Riittävien varmuuskopioiden avulla kaikki tärkeät tiedot ja ohjelmat voidaan palauttaa katastrofin tai tietovälinevian jälkeen. Tärkeä ensiaskel toimivassa varmuuskopioinnissa on tunnistaa, kenen vastuulla kunkin tiedon varmuuskopioiminen on. Varmuuskopioinnin vastuun selvittäminen on tieto-omaisuuden (järjestelmät, laitteisto) omistajien vastuulla.

Mikäli varmuuskopiointi on kumppanin vastuulla selvitämme:

• kuinka kattavasti kumppani varmuuskopioi tiedot?
• kuinka tiedot ovat tarvittaessa palautettavissa?
• mitä varmuuskopioinnista on sovittu sopimuksissa?

Mikäli varmuuskopiointi on omalla vastuullamme selvitämme:

• onko tietoihin liittyvä varmuuskopiointiprosessi olemassa ja dokumentoitu?
• onko varmuuskopioinnin kattavuus ja toteutussykli tietojen tärkeyden vaatimalla tasolla?

Kuvaamme tietojärjestelmälistauksen yhteydessä, minkä järjestelmien suhteen vastuu varmuuskopioinnin toteutuksesta on itsellämme. Organisaation omalla vastuulla olevat varmuuskopiointiprosessit on dokumentoitu ja jokaiselle on määritelty omistaja. Dokumentaatio sisältää mm.:

• millä järjestelmällä ja kuinka usein varmuuskopiot toteutetaan?
• kuinka varmuuskopiot suojataan (salaus, fyysinen sijainti)?
• kuinka pitkään varmuuskopiot säilytetään?

Varmuuskopioinnin tavoitteena on rajata menetettävän tiedon määrää ja pystyä palauttamaan tiedot tarpeeksi nopeasti ja luotettavasti.

Suojaustasoilla III-II toteutetaan seuraavat toimenpiteet varmuuskopioiden suojaamiseksi:

• Varmuuskopiot käsitellään ja säilytetään niiden elinkaaren ajan vähintään ko. suojaustason järjestelmissä
• Käsiteltäessä samalla varmistusjärjestelmällä tarkastusoikeuden varaavien eri omistajien tietoja, tarkastusoikeuden mahdollistavat erottelumenettelyt on toteutettava ko. suojaustason mukaisesti varmistusjärjestelmän liittymien ja tallennemedioiden osalta
• Varmuuskopioiden siirtämiseen sovelletaan samoja toimintatapoja kuin muun tietoaineiston siirtämiseen
• Varmistusmediat hävitetään ko. suojaustason mukaisesti
• Varmuuskopioista on rekisterit ja varmuuskopioiden käsittely kirjataan sähköiseen lokiin, tietojärjestelmään, asianhallintajärjestelmään, manuaaliseen diaariin tai asiakirjaan

Varmuuskopioinnin tavoitteena on rajata menetettävän tiedon määrää ja pystyä palauttamaan tiedot tarpeeksi nopeasti ja luotettavasti.

Suojaustasolla IV toteutetaan seuraavat toimenpiteet varmuuskopioiden suojaamiseksi:

• Varmuuskopiot käsitellään ja säilytetään niiden elinkaaren ajan vähintään ko. suojaustason järjestelmissä
• Käsiteltäessä samalla varmistusjärjestelmällä tarkastusoikeuden varaavien eri omistajien tietoja, tarkastusoikeuden mahdollistavat erottelumenettelyt on toteutettava ko. suojaustason mukaisesti varmistusjärjestelmän liittymien ja tallennemedioiden osalta
• Varmuuskopioiden siirtämiseen sovelletaan samoja toimintatapoja kuin muun tietoaineiston siirtämiseen
• Varmistusmediat hävitetään ko. suojaustason mukaisesti

Ohjelmistohaavoittuvuuksien hallitsemiseksi suojaustasoilla III-II toteutetaan seuraavat toimenpiteet:

• Verkko ja sen palvelut, palvelimet sekä verkkoon kytketyt työasemat, kannettavat tietokoneet ja vastaavat tarkastetaan vähintään (haavoittuvuusskannaus, CMDB, jne.) puolivuosittain ja aina merkittävien muutosten jälkeen päivitysmenettelyjen korjauskohteiden löytämiseksi.
• Säännöllisesti (esim. kuukausittain) tarkastellaan keskitetyistä päivityksenjakopalveluista päivitysten asentumisen onnistumista.

