Järjestelmien hankintaa ja valintaa koskevat yleiset säännöt

Critical
High
Normal
Low

Aina hankittaessa uusia tietojärjestelmiä noudatetaan ennalta määriteltyä hankintaprosessia ja -sääntöjä. Sääntöjen avulla varmistetaan, että toimittaja pystyy takaamaan riittävän turvallisuustason järjestelmän tärkeys huomioiden.

Liittyvät muut vaatimuskehikot ja vaatimukset:
14.1.1: Information security requirements analysis and specification
ISO 27001
4 luku, 13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL

Pilvipalveluiden käyttöä koskevat yleiset periaatteet

Critical
High
Normal
Low

Organisaation on määriteltävä (tarkempien toimittajavastuita, -häiriöitä sekä pilvipalveluiden hankintaa koskevien käytäntöjen lisäksi), millä yleisillä periaatteilla se aikoo hallita pilvipalveluiden käyttöön liittyviä tietoturvariskejä.

Määritelmissä on otettava huomioon mm.:

  • kuinka palveluntarjoajan mahdollistamia tietoturvaominaisuuksia hyödynnetään
  • kuinka vaatia todisteita palveluntarjoajan toteuttamista toimenpiteistä tietoturvan eteen
  • mitä tekijöitä on huomioitava omissa toimintatavoissa kun hyödynnetään isoa palveluntarjoaja määrää
  • pilvipalveluiden käytön huomiointi tietoturvariskien hallinnassa
  • toimintatavat pilvipalvelun käytön päättämishetkellä
Liittyvät muut vaatimuskehikot ja vaatimukset:
5.23: Pilvipalvelujen tietoturvallisuus
ISO 27001

Pilvipalveluiden tarjoamista koskevien sopimusehtojen kattavuus

Critical
High
Normal
Low

Pilvipalvelun tarjoajan ja organisaation välisen sopimuksen tulee sisältää vaatimukset organisaation tietojen suojaamisesta ja palvelujen saatavuudesta mm. seuraavilla tavoilla:

  • ratkaisun tarjoaminen alalla yleisesti hyväksyttyihin arkkitehtuuri- ja infrastruktuuristandardeihin perustuen
  • käyttöoikeuksien hallinta organisaation vaatimusten täyttämiseksi
  • haittaohjelmien valvonta- ja suojaratkaisujen toteuttaminen
  • organisaation arkaluonteisten tietojen käsittely ja säilytys hyväksytyissä sijainneissa (esim. tietty maa tai lainsäädäntöalue)
  • tuen tarjoaminen tietoturvahäiriön sattuessa
  • organisaation tietoturvavaatimusten täyttymisen varmistaminen myös alihankintaketjuissa
  • tuen tarjoaminen digitaalisten todisteiden keräämisessä
  • riittävän tuen tarjoaminen, kun organisaatio haluaa päättää palvelun käytön
  • vaadittu varmuuskopiointi ja varmuuskopioiden turvallinen hallinta soveltuvin osin
  • organisaation omistamien tietojen (mahdollisesti esim. lähdekoodin, palveluun täytetyn / muodostuneen datan) palauttaminen pyydettäessä tai palvelun päättyessä
  • ilmoitusvaatimukset merkittäviin muutoksiin (kuten infrastruktuuriin, tärkeisiin ominaisuuksiin, tiedon sijaintiin tai alihankkijoiden käyttöön) liittyen
Liittyvät muut vaatimuskehikot ja vaatimukset:
5.23: Pilvipalvelujen tietoturvallisuus
ISO 27001

Prosessi toimitusketjuun liittyneiden tietoturvaloukkausten havaitsemiseen ja tiedottamiseen

Critical
High
Normal
Low

Organisaation on määriteltävä toimintatavat, joita noudattaen tiedotetaan toimitusketjun tietoturvaloukkauksista. Prosessin on huomioitava kaikenlaiset omat roolit toimitusketjussa, olimmepa itse lopputuotteen tilaaja tai yksi ketjuun kuuluva toimittaja.

Toimintatapojen on huomioitava kumppanien sekä asiakkaiden kanssa tehdyt sopimukset ja niihin sisältyvät sitoumukset molempien osapuolten velvollisuuksista loukkauksien ilmoittamiseen liittyen.

Liittyvät muut vaatimuskehikot ja vaatimukset:
DE.CM-6: External service provider activity monitoring
NIST
A.10.1: Notification of a data breach involving PII
ISO 27018

Tarjottujen pilvipalveluiden ja tietojärjestelmien tietoturvavastuiden dokumentointi

Critical
High
Normal
Low

Pilvipalveluita hyödyntäessä tai tarjottaessa turvallisuusvastuita voi olla sekä palveluntarjoajalla että asiakkaalla. Palveluntarjoaja voi vastata teknisestä kyberturvallisuudesta, mutta esim. asiakas pääsynhallinnasta ja turvallisen käytön ohjeistamisesta.

Vastuut jaetuista tietoturvarooleista tarjottavia pilvipalveluita ja pilvipohjaisten tietojärjestelmien hyödyntämistä kohtaan on määriteltävä ja dokumentoitava selkeästi sekä pilvipalvelun asiakkaan että palveluntarjoajan toimesta.

Liittyvät muut vaatimuskehikot ja vaatimukset:
6: Tietoturvallisuuden organisointi
ISO 27017
CLD 6.3: Relationship between cloud service customer and cloud service provider
ISO 27017

Käytettyihin pilvipalveluihin liittyvien tietoturvaroolien ja -vastuiden vahvistaminen

Critical
High
Normal
Low

Kun organisaatio käyttää pilvipohjaista tietojärjestelmää, organisaation tulee ymmärtää ja vahvistaa siihen liittyvät tietoturvaroolit ja -vastuut palvelusopimuksen mukaisesti.

Näihin voi kuulua esimerkiksi seuraaviin vastuisiin liittyviä tehtäviä:

  • Suojaus haittaohjelmilta
  • Kryptografiset ohjaimet
  • Varmuuskopiointi
  • Haavoittuvuuden ja tapausten hallinta
  • Vaatimustenmukaisuus ja turvallisuustestaus
  • Tunnistus, identiteetin ja käyttöoikeuksien hallinta
Liittyvät muut vaatimuskehikot ja vaatimukset:
15: Suhteet toimittajiin
ISO 27017
15.1: Tietoturvallisuus toimittajasuhteissa
ISO 27017
No items found.