ISO 27001

Viestintäturvallisuus

Vaatimuskategoriaan liittyvät vaatimukset

No items found.

Esimerkkejä vaatimuksiin liittyvistä tehtävistä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

Kumppanilistauksen ylläpito

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on ylläpidettävä listaa kumppaneista, joilla on pääsy luottaumuksellisiin tietoihin. Järjestelmätoimittajat sekä henkilötietojen käsittelijät listataan erillään muista sidosryhmistä.

Listauksia on tarkasteltava säännöllisesti, jotta ne ovat tarkkoja, ajantasaisia ja johdonmukaisia.

Käsittelysopimusten inventaario ja dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Henkikötietojen käsittelijät (esim. tietojärjestelmien toimittajat, muut henkilötietojen käsittelijät) sekä henkilötietojen käsittelyyn liittyvät sopimukset on kartoitettu. Dokumentaatio sisältää mm.:

  • Käsittelijän nimen ja sijainnin
  • Henkilötietojen käsittelyn luonne ja tarkoitus
  • Sopimuksen statuksen

Tietojenkalasteluun liittyvä ohjeistus ja koulutus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio on muodostanut henkilöstölle toimintaohjeet, joilla määritellään eri viestintäpalvelujen hyväksyttävä käyttö ja joiden avulla pyritään estämään luottamuksellisen tiedon paljastaminen esimerkiksi tietojenkalastelijalle tai muille ulkopuolisille.

Tietosuojaan liittyvien ohjeistusten ja koulutuksen varmistaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietosuojan vastuuhenkilö on muodostanut toimintaohjeet henkilötietoja käsittelevälle henkilöstölle. Lisäksi tietosuojan vastuuhenkilö on valmiina antamaan neuvoja rekisterinpitäjälle, henkilötietoja käsitteleville kumppaneille tai omalle henkilöstölle tietosuojaan liittyen tietosuoja-asetuksen tai muiden tietosuojavaatimusten noudattamiseen.

Verkkolaitteiden vastuun määrittäminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Eri verkkolaitteille on määritetty omistajat, joiden vastuulla on varmistaa, että verkoissa käsiteltävät tiedot ja niihin liittyvät palvelut on suojattu luvattomalta pääsyltä. Vastuu verkkolaitteista on tarvittaessa erotettava muista liittyvistä vastuista.

Luottamuksellisia tietoja koskevien latausten estäminen ulkopuolisissa verkoissa

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Usein työntekijöiden halutaan pääsevän tietojärjestelmiin käsiksi mahdollisimman helposti - mistä ja milloin vain. Tietojen suojaamiseksi voidaan kuitenkin haluta estää tietojen paikallinen lataaminen itse ylläpidetyn verkon ulkopuolella, koska ei voida olla varmoja verkon turvallisuudesta.

Luottamuksellisia tietoja koskevien latausten estäminen ei-tuetuille laitteille

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Usein työntekijöiden halutaan pääsevän tietojärjestelmiin käsiksi mahdollisimman helposti - mistä ja milloin vain. Tietojen suojaamiseksi voidaan kuitenkin haluta estää tietojen paikallinen lataaminen laitteille, joita ei hallita esimerkiksi organisaation mobiililaitteiden hallinnan kautta.

Anti-phishing käytäntöjen käyttö

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Anti-phishing käytännöt voivat auttaa organisaatiota estämään matkimiseen pohjautuvaa tietojenkalastelua. Etenkin kohdistetut "spear phishing" -hyökkäykset ovat usein niin taitavasti toteutettuja, että tietoisenkin työntekijän on vaikea tunnistaa huijaus.

Esimerkiksi Microsoft 365 -ympäristön ATP-laajennuksella voidaan asettaa henkilönä toimitusjohtajaamme esittävät tai lähettäjän verkkotunnuksena omaa verkkotunnustamme esittävät sähköpostiviestit karanteeniin ja välittää ne samalla eteenpäin tietoturvan vastuuhenkilölle.

Sähköpostilaatikkojen auto-forwardien estäminen ulkoisiin verkkotunnuksiin

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Mikäli huijari saa pääsyn käyttäjän sähköpostilaatikkoon, hän voi käyttää auto-forward -toimintoa viestinnän seuraamiseen ja luottamuksellisen tiedon varastamiseen. Myös omat työntekijät voivat tehdä keksiliäitä uudelleenlähetyssääntöjä, jotka voivat johtaa tietojen vuotamiseen tai katoamiseen.

Tämän voi estää esimerkiksi Microsoft 365 -ympäristössä luomalla "mail flow" -säännön.

Sähköpostitodennus: DMARC

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

SPF, DKIM ja DMARC ovat teknologioita, jotka estävät väärennettyjen sähköpostien lähettämistä ja tietojen kalastelua.