Merkittäviä muutoksia ovat mm. verkkotopologian muutokset, uusien järjestelmien käyttöönotot, vanhojen järjestelmien merkittävät päivitykset sekä palomuurien ja vastaavien suodatussääntöjen merkittävät muutokset.

Ohjelmistohaavoittuvuuksien hallitsemiseksi suojaustasolla IV toteutetaan seuraavat toimenpiteet:

• Verkko ja sen palvelut, palvelimet sekä verkkoon kytketyt työasemat, kannettavat tietokoneet ja vastaavat tarkastetaan vähintään (haavoittuvuusskannaus, CMDB, jne.) vuosittain ja aina merkittävien muutosten jälkeen päivitysmenettelyjen korjauskohteiden löytämiseksi.
• Säännöllisesti (esim. kuukausittain) tarkastellaan keskitetyistä päivityksenjakopalveluista päivitysten asentumisen onnistumista.

Merkittäviä muutoksia ovat mm. verkkotopologian muutokset, uusien järjestelmien käyttöönotot, vanhojen järjestelmien merkittävät päivitykset sekä palomuurien ja vastaavien suodatussääntöjen merkittävät muutokset.

Etäkäytöllä tarkoitetaan organisaation toimitilojen ulkopuolelta tapahtuvaa tietojärjestelmien käyttöä esimerkiksi kannettavan tietokoneen kautta.

Suojastasojen III-II tietoja etäkäytettäessä:

• Tietoja käsitellään käyttäen vain käyttöympäristöön hyväksyttyjä yhteyksiä ja laitteita, jotka on teknisesti tunnistettu laitetunnistuksen avulla, sekä vahvaa, vähintään kahteen tekijään perustuvaa käyttäjätunnistusta.
• Henkilöstö on saanut ohjeistusta ja koulutusta turvalliseen etäkäyttöön.
• Liikenne on salattu viranomaisen ko. suojaustasolle hyväksymällä salausmenetelmällä.
• Tietovälineet (kiintolevyt, USB-muistit ja vastaavat) ovat koko ajan kuljettajansa hallussa, ellei niitä ole salattu viranomaisen ko. suojaustasolle hyväksymällä menetelmällä. Salassa pidettäviä tietoja ei avata matkalla eikä lueta julkisilla paikoilla.
• Järjestelmien etäkäyttö rajataan viranomaisen hyväksymälle fyysisesti suojatulle alueelle.

Etäkäytöllä tarkoitetaan organisaation toimitilojen ulkopuolelta tapahtuvaa tietojärjestelmien käyttöä esimerkiksi kannettavan tietokoneen kautta.

Suojastason IV tietoja etäkäytettäessä:

• Tietoja käsitellään käyttäen vain käyttöympäristöön hyväksyttyjä laitteita ja yhteyksiä sekä vahvaa, vähintään kahteen tekijään perustuvaa käyttäjätunnistusta.
• Henkilöstö on saanut ohjeistusta ja koulutusta turvalliseen etäkäyttöön.
• Tietovälineet (kiintolevyt, USB-muistit ja vastaavat) on joko salattu viranomaisen suojaustasolle hyväksymällä menetelmällä tai ne säilytetään vastaavantasoisesti suojaten tai ei jätetä valvomatta.
• Liikenne on salattu viranomaisen ko. suojaustasolle hyväksymällä salausmenetelmällä.

Organisaatio on määritellyt kokonaisvastuun siitä, että salassapidettäviä tietoja käsitellään ainoastaan niiden käsittelemiseen soveltuvissa tiloissa.

Suojaustason III-II tietojen suhteen menetellään seuraavasti:

• Fyysiset turvatoimet toteutetaan kaikissa tiloissa, joissa tietoja käsitellään tai säilytetään.
• Tietoja käsitellään ainoastaan viranomaisen hyväksymillä turva-alueilla. Tietoja voidaan käsitellä myös hallinnollisilla alueilla, jos pääsy salassa pidettäviin tietoihin on suojattu sivullisilta.
• Tietoja säilytetään ainoastaan viranomaisen hyväksymillä turva-alueilla turvasäilytysyksikössä tai kassaholvissa.

Organisaatio on määritellyt kokonaisvastuun siitä, että salassapidettäviä tietoja käsitellään ainoastaan niiden käsittelemiseen soveltuvissa tiloissa.

Suojaustason IV tietojen suhteen menetellään seuraavasti:

• Fyysiset turvatoimet toteutetaan kaikissa tiloissa, joissa tietoja käsitellään tai säilytetään.
• Tietoja käsitellään ainoastaan turva-alueilla, hallinnollisella alueella tai viranomaisen hyväksymillä menettelyillä hallinnollisen alueen ulkopuolella.
• Tietojen säilytys on mahdollista turva-alueilla ja hallinnollisella alueella soveltuvissa lukittavissa toimistokalusteissa, tai tilapäisesti myös viranomaisen hyväksymillä menettelyillä hallinnollisen alueen ulkopuolella.

Järjestelmällisessä turvallisuustyössä muutosten vaikutukset on arvioitava ennakkoon, muutokset on dokumentoitava selkeästi ja toteutettava systemaattisesti.

Suojaustasolla II muutostenhallinnassa käytetään seuraavia toimintatapoja:

• Tietojenkäsittelyyn liittyviin muutoksiin on määritelty muutoksenhallintamenettely (esim. määrittely, dokumentointi, riskien arviointi ja hallinta). Muutokset ovat jäljitettävissä.
• Verkot, järjestelmät ja niihin liittyvät laitteet, ohjelmistot ja asetukset on dokumentoitu siten, että muutokset hyväksyttyyn kokoonpanoon pystytään havaitsemaan vertaamalla toteutusta dokumentaatioon.
• Tietojenkäsittely-ympäristöjä tarkkaillaan luvattomien muutosten tai laitteistojen havaitsemiseksi.
• Laitteistot suojataan luvattomien laitteiden (näppäilynauhoittimet ja vastaavat) liittämistä vastaan.

Järjestelmällisessä turvallisuustyössä muutosten vaikutukset on arvioitava ennakkoon, muutokset on dokumentoitava selkeästi ja toteutettava systemaattisesti.

Suojaustasoilla IV-III muutostenhallinnassa käytetään seuraavia toimintatapoja:

• Tietojenkäsittelyyn liittyviin muutoksiin on määritelty muutoksenhallintamenettely (esim. määrittely, dokumentointi, riskien arviointi ja hallinta). Muutokset ovat jäljitettävissä.
• Verkot, järjestelmät ja niihin liittyvät laitteet, ohjelmistot ja asetukset on dokumentoitu siten, että muutokset hyväksyttyyn kokoonpanoon pystytään havaitsemaan vertaamalla toteutusta dokumentaatioon.
• Tietojenkäsittely-ympäristöjä tarkkaillaan luvattomien muutosten tai laitteistojen havaitsemiseksi.

Ohjelmistoille ja muulle teknologialle on tietoisesti yksilöity tietolähteet, joita käyttämällä tunnistetaan meille relevantteja teknisiä haavoittuvuuksia ja ylläpidetään tietoa niistä (esim. viranomaiset tai laite- ja ohjelmistovalmistajat). Tietolähteitä arvioidaan ja päivitetään löydettäessä uusia hyödyllisiä lähteitä.

Haavoittuvuuksia voi löytyä suoraan hyödyntämistämme toimittajien järjestelmistä tai monien järjestelmiemme hyödyntämistä open source -komponenteista. On tärkeää seurata useita lähteitä, jotta oleellisista asioista ollaan kärryillä.

Sallittavan työn, työaikojen ja käytettävän tiedon luokituksen määrittely ja sellaisten sisäisten järjestelmien ja palvelujen määrittely, joihin etätyöskentelijälle myönnetään pääsy.