

Organisaation tietoja voi käsitellä ainoastaan ennalta määritellyssä, luotetussa verkossa, tai hyödyntäen organisaation määrittämään VPN-palvelua.

Esimerkiksi kahvilan Wi-Fi -verkko on usein joko täysin salaamaton tai salasana on kaikille helposti saatavilla. Tällöin verkossa lähetetyt tiedot ovat alttiita vakoilulle. VPN-yhteys salaa tiedot verkon asetuksista riippumatta.

9.1.2: Access to networks and network services
ISO 27001
6.2.2: Teleworking
ISO 27001
14.1.2: Securing application services on public networks
ISO 27001
TEK-18.1: Etäkäyttö - tietojen ja tietoliikenteen salaaminen
Julkri
6.7: Etätyöskentely
ISO 27001

Ohjeistukset henkilöstölle turvalliseen etätyöhön liittyen

Critical
High
Normal
Low

Etätyötä tekevälle henkilöstölle on luotu omat toimintaohjeet, joiden noudattamista seurataan. Lisäksi henkilöstölle järjestetään säännöllisesti koulutusta, jossa selvitetään mobiililaitteiden käytöstä ja etätyöstä aiheutuvia uhkia tietoturvallisuudelle ja kerrataan toimintaohjeita.

7.2.2: Information security awareness, education and training
ISO 27001
6.2.2: Teleworking
ISO 27001
PR.AC-3: Remote access management
NIST
FYY-04: Tiedon säilytys
Julkri
TEK-18: Etäkäyttö
Julkri

Salassa pidettävien tietojen etäkäyttö ja etähallinta (ST III-II)

Critical
High
Normal
Low

Etäkäytöllä tarkoitetaan organisaation toimitilojen ulkopuolelta tapahtuvaa tietojärjestelmien käyttöä esimerkiksi kannettavan tietokoneen kautta.

Suojastasojen III-II tietoja etäkäytettäessä:

  • Tietoja käsitellään käyttäen vain käyttöympäristöön hyväksyttyjä yhteyksiä ja laitteita, jotka on teknisesti tunnistettu laitetunnistuksen avulla, sekä vahvaa, vähintään kahteen tekijään perustuvaa käyttäjätunnistusta.
  • Henkilöstö on saanut ohjeistusta ja koulutusta turvalliseen etäkäyttöön.
  • Liikenne on salattu viranomaisen ko. suojaustasolle hyväksymällä salausmenetelmällä.
  • Tietovälineet (kiintolevyt, USB-muistit ja vastaavat) ovat koko ajan kuljettajansa hallussa, ellei niitä ole salattu viranomaisen ko. suojaustasolle hyväksymällä menetelmällä. Salassa pidettäviä tietoja ei avata matkalla eikä lueta julkisilla paikoilla.
  • Järjestelmien etäkäyttö rajataan viranomaisen hyväksymälle fyysisesti suojatulle alueelle.
I22: Etäkäyttö ja etähallinta
Katakri

Salassa pidettävien tietojen etäkäyttö ja etähallinta (ST IV)

Critical
High
Normal
Low

Etäkäytöllä tarkoitetaan organisaation toimitilojen ulkopuolelta tapahtuvaa tietojärjestelmien käyttöä esimerkiksi kannettavan tietokoneen kautta.

Suojastason IV tietoja etäkäytettäessä:

  • Tietoja käsitellään käyttäen vain käyttöympäristöön hyväksyttyjä laitteita ja yhteyksiä sekä vahvaa, vähintään kahteen tekijään perustuvaa käyttäjätunnistusta.
  • Henkilöstö on saanut ohjeistusta ja koulutusta turvalliseen etäkäyttöön.
  • Tietovälineet (kiintolevyt, USB-muistit ja vastaavat) on joko salattu viranomaisen suojaustasolle hyväksymällä menetelmällä tai ne säilytetään vastaavantasoisesti suojaten tai ei jätetä valvomatta.
  • Liikenne on salattu viranomaisen ko. suojaustasolle hyväksymällä salausmenetelmällä.
I22: Etäkäyttö ja etähallinta
Katakri

Etätyöhön sopivien sijaintien ja tarvittavien suojausten määrittely

Critical
High
Normal
Low

Tehdessään etätyötä työntekijän on noudatettava seuraavia asioita:

  • etätyötä saa suoritettaa vain tiloissa, joissa salakuuntelu ja salakatselu ei ole mahdollista
  • etätyöstä tulee olla sovittu ennalta (esim. kertaluonteisesti tai työsopimuksessa joustavan työn järjestelyllä) tai etätyön tulee olla työnantajan pyytämää
  • työntekijän tulee huolehtia vaaditut suojaukset etätyössä tehtäviin laitteisiin (esim. varmuuskopiointi, haittaohjelmasuojaus, palomuuri, salaus, päivitykset)
6.2.2: Teleworking
ISO 27001
PR.AC-3: Remote access management
NIST
6.7: Etätyöskentely
ISO 27001

Etätyössä sallittavien toimenpiteiden määrittely

Critical
High
Normal
Low

Sallittavan työn, työaikojen ja käytettävän tiedon luokituksen määrittely ja sellaisten sisäisten järjestelmien ja palvelujen määrittely, joihin etätyöskentelijälle myönnetään pääsy.

