Salaus

Teema-alueen vaatimukset

Teeman tehtävien osa-alueet

No items found.

Salaus

Vaatimuskategoriaan liittyvät vaatimukset

No items found.

Esimerkkejä vaatimuksiin liittyvistä tehtävistä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

No items found.

Salaus

Tämän vaatimuksen toteuttamiseen liittyvät tehtävät

Alla näet tehtäviä, joiden avulla Digiturvamallissa tämän vaatimuksen toteutusta vastuutetaan ja jalkautetaan. Klikkaa itsesi tehtävän sivulle lukeaksesi toteutuksesta tarkemmin.

Aineiston välitys postilla tai kuriirilla (ST II)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kun salassa pidettäviä tietoja siirretään fyysisesti suojattujen alueiden ulkopuolella, pyritään tiedot ensisijaisesti siirtämään tietoverkon yli sähköisesti viranomaisen hyväksymillä salaustuotteilla suojattuina.

Jos edellä mainittua menettelyä ei käytetä:

  • salassa pidettävät tiedot kuljetetaan joko viranomaisen hyväksymillä salaustuotteilla suojatuilla sähköisillä välineillä (kuten USB-muistitikut, CD-levyt, kiintolevyt) tai
  • muissa tapauksissa viranomaisen ohjeita noudattaen

Lisäksi suojaustasolla II toteutetaan alla mainitut toimenpiteet:

  • Organisaatiossa on tunnistettu vaatimukset ja toteutettu menettelyt erityissuojattavien tietoaineistojen (esimerkiksi salausavaimet) välittämiseksi.
  • Organisaation sisäiseen postin käsittelyketjuun kuuluu vain hyväksyttyä turvallisuusselvitettyä henkilöstöä.
  • Aineisto pakataan suljettavaan kaksinkertaiseen kirjekuoreen tai vastaavaan. Pakkauksen ulkokuoressa ei saa olla merkintää suojaustasosta eikä pakkaus saa ulkoisesti muuten paljastaa sen sisältävän salassa pidettävää aineistoa (kirjekuorien tai vastaavien on oltava läpinäkymättömiä). Sisäkuoren on oltava sinetöity. Vastaanottaja on ohjeistettava tarkistamaan sinetöinnin eheys ja ilmoitettava välittömästi, mikäli eheyden vaarantumista epäillään.
  • Aineisto toimitetaan kotimaassa ja ulkomaille viranomaisen ko. suojaustasolle hyväksymän kuriirimenettelyn mukaisesti.

Aineiston välitys postilla tai kuriirilla (ST III)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kun salassa pidettäviä tietoja siirretään fyysisesti suojattujen alueiden ulkopuolella, pyritään tiedot ensisijaisesti siirtämään tietoverkon yli sähköisesti viranomaisen hyväksymillä salaustuotteilla suojattuina.

Jos edellä mainittua menettelyä ei käytetä:

  • salassa pidettävät tiedot kuljetetaan joko viranomaisen hyväksymillä salaustuotteilla suojatuilla sähköisillä välineillä (kuten USB-muistitikut, CD-levyt, kiintolevyt) tai
  • muissa tapauksissa viranomaisen ohjeita noudattaen

Lisäksi suojaustasolla III toteutetaan alla mainitut toimenpiteet:

  • Organisaatiossa on tunnistettu vaatimukset ja toteutettu menettelyt erityissuojattavien tietoaineistojen (esimerkiksi salausavaimet) välittämiseksi.
  • Aineisto pakataan suljettavaan kaksinkertaiseen kirjekuoreen tai vastaavaan. Pakkauksen ulkokuoressa ei saa olla merkintää suojaustasosta eikä pakkaus saa ulkoisesti muuten paljastaa sen sisältävän salassa pidettävää aineistoa (kirjekuorien tai vastaavien on oltava läpinäkymättömiä).
  • Aineisto toimitetaan kotimaassa viranomaisen erillishyväksyntään pohjautuen kirjattuna kirjeenä tai viranomaisen ko. suojaustasolle hyväksymän kuriirimenettelyn mukaisesti. Ulkomaille toimitus postin välityksellä voi tapahtua vain viranomaisen erillishyväksyntään pohjautuen.
  • Organisaation sisäiseen postin käsittelyketjuun kuuluu vain hyväksyttyä turvallisuusselvitettyä henkilöstöä.

Aineiston välitys postilla tai kuriirilla (ST IV)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kun salassa pidettäviä tietoja siirretään fyysisesti suojattujen alueiden ulkopuolella, pyritään tiedot ensisijaisesti siirtämään tietoverkon yli sähköisesti viranomaisen hyväksymillä salaustuotteilla suojattuina.

Jos edellä mainittua menettelyä ei käytetä:

  • salassa pidettävät tiedot kuljetetaan joko viranomaisen hyväksymillä salaustuotteilla suojatuilla sähköisillä välineillä (kuten USB-muistitikut, CD-levyt, kiintolevyt) tai
  • muissa tapauksissa viranomaisen ohjeita noudattaen

Lisäksi suojaustasolle IV toteutetaan alla mainitut toimenpiteet:

  • Aineisto pakataan suljettavaan kirjekuoreen tai vastaavaan. Pakkauksen ulkokuoressa ei saa olla merkintää suojaustasosta eikä pakkaus saa ulkoisesti muuten paljastaa sen sisältävän salassa pidettävää aineistoa (kirjekuoren tai vastaavan on oltava läpinäkymätön).
  • Aineisto toimitetaan kotimaassa tavallisena postina, kirjattuna kirjeenä tai viranomaisen ko. suojaustasolle hyväksymän kuriirimenettelyn mukaisesti. Ulkomaille toimitus postin välityksellä vain viranomaisen erillishyväksyntään pohjautuen.
  • Organisaation sisäiseen postin käsittelyketjuun kuuluu vain hyväksyttyä henkilöstöä.
  • Organisaatiossa on tunnistettu vaatimukset ja toteutettu menettelyt erityissuojattavien tietoaineistojen (esimerkiksi salausavaimet) välittämiseksi

Aineiston sähköinen välitys (ST IV-II)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Aineiston sähköinen välitys kattaa esimerkiksi puhelimen, faksin, sähköpostin, pikaviestimet ja muut vastaavat tietoverkon kautta toimivat tiedonsiirtomenetelmät.

