Organisaation täytyy toteuttaa auditointi salauksen ja salausavainten hallintajärjestelmistä, politiikoista ja käytännöistä. Auditointi tulee toteuttaa väliajoin, joka on suhteutettu järjestelmän riskialttiuteen. Auditointi tulisi toteuttaa jatkuvana, mutta vähintää vuosittain ja muutosten jälkeen.
Digiturvamalli sisältää raporttikirjaston, josta löytyvät omat raporttipohjat jokaiselle vaatimuskehikolle.
Olipa kuulijana oma johto, viranomainen, auditoija tai asiakas, saat tarvittavan raportin muodostettua yhdellä klikkauksella.
Tehtävälistat sisältävät digiturvan ydinasiat. Päätä, mitkä tehtävät teillä hoidetaan ja kuka vastaa. Näet vaaditut tehtävät suoraan valitun vaatimuskehikon perusteella, ja voit halutessasi täydentää listaa omilla.
Lue lisää tietoturvatehtävistäKohdista ohjeet kaikilla tai vain relevanteille yksiköille. Saat ehdotuksia suoraan valitun vaatimuskehikon perusteella ja voit lisätä omat ohjeenne.
Työntekijöille ohjeet jaellaan Teams-botin kautta. Botti ei myöskään anna lukemisen unohtua.
Digiturvamalli sisältää älykkäät mallipohjat mm. järjestelmien, henkilötietojen ja riskien dokumentointiin. Et turhaan kirjoita tai piirrä, vaan klikkailet linkittäen tietoja, jolloin automaattinen raportointi mahdollistuu.
Lue lisää dokumentoinnistaKlikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.
Viranomaisen on toteutettava tietojensiirto yleisessä tietoverkossa salattua tai muuten suojattua tiedonsiirtoyhteyttä tai -tapaa käyttämällä, jos siirrettävät tiedot ovat salassa pidettäviä. Lisäksi tietojensiirto on järjestettävä siten, että vastaanottaja varmistetaan tai tunnistetaan riittävän tietoturvallisella tavalla ennen kuin vastaanottaja pääsee käsittelemään siirrettyjä salassa pidettäviä tietoja.
Organisaation riskienhallintamenettelyssä on huomioitava riittävällä prioriteetilla salausavainten hallintaan liittyvien riskien tunnistaminen, arvionti, käsittely ja seuraaminen.
Kun salassa pidettäviä tietoja siirretään fyysisesti suojattujen alueiden ulkopuolella, pyritään tiedot ensisijaisesti siirtämään tietoverkon yli sähköisesti viranomaisen hyväksymillä salaustuotteilla suojattuina.
Jos edellä mainittua menettelyä ei käytetä:
Lisäksi suojaustasolla II toteutetaan alla mainitut toimenpiteet:
Kun salassa pidettäviä tietoja siirretään fyysisesti suojattujen alueiden ulkopuolella, pyritään tiedot ensisijaisesti siirtämään tietoverkon yli sähköisesti viranomaisen hyväksymillä salaustuotteilla suojattuina.
Jos edellä mainittua menettelyä ei käytetä:
Lisäksi suojaustasolla III toteutetaan alla mainitut toimenpiteet:
Kun salassa pidettäviä tietoja siirretään fyysisesti suojattujen alueiden ulkopuolella, pyritään tiedot ensisijaisesti siirtämään tietoverkon yli sähköisesti viranomaisen hyväksymillä salaustuotteilla suojattuina.
Jos edellä mainittua menettelyä ei käytetä:
Lisäksi suojaustasolle IV toteutetaan alla mainitut toimenpiteet:
Aineiston sähköinen välitys kattaa esimerkiksi puhelimen, faksin, sähköpostin, pikaviestimet ja muut vastaavat tietoverkon kautta toimivat tiedonsiirtomenetelmät.
Sähköisen tietojen välittämisen turvaamiseksi organisaatio toteuttaa seuraavat toimenpiteet:
Salausratkaisujen tarpeellisuudesta päättäminen nähdään osana kokonaisprosessia, johon sisältyvät riskien arviointi ja muiden hallintatehtävien määrittely.
Organisaatio on laatinut yleisen salauspolitiikan, jota noudatetaan aina tietoa suojattaessa salauksen avulla.
Salauspolitiikka määrittelee:
Luottamuksellisen tiedon varastoimista siirrettävissä tietovälineissä pyritään välttämään. Kun siirrettäviä tietovälineitä käytetään luottamuksellisen tiedon siirtämiseen, käytetään asiallista suojausta (esim. koko levyn salausta pre-boot autentikoinnilla).
Kun varmuuskopioiden luottamuksellisuus on tärkeää, varmuuskopiot suojataan salauksella. Varmuuskopioiden salaamisen tarve voi korostua, kun varmuuskopioita säilytetään fyysisessä sijainnissa, jonka turvallisuuskäytännöistä ei ole varmuutta.
Käytettäviä salaustapoja valittaessa olisi otettava huomioon mm. seuraavat seikat:
Salaushallintakeinojen valinnassa harkitaan aina ulkoisten asiantuntijoiden neuvojen tarpeellisuutta.
Organisaatiomme on määritellyt toimintatavat salausavainten luomiseen, säilyttämiseen, jakamiseen ja poistamiseen.
Salausavainten pituudet ja käyttökäytännöt pyritään valitsemaan parhaiden yleisten käytäntöjen mukaisesti seuraamalla alan kehitystä.
Jotta sopimattoman käytön todennäköisyyttä saataisiin pienennettyä, salausavaimille määritellään aktivoitumis- ja vanhentumispäivämäärät, jotta avaimia voidaan käyttää ainoastaan niin kauan kuin on määritelty.
Organisaation täytyy toteuttaa tekniset toimenpiteet salausavainten hallintajärjestelmälle seurata ja raportoida kaikista kryptografisista materiaaleista ja muutoksista niiden tilassa.
Toteutuksessa tulee ottaa huomioon lakisääteiset vaatimukset ja säännökset.
Organisaation täytyy arvioida salattujen tietojen, katoamisen tai vuotamisen, jos salausmateriaali katoaa tai vahingoittuu, aiheuttaman riskin operatiiviselle jatkuvuudelle. Riskin vakavuuden perusteella organisaation täytyy mahdollistaa salausmateriaalin palauttaminen, tai uudelleenluominen, varmuuskopioista tai arkistoista.
Organisaation täytyy toteuttaa tekniset toimenpiteet vaarantuneiden avaimien käyttöön salauksessa vain kontrolloidussa ympäristössä. Sen jälkeen vain salauksen purkamiseen ja ei enään ollenkaan salaamiseen.
Toteutuksessa tulee ottaa huomioon lakisääteiset vaatimukset ja säännökset.
Organisaation täytyy toteuttaa tekniset toimenpiteet arkistoitujen salausavaimien hallintaan turvallisessa arkistossa, joka toimii pienimmän käyttöoikeuden periaatteen mukaan.
Toteutuksessa tulee ottaa huomioon lakisääteiset vaatimukset ja säännökset.
Organisaation täytyy toteuttaa tekniset toimenpiteet salausavaimien valvontaan, tarkastamiseen ja hyväksymiseen avainten siirtämisessä mistä tahansa tilasta lepotilaan tai toisinpäin. Toteutuksessa tulee ottaa huomioon lakisääteiset vaatimukset ja säännökset.
Organisaation täytyy toteuttaa tekniset toimenpiteet salausavaimien luomiseen esiaktivoituun tilaan, kun ne on luotu, mutta ei vielä hyväksytty käyttöön. Toteutuksessa tulee ottaa huomioon lakisääteiset vaatimukset ja säännökset.
Organisaation täytyy toteuttaa tekniset toimenpiteet salausavaimen tuhomaiseksi, kun ne on varastoitu turvallisen ympäristön ulkopuolelle. Sen lisäksi täytyy poistaa käytöstä avaimet, jotka on varastoitu HSM:iin (Hardware Security Modules), kun niitä ei enään tarvita.
Toteutuksessa tulee ottaa huomioon lakisääteiset vaatimukset ja säännökset.
Organisaation täytyy toteuttaa tekniset toimenpiteet salausavaimen käytön hylkäämiseksi tai poistamiseksi ennen asetetun salausjakson päättymistä. Samat toimenpiteet täytyy tehdä myös, jos avainmen eheys vaarantuu tai salauksen kohde ei enään ole osa organisaatiota.
Toteutuksessa tulee ottaa huomioon lakisääteiset vaatimukset ja säännökset.
Organisaation tulee hallinnoida salausavaimia, jotka on varattu ainutlaatuiseen tarkoitukseen.
Salausavainten jakaminen ja käyttäminen vaatii seuraavien asioiden huomioimista:
Organisaatio käyttää salausavainten luomiseen ainoastaan toimialalla yleisesti hyväksyttyjä salauskirjastoja. Kirjastot määrittävät käytetyn salausalgoritmin vahvuuden sekä mm. käytetyn satunnaisnumerogeneraattorin.
Palveluntuottajan täytyy tuottaa kyky ja lupa asiakkaan hoitaa itsenäisesti sen omistamien tai hallinoimien tietojen salauksessa käytettävien salausavainten säilytys ja hallinta.
Organisaatiolla täytyy olla valvonta ja sisäinen raportointijärjestelmä. Tällä täytyy voida valvoa ja hallita salauksen ja salausavaimien käyttöä, hallintakeinoja, toimintatapoja ja ohjaimia.
Organisaatiolla on oltava keinot, joiden mukaisesti vaarantuneita salausavaimia käsitellään. Vaarantuneet salausavaimet voivat olla tilassa, jossa ne odottavat tarkempaa tutkintaa asiallisten toimenpiteiden selvittämiseksi.
Vaarantuneiden salausavainten käsittelyssä on huomioitava vähintään seuraavat seikat:
Vaarantuneiden salausavainten pikaiseen kumoamiseen tulisi soveltaa organisaation hätäkumoamisprosesseja.
Pilvipalveluita tarjoaessaan organisaation tulee toimittaa pilvipalvelun asiakkaalle kuvaukset toteutetuista salausohjauksista soveltuvien sopimusten, lakien ja määräysten noudattamisen tarkistamiseksi.
Organisaation tulee varmistaa, että tietojärjestelmien käyttöön sovellettavat kryptografiset säännöt ja toimintatavat ovat asiaankuuluvien sopimusten, lakien ja määräysten mukaisia.