I22: Etäkäyttö ja etähallinta
Katakri
6.2.2: Teleworking
ISO 27001
6.7: Etätyöskentely
ISO 27001

Sopivien laitteiden ja säilytyskalusteiden järjestäminen etätyötä varten

Critical
High
Normal
Low

Sopivien laitteiden ja säilytyskalusteiden järjestäminen etätyötä varten, jos organisaation valvonnan ulkopuolella olevien henkilökohtaisten laitteiden käyttö ei ole sallittua.

11.2.6: Security of equipment and assets off-premises
ISO 27001
6.2.2: Teleworking
ISO 27001
6.7: Etätyöskentely
ISO 27001
7.9: Toimitilojen ulkopuolelle viedyn omaisuuden turvallisuus
ISO 27001

Turvallisuusluokitellun tiedon käsittelyn kieltäminen julkisilla paikoilla (TL III)

Critical
High
Normal
Low

Turvallisuusluokiteltuja tietoja ei lueta tai muuten käsitellä matkalla tai julkisilla paikoilla.

TEK-18.5: Etäkäyttö - turvallisuusluokitellun tiedon käyttö julkisella paikalla - TL III
Julkri

Hyväksytyt laitteet etäkäytössä (TL IV)

Critical
High
Normal
Low

Etäkäytöllä tarkoitetaan organisaation toimitilojen ulkopuolelta tapahtuvaa tietojärjestelmien käyttöä useimmiten kannettavalla tietokoneella. Turvallisuusluokitellun tiedon osalta etäkäyttö soveltuu vain turvallisuusluokan IV tiedoille.

Organisaatio varmistaa, että etäkäytössä käytetään vain käyttöympäristöön hyväksyttyjä ja tunnistettuja laitteita.

TEK-18.4: Etäkäyttö - hyväksytyt laitteet
Julkri

Käyttäjien vahva tunnistaminen etäkäytössä (TL IV)

Critical
High
Normal
Low

Etäkäytöllä tarkoitetaan organisaation toimitilojen ulkopuolelta tapahtuvaa tietojärjestelmien käyttöä useimmiten kannettavalla tietokoneella. Turvallisuusluokitellun tiedon osalta etäkäyttö soveltuu vain turvallisuusluokan IV tiedoille.

Organisaatio huolehtii, että etäkäytössä järjestelmien käyttäjät tunnistetaan käyttäen vahvaa, vähintään kahteen todennustekijään perustuvaa käyttäjätunnistusta.

TEK-18.3: Etäkäyttö - käyttäjien vahva tunnistaminen
Julkri

Turvallisuusluokitettujen tietojen ja tietoliikenteen salaaminen etäkäytössä (TL IV)

Critical
High
Normal
Low

Etäkäytöllä tarkoitetaan organisaation toimitilojen ulkopuolelta tapahtuvaa tietojärjestelmien käyttöä useimmiten kannettavalla tietokoneella. Turvallisuusluokitellun tiedon osalta etäkäyttö soveltuu vain turvallisuusluokan IV tiedoille.

Organisaatio on luonut toimintatavat seuraavien suojausten toteuttamiseen:

  • Turvallisuusalueen ulkopuolella etäkäytössä käytettävät päätelaitteet, muistivälineet ja tietoliikenneyhteydet on suojattu käyttäen turvallisuusluokan huomioiden riittävän turvallisia salausratkaisuja.
  • Tietojärjestelmien etäkäyttöä ei onnistu ilman turvallisuusluokan tietojen suojaamiseen riittävän turvallista liikenteen salausta.
  • Siirrettävien tietovälineiden (kiintolevyt, USB-muistit ja vastaavat) osalta voidaan sallia salaamattomien laitteiden käyttö siinä tapauksessa, että tietovälineitä ei koskaan jätetä valvomatta hyväksyttyjen turva-alueiden ulkopuolella.
TEK-18.2: Etäkäyttö - turvallisuusluokitettujen tietojen ja tietoliikenteen salaaminen
Julkri

Työntekijöiden erityiset turvatoimenpiteet ja turvallisuusohjeet matkustaessa

Critical
High
Normal
Low

Organisaation olisi otettava huomioon seuraavat turvallisuuteen liittyvät näkökohdat matkoilla:

  • Matkustusmenettelyjen harkitseminen, mukaan lukien viranomaisten suorittamien tarkastusten mahdollisuus.
  • Erityiset varotoimenpiteet matkustettaessa maihin, joita pidetään turvallisuuden kannalta kriittisinä.
  • Varmistetaan, että työntekijät ovat tietoisia näistä matkustamiseen liittyvistä turvatoimista.