Ohjeistukset henkilöstölle tietojärjestelmien ja tunnistautumistietojen käyttöön liittyen

Critical
High
Normal
Low

Organisaatiolla tulisi olla määritelly ohjeet tietojärjestelmien yleisesti hyväksyttävälle käytölle sekä tarvittavien tunnistautumistietojen hallinnalle.

Tärkeäksi luokiteltujen tietojärjestelmien omistaja voi lisäksi määritellä, dokumentoida ja jalkauttaa tarkempia sääntöjä juuri tämän tietojärjestelmän käytöstä. Nämä saannöt voivat kuvata mm. tietoturvavaatimukset, jotka järjestelmän sisältävään tietoon liittyvät.

Liittyvät muut vaatimuskehikot ja vaatimukset:
32. Käsittelyn turvallisuus
GDPR
29. Tietojenkäsittely rekisterinpitäjän ja henkilötietojen käsittelijän alaisuudessa
GDPR

Salasanan hallintajärjestelmän käyttö ja arviointi

Critical
High
Normal
Low

Salasanojen hallintajärjestelmä antaa käyttäjän rekisteröitymistilanteessa päättää, mitenkä monimutkainen salasana tällä kertaa laitetaan, ja muistaa sen käyttäjän puolesta.

Salasanojen hallintajärjestelmän käytössä voidaan noudattaa mm. seuraavia periaatteita:

  • järjestelmä pakottaa käyttämään jatkossa yksilöllisiä salasanoja
  • järjestelmä varoittaa käyttäjää vaihtamaan vanhat toistuvat salasanat
  • järjestelmä pakottaa valitsemaan tarpeeksi monimutkaisia, laadukkaita salasanoja
  • järjestelmä pakottaa käyttäjän vaihtamaan tilapäisen salasanan ensimmäisellä kirjautumiskerralla
  • järjestelmä pakottaa vaihtamaan mahdollisesti tietovuodossa vaarantuneen salasanan
  • järjestelmä estää samojen salasanojen uudelleen käyttämisen
  • järjestelmä säilyttää salasanatiedostot erillään muista tiedoista ja vahvasti salattuina
Liittyvät muut vaatimuskehikot ja vaatimukset:
9.3: User responsibilities
ISO 27001
9.3.1: Use of secret authentication information
ISO 27001

Hyväksyttyjen tunnistautumistapojen määrittely ja dokumentointi

Critical
High
Normal
Low

Organisaatio on ennalta määritellyt tunnistautumistavat, joita työntekijöiden tulisi suosia tietojärjestelmiä käytettäessä.

Useita pilvipalveluita käyttäessään käyttäjä voi itse määritellä, millä tavalla hän palveluun tunnistautuu. Yksittäinen keskitetty tunnistautumistili (esim. Google- tai Office365-tili) voi auttaa sulkemaan iso määrä pääsyoikeuksia kerralla, kun tunnistautumistapana toimiva käyttäjätili suljetaan.

Liittyvät muut vaatimuskehikot ja vaatimukset:
I07: Tietojenkäsittely-ympäristön toimijoiden tunnistaminen
Katakri
9.1.1: Access control policy
ISO 27001

Jaettujen käyttäjätunnusten hallinta salasanan hallintajärjestelmän kautta

Critical
High
Normal
Low

Yksi tapa hallita jaettuihin käyttäjätunnuksiin liittyviä riskejä on jaetun salasanan ja sen käyttäjien hallinnoiminen suoraan salasanojen hallintajärjestelmän kautta.

Tällöin voidaan toimia niin, että esimerkiksi ainoastaan yksittäinen henkilö tietää varsinaisesti salasanan ja sitä käyttävät henkilöt.

Liittyvät muut vaatimuskehikot ja vaatimukset:
9.2.4: Management of secret authentication information of users
ISO 27001
9.4.3: Password management system
ISO 27001

Tunnistautumistietoja ei välitetä sähköpostitse

Critical
High
Normal
Low

Tunnistautumistiedot olisi välitettävä käyttäjille turvallisesti. Salasanan toimittamista ulkopuolisen osapuolen välityksellä tai suojaamattomana (selväkielisenä) sähköpostiviestinä olisi vältettävä.

Liittyvät muut vaatimuskehikot ja vaatimukset:
9.2.4: Management of secret authentication information of users
ISO 27001
5.17: Tunnistautumistiedot
ISO 27001

Tilapäisten kirjautumistietojen turvallinen asettaminen

Critical
High
Normal
Low

Tilapäisten tunnistautumistietojen olisi oltava yksilöllisiä, eivätkä ne saisi olla arvattavissa esimerkiksi käyttäjän tiedoista päättelemällä.

Liittyvät muut vaatimuskehikot ja vaatimukset:
9.2.4: Management of secret authentication information of users
ISO 27001
5.17: Tunnistautumistiedot
ISO 27001
No items found.