Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja
No items found.

Asiakastietojen riittävän erottelun ja suojan varmistaminen ulkoisissa IT-palveluissa

Critical
High
Normal
Low

Organisaatiolla on oltava menettely, jolla varmistetaan, että ulkoisessa palvelussa on tehokas ympäristöjen (palveluntarjoajan asiakkaiden) erottelu, jotta estetään luvaton pääsy organisaation omaan ympäristöön.

Palveluntarjoajien erottelumenettely on dokumentoitava ja sen täytyy olla mukautettavissa muutoksiin. Seuraavat seikat tulisi ottaa huomioon:

  • Tietojen erottelu
  • Toiminnot
  • Asiakaskohtaiset ohjelmistot
  • Käyttöjärjestelmät
  • Tallennusjärjestelmät
  • Verkkoyhteydet

Myös riskiarviointi tulisi olla tehty koskien ulkopuolisten ohjelmistojen käyttöä jaetussa ympäristössä.

Asiakkaan auttaminen tietosuojapyyntöjen käsittelyssä

Critical
High
Normal
Low

Organisaation tulisi mahdollistaa asiakkaalle rekisteröityjä koskevien velvoitteiden täyttämisen.

Tietojen toimittaminen asiakkaan tietosuojavelvoitteiden täyttämistä varten

Critical
High
Normal
Low

Organisaation tulisi toimittaa asiakkaalle tarvittavat tiedot, jotta asiakas pystyy osoittamaan täyttävänsä velvollisuutensa.

Organisaation rooli kriittisessä infrastruktuurissa

Critical
High
Normal
Low

Organisaation oma paikka ja rooli kriittisessä infrastruktuurissa on määritelty ja kommunikoidaan eteenpäin tarpeellisille osapuolille.

Tärkeää on tunnistaa, onko yhteiskunta laajemmin riippuvainen organisaation tuottamista palveluista. Toiminnan tällainen kriittisyys voi lisätä esimerkiksi hybridi- ja informaatiovaikuttamisen riskejä ja korostaa niihin varautumisen tarvetta.

Organisaation rooli toimitusketjussa

Critical
High
Normal
Low

Organisaation oma rooli toimitusketjussa on määritelty ja se kommunikoidaan eteenpäin tarpeellisille kumppaneille.

Hallinnollisten tietovirtojen kuvaaminen

Critical
High
Normal
Low

Organisaation on kuvattava viestintään liittyvät hallinnolliset tietovirrat. Hallinnollisten tietovirtojen kuvaus täydentään järjestelmien välisten integraatioiden kuvaamista.

IPR-valitusprosessi tarjottuihin digipalveluihin liittyen

Critical
High
Normal
Low

Pilvipalvelun tarjoajan tulee luoda prosessi immateriaalioikeuksia koskeviin valituksiin vastaamiseksi.

Pilvipalvelukohtaisten resurssien turvallinen hävittäminen

Critical
High
Normal
Low

Pilvipalveluita tarjoaessaan organisaatiolla on oltava käytössään menettelyt palveluntarjonnassa käytettyjen resurssien turvalliseen hävittämiseen tai mahdolliseen uudelleenkäyttöön, kuten:

  • Välineet
  • Laitteet
  • Tietovarasto
  • Tiedostot
  • Muisti

Pilvipalveluita hyödyntäessään asiakasorganisaation tulee varmistaa turvallinen hävittäminen pyytämällä pilvipalveluntarjoajalta vahvistus näistä toimenpiteistä.

Digipalveluasiakkaiden hallinnoimien tietojen dokumentointi

Critical
High
Normal
Low

Tarjotessaan pilvipalveluita asiakkaille organisaation tulee tunnistaa ja listata asiakkaan hallitsemiin pilvipalveluihin liittyvät tiedot. Näillä viitataan ulkopuolisiin tietopankkeihin.

Organisaation on myös inventoitava pilvipalvelun tarjoamisen kautta luotuja tietoja. Organisaatio voi hallita niitä ja listata järjestelmädokumentaatiossa ulkoisten tietopankkien sijaan.

Selkeä viestintä organisaation sekä tiedon tallennuspaikkojen sijainneista tarjottujen digipalvelujen näkökulmasta

Critical
High
Normal
Low

Pilvipalveluita tarjoaessaan organisaation tulee tiedottaa asiakkaalle selkeästi ja aktiivisesti organisaation maantieteellisestä sijainnista ja maista, joissa asiakkaan tietoja säilytetään.

Nämä tiedot voivat auttaa asiakasta esimerkiksi määrittämään asiaankuuluvat valvontaviranomaiset ja lainkäyttöalueet pilvipalvelua hyödyntäessään.

Yksityiskohtaiset kuvaukset toteutetuista turvatoimenpiteistä tarjottaviin pilvipalveluihin liittyvissä sopimuksissa

Critical
High
Normal
Low

Kun organisaatio tarjoaa asiakkailleen pilvipalveluita, tulee palveluntarjoajan ja asiakkaan välisessä sopimuksessa määritellä selkeästi tietoturvan varmistamiseksi toteutetut tekniset ja organisatoriset toimenpiteet.

Sopimuksessa tulee myös mainita, että tietoja ei käsitellä muuhun tarkoitukseen kuin rekisterinpitäjän ohjeiden mukaisesti.

Pilvipalveluita tarjoaessaan palveluntarjoajan tulee olla läpinäkyvä tietoturvatoimenpiteistään sopimuksen solmimisprosessin aikana. Asiakkaan vastuulla on kuitenkin viime kädessä varmistaa, että palveluntarjoajan toteuttamat toimenpiteet täyttävät sen velvoitteet.

Asiakaslähtöinen kuvaus tarjottujen pilvipalvelujen henkilötietojen palautus-, siirto- ja hävitysprosesseista

Critical
High
Normal
Low

Tarjottuihin pilvipalveluihin liittyvät henkilötiedot tulee hävittää asianmukaisesti ja tallennusrajoitusperiaatteita noudattaen. Hävittäminen voi sisältää tietojen palauttamisen asiakkaalle pyynnöstä, siirtämisen toiselle yritykselle (esim. sulautumisen seurauksena) tai joko tuhoamisen, anonymisoimisen tai arkistoinnin turvallisesti.

Organisaatiolla tulee olla selkeä kirjallinen kuvaus henkilötietojen säilytysajasta sekä palautus-, siirto- ja hävitysmekanismeista. Tämä kuvaus tulee olla asiakkaan saatavilla.

Tätä kuvausta käyttämällä asiakkaan tulee pystyä ymmärtämään, kuinka organisaatio varmistaa, että sopimuksen nojalla käsitellyt henkilötiedot poistetaan (myös minkä tahansa sen alihankkijan toimesta) kaikista tallennuspaikoista (mukaan lukien esim. varmuuskopiointitarkoitukset) heti, kun ne on poistettu. ei ole enää asiakkaalle välttämätön.

Rekisteröidyn oikeuksien helpottaminen tarjottujen digipalvelujen kautta

Critical
High
Normal
Low

Pilvipalvelun asiakas toimii usein henkilötietojen rekisterinpitäjänä ja on vastuussa rekisteröidyn oikeuksien toteuttamisesta, esimerkiksi pääsystä tietoihin ja niiden korjaamisesta tai poistamisesta. Pilvipalveluntarjoajan tulee tarjota asiakkaalle tarvittavat keinot tämän mahdollistamiseksi.

Organisaatio on määritellyt toimenpiteet, joilla tarjotaan pilvipalveluissa rekisterinpitäjiä autetaan rekisteröidyn oikeuksien toteuttamisessa. Tämä voi sisältää esimerkiksi pilvipalvelun ominaisuuksia tai manuaalisia tukitoimenpiteitä.

Asiaankuuluvat tiedot ja mahdolliset helpotukseen liittyvät tekniset toimenpiteet on määriteltävä asiaa koskevassa sopimuksessa.

Dokumentoidut toimintatavat ja valvonta kriittisille pääkäyttäjätehtäville tarjotuissa pilvipalveluissa

Critical
High
Normal
Low

Kriittiset järjestelmänvalvojan toiminnot tarkoittavat toimintoja, joissa vika voi aiheuttaa peruuttamatonta vahinkoa pilvilaskentaympäristön omaisuudelle.

Kriittiset järjestelmänvalvojan toiminnot voivat sisältää esimerkiksi virtualisoituihin laitteisiin (esim. palvelimet, verkot, tallennus) liittyvät muutokset, lopetusmenettelyt, varmuuskopiointi ja palautus.

Kaikkien tarjottujen pilvipalveluiden kriittiset järjestelmänvalvojan toiminnot dokumentoidaan. Myös kriittisten järjestelmänvalvojatoimintojen suorittamisen menettelyt on dokumentoitu etukäteen tarvittavalla tarkkuudella.

Aina kun kriittinen järjestelmänvalvojan toiminto suoritetaan, dokumentaatiossa nimetty valvoja valvoo toimintaa.

Pilvipalvelun tarjoajan on tarjottavien pilvipalvelujen osalta toimitettava asiakkaiden vaatiessa dokumentaatio kriittisistä järjestelmänvalvojan toiminnoista ja toimenpiteistä.

Asiakkaan virtuaaliympäristöjen erottelu suhteessa tarjottuihin pilvipalveluihin

Critical
High
Normal
Low

Pilvipalveluita tarjottaessa pilvipalveluasiakkaan virtuaaliympäristö tulee erottaa ja suojata muista asiakkailta ja asiattomilta henkilöiltä.

Tämän varmistamiseksi organisaation tulee varmistaa pilvipalvelun asiakastietojen, virtualisoitujen sovellusten, käyttöjärjestelmien, tallennustilan ja verkon asianmukainen looginen erottelu.

Erottelun tulisi myös varmistaa pilvipalvelun tarjoajan sisäisen hallinnon erottaminen pilvipalveluasiakkaiden käyttämistä resursseista.

Tarjottujen pilvipalveluiden ja tietojärjestelmien tietoturvavastuiden dokumentointi

Critical
High
Normal
Low

Pilvipalveluita hyödyntäessä tai tarjottaessa turvallisuusvastuita voi olla sekä palveluntarjoajalla että asiakkaalla. Palveluntarjoaja voi vastata teknisestä kyberturvallisuudesta, mutta esim. asiakas pääsynhallinnasta ja turvallisen käytön ohjeistamisesta.

Vastuut jaetuista tietoturvarooleista tarjottavia pilvipalveluita ja pilvipohjaisten tietojärjestelmien hyödyntämistä kohtaan on määriteltävä ja dokumentoitava selkeästi sekä pilvipalvelun asiakkaan että palveluntarjoajan toimesta.

Ohjelmistopalomuurin käyttö tarjottujen digipalvelujen suojaamiseksi

Critical
High
Normal
Low

Organisaation kaikkien palvelinten suojana tulisi olla oikein konfiguroitu ohjelmistopalomuuri, joka tarkkailee liikennettä, hyväksyy säännöt täyttävän liikenteen sekä toteuttaa käyttäjien valvontaa.

WAF:in (web application firewall) avulla tulisi suojata tarjottuja digipalveluja hyökkäyksiltä (kuten SQL injection).

Tarjottujen digipalvelujen listaus ja omistajien nimeäminen

Critical
High
Normal
Low

Organisaation on ylläpidettävä listaa tarjotuista digipalveluista sekä näille nimetyistä omistajista. Omistaja vastaa palvelun tietojen täydentämisestä sekä mahdollisista muista tietoturvatoimenpiteistä, jotka liittyvät tiiviisti palveluun.

Digipalveluun liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

  • Tarjotun digipalvelun tyyppi, palvelukategoria sekä käyttötarkoitus
  • Tietojen rekisterinpitäjä sekä liittyvät käsittelysopimukset
  • Palvelun toimitusketjuun liittyvät avainkumppanit ja turvallisuuvastuiden jakautuminen (käsitellään tarkemmin erillisessä tehtävässä)

Tarjottuihin digipalveluihin liittyvät sopimusehdot

Critical
High
Normal
Low

Organisaation tarjoamiin digipalveluihin liittyvät sopimusehdot on kartoitettu ja dokumentoitu. Sopimusehtoihin sisältyvät vähintään seuraavat kohdat:

  • Tarjotun palvelun luonne ja laajuus
  • Tietoturvallisuusvaatimukset (sisältäen jaetun turvallisuuden mallin)
  • Muutostenhallintamenettelyn kuvaus
  • Tallennetut lokit ja niiden valvonta
  • Häiriöiden hallinnan ja ilmoittamisen toimintatavat
  • Oikeus auditointiin ja kolmannen osapuolen arviointiin
  • Yhteensopivuus
  • Tietosuojavaatimukset ja kuvaukset henkilötietojen käsittelystä
  • Palvelun päättäminen

Tarjottujen digipalvelujen toimitusketjuun kuuluvien kumppaneiden dokumentointi

Critical
High
Normal
Low

Organisaation on dokumentoitava selkeästi kaikki digipalvelut, joita se tarjoaa pilvipalvelumallin mukaisesti asiakkailleen.

Digipalvelujen dokumentaation on sisällettävä palvelun toimitusketjuun liittyvät kumppanit. Kumppanilistauksen on sisällettävä tukevat palvelut (kuten IaaS esim. AWS tai MS Azure), pääasiallisen palveluntarjoajan toimitusketjuun sisällyttämät muut kumppanit (esim. ulkoistettu kehitys) sekä varsinaista palvelua täydentävät muut palvelut (mm. IDaaS, CDN).

Toimitusketjuun liittyvää dokumentaatiota voidaan jatkossa hyödyntää tarkemman turvallisuusvastuujaon tarkastelemiseksi.

Toimenpiteet tietoturvatavoitteiden toteutukseksi tarjotuissa palveluissa

Critical
High
Normal
Low

Organisaation tulee asettaa hallintakeinoja tietoturvatavoitteiden toteutumiseksi tarjotuissa palveluissa. Hallintakeinoissa tulee ottaa huomioon:

  • Tiedon käsittelyn vaatimukset
  • Tarvittava tietojen käsittely
  • Tuotantovirheiden havaitseminen ja korjaaminen
  • Tietojenkäsittelyn loki
  • Tietojen syöttämisen kokonaisuus, tarkkuus ja ajantasaisuus

Järjestelmiin tulevan tiedon kokonaisuuden ja tarkkuuden varmistaminen

Critical
High
Normal
Low

Organisaation on asetettava hallintakeinoja, joilla varmistetaan järjestelmiin tulevan tiedon kokonaisuus ja tarkkuus. Tätä varten tulisi määrittää:

  • Tulevan tiedon tarvittavat ominaisuudet
  • Tulevan tiedon lähteiden arviointi
  • Tuleva tiedon lokitus ja lokin ylläpito

Tarjottujen palveluiden tai tuotteiden ylläpitoon tarvittavan tiedon määrittely

Critical
High
Normal
Low

Kun tietoja toimitetaan osana palvelua tai tuotetta tai osana tuotetta tai palveluun liittyvää raportointivelvollisuutta on tietojen määritelmä oltava tietojen käyttäjien saatavilla.

Tietojen määritelmä sisältää seuraavat tiedot:

  • Tietoon sisältyvien tapahtumien tai tapausten määrä
  • Tietojen kunkin elementin (esimerkiksi kentän) sisältämän tiedon tyyppi (tapahtuma, johon kentän tieto liittyy)
  • Tietojen lähteet
  • Tietoelementtien (esimerkiksi kenttien) mittayksikkö(t)
  • Mittauksen tarkkuus
  • Epävarmuus tai luottamusväli, joka on luontainen jokaiselle tietoelementille
  • Tietoon liittyvän tapahtuman päivämäärä tai ajanjakso
  • Muuttujat (päivämäärän/ajanjakson lisäksi), joilla voidaan määritellä kohteiden sisällyttämistä tietoelementteihin

Toimenpiteet palveluiden tietojen siirtymiseen tietoturvatavoitteiden mukaisesti

Critical
High
Normal
Low

Organisaation on otettava käyttöön käytäntöjä ja menettelytapoja, jotta palveluista ulos tuleva tieto on kokonaista ja oikea-aikaista. Menettelytavoissa on otettava huomioon:

  • Ulos tulevan tiedon suojaaminen, säilytettäessä tai siirrettäessä, varkaudelta, tuhoutumiselta, muokkaamiselta tai muulta tiedon eheyteen vaikuttavalta tapahtumalta
  • Ulos tuleva tieto jaetaan vain tarkoitetuille kohteille
  • Ulos tulevan tiedon lokitus

Tarjottujen digipalvelujen toimitusketjuun kuuluvien kumppaneiden säännöllinen turvallisuusarviointi

Critical
High
Normal
Low

Organisaation on määriteltävä turvallisuusarviointi ja toteutettava se tarjottujen digipalveluiden toimitusketjuun kuuluville kumppaneille säännöllisesti.

Tällä tulisi varmistaa tarjottaiven palvelujen turvallisuuteen vaikuttavien kumppanien vaatimustenmukaisuus ja sitä kautta sopimusehtojen täyttyminen.