Sähköisen tietojen välittämisen turvaamiseksi organisaatio toteuttaa seuraavat toimenpiteet:

  • Kun salassa pidettävää aineistoa siirretään hyväksyttyjen fyysisesti suojattujen alueiden ulkopuolella, aineisto / liikenne salataan viranomaisen ko. suojaustasolle hyväksymällä menetelmällä
  • Tilanteissa, joissa salassa pidettävää aineistoa siirretään fyysisesti suojattujen alueiden sisäpuolella
  • a) ko. suojaustason liikennekanava on fyysisesti suojattu (esimerkiksi kaapelointi, joka kulkee kokonaisuudessaan suppean, esimerkiksi vain yhden huoneen kattavan ko. suojaustason fyysisesti suojatun alueen sisällä), tai
  • b) aineisto suojataan viranomaisen erillishyväksyntään perustuen matalamman tason salauksella (esim. HTTPS)

Salassapidettävien tietojen turvallinen siirtäminen tietoverkossa

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Viranomaisen on toteutettava tietojensiirto yleisessä tietoverkossa salattua tai muuten suojattua tiedonsiirtoyhteyttä tai -tapaa käyttämällä, jos siirrettävät tiedot ovat salassa pidettäviä. Lisäksi tietojensiirto on järjestettävä siten, että vastaanottaja varmistetaan tai tunnistetaan riittävän tietoturvallisella tavalla ennen kuin vastaanottaja pääsee käsittelemään siirrettyjä salassa pidettäviä tietoja.

Yleinen, riskilähtöinen salauspolitiikka

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Salausratkaisujen tarpeellisuudesta päättäminen nähdään osana kokonaisprosessia, johon sisältyvät riskien arviointi ja muiden hallintatehtävien määrittely.

Organisaatio on laatinut yleisen salauspolitiikan, jota noudatetaan aina tietoa suojattaessa salauksen avulla.

Salauspolitiikka määrittelee:

  • yleiset periaatteet salauksen hallintakeinojen käytölle koko organisaatiossa
  • tarvittavan salaustason määrittelytavat omaisuuden riskien arvioinnin perusteella
  • salauksen käytön mobiililaitteissa
  • tavat salausavainten suojaukseen ja salatun tiedon palauttamiseen avainten kadotessa
  • roolit ja velvollisuudet salaukseen liittyen
  • salauksen vaikutukset muihin tietoturvan hallintajärjestelmän tehtäviin

Kannettavien tietokoneiden salaus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kannettavat tietokoneet on suojattu full-disk -salauksella.

Älypuhelinten ja tablettien salaus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Työkäyttöön tarkoitetuiksi älypuhelimiksi ja tableteiksi valitaan laitteita, jotka tukevat full-device -salausta ja salaukset asetetaan päälle.

Siirrettävien tietovälineiden salaus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Luottamuksellisen tiedon varastoimista siirrettävissä tietovälineissä pyritään välttämään. Kun siirrettäviä tietovälineitä käytetään luottamuksellisen tiedon siirtämiseen, käytetään asiallista suojausta (esim. koko levyn salausta pre-boot autentikoinnilla).

Palvelinten salaus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Palvelinten levy- ja tiedostojärjestelmä on suojattu salauksella, jotta palvelinten fyysisen varkauden aiheuttamia vaikutuksia voidaan hallita.

Varmuuskopioiden salaus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kun varmuuskopioiden luottamuksellisuus on tärkeää, varmuuskopiot suojataan salauksella. Varmuuskopioiden salaamisen tarve voi korostua, kun varmuuskopioita säilytetään fyysisessä sijainnissa, jonka turvallisuuskäytännöistä ei ole varmuutta.

Salaustapojen tarkistaminen ja riittävyyden arviointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Käytettäviä salaustapoja valittaessa olisi otettava huomioon mm. seuraavat seikat:

  • salauksen käyttökustannukset
  • salauksen taso (esim. salausalgoritmin tyyppi, voimakkuus ja laatu)
  • suojattavan omaisuuden arvo

Salaushallintakeinojen valinnassa harkitaan aina ulkoisten asiantuntijoiden neuvojen tarpeellisuutta.

Salausavainten hallinta ja vastuutus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiomme on määritellyt toimintatavat salausavainten luomiseen, säilyttämiseen, jakamiseen ja poistamiseen.

Salausavainten pituudet ja käyttökäytännöt pyritään valitsemaan parhaiden yleisten käytäntöjen mukaisesti seuraamalla alan kehitystä.

Salausavainten aktivoitumis- ja päättymispäivien hallinta

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Jotta sopimattoman käytön todennäköisyyttä saataisiin pienennettyä, salausavaimille määritellään aktivoitumis- ja vanhentumispäivämäärät, jotta avaimia voidaan käyttää ainoastaan niin kauan kuin on määritelty.

Oletko valmis aloittamaan?

Aloita kokeilu tai varaa demo.