Ohje Julkri -arviointityökalu Tähän työkaluun on koottu Julkri-suositukseen arviointikriteerit. Työkalu toimii apuvälineenä arvioinnissa. Käyttö 1. Välilehdeltä "Esiehdot" määritellään arvioinnin lähtötiedot alasvetovalikoiden avulla. 2. Työkalu näyttää annettujen esiehtojen perusteella välilehdellä "Valitut kriteerit" kunkin kriteerin osalta onko se olennainen, valinnainen vai jätetäänkö se arvioinnin ulkopuolelle (Ei sisälly arviointiin). Päätökset soveltamisesta voidaan kirjata kriteerikohtaisesti sarakkeeseen "Päätös soveltamisesta" Välilehtien kuvaukset Välilehdellä "Esiehdot" valitaan lähtötiedot Välilehdellä "Valitut kriteerit" näyttää listan esiehtojen sekä riskiarvioinnin perusteella mukaan valituista kriteereistä. Välilehdellä "Pystynäkymä" pääsee kaikkia kriteerejä tarkastelemaan helpommin luettavassa muodossa. Välilehdellä "Kriteeristö" ovat kaikki kriteerit matriisimuodossa sisältäen myös metatiedot. Välilehdellä "Käyttötapauskuvaukset" on kuvattu esivalitut käyttötapaukset. Välilehdellä "Käyttötapauskriteerit" listataan "Käyttötapaukset" välilehden mukaisten kriteerien valintamatriisi, jonka avulla parametroidaan eri käyttötapauksiin liittyvät kriteerit. Välilehdellä "Valintalistat"määritellään työkalussa käytettyjen valintalistojen arvot. Välilehdellä "Statistiikka" listataan kriteerien lukumääriä osa-alueittain. Tarkempi ohjeistus työkalusta löytyy erillisestä ohjeesta (Julkri-suosituksen liite 3) Esiehdot Esiehdot: Käyttäjän valinnat Turvallisuustasot Vaadittava luottamuksellisuuden taso Julkinen 1 2 Vaadittava eheyden taso Vähäinen 1 2 Vaadittava saatavuuden taso Vähäinen 1 2 Henkilötiedot arvioinnin kohteessa Henkilötietoja 1 2 Arviointiin sisällytettävät osa-alueet Hallinnollinen turvallisuus Kyllä 1 Fyysinen turvallisuus Kyllä 1 Tekninen turvallisuus Kyllä 1 Tietosuoja Kyllä 1 Varautuminen ja jatkuvuudenhallinta Kyllä 1 Käyttötapaus Valitut kriteerit Tunniste Nimi Vaatimus Olennaisuus Päätös soveltamisesta Perustelut Kuvaus vaatimusten toteutustavasta Arviointitulos Kommentit Toimenpiteet Aikataulu Vastuu HAL-01 Periaatteet Organisaatiolla on ylimmän johdon hyväksymät tietoturvallisuusperiaatteet, jotka kuvaavat organisaation tietoturvallisuustoimenpiteiden kytkeytymistä organisaation toimintaan sekä ovat tietojen suojaamisen kannalta kattavat ja tarkoituksenmukaiset. Olennainen HAL-02 Tehtävät ja vastuut Organisaatio on määritellyt ja dokumentoinut tietoturvallisuuden hoitamisen tehtävät ja vastuut sisältäen myös palveluntuottajille kuuluvat vastuut. Olennainen HAL-02.1 Tehtävät ja vastuut - tehtävien eriyttäminen Organisaation on varmistettava, että henkilöillä ei ole tietoturvallisuuden kannalta vaarallisia työyhdistelmiä Valinnainen HAL-03 Resurssit Organisaatiolla on käytössään riittävät resurssit ja asiantuntemus tietoturvallisuuden varmistamiseksi. Olennainen HAL-04 Suojattavat kohteet Organisaatio tunnistaa suojattavat kohteet sekä pitää niistä ajantasaista dokumentaatiota. Olennainen HAL-04.1 Suojattavat kohteet - vastuut Organisaatio määrittelee suojattavien kohteiden vastuut. Olennainen HAL-04.2 Suojattavat kohteet - luokittelu Organisaation on luokiteltava tiedot sekä niihin liittyvät järjestelmät ja käsittelyprosessit niihin kohdistuvien vaatimusten perusteella. Olennainen HAL-04.3 Suojattavat kohteet - kasautumisvaikutus Kasautumisvaikutus on huomioitu suojattavien kohteiden luokittelussa. Valinnainen HAL-04.4 Suojattavat kohteet - merkitseminen Organisaation on merkittävä tiedot lakisääteisten vaatimusten sekä organisaation määrittelemien luokitteluperiaatteiden mukaisesti. Valinnainen HAL-04.5 Suojattavat kohteet - riippuvuudet Organisaatio on tunnistanut ja dokumentoinut suojattavien kohteiden väliset riippuvuudet. Olennainen HAL-04.6 Suojattavat kohteet - sidosryhmät Organisaatio on tunnistanut ja dokumentoinut suojattaviin kohteisiin liittyvät sidosryhmät. Olennainen HAL-05 Vaatimukset Organisaatio tunnistaa lainsäädännöstä, sidosryhmistä sekä organisaation toiminnasta johtuvat tietoturvavaatimukset. Olennainen HAL-05.1 Vaatimukset - seuranta