Organisaatiolla on määritellyt seurattavat mittarit, jotka liittyvät tietoturvahäiriöiden hallintaan. Parhaimmillaan hyvät mittarit auttavat havaitsemaan heikkouksia häiriöiden tunnistamiseen liittyen.
Mahdollisia mittareita ovat mm.:
Digiturvamalli sisältää raporttikirjaston, josta löytyvät omat raporttipohjat jokaiselle vaatimuskehikolle.
Olipa kuulijana oma johto, viranomainen, auditoija tai asiakas, saat tarvittavan raportin muodostettua yhdellä klikkauksella.
Tehtävälistat sisältävät digiturvan ydinasiat. Päätä, mitkä tehtävät teillä hoidetaan ja kuka vastaa. Näet vaaditut tehtävät suoraan valitun vaatimuskehikon perusteella, ja voit halutessasi täydentää listaa omilla.
Lue lisää tietoturvatehtävistäKohdista ohjeet kaikilla tai vain relevanteille yksiköille. Saat ehdotuksia suoraan valitun vaatimuskehikon perusteella ja voit lisätä omat ohjeenne.
Työntekijöille ohjeet jaellaan Teams-botin kautta. Botti ei myöskään anna lukemisen unohtua.
Digiturvamalli sisältää älykkäät mallipohjat mm. järjestelmien, henkilötietojen ja riskien dokumentointiin. Et turhaan kirjoita tai piirrä, vaan klikkailet linkittäen tietoja, jolloin automaattinen raportointi mahdollistuu.
Lue lisää dokumentoinnistaKlikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.
Kaikki tietoturvahäiriöt käsitellään johdonmukaisesti, jotta tietoturvaa voidaan parantaa tapahtuneen perusteella.
Häiriöiden käsittelyprosessissa:
Häiriöiden ilmoittamiseen ylläpidetään prosessia, joka auttaa henkilöstöä ilmoittamaan häiriöistä tehokkaasti ja johdonmukaisesti.
Häiriönä ilmoitettavia asioita ovat mm.:
Henkilöstön ohjeissa korostetaan velvollisuutta raportoida tietoturvahäiriöistä mahdollisimman pian sovitun prosessin mukaisesti. Ohjeistus kuvaa myös muun toiminnan häiriön tapauksessa (mm. virheilmoitusten ja muiden yksityiskohtien kirjaaminen ylös).
Tietoturvahäiriöiden analysoinnista ja ratkaisemisesta saatua tietämystä olisi hyödynnettävä tulevien häiriöiden todennäköisyyden vähentämisessä ja niiden vaikutuksen pienentämisessä.
Organisaatio analysoi säännöllisesti tapahtuneita häiriöitä kokonaisuutena. Tässä prosessissa tutkitaan häiriöiden tyyppiä, määrää ja kustannuksia tavoitteena tunnistaa toistuvia ja vaikutuksiltaan merkittäviä häiriöitä.
Mikäli reagointia vaativia toistuvia häiriöitä tunnistetaan, niiden perusteella:
Organisaatio on määritellyt toimintatavat, jotka varmistavat häiriön alkuperäisen raportoijan sekä muuten häiriöön liittyvän henkilöstön saavan tiedon häiriön käsittelyn tuloksista.
Häiriöön liittyvä henkilöstö voidaan kirjata valinnaiseen tietokenttään tietoturvahäiriöiden dokumentaatiopohjassa.
Organisaatio huolehtii siitä, että häiriöhallintaan on nimetty selkeät vastuuhenkilöt, jotka vastaavat esimerkiksi häiriöiden ensimmäisen tason käsittelystä.
Häiriöiden hallinnasta vastaavia henkilöitä on ohjeistettava ja koulutettava, jotta he ymmärtävät organisaation prioriteetit tietoturvahäiriöiden käsittelyssä.
