Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

TEK-17.1
Julkri

Julkisen hallinnon tietoturvakriteeristö

Muita saman teeman digiturvatehtäviä

Tietojärjestelmien listaus ja omistajien nimeäminen

Critical
High
Normal
Low

Organisaation on ylläpidettävä listaa käytetyistä tietojärjestelmistä sekä tietojärjestelmille nimetyistä omistajista. Omistaja vastaa järjestelmän tietojen täydentämisestä sekä mahdollisista muista tietoturvatoimenpiteistä, jotka liittyvät tiiviisti järjestelmään.

Järjestelmiin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

  • Järjestelmään liittyvät vastuut ja sen käyttötarkoitus
  • Järjestelmän tietojen sijainti (käsitellään tarkemmin erillisessä tehtävässä)
  • Kuvaus järjestelmän ylläpito- ja kehitysvastuista sekä tähän mahdollisesti liittyvät toimittajat (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa tietojärjestelmän pääsyoikeusroolit ja tunnistautumistavat (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa liittymät muihin järjestelmiin (käsitellään tarkemmin erillisessä tehtävässä)
I06: Pääsyoikeuksien hallinnointi
Katakri
4 luku, 13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL
24. Rekisterinpitäjän vastuu
GDPR
5. Henkilötietojen käsittelyä koskevat periaatteet
GDPR
32. Käsittelyn turvallisuus
GDPR

Ohjeistukset henkilöstölle tietojärjestelmien ja tunnistautumistietojen käyttöön liittyen

Critical
High
Normal
Low

Organisaatiolla tulisi olla määritelly ohjeet tietojärjestelmien yleisesti hyväksyttävälle käytölle sekä tarvittavien tunnistautumistietojen hallinnalle.

Tärkeäksi luokiteltujen tietojärjestelmien omistaja voi lisäksi määritellä, dokumentoida ja jalkauttaa tarkempia sääntöjä juuri tämän tietojärjestelmän käytöstä. Nämä saannöt voivat kuvata mm. tietoturvavaatimukset, jotka järjestelmän sisältävään tietoon liittyvät.

32. Käsittelyn turvallisuus
GDPR
29. Tietojenkäsittely rekisterinpitäjän ja henkilötietojen käsittelijän alaisuudessa
GDPR
8.1.3: Acceptable use of assets
ISO 27001
12.1.1: Documented operating procedures
ISO 27001
9.1.1: Access control policy
ISO 27001

Pilvipalveluiden käyttöä koskevat yleiset periaatteet

Critical
High
Normal
Low

Organisaation on määriteltävä (tarkempien toimittajavastuita, -häiriöitä sekä pilvipalveluiden hankintaa koskevien käytäntöjen lisäksi), millä yleisillä periaatteilla se aikoo hallita pilvipalveluiden käyttöön liittyviä tietoturvariskejä.

Määritelmissä on otettava huomioon mm.:

  • kuinka palveluntarjoajan mahdollistamia tietoturvaominaisuuksia hyödynnetään
  • kuinka vaatia todisteita palveluntarjoajan toteuttamista toimenpiteistä tietoturvan eteen
  • mitä tekijöitä on huomioitava omissa toimintatavoissa kun hyödynnetään isoa palveluntarjoaja määrää
  • pilvipalveluiden käytön huomiointi tietoturvariskien hallinnassa
  • toimintatavat pilvipalvelun käytön päättämishetkellä
5.23: Pilvipalvelujen tietoturvallisuus
ISO 27001

Liittymien ja rajapintojen dokumentointi tietojärjestelmille

Critical
High
Normal
Low

Organisaatio pitää kirjaa tietojärjestelmän liittymistä muihin tietojärjestelmiin sekä liittymissä käytettävistä tiedonsiirtotavoista.

Dokumentaatio liittymien suhteen on katselmoitava säännöllisesti sekä järjestelmiin tehtävien muutosten jälkeen.

8.1.1: Inventory of assets
ISO 27001
5 luku, 22 §: Tietojen luovuttaminen teknisen rajapinnan avulla viranomaisten välillä
TiHL
5 luku, 23 §: Katseluyhteyden avaaminen viranomaiselle
TiHL
5 luku, 24 §: Tietoaineistojen luovuttaminen teknisen rajapinnan avulla muille kuin viranomaisille
TiHL
DE.AE-1: Baseline of network operations
NIST

Tietojärjestelmien ylläpito ja päivittäminen valmistajan ohjeiden mukaisesti

Critical
High
Normal
Low

Organisaation on varmistettava, että tietojärjestelmiä ylläpidetään ja päivitetään valmistajan ohjeiden mukaisesti.

Tietojärjestelmien tekninen katselmointi

Critical
High
Normal
Low

Organisaatio katselmoi säännöllisesti tietojärjestelmien teknistä vaatimuksenmukaisuutta organisaatiota koskevien vaatimusten kanssa.

Katselmoinnissa voidaan hyödyntää manuaalista toteutusta kokeneiden ammattilaisten toimista tai automatisoituja työkaluja (mm. tunkeutumistestaus).

Tekninen katselmointi on aina suunniteltava ja toteutettava osaavan ja ennalta hyväksytyn henkilöstön toimesta.

Turhien ohjelmistojen ja verkkopalveluiden poistaminen

Critical
High
Normal
Low

Organisaation on huolehdittava turhien ohjelmistojen, kuten sovellusten, järjestelmien apuohjelmien ja tietoverkkopalveluiden poistamisesta.

Lisensoitujen ohjelmien päivittäminen

Critical
High
Normal
Low

Organisaation täytyy pitää huolta, että lisensoidut ohjelmistot päivitetään 14 päivän kuluessa päivityksen julkaisusta ja silloin, kun:

  • Päivitys korjaa haavoittuvuuksia, jotka luokitellaan kriittiseksi tai korkean riskin haavoittuvuudeksi
  • toimittaja ei kerro yksityiskohtia korjattavan haavoittuvuuden vakavuudesta

Lisentoitujen ohjelmistojen ylläpito

Critical
High
Normal
Low

Organisaation täytyy huolehtia, että sen lisensoimat ohjelmistot:

  • ovat lisensoituja ja aktiivisesti tuettuja
  • poistetaan laitteista, kun ne eivät ole enään tuettuja
  • on säädetty päivittymään automaattisesti, kun mahdollista

Tietojen erottelumenettelyt varmistusjärjestelmissä (TL IV)

Critical
High
Normal
Low

Käsiteltäessä samalla varmistusjärjestelmällä eri omistajien tietoja, tarkastusoikeuden mahdollistavat erottelumenettelyt on toteutettava varmistusjärjestelmän liittymien ja tallennemedioiden osalta (esim. omistaja-/hankekohtaiset eri avaimilla salatut nauhat, joita säilytetään asiakaskohtaisissa kassakaapeissa/kassakaappilokeroissa).

TEK-20.1: Varmuuskopiointi
Julkri

Tietojärjestelmien suojaus auditointeihin liittyvien testien aikana

Critical
High
Normal
Low

Tietojärjestelmiin kohdistuvien, esimerkiksi auditointien aikana tehtävien, tarkistusten sekä muiden varmennustoimien tulee olla ennalta suunniteltuja ja sovittuja asianmukaisten testaajien sekä johdon kanssa. Tällä pyritään minimoimaan toimien vaikutus toimintaprosesseihin.

Käytäntöjä suunniteltaessa on huomioitava seuraavat seikat:

  • tarkastuspyynnöt hyväksytään asianmukaisen vastuuhenkilön kanssa
  • teknisten testien laajudesta sovitaan etukäteen ja niiden toteutusta valvotaan
  • testit rajoitetaan mahdollisuuksien mukaan vain luku -käyttöön tai toteutetaan vain kokeneiden järjestelmänvalvojien toimesta
  • turvallisuusvaatimusten toteutuminen varmistetaan ennalta laitteissa, joilla tarvitaan pääsyä järjestelmiin
  • testit, jotka voivat vaikuttaa tärkeiden järjestelmän käytettävyyteen, suoritetaan virka-ajan ulkopuolella
  • tarkastuksissa tehdyt toimet ja niitä varten myönnetyt pääsyoikeudet kirjataan lokiin
8.34: Tietojärjestelmien suojaus auditointitestauksen aikana
ISO 27001

Tietojärjestelmien ja laitteiden hallinta järjestelmienhallinnassa

Critical
High
Normal
Low

Organisaation tietojärjestelmät ja laitteisto ovat kattavasti järjestelmienhallinnan piirissä. Järjestelmienhallinnan kautta voidaan mahdollistaa mm. automaattiset päivitykset.

43: Tietojärjestelmien ja laitteiden hallinta

Saatavuusvaatimuksia omaavien järjestelmien valvonta

Critical
High
Normal
Low

Jos palvelulla on saatavuus vaatimuksia, seurataan sen saatavuutta valvontajärjestelmällä. Valvontajärjestelmän tulee lähettää hälyttää havaitusta saatavuuspoikkeamista.

TEK-22.2: Tietojärjestelmien saatavuus - palveluiden valvonta
Julkri

Tietojärjestelmien saatavuus ja saatavuutta suojaavat menettelyt

Critical
High
Normal
Low

Viranomaisen on varmistettava tietojärjestelmien saatavuus koko niiden elinkaaren ajan. Tämän vuoksi eri tietojärjestelmien saatavuusvaatimukset (etenkin pisin aika, jonka järjestelmä voi olla pois käytöstä, palautusaikatavoite sekä palautuspistetavoite).

Saatavuusvaatimusten toteutuksen tulee huomioida tietojärjestelmältä edellytettävä kuormituksen kesto, vikasietoisuus ja palautumisaika.

Lisäksi tarve saatavuutta suojaaville menettelyille on tunnistettu ja menettelyt on toteutettu kriittisille järjestelmille järjestelmäkohtaisesti räätälöidyillä suojauksilla. Suojauksiin voi sisältyä esimerkiksi keskeisten verkkoyhteyksien, laitteistojen ja sovellusten ajoympäristöjen kahdentamiset.

TEK-22: Tietojärjestelmien saatavuus
Julkri
TEK-22.1: Tietojärjestelmien saatavuus - saatavuutta suojaavat menettelyt
Julkri
31: Toipumissuunnitelmat kriittisille järjestelmille

Tietojenkäsittely-ympäristöjen turvallisuusdokumentaation ylläpito

Critical
High
Normal
Low

Tietojärjestelmiin ja verkkoihin liittyvää turvallisuusdokumentaatiota ylläpidetään ja sitä kehitetään jatkuvasti tärkeänä osana yleistä muutostenhallintaprosessia.

TEK-17.2: Muutoshallintamenettelyt - dokumentointi
Julkri

Tietojärjestelmien vikasietoisuus ja toiminnallinen käytettävyys

Critical
High
Normal
Low

Olennaisilla tietojärjestelmillä tarkoitetaan sellaisia tietojärjestelmiä, jotka ovat kriittisiä viranomaisen lakisääteisten tehtäviä toteuttamisen kannalta erityisesti hallinnon asiakkaille palveluja tuotettaessa.

Toiminnallisella käytettävyydellä tarkoitetaan tietojärjestelmän käyttäjän kannalta sen varmistamista, että tietojärjestelmä on helposti opittava ja käytössä sen toimintalogiikka on helposti muistettava, sen toiminta tukee niitä työtehtäviä, joita käyttäjän pitää tehdä tietojärjestelmällä ja tietojärjestelmä edistää sen käytön virheettömyyttä.

  • Organisaatio tunnistaa ja luetteloi tehtävien hoitamisen kannalta olennaiset tietojärjestelmät esimerkiksi osana suojattavien kohteiden luettelointia ja tiedon luokittelua.
  • Organisaatio määrittelee olennaisten tietojärjestelmien saatavuuskriteerit, joita vasten vikasietoisuus voidaan testata. Järjestelmäkohtaisten saatavuuskriteerien määrittelyssä voidaan hyödyntää tietojärjestelmien saatavuusluokittelua.
  • Organisaatio määrittelee toiminnallisen käytettävyyden kriteerit.
  • Organisaation hankintaprosesseissa ja hankintaohjeissa on huomioitu toiminnalliseen käytettävyyteen ja vikasietoisuuteen liittyvät vaatimukset.
  • Organisaatio dokumentoi vikasietoisuuden testaukset.

Orgaisaation on myös varmistettava digitaalisten palveluiden saavutettavuus lainsäädännön edellyttämässä laajuudessa:

Saavutettavuus tarkoittaa sitä, että mahdollisimman moni erilainen ihminen voi käyttää verkkosivuja ja mobiilisovelluksia mahdollisimman helposti. Saavutettavuus on ihmisten erilaisuuden ja moninaisuuden huomiointia verkkosivujen ja mobiilisovelluksien suunnittelussa ja toteutuksessa. Saavutettavan digipalvelun suunnittelussa ja toteutuksessa pitää huomioida kolme osa-aluetta: tekninen toteutus, helppokäyttöisyys ja sisältöjen selkeys ja ymmärrettävyys.

