Seuraava webinaari
"
ISO 27001 (osa 1/5): Mikä on nykyaikainen digiturvan hallintajärjestelmä?
"
alkaa
00
pv
00
h
00
min
päästä  
Digiturvamalli

Häiriöiden hallinta ja ilmoittaminen

Teema-alueen vaatimukset

Teeman tehtävien osa-alueet

No items found.
DigiturvamalliHäiriöiden hallintaCHäiriöiden hallinta

Häiriöiden hallinta ja ilmoittaminen

Vaatimuskategoriaan liittyvät vaatimukset

No items found.

Esimerkkejä vaatimuksiin liittyvistä tehtävistä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

No items found.
DigiturvamalliHäiriöiden hallintaCHäiriöiden hallintaHäiriöiden hallinta ja ilmoittaminen

Häiriöiden hallinta ja ilmoittaminen

Tämän vaatimuksen toteuttamiseen liittyvät tehtävät

Alla näet tehtäviä, joiden avulla Digiturvamallissa tämän vaatimuksen toteutusta vastuutetaan ja jalkautetaan. Klikkaa itsesi tehtävän sivulle lukeaksesi toteutuksesta tarkemmin.

Jälkianalyysi tietoturvahäiriöille

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Mikäli häiriön ensisijaisen käsittelyn perusteella on vaikeaa tunnistaa tietoturvahäiriön lähde, suoritetaan häiriölle erillinen jälkianalyysi, jossa lähde pyritään tunnistamaan.

Tapahtuneiden tietoturvahäiriöiden käsittelyprosessi ja dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kaikki tietoturvahäiriöt käsitellään johdonmukaisesti, jotta tietoturvaa voidaan parantaa tapahtuneen perusteella.

Häiriöiden käsittelyprosessissa:

  • vahvistetaan raportoitu häiriö (tai todetaan tarpeettomaksi kirjata ylös)
  • dokumentoidaan häiriön tyyppi ja syy
  • dokumentoidaan häiriöön liittyneet riskit
  • käsitellään riskit, mikäli häiriön perusteella niiden käsittelyä täytyy päivittää
  • määritellään ja dokumentoidaan toimenpiteet riskien pienentämiseksi tai päätös niiden hyväksymisestä
  • määritellään tahot, joille on tärkeää tiedottaa käsittelyn tuloksista (myös organisaation ulkopuoliset)
  • määritetään tarve häiriön jälkianalyysille

Tietoturvahäiriöihin liittyvien tietoturvamittarien määrittely

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiolla on määritellyt seurattavat mittarit, jotka liittyvät tietoturvahäiriöiden hallintaan. Parhaimmillaan hyvät mittarit auttavat havaitsemaan heikkouksia häiriöiden tunnistamiseen liittyen.

Mahdollisia mittareita ovat mm.:

  • tietoturvatapahtumien määrä ja suhde häiriöihin
  • häiriöiden määrä tarjottavan palvelun, osaston, vakavuuden tai tyypin mukaan
  • vaadittu aika häiriöin tunnistamiseen, tutkimiseen ja käsittelyyn
  • poikkeamat dokumentoiduista toimintatavoista

Ohjeistukset ja ilmoitusprosessi häiriöiden ilmoittamiseen henkilöstölle

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Häiriöiden ilmoittamiseen ylläpidetään prosessia, joka auttaa henkilöstöä ilmoittamaan häiriöistä tehokkaasti ja johdonmukaisesti.

Häiriönä ilmoitettavia asioita ovat mm.:

  • luvaton pääsy tietoihin / tiloihin
  • tietoturvaohjeiden vastainen toiminta
  • epäilty tietoturvaongelma (esim. tietojenkalastelu, haittaohjelmatartunta)
  • tietojärjestelmän käyttökatko
  • tietojen tuhoutuminen / muuttuminen vahingossa tai tahallaan
  • kadonnut tai varastettu laite
  • vaarantunut salasana
  • kadonnut fyysinen tunniste (esim. avaimenperä, älykortti, älytarra)
  • epäilty tietoturvaheikkous (esim. käytetyssä tietojärjestelmässä tai muissa toimintatavoissa)

Henkilöstön ohjeissa korostetaan velvollisuutta raportoida tietoturvahäiriöistä mahdollisimman pian sovitun prosessin mukaisesti. Ohjeistus kuvaa myös muun toiminnan häiriön tapauksessa (mm. virheilmoitusten ja muiden yksityiskohtien kirjaaminen ylös).

Häiriöiden säännöllinen jaksottainen analysointi ja häiriöistä oppiminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietoturvahäiriöiden analysoinnista ja ratkaisemisesta saatua tietämystä olisi hyödynnettävä tulevien häiriöiden todennäköisyyden vähentämisessä ja niiden vaikutuksen pienentämisessä.

Organisaatio analysoi säännöllisesti tapahtuneita häiriöitä kokonaisuutena. Tässä prosessissa tutkitaan häiriöiden tyyppiä, määrää ja kustannuksia tavoitteena tunnistaa toistuvia ja vaikutuksiltaan merkittäviä häiriöitä.

Mikäli reagointia vaativia toistuvia häiriöitä tunnistetaan, niiden perusteella:

  • luodaan uusia tai laajennetaan olemassaolevia tietoturvan hallintatehtäviä
  • tarkennetaan tai laajennetaan tähän aihepiiriin liittyvää tietoturvaohjeistusta
  • luodaan häiriöstä case-esimerkki, jota käytetään henkilöstön kouluttamiseksi vastaaviin tilanteisiin reagoimiseksi tai niiden välttämiseksi

Häiriökäsittelyn tuloksista tiedottaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio on määritellyt toimintatavat, jotka varmistavat häiriön alkuperäisen raportoijan sekä muuten häiriöön liittyvän henkilöstön saavan tiedon häiriön käsittelyn tuloksista.

Häiriöön liittyvä henkilöstö voidaan kirjata valinnaiseen tietokenttään tietoturvahäiriöiden dokumentaatiopohjassa.

Häiriöhallinnan vastuutiimin nimeäminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio huolehtii siitä, että häiriöhallintaan on nimetty selkeät vastuuhenkilöt, jotka vastaavat esimerkiksi häiriöiden ensimmäisen tason käsittelystä.

Häiriöiden hallinnasta vastaavia henkilöitä on ohjeistettava ja koulutettava, jotta he ymmärtävät organisaation prioriteetit tietoturvahäiriöiden käsittelyssä.

Tietoturvahäiriöiden ensimmäisen tason reagointiprosessi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio on määritellyt prosessin ja siihen osallistuvan tiimin, jonka avulla tietoturvahäiriöihin reagoidaan pikaisesti ja sopivat jatkotoimet päätetään johdonmukaisesti.

Ensimmäisen tason reagointiprosessissa vähintään:

  • pyritään tehokkaasti vahvistamaan todettu häiriö
  • päätetään tarpeesta välittömään reagointiin

Henkilöstön whistle blowing -järjestelmä

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Henkilöstöllä on käytössä whistle blowing -järjestelmä, jonka kautta voi nimettömästi raportoida tietoturvasääntöjen tai -menettelyjen loukkauksista.

Tietoturvahäiriöihin liittyvien todisteiden hallinta

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on luotava toimintatavat, joiden avulla tunnistetaan, kerätään ja säilytetään tietoturvahäiriöihin liittyvä relevantti todistetieto. Todisteiden voi olla tarpeen olla kerätty tavalla, joka voidaan hyväksyä relevanteissa tuomioistuimissa tai muissa vastaavissa kurinpitoelimissä.

Todistemateriaaliin liittyen pitäisi pystyä osoittamaan mm.:

  • tietueet ovat täydellisiä, eikä niitä ole muokattu millään tavalla
  • kopiot sähköisistä todisteista ovat todennäköisesti identtisiä alkuperäisten kanssa
  • tietojärjestelmä, josta todisteita on kerätty, toimi oikein keräyshetkellä

Liittyvän henkilökunnan sekä työkalujen sertifiointia tai muita pätevyystodisteita voidaan lisäksi harkita sovellettavan todisteiden arvon vahvistamiseksi.

Häiriötilanteiden säännöllinen harjoittelu

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation tulisi säännöllisesti, vähintään kerran vuodessa, harjoitella siihen kohdistuvia mahdollisia häiriö- tai hyökkäystilanteita.

Harjoitus voi kohdistua joko häiriön havaitsemisen, reagoinnin tai johtamisen kehittämiseen tai kaikkiin näistä.

Harjoitusten toteuttamisesta ja havainnoista tulee ylläpitää dokumentaatiota.

Tietoturvahäiriöiden ilmoittaminen viranomaisille

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiolla tulee olla olemassa menettely sen toimintaan kohdistuvien häiriöiden, hyökkäysten ja loukkausten ilmoittamiseksi viranomaisille. Esimerkiksi:

  • Poliisi
  • Tietosuojavaltuutetun toimisto
  • Kyberturvallisuuskeskus

Häiriön rajaustoimet

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on otettava keinoja käyttöön, jolla häiriön vaikutus voidaan rajata mahdollisimman pieneen osaan. Keinot tulisivat vastata tehtyjä suunnitelmia ja sisältää häiriön:

  • Vastaisen valmistelun
  • Analysoinnin
  • Eristämisen
  • Hävittämisen
  • Palautumisen käynnistämisen

Rikostekninen tutkinta häiriöille

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Häiriön jälkeen haitalliselle koodille, tai muille häiriön jäänteille on suoritettava rikostekninen tutkinta. Turvallisesti tehty tutkinta suljetussa ympäristössä voi aukaista häiriön syitä, tavoitteita ja toteutustapoja. Tämä auttaa organisaatiota korjaamaan mahdolliset aukot turvallisuudessa, varautumaan samankaltaisiin häiriöihin ja tunnistamaan tai profiloimaan mahdollisen hyökkääjän.

Havaitsemisprosessien testaus ja vaatimustenmukaisuus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Havaitsemisprosesseja ja menettelyjä ylläpidetään ja testataan, jotta varmistetaan tietoisuus poikkeavista tapahtumista. Havaitsemistoimien täytyy sopia kaikkiin asiaan liittyviin vaatimuksiin.

Tietoturvahäiriön rajan määrittely

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation täytyy määritellä raja, jolloin tietoturvatapahtumasta tulee tietoturvahäiriö.

Tapahtumalähteiden määrittely ja seuranta

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on määriteltävä, millaisia tietoturvatapahtumia se seuraa ja millä toimintatavoilla.

Tietoturvatapahtumia tulisi seurata useista eri lähteistä, joiden avulla tärkeä, reagointia vaativat mahdolliset häiriöt voidaan tunnistaa. Tietoa voidaan saada mm. suoraan hallintajärjestelmästä, ulkoisilta kumppaneilta tai organisaation laitteiden tuottamista lokeista.

Esimerkkejä seurattavista tietoturvatapahtumista voivat olla mm.:

  1. Palvelimen hidas toiminta
  2. Toistuvat kirjautumisvirheet
  3. Tuntemattomat kirjautumisyritykset
  4. Poikkeuksellinen verkkoliikenne
  5. Tallennustilan loppuminen
  6. Muutokset koodiprojekteissa
  7. Konfiguraatiomuutokset palomuurilla
  8. Käyttöoikeusmuutokset kriittisiin järjestelmiin / palvelimiin / tietokantoihin
  9. Isot tietokantalataukset
  10. Luvattomat ohjelmistoasennukset päätelaitteille
  11. Liikenne haitalliseksi tiedetyistä IP-osoitteista

Prosessit tarjottuihin digipalveluihin liittyvien tietoturvatapahtumien raportoimiseksi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Pilvipalveluita tarjoaessaan organisaatiolla tulee olla suunnitellut prosessit tai menettelyt:

  • miten pilvipalvelun asiakas raportoi tietoturvatapahtumasta organisaatiolle
  • miten organisaatio raportoi tietoturvatapahtumista pilvipalveluasiakkaille
  • miten pilvipalvelun asiakas voi seurata aiemmin raportoidun tietoturvatapahtuman tilaa

Tietoturvatapahtumien lajittelun varmistaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on määriteltävä toimintatavat, joiden avulla havaitut tietoturvatapahtumat pystytään selkeästi lajittelemaan. Lajittelun avulla on pystyttäjä priorisoimaan tapahtumat vakavuuden ja mahdollisen vaikutuksen mukaan.

Lajittelun perusteella on tarkoitus tehostaa tietoturvatapahtumien tutkimista ja arviointia, jotta esimerkiksi häiriöön vastaaminen saadaan tarvittaessa käyntiin nopeasti.

Toimintatavat voivat koostua yleisistä prosesseista, teknisistä työkaluista tai koneoppimista hyödyntävistä algoritmeistä. Toimintatapoja on tarkasteltava säännöllisesti, jotta vahvistetaan niiden toimivuus ja sopivuus käyttötarpeisiin.

Ympäristöuhkien huomiointi riskien- ja häiriöiden hallinnassa

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation tulisi ottaa huomioon ympäristöuhat, jotka voivat vaikuttaa järjestelmien käytettävyyteen osana riskienarviointiprosessia ja myös osana tietoturvahäiriöiden prosessia.

Ympäristöuhkiin kuuluu esimerkiksi:

  • Epäsuotuisa sää
  • Vika ympäristönhallintajärjestelmissä
  • Virtapiikit sähkönjakelussa
  • Tulipalot
  • Vesivahingot


Oletko valmis aloittamaan?

Aloita kokeilu tai varaa demo.