Organisaatio on määritellyt prosessin ja siihen osallistuvan tiimin, jonka avulla tietoturvahäiriöihin reagoidaan pikaisesti ja sopivat jatkotoimet päätetään johdonmukaisesti.
Ensimmäisen tason reagointiprosessissa vähintään:
Organisaation on luotava toimintatavat, joiden avulla tunnistetaan, kerätään ja säilytetään tietoturvahäiriöihin liittyvä relevantti todistetieto. Todisteiden voi olla tarpeen olla kerätty tavalla, joka voidaan hyväksyä relevanteissa tuomioistuimissa tai muissa vastaavissa kurinpitoelimissä.
Todistemateriaaliin liittyen pitäisi pystyä osoittamaan mm.:
Liittyvän henkilökunnan sekä työkalujen sertifiointia tai muita pätevyystodisteita voidaan lisäksi harkita sovellettavan todisteiden arvon vahvistamiseksi.
Organisaation tulisi säännöllisesti, vähintään kerran vuodessa, harjoitella siihen kohdistuvia mahdollisia häiriö- tai hyökkäystilanteita.
Harjoitus voi kohdistua joko häiriön havaitsemisen, reagoinnin tai johtamisen kehittämiseen tai kaikkiin näistä.
Harjoitusten toteuttamisesta ja havainnoista tulee ylläpitää dokumentaatiota.
Organisaatiolla tulee olla olemassa menettely sen toimintaan kohdistuvien häiriöiden, hyökkäysten ja loukkausten ilmoittamiseksi viranomaisille. Esimerkiksi:
Organisaation on otettava keinoja käyttöön, jolla häiriön vaikutus voidaan rajata mahdollisimman pieneen osaan. Keinot tulisivat vastata tehtyjä suunnitelmia ja sisältää häiriön:
Häiriön jälkeen haitalliselle koodille, tai muille häiriön jäänteille on suoritettava rikostekninen tutkinta. Turvallisesti tehty tutkinta suljetussa ympäristössä voi aukaista häiriön syitä, tavoitteita ja toteutustapoja. Tämä auttaa organisaatiota korjaamaan mahdolliset aukot turvallisuudessa, varautumaan samankaltaisiin häiriöihin ja tunnistamaan tai profiloimaan mahdollisen hyökkääjän.
Havaitsemisprosesseja ja menettelyjä ylläpidetään ja testataan, jotta varmistetaan tietoisuus poikkeavista tapahtumista. Havaitsemistoimien täytyy sopia kaikkiin asiaan liittyviin vaatimuksiin.
Organisaation on määriteltävä, millaisia tietoturvatapahtumia se seuraa ja millä toimintatavoilla.
Tietoturvatapahtumia tulisi seurata useista eri lähteistä, joiden avulla tärkeä, reagointia vaativat mahdolliset häiriöt voidaan tunnistaa. Tietoa voidaan saada mm. suoraan hallintajärjestelmästä, ulkoisilta kumppaneilta tai organisaation laitteiden tuottamista lokeista.
Esimerkkejä seurattavista tietoturvatapahtumista voivat olla mm.:
Pilvipalveluita tarjoaessaan organisaatiolla tulee olla suunnitellut prosessit tai menettelyt:
Organisaation on määriteltävä toimintatavat, joiden avulla havaitut tietoturvatapahtumat pystytään selkeästi lajittelemaan. Lajittelun avulla on pystyttäjä priorisoimaan tapahtumat vakavuuden ja mahdollisen vaikutuksen mukaan.
Lajittelun perusteella on tarkoitus tehostaa tietoturvatapahtumien tutkimista ja arviointia, jotta esimerkiksi häiriöön vastaaminen saadaan tarvittaessa käyntiin nopeasti.
Toimintatavat voivat koostua yleisistä prosesseista, teknisistä työkaluista tai koneoppimista hyödyntävistä algoritmeistä. Toimintatapoja on tarkasteltava säännöllisesti, jotta vahvistetaan niiden toimivuus ja sopivuus käyttötarpeisiin.
Organisaation tulisi ottaa huomioon ympäristöuhat, jotka voivat vaikuttaa järjestelmien käytettävyyteen osana riskienarviointiprosessia ja myös osana tietoturvahäiriöiden prosessia.
Ympäristöuhkiin kuuluu esimerkiksi:
Kaikki tietoturvahäiriöt käsitellään johdonmukaisesti, jotta tietoturvaa voidaan parantaa tapahtuneen perusteella.
Häiriöiden käsittelyprosessissa:
Organisaatio huolehtii siitä, että häiriöhallintaan on nimetty selkeät vastuuhenkilöt, jotka vastaavat esimerkiksi häiriöiden ensimmäisen tason käsittelystä.
Häiriöiden hallinnasta vastaavia henkilöitä on ohjeistettava ja koulutettava, jotta he ymmärtävät organisaation prioriteetit tietoturvahäiriöiden käsittelyssä.
Häiriöiden ilmoittamiseen ylläpidetään prosessia, joka auttaa henkilöstöä ilmoittamaan häiriöistä tehokkaasti ja johdonmukaisesti.
Häiriönä ilmoitettavia asioita ovat mm.:
Henkilöstön ohjeissa korostetaan velvollisuutta raportoida tietoturvahäiriöistä mahdollisimman pian sovitun prosessin mukaisesti. Ohjeistus kuvaa myös muun toiminnan häiriön tapauksessa (mm. virheilmoitusten ja muiden yksityiskohtien kirjaaminen ylös).
Organisaatio on määritellyt prosessin ja siihen osallistuvan tiimin, jonka avulla tietoturvahäiriöihin reagoidaan pikaisesti ja sopivat jatkotoimet päätetään johdonmukaisesti.
Ensimmäisen tason reagointiprosessissa vähintään:
Tietoturvahäiriöiden analysoinnista ja ratkaisemisesta saatua tietämystä olisi hyödynnettävä tulevien häiriöiden todennäköisyyden vähentämisessä ja niiden vaikutuksen pienentämisessä.
Organisaatio analysoi säännöllisesti tapahtuneita häiriöitä kokonaisuutena. Tässä prosessissa tutkitaan häiriöiden tyyppiä, määrää ja kustannuksia tavoitteena tunnistaa toistuvia ja vaikutuksiltaan merkittäviä häiriöitä.
Mikäli reagointia vaativia toistuvia häiriöitä tunnistetaan, niiden perusteella:
Mikäli häiriön ensisijaisen käsittelyn perusteella on vaikeaa tunnistaa tietoturvahäiriön lähde, suoritetaan häiriölle erillinen jälkianalyysi, jossa lähde pyritään tunnistamaan.
Organisaation tulisi ottaa huomioon ympäristöuhat, jotka voivat vaikuttaa järjestelmien käytettävyyteen osana riskienarviointiprosessia ja myös osana tietoturvahäiriöiden prosessia.
Ympäristöuhkiin kuuluu esimerkiksi:
Organisaatiolla on määritellyt seurattavat mittarit, jotka liittyvät tietoturvahäiriöiden hallintaan. Parhaimmillaan hyvät mittarit auttavat havaitsemaan heikkouksia häiriöiden tunnistamiseen liittyen.
Mahdollisia mittareita ovat mm.:
Organisaation on määriteltävä toimintatavat, joiden avulla havaitut tietoturvatapahtumat pystytään selkeästi lajittelemaan. Lajittelun avulla on pystyttäjä priorisoimaan tapahtumat vakavuuden ja mahdollisen vaikutuksen mukaan.
Lajittelun perusteella on tarkoitus tehostaa tietoturvatapahtumien tutkimista ja arviointia, jotta esimerkiksi häiriöön vastaaminen saadaan tarvittaessa käyntiin nopeasti.