DMARC toimii yhteen SPF:n ja DKIM:n kanssa. Sen avulla määritetään vastaanottavalle sähköpostipalvelimelle, kuinka toimia viestin kanssa, jotka eivät läpäise SPF- tai DKIM-tarkistuksia.

Sähköpostitodennus: DKIM

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

SPF, DKIM ja DMARC ovat teknologioita, jotka estävät väärennettyjen sähköpostien lähettämistä ja tietojen kalastelua.

DKIM lisää digitaalisen allekirjoituksen lähtevän sähköpostin ylätunnisteeseen. Lähtevän sähköpostin ylätunniste salataan yksityisellä avaimella ja julkinen avain lisätään verkkotunnuksen DNS-tietoihin, jotta vastaanottava palvelin voi purkaa tiedot. Avaimen avulla siis varmistetaan, että viestit todella tulevat omasta verkkotunnuksestanne eivätkä teitä esittävältä lähettäjältä.

Sähköpostitodennus: SPF

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

SPF, DKIM ja DMARC ovat teknologioita, jotka estävät väärennettyjen sähköpostien lähettämistä ja tietojen kalastelua.

SPF:n käyttö auttaa vahvistamaan verkkotunnuksestanne lähetettyjen sähköpostien aitouden. SPF lisätään TXT-merkintänä verkkotunnuksenne DNS-tietoihin kertomaan, mitkä sähköpostipalvelimet saavat lähettää sähköpostia verkkotunnuksenne puolesta. Vastaanottava sähköpostipalvelin viittää tähän merkintään päätellessään, tuleeko sähköposti oikealta taholta.

Sähköpostilaatikkojen tarkastuslokin valvonta

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kun sähköpostilaatikkojen tarkastusloki on otettu käyttöön, tapahtumat tulee tallentaa halutuksi ajaksi valittuun paikkaan. Tämä voi olla esimerkiksi "Audit log search" Microsoft 365 -ympäristössä tai erillinen SIEM-järjestelmä. Lisäksi täytyy päättää suoritettavista valvontatoimista.

Sähköpostilaatikkojen tarkastuslokin käyttöönotto ja määritys

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Sähköpostilaatikkojen audit logeilla on mahdollista seurata esimerkiksi kirjautumisia ja muita toimenpiteitä sähköpostin sisällä.

Yleensä tämä ominaisuus ei oletuksena ole päällä, ja työntekijöiden yksityisyyden vuoksi on tärkeää valita valvottavat toimenpiteet tarkasti.

Valitun verkkoselaimen käyttö ja ajantasaisuuden valvonta

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Verkkoselaimen valinta ja ajantasaisuus vaikuttavat suuresti mm. verkkopalvelujen käyttökokemukseen, toimintaan sekä selailun turvallisuuteen. Kun koko organisaatio käyttää samaa verkkoselainta, ohjeistaminen on helpompaa ja tietoturvallisuus parantuu.

IT on valinnut käytettävän selaimen, valvoo henkilöstön käyttävän oikeaa ja ajantasaista selainta sekä tukee henkilöstöä sen hyödyntämisessä.

Sovelluspalvelujen julkisen verkkoliikenteen salaus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Julkisten verkkojen kautta siirrettävää sovelluspalveluihin kuuluvaa tietoa on suojattava vilpilliseltä ja sopimuksen vastaiselta toiminnalta ja luvattomalta paljastumiselta ja muuttamiselta.

Käytämme vahvoja salaus- ja turvallisuusprotokollia (esim. TLS, IPSEC, SSH) suojaamaan luottamuksellisia tietoja niitä siirrettäessä julkisia verkkoja pitkin kehittämiemme IT-palvelujen yhteydessä.

Kriittisten ympäristöjen eriyttäminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Eristetään ympäristöt, joissa seuraukset voivat olla erittäin vahingollisia.

Salassapitositoumusten käyttö

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kaikkien luottamuksellisia tietoja käsittelevien työntekijöiden olisi allekirjoitettava salassapito- tai vaitiolositoumus ennen luottamuksellisen tiedon käsittelyä.

Salassapitositoumuksen tulisi sisältää mm.:

  • luottamuksellisen tiedon selkeä määrittely
  • sitoumuksen oletettu kesto
  • edellytetyt toimenpiteet, kun sitoumus puretaan
  • allekirjoittaneiden vastuut ja toimenpiteet, jotta vältetään luvaton tiedon paljastaminen
  • tiedon, liikesalaisuuksien ja aineettoman omaisuuden omistajuus ja miten tämä liittyy luottamuksellisen tiedon suojaamiseen
  • luottamuksellisen tiedon sallittu käyttö ja allekirjoittaneen oikeudet käyttää tietoa
  • oikeus tarkastaa ja valvoa toimintoja, joihin liittyy luottamuksellista tietoa

Salassapitositoumusten katselmointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Salassapito- ja vaitiolositoumuksia koskevia vaatimuksia katselmoidaan säännöllisin aikavälein ja aina silloin, kun tapahtuu näihin vaatimuksiin vaikuttavia muutoksia.

Kriittisille verkkopalveluille on määritelty vaaditut turvajärjestelyt

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kriittisten verkkopalvelujen tarvitsemat turvajärjestelyt, kuten turvallisuusominaisuudet, palvelutasot ja hallintavaatimukset, on huolellisesti määritelty ennakkoon. Verkkopalveluja ovat mm. liitännät, verkot ja verkon turvallisuusratkaisut (esim. palomuurit).

Verkkopalvelujen turvallisuusominaisuudet voivat olla mm. seuraavanlaisia:

  • vaadittu turvallisuuteen liittyvä teknologia, kuten todennus, salaustekniikka ja verkkoyhteyden hallintakeinot
  • verkkopalvelujen suojatun yhteyden edellyttämät tekniset parametrit
  • verkkopalvelun käyttökriteerit, jotka rajoittavat pääsyä verkkopalveluun tai sovelluksiin tarvittaessa

Kriittisten laitteiden tai verkkopalvelujen hankkiminen useaa reittiä

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kun esimerkiksi tietoliikenneverkon vikasietoisuus on kriittistä, sitä voidaan parantaa entisestään hankkimalla verkon peruspalvelut useampaa reittiä ja useamman palveluntuottajan kautta.

Päätelaitteiden tietoturvanhallintajärjestelmän käyttö (Endpoint security management system)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Päätelaitteiden tietoturvanhallintajärjestelmän avulla voidaan vaatia päätelaitteilta haluttuja kriteerejä, ennen kuin niille sallitaan yhteys verkon resursseihin. Päätelaitteet voivat olla kannettavia tietokoneita, älypuhelimia, tabletteja tai alakohtaista erikoislaitteistoa. 

Kriteerejä verkkoresurssien käytölle voivat olla mm. hyväksytty käyttöjärjestelmä, VPN- ja antivirus-järjestelmät sekä näiden päivitysten ajantasaisuus.

Email monitoring -järjestelmän käyttö

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Sähköpostivalvonnan avulla voidaan mm. tunnistaa sähköpostiliikenteessä ja järjestelmässä liikkuvia, rakenteettomia mutta arvokkaita tai sensiviitisiä henkilötietoja tai muita tietoja.

Langattoman verkon suojaaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Langattoman verkon käyttö on suojattu riittävillä avaimilla ja yhteysliikenne verkon reitittimeen on salattu. Vieraskäyttöön tarkoitettu langaton verkko on eristetty yrityksen omasta sisäisestä verkosta.

Verkon käyttöloki ja prosessi asiattoman verkkoliikenteen havaitsemiseen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Verkon käytöstä syntyy asianmukaista lokia, jotta mahdollistetaan tietoturvallisuuden kannalta olennaisten toimenpiteiden havaitseminen.

Verkkoliikenteen normaali tila (liikennemäärät, protokollat ja yhteydet) on tiedossa. Poikkeamien havaitsemiseksi on olemassa menettely, jolla verkkoliikenteen normaaliin tilaan nähden eroavat tapahtumat (esimerkiksi poikkeavat yhteydet tai niiden yritykset) pyritään havaitsemaan.

Verkkoalueet ja verkon rakenteellisesti turvallinen suunnittelu

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation verkoille on määritelty omistaja. Omistaja vastaa verkon rakenteen suunnittelusta ja sen dokumentoinnista.

Verkon suunnittelussa käytetään tarpeen mukaan erillisiä verkkoalueita. Verkkoalueet voivat olla määritelty mm.:

  • luottamustason (esim. julkinen, työasemat, palvelin)
  • organisaatioyksiköiden (esim. HR, taloushallinto)
  • tai jonkin yhdistelmän mukaan (esim. palvelimen verkkoalue, joka on yhdistetty useisiin organisaatioyksiköihin)

Eriyttäminen voidaan toteuttaa joko fyysisesti erillisillä verkoilla tai loogisesti erillisillä verkoilla.

ISO 27001Viestintäturvallisuus

Viestintäturvallisuus

Tämän vaatimuksen toteuttamiseen liittyvät tehtävät

Alla näet tehtäviä, joiden avulla Digiturvamallissa tämän vaatimuksen toteutusta vastuutetaan ja jalkautetaan. Klikkaa itsesi tehtävän sivulle lukeaksesi toteutuksesta tarkemmin.

Oletko valmis aloittamaan?

Aloita kokeilu tai varaa demo.