HAL-17.1: Tietojärjestelmien toiminnallinen käytettävyys ja vikasietoisuus - saavutettavuus
Julkri

Sietokykyä edistävien toimintojen toteuttaminen

Critical
High
Normal
Low

Organisaation on hyödynnettävä mekanismeja kuten:

  • Vikaturvallisuutta (failsafe) minimoimaan vahingot ongelman sattuessa
  • Kuorman tasausta, vähentämään riskiä ongelmaan
  • “Kuumana vaihdettavuutta” (hot swappable) eli komponentteja tai muita prosessin osia voidaan vaihtaa ilman toimintakatkosta
PR.PT-5: Mechanisms
NIST

Vähimmän toiminnallisuuden periaate järjestelmissä

Critical
High
Normal
Low

Organisaatio hyödyntää vähimmän toiminnallisuuden periaatetta (principle of least functionality) järjestelmien käyttöönotossa ja asetuksissa. Järjestelmillä ei saa olla oikeuksia mihinkään mitä ei tarvita toteuttamaan sitä mihin ne on tarkoitettu.

PR.PT-3: Principle of least functionality, objectives and activities
NIST

Dokumentoidut menettelyt ja valvonta kriittisille järjestelmänvalvojan toiminnoille käytetyissä tietojärjestelmissä

Critical
High
Normal
Low

Kriittiset järjestelmänvalvojan toiminnot tarkoittavat toimintoja, joissa vika voi aiheuttaa peruuttamatonta vahinkoa pilvilaskentaympäristön sisällölle.

Kriittiset järjestelmänvalvojan toiminnot voivat sisältää esimerkiksi virtualisoituihin laitteisiin (esim. palvelimet, verkot, tallennus) liittyvät muutokset, lopetusmenettelyt, varmuuskopiointi ja palautus.

Jos tietojärjestelmä sisältää säännöllisiä kriittisiä järjestelmänvalvojan toimintoja, ne dokumentoidaan. Myös kriittisten järjestelmänvalvojatoimintojen suorittamisen menettelyt on dokumentoitu etukäteen tarvittavalla tarkkuudella kaikille käytettäville tietojärjestelmille.

Aina kun kriittinen järjestelmänvalvojan toiminto suoritetaan, dokumentaatiossa nimetty valvoja valvoo toimintaa.

CLD 12.1: Operational procedures and responsibilities
ISO 27017
CLD 12.1.5: Administrator's operational security
ISO 27017

Tietojäjestelmien ei-sallitun käytön tekninen estäminen

Critical
High
Normal
Low

Sosiaalihuollon asiakastietoja ja potilastietoja käsittelevien tietojärjestelmien tulee estää ei-sallittu käyttö aina silloin, kun se vain on teknisesti mahdollista, ja omavalvonnan kohteen omien ohjeiden ja toimintatapojen tulee ohjata asiakastietojen käsittelijöitä oikeisiin toimintatapoihin ja tietojenkäsittelyyn.

Asiakstietojen käsittelyyn tarkoitetun tietojärjestelmän tuotantokäytön vaatimukset

Critical
High
Normal
Low

Asiakastietojen käsittelyyn tarkoitettua tietojärjestelmää ei saa ottaa tuotantokäyttöön, ellei siitä ole voimassa olevia tietoja Valviran tietojärjestelmärekisterissä.

  • Luokkaan A kuuluvan tietojärjestelmän tai hyvinvointisovelluksen saa ottaa tuotantokäyttöön sen jälkeen, kun Valviran rekisteristä löytyy tieto järjestelmän sertifioinnista ja voimassa olevasta tietoturvallisuustodistuksesta.
  • Tietojärjestelmää ei saa ottaa tuotantokäyttöön, jos luokkaan A kuuluvan tietojärjestelmän tietoturvallisuustodistus on vanhentunut, tai jos Valviran tietojärjestelmärekisterissä on järjestelmän käyttöönoton estävä poikkeama.
  • Myös muut Valviran tietojärjestelmärekisterissä järjestelmään kohdistuvat olevat rajoitukset ja edellytykset on otettava huomioon (THL:n määräys 4/2021).



Turvallisuuden ja suorituskyvyn varmistamisen kuvaaminen hyödynnettävistä sovelluksista ja tietojärjestelmistä

Critical
High
Normal
Low

Tietoturvasuunnitelmassa on kuvattava kuinka varmistetaan se, että Kanta-palveluihin liittyviin tietojärjestelmiin liitetyt tai käyttöympäristössä hyödynnettävät muut sovellukset tai tietojärjestelmät eivät vaaranna tietojärjestelmien suorituskykyä eivätkä niiden tietoturva- tai tietosuojaominaisuuksia.

Muilla sovelluksilla ja tietojärjestelmillä tarkoitetaan esimerkiksi tietokoneohjelmia, jotka eivät käsittele asiakas- ja potilastietoja, eivätkä siten ole asiakastietolain 29 §:n mukaisia luokan A tai B tietojärjestelmiä.


Tietojärjestelmien käyttötarkoitukseensa soveltuvuuden varmistaminen

Critical
High
Normal
Low

Palvelunantajan tulee asiakastietolain 27 §:n 1 momentin kohdan 8 mukaisesti varmistaa, että 29 §:ssä tarkoitetut tietojärjestelmät täyttävät käyttötarkoituksensa mukaiset olennaiset vaatimukset 34 §:n 2 momentin mukaisesti.

Palvelunantajan käyttämien tietojärjestelmien on vastattava käyttötarkoitukseltaan palvelunantajan toimintaa ja täytettävä palvelunantajan toimintaan liittyvät olennaiset vaatimukset. Olennaiset vaatimukset voidaan täyttää yhden tai useamman tietojärjestelmän muodostaman kokonaisuuden kautta.

Varjo-IT:n tunnistaminen ja hallinta

Critical
High
Normal
Low

Keskimäärin IT-pääkäyttäjä arvioi henkilöstön käyttävän n. 50 pilvipalvelua, kun todellinen määrä on 1 000. Useat näistä ovat tärkeitä henkilöstön tuottavuuden kannalta ja niitä käytetään organisaation verkon ulkopuolelta, joten palomuurisäännöillä ei haastetta ratkaista.

Pilvipalvelujen tunnistamiseen ja hallintaan keskittyvien järjestelmien avulla voit tunnistaa henkilöstön käyttämiä pilvipalveluita ja valvoa eri palvelujen käyttäjiä. Tämä auttaa mm.:

  • määrittämään omaa riskitasoanne pilvipalveluissa olevan tiedon suhteen
  • tarkistamaan palveluita tietoturvan suhteen
  • pystymään raportoimaan vaatimusten mukaisesti esim. tietojen sijiannista ja kumppaneista
9.2.2: User access provisioning
ISO 27001
5.18: Pääsyoikeudet
ISO 27001

Tietojärjestelmiä ylläpitävän henkilöstön pätevyys ja vastuut

Critical
High
Normal
Low

Organisaation on varmistettava, että tietojärjestelmiä asentaa, ylläpitää ja päivittää ainoastaan henkilöstö, jolla on siihen tarvittava ammattitaito ja asiantuntemus. Lisäksi on kuvattava tietojärjestelmiä asentavan, ylläpitävän ja päivittävän henkilön rooli ja vastuut suhteessa organisaation sekä tietojärjestelmän tuottajaan.

Tietoturvallisuutta koskevien tarkastusten suorittaminen määräajoin ja poikkeustilanteissa

Critical
High
Normal
Low

Tietoturvallisuutta koskevat tarkastukset ja uudelleentarkastelut on tärkeää suorittaa määräajoin tietojenkäsittely-ympäristön normaalin toiminnan aikana, huoltotoimenpiteiden yhteydessä sekä poikkeuksellisten tilanteiden ilmetessä.

Organisaatio on määritellyt aikamääreet ja tapahtumat, joiden mukaisesti tietoturvallisuutta koskevia tarkastuksia suoritetaan.

TEK-17.1: Muutoshallintamenettelyt - uudelleenarviointi
Julkri

Järjestelmädokumentaation säännöllinen katselmointi

Critical
High
Normal
Low

Tietojärjestelmälistausta on katselmoitava säännöllisesti, jotta varmistetaan sen tarkkuus, ajantasaisuus ja johdonmukaisuus.

24. Rekisterinpitäjän vastuu
GDPR
8.1.1: Inventory of assets
ISO 27001

Tietojärjestelmien omistajien nimeäminen

Critical
High
Normal
Low

Jokaiselle tietojärjestelmälle nimetään omistaja. Omistaja on vastuussa tieto-omaisuuden elinkaaresta ja vastaa kyseiseen omaisuuteen liittyvien hallintatehtävien toteuttamisesta.

Omistajan tehtäviin kuuluu mm.:

  • varmistaa omaisuuden dokumentointi
  • varmistaa omaisuuden asianmukainen suojaus
  • pääsyoikeuksien säännöllinen katselmointi
  • varmistaa tietojen asianmukainen käsittely, myös tietoja tuhottaessa

Omistaja voi delegoida osan tehtävistä eteenpäin, mutta vastuu säilyy omistajalla.

4 luku, 13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL
32. Käsittelyn turvallisuus
GDPR
8.1.2: Ownership of assets
ISO 27001
6.1.1: Information security roles and responsibilities
ISO 27001
9.2.2: User access provisioning
ISO 27001