Toimintatavat voivat koostua yleisistä prosesseista, teknisistä työkaluista tai koneoppimista hyödyntävistä algoritmeistä. Toimintatapoja on tarkasteltava säännöllisesti, jotta vahvistetaan niiden toimivuus ja sopivuus käyttötarpeisiin.
Pilvipalveluita tarjoaessaan organisaatiolla tulee olla suunnitellut prosessit tai menettelyt:
Organisaation on määriteltävä, millaisia tietoturvatapahtumia se seuraa ja millä toimintatavoilla.
Tietoturvatapahtumia tulisi seurata useista eri lähteistä, joiden avulla tärkeä, reagointia vaativat mahdolliset häiriöt voidaan tunnistaa. Tietoa voidaan saada mm. suoraan hallintajärjestelmästä, ulkoisilta kumppaneilta tai organisaation laitteiden tuottamista lokeista.
Esimerkkejä seurattavista tietoturvatapahtumista voivat olla mm.:
Organisaation täytyy määritellä raja, jolloin tietoturvatapahtumasta tulee tietoturvahäiriö.
Havaitsemisprosesseja ja menettelyjä ylläpidetään ja testataan, jotta varmistetaan tietoisuus poikkeavista tapahtumista. Havaitsemistoimien täytyy sopia kaikkiin asiaan liittyviin vaatimuksiin.
Häiriön jälkeen haitalliselle koodille, tai muille häiriön jäänteille on suoritettava rikostekninen tutkinta. Turvallisesti tehty tutkinta suljetussa ympäristössä voi aukaista häiriön syitä, tavoitteita ja toteutustapoja. Tämä auttaa organisaatiota korjaamaan mahdolliset aukot turvallisuudessa, varautumaan samankaltaisiin häiriöihin ja tunnistamaan tai profiloimaan mahdollisen hyökkääjän.
Organisaation on otettava keinoja käyttöön, jolla häiriön vaikutus voidaan rajata mahdollisimman pieneen osaan. Keinot tulisivat vastata tehtyjä suunnitelmia ja sisältää häiriön:
Organisaatiolla tulee olla olemassa menettely sen toimintaan kohdistuvien häiriöiden, hyökkäysten ja loukkausten ilmoittamiseksi viranomaisille. Esimerkiksi:
Organisaation tulisi säännöllisesti, vähintään kerran vuodessa, harjoitella siihen kohdistuvia mahdollisia häiriö- tai hyökkäystilanteita.
Harjoitus voi kohdistua joko häiriön havaitsemisen, reagoinnin tai johtamisen kehittämiseen tai kaikkiin näistä.
Harjoitusten toteuttamisesta ja havainnoista tulee ylläpitää dokumentaatiota.
Organisaation on luotava toimintatavat, joiden avulla tunnistetaan, kerätään ja säilytetään tietoturvahäiriöihin liittyvä relevantti todistetieto. Todisteiden voi olla tarpeen olla kerätty tavalla, joka voidaan hyväksyä relevanteissa tuomioistuimissa tai muissa vastaavissa kurinpitoelimissä.
Todistemateriaaliin liittyen pitäisi pystyä osoittamaan mm.:
Liittyvän henkilökunnan sekä työkalujen sertifiointia tai muita pätevyystodisteita voidaan lisäksi harkita sovellettavan todisteiden arvon vahvistamiseksi.
Henkilöstöllä on käytössä whistle blowing -järjestelmä, jonka kautta voi nimettömästi raportoida tietoturvasääntöjen tai -menettelyjen loukkauksista.
Organisaatio on määritellyt toimintatavat, jotka varmistavat häiriön alkuperäisen raportoijan sekä muuten häiriöön liittyvän henkilöstön saavan tiedon häiriön käsittelyn tuloksista.
Häiriöön liittyvä henkilöstö voidaan kirjata valinnaiseen tietokenttään tietoturvahäiriöiden dokumentaatiopohjassa.