Organisaatio seuraa asetettujen tietoturvallisuusvaatimusten ja toimintaympäristön muutoksia ja tekee tarvittavat toimenpiteet niihin reagoimiseksi. Olennainen HAL-05.2 Vaatimukset - muutosvaikutukset Organisaatio arvioi olennaisten hallinnollisten uudistusten ja tietojärjestelmien käyttöönottojen muutosvaikutukset suhteessa tietoturvallisuusvaatimuksiin ja -toimenpiteisiin. Olennainen HAL-06 Riskienhallinta Organisaatio toteuttaa tietoturvallisuusriskien hallintaa ja on arvioinut olennaiset tietoihin kohdistuvat riskit sekä mitoittanut tietoturvallisuustoimenpiteet riskiarvioinnin mukaisesti. Olennainen HAL-06.1 Riskienhallinta - lainsäädäntöjohdannaiset riskit Palveluun liittyvät lainsäädäntöjohdannaiset riskit on tunnistettu, arvioitu ja niistä on huolehdittu. Olennainen HAL-07 Seuranta ja valvonta Organisaatiossa on järjestetty seuranta ja valvonta tietoturvallisuuteen liittyvien prosessien toimivuudesta ja vaatimusten täyttymisestä. Olennainen HAL-07.1 Seuranta ja valvonta - tietojen käyttö ja luovutukset Organisaatio on tunnistanut lokitietojen keräämiseen liittyvät vaatimukset ja varmistanut niiden perusteella lokitietojen keräämisen ja seurannan riittävyyden. Olennainen HAL-08 Häiriöiden hallinta Organisaatiolla on tietoturvallisuushäiriöiden ja poikkeamatilanteiden käsittelyyn määritellyt prosessit ja ohjeet. Olennainen HAL-09 Dokumentointi Tietoturvallisuuteen liittyvät politiikat, prosessit, ohjeet ja prosessien toteuttamisessa syntyvät tulokset on dokumentoitu. Olennainen HAL-09.1 Dokumentointi - ajantasaisuus Tietoturvallisuuteen liittyvä dokumentaatio on ajantasaista. Olennainen HAL-10 Henkilöstön luotettavuuden arviointi Organisaatio tunnistaa ne tehtävät, joiden suorittaminen edellyttää sen palveluksessa olevilta tai sen lukuun toimivilta henkilöiltä erityistä luotettavuutta. Olennainen HAL-10.1 Henkilöstön luotettavuuden arviointi - turvallisuusselvitys Organisaatio arvioi turvallisuusselvityksen tarpeen ja mikäli sellaista edellytetään, myöntää henkilöille pääsyn suojattaviin kohteisiin vasta turvallisuusselvityksen jälkeen. Valinnainen HAL-11 Salassapito- ja vaitiolovelvollisuus Tietoa käsitteleville henkilöille on selvitetty tietojen suojaamista ja asiakirjojen käsittelyä koskevat tietoturvallisuusperiaatteet ja -toimenpiteet. Olennainen HAL-12 Ohjeet Organisaatiossa on ajantasaiset ja kattavat ohjeet tietoturvallisuuden varmistamiseksi. Olennainen HAL-13 Koulutukset Organisaatio varmistaa perehdytyksillä, koulutuksilla ja viestinnällä, että henkilöstöllä ja organisaation lukuun toimivilla on tuntemus voimassa olevista tietoturvallisuutta koskevista määräyksistä ja ohjeista. Olennainen HAL-14 Käyttö- ja käsittelyoikeudet Organisaatio varmistaa, että tietojärjestelmien käyttöoikeudet ja tietojen käsittelyoikeudet määritellään tehtäviin liittyvien tarpeiden mukaan sekä pidetään ajantasaisina. Olennainen HAL-14.1 Käyttö- ja käsittelyoikeudet - ajantasainen luettelo Organisaatio varmistaa, että sillä on ajantasaiset luettelot henkilöiden käyttö- ja käsittelyoikeuksista. Ei sisälly arviointiin HAL-14.2 Käyttö- ja käsittelyoikeudet - päättyminen Organisaatio varmistaa, että se, joka ei enää toimi tehtävissä, joihin oikeus tietojen käsittelyyn perustuu, palauttaa tiedot tai tuhoaa ne asianmukaisella tavalla. Valinnainen HAL-15 Työskentelyn tietoturvallisuus koko palvelussuhteen ajan Organisaatio huolehtii työskentelyn tietoturvallisuudesta koko palvelussuhteen ajan. Olennainen HAL-16 Hankintojen turvallisuus Organisaatio varmistaa jo ennakolta, että hankittavat tietojärjestelmät ja palvelut ovat tietoturvallisia sekä varmistaa niiden turvallisuuden muutostilanteissa koko järjestelmän elinkaaren ajan. Olennainen HAL-16.1 Hankintojen turvallisuus - sopimukset Organisaatio varmistaa, että tietoturvallisuuteen sisältyvät vaatimukset ja niiden säilyminen koko elinkaaren ajan on otettu huomioon sopimuksissa. Sopimusehdot eivät myöskään saa rajoittaa palvelun soveltuvuutta kyseiseen käyttötapaukseen. Olennainen HAL-17 Tietojärjestelmien toiminnallinen käytettävyys ja vikasietