Häiriöhallinnan vastuutiimin nimeäminen

Critical
High
Normal
Low

Organisaatio huolehtii siitä, että häiriöhallintaan on nimetty selkeät vastuuhenkilöt, jotka vastaavat esimerkiksi häiriöiden ensimmäisen tason käsittelystä.

Häiriöiden hallinnasta vastaavia henkilöitä on ohjeistettava ja koulutettava, jotta he ymmärtävät organisaation prioriteetit tietoturvahäiriöiden käsittelyssä.

Liittyvät muut vaatimuskehikot ja vaatimukset:
16.1.3: Reporting information security weaknesses
ISO 27001
16.1.2: Reporting information security events
ISO 27001

Ohjeistukset ja ilmoitusprosessi häiriöiden ilmoittamiseen henkilöstölle

Critical
High
Normal
Low

Häiriöiden ilmoittamiseen ylläpidetään prosessia, joka auttaa henkilöstöä ilmoittamaan häiriöistä tehokkaasti ja johdonmukaisesti.

Häiriönä ilmoitettavia asioita ovat mm.:

  • luvaton pääsy tietoihin / tiloihin
  • tietoturvaohjeiden vastainen toiminta
  • epäilty tietoturvaongelma (esim. tietojenkalastelu, haittaohjelmatartunta)
  • tietojärjestelmän käyttökatko
  • tietojen tuhoutuminen / muuttuminen vahingossa tai tahallaan
  • kadonnut tai varastettu laite
  • vaarantunut salasana
  • kadonnut fyysinen tunniste (esim. avaimenperä, älykortti, älytarra)
  • epäilty tietoturvaheikkous (esim. käytetyssä tietojärjestelmässä tai muissa toimintatavoissa)

Henkilöstön ohjeissa korostetaan velvollisuutta raportoida tietoturvahäiriöistä mahdollisimman pian sovitun prosessin mukaisesti. Ohjeistus kuvaa myös muun toiminnan häiriön tapauksessa (mm. virheilmoitusten ja muiden yksityiskohtien kirjaaminen ylös).

Liittyvät muut vaatimuskehikot ja vaatimukset:
T06: Turvallisuuspoikkeamien hallinta
Katakri
24. Rekisterinpitäjän vastuu
GDPR

Tietoturvallisuuteen liittyvien vastuiden eriyttäminen

Critical
High
Normal
Low

Organisaatiolla tulee olla prosesseja sen varmistamiseksi, että ristiriitaiset vastuut erotetaan toisistaan, jotta vähennetään mahdollisuuksia käyttää organisaation omaisuutta väärin.

On syytä olla varovainen esim. siitä, että yksittäinen henkilö voi käsitellä tietoja huomaamatta. Usein myös tapahtuman aloittamisen erottaminen sen hyväksymisestä on hyvä käytäntö.

Kun tehtävien suoraa eriyttämistä on vaikea saavuttaa, voidaan käyttää seuraavia periaatteita:

  • Tietoturvavastuiden korkeatasoinen erottelu
  • Erottelun tukeminen hyvällä seurannalla, kirjausketjuilla ja johdon valvonnalla
Liittyvät muut vaatimuskehikot ja vaatimukset:
6.1.2: Segregation of duties
ISO 27001
ID.RA-3: Threat identification
NIST

Prosessit tarjottuihin digipalveluihin liittyvien tietoturvatapahtumien raportoimiseksi

Critical
High
Normal
Low

Pilvipalveluita tarjoaessaan organisaatiolla tulee olla suunnitellut prosessit tai menettelyt:

  • miten pilvipalvelun asiakas raportoi tietoturvatapahtumasta organisaatiolle
  • miten organisaatio raportoi tietoturvatapahtumista pilvipalveluasiakkaille
  • miten pilvipalvelun asiakas voi seurata aiemmin raportoidun tietoturvatapahtuman tilaa
Liittyvät muut vaatimuskehikot ja vaatimukset:
ID.RA-3: Threat identification
NIST
DE.DP-4: Event detection
NIST
No items found.