Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.
Organisaatio toteuttaa roolipohjaista pääsynhallintaa, jossa on ennakkoon määritetty eri suojattavalle omaisuudelle pääsyoikeusroolit, jotka oikeuttavat pääsyn. Roolien tiukkuuden tulisi heijastaa omaisuuteen liittyviä tietoturvariskejä.
Määrittelyn tueksi pitää harkita seuraavia asioita:
Organisaatio on ennalta määritellyt tunnistautumistavat, joita työntekijöiden tulisi suosia tietojärjestelmiä käytettäessä.
Useita pilvipalveluita käyttäessään käyttäjä voi itse määritellä, millä tavalla hän palveluun tunnistautuu. Yksittäinen keskitetty tunnistautumistili (esim. Google- tai Office365-tili) voi auttaa sulkemaan iso määrä pääsyoikeuksia kerralla, kun tunnistautumistapana toimiva käyttäjätili suljetaan.
Henkilöstöllä on oltava tietoturvaohjeet, joissa on käsiteltävä mm. seuraavia aiheita:
Valvomalla pilvipalveluissa jaettujen tietojen määrää voidaan pyrkiä havaitsemaan riskejä, jotka voivat johtaa tiedon luvattomaan paljastumiseen. Tiedostoihin liittyen voidaan esimerkiksi valvoa:
Pääsyä lähdekoodeihin ja niihin liittyviin muihin suunnitelmiin valvotaan, jotta estetään mm. luvattoman koodin lisääminen sekä vältetään tahattomat muutokset. Pääsyoikeuksia jaetaan tarve tietää -periaatteella, eikä esimerkiksi tukihenkilöstölle myönnetä rajattomia pääsyoikeuksia.
Lähdekoodin valvonta voidaan toteuttaa esimerkiksi tallentamalla kaikki koodi keskitetysti asiaan dedikoituun lähdekoodin hallintajärjestelmään.
Suuri määrä organisaation arvokkaista tiedoista on usein aikojen saatossa kertynyt vaikeasti löydättäväksi ja hallittavaksi rakenteettomiin tietoihin - exceleihin, tekstidokumentteihin, intranetin sivuille tai sähköposteihin.
Kun nämä tiedot on tunnistettu, niiden määrää voidaan määrätietoisesti pyrkiä minimoimaan. Tärkeille järjestelmien ulkopuolisille tiedoille tehdään joku seuraavista päätöksistä:
Salasanojen hallintajärjestelmä antaa käyttäjän rekisteröitymistilanteessa päättää, mitenkä monimutkainen salasana tällä kertaa laitetaan, ja muistaa sen käyttäjän puolesta.
Salasanojen hallintajärjestelmän käytössä voidaan noudattaa mm. seuraavia periaatteita:
Yksi tapa hallita jaettuihin käyttäjätunnuksiin liittyviä riskejä on jaetun salasanan ja sen käyttäjien hallinnoiminen suoraan salasanojen hallintajärjestelmän kautta.
Tällöin voidaan toimia niin, että esimerkiksi ainoastaan yksittäinen henkilö tietää varsinaisesti salasanan ja sitä käyttävät henkilöt.
Tärkeää tietoa sisältäviin järjestelmiin olisi kirjauduttava useita tunnistamiskeinoja käyttävällä kirjautumisella, jota kutsutaan englanniksi joko "two-factor", “multi-factor” tai “dual factor” tunnistautumiseksi.
Esimerkiksi kirjautuessaan ensin salasanalla, käyttäjälle voidaan lähettää lisäksi kertakäyttöinen tunnistautumiskoodi tekstiviestinä. Tällöin hänet on tunnistettu kahden tekijän avulla (salasanan tietäminen ja puhelimen omistajuus).
Kaksivaiheisessa tunnistautumisessa voidaan käyttää apuna myös biometrisiä tunnisteita (esim. sormenjälki) ja muita laitteita. Kannattaa kuitenkin huomioida kustannukset ja vaikutukset yksityisyydensuojalle.
Järjestelmän tai sovelluksen kirjautumismenettelyn olisi oltava suunniteltu siten, että mahdollisuus luvattomaan pääsyyn on mahdollisimman pieni.
Kirjautumismenettelyn olisi siksi paljastettava mahdollisimman vähän tietoa järjestelmästä tai sovelluksesta, jotta luvatonta käyttäjää ei avustettaisi tarpeettomasti. Kriteerejä hyvälle kirjautumismenettelylle ovat mm.:
Etuoikeutetut apuohjelmat ovat sovelluksia, jotka vaativat järjestelmä- tai järjestelmänvalvojan oikeudet tehdäkseen työnsä. Erilaisia apuohjelmia voivat olla järjestelmäapuohjelmat (esim. haittaohjelmasuojaus), tallennusapuohjelmat (esim. varmuuskopiointi), tiedostonhallinta-apuohjelmat (esim. salaus) tai muut (esim. korjaus).
Jos etuoikeutettujen apuohjelmien käyttö on sallittua, organisaation tulee tunnistaa kaikki etuoikeutetut apuohjelmat, myös ne, joita käytetään sen pilvilaskentaympäristössä.
Organisaation tulee varmistaa, että apuohjelmat eivät häiritse millään tavalla isännöityjen tietojärjestelmien ohjausta (paikan päällä tai pilvessä).
Alla näet tehtäviä, joiden avulla Digiturvamallissa tämän vaatimuksen toteutusta vastuutetaan ja jalkautetaan. Klikkaa itsesi tehtävän sivulle lukeaksesi toteutuksesta tarkemmin.