Mitä vaatimuskehikkoja on tarjolla?

Digiturvamallin kirjastossa vaatimuskehikko on kokoelma erilaisia tietoturvaan kohdistuvia vaatimuksia, hallintakeinoja tai kriteerejä. Vaatimuskehikko voi olla mm. kansainvälinen standardi, kansallinen kriteeristö, laki, asetus tai muu hyvien käytäntöjen paketti.

Vaatimuskehikot on suunniteltu auttamaan teitä kohdistamaan digiturvatyön resurssit työhön, joka auttaa vastaamaan juuri näihin vaatimuksiin.

Tuomme uusia vaatimuskehikkoja mukaan jatkuvasti. Kehikoilla on seuraavat tiedot:

Nimi
Kuvaus
Tyyppi (tietoturva / tietosuoja / julkishallinto)
Avainsanat

Asettaaksesi kehikon päälle tai pois päältä:

Klikkaa "Vaatimuskehikot" työpöydän vasemmasta valikosta
Valitse sopiva vaatimuskehikko
Vaihda tila oikeasta laidasta kohtaan Käytössä / Ei käytössä

Vaatimuskehikon ottaminen käyttöön korostaa tehtävät, ohjeet ja dokumentaation, jotka liittyvät tämän kehikon vaatimuksiin. Näet myös työpöydällä yhteenvedon edistymisestäsi näiden kehikkojen sisällössä. Joillakin vaatimuskehikoilla on myös mukautettuja raportteja.

Tällä hetkellä saatavilla olevat vaatimuskehikot ovat:

CSA Cloud Controls Matrix

Cloud Security Alliance (CSA) tarjoaa pilvipalveluihin erikoistunutta tutkimusta sekä sertifiointia (CSA STAR), joka hyödyntää cloud controls matrixia (CCM) selkärankanaan.

‍GDPR - Yleinen tietosuoja-asetus

GDPR asettaa vaatimukset henkilötietojen lailliselle käsittelylle ja tietojen riittävän suojaamisen osoittamiselle.

ISO 27001 - 3 eri tasoa

ISO 27001 -kehikko sisältää vaikuttavan kattauksen turvallisuusvaatimuksia, jotka kattavat kaikki tietoturvan osa-alueet.

ISO 27001: Startti (taso 1/3): 20% poiminto ISO 27001 -standardista. Ilman näitä ydinasioita on vaikeaa luvata asiakkaille heidän tietojensa olevan turvassa.
ISO 27001: Laajenna (taso 2/3): 50% poiminto ISO 27001 -standardista. Sisältää edistyneitä hallintakeinoja tietoturvan parantamiseen, muttei etene sertifiointitasoon asti.
ISO 27001: Täysi (taso 3/3): Täysi, sertifionnin mahdollistava tietoturvan hallintajärjestelmä. Koko kattaus hallintakeinoja sekä johdon, auditoinnin sekä riskienhallinnan näkökulmat.

ISO 27017

ISO 27017 on tietoturvastandardi, joka on kehitetty erityisesti pilvipalveluntarjoajille ja käyttäjille turvallisemman pilvipohjaisen ympäristön luomiseksi ja tietoturvahäiriöiden riskin vähentämiseksi.

ISO 27018

ISO 27018 on tietoturvastandardi, joka on kehitetty erityisesti pilvipalveluntarjoajille, jotta voidaan varmistaa riskien arvioiminen ja valvonnan toteuttaminen henkilötietojen suojaamiseksi.

ISO 27701

ISO 27701 on tietosuojalaajennus ISO 27001 -standardiin. Vaatimuskehikon avulla olemassaoleva tietoturvan hallintajärjestelmä (ISMS) laajennetaan henkilötietojen käsittelyä ja suojaamista koskevilla vaatimuksilla tietosuojan hallintajärjestelmäksi (PIMS).

Julkri (julkisen hallinnon tietoturvakriteeristö) - 4 eri tasoa

Julkri sisältää vaikuttavan kattauksen tietoturvakriteerejä, jotka on suunniteltu suomalaisen julkishallinnon tarpeiden näkökulmasta mm. auttamaan tiedonhallintalain sekä tietosuoja-asetuksen tietoturvaan liittyvien vaatimusten täyttämistä.

Julkri: Startti (taso 1/4): Tämä vaatimuskehikko sisältää tärkeimmät ydinkriteerit, joilla organisaatio voi aloittaa tietoturvan kehittämisen.
Julkri: Täysi (taso 2/4): Tämä vaatimuskehikko sisältää koko kriteeristön ilman turvaluokitellun tiedon erityisvaatimuksia.
Julkri: Täysi + TL IV (taso 3/4): Tämä vaatimuskehikko sisältää Julkri: Täysi -kehikon lisäksi TL IV -tasolle turvallisuusluokitellun tiedon erityiskriteerit.
Julkri: Täysi + TL IV-I (taso 4/4): Tämä vaatimuskehikko sisältää Julkri: Täysi -kehikon lisäksi kaikki turvallisuusluokitellun tiedon (TL IV, TL III, TL II tai TL I) erityiskriteerit.

Katakri (kansallinen turvallisuusauditointikriteeristö)

Katakria käytetään arvioitaessa kohdeorganisaation kykyä suojata viranomaisen salassa pidettävää tietoa. Sitä voidaan käyttää ohjaamaan turvallisuustyötä organisaaiossa, joka haluaa olla valmis viranomaisen toteuttamaan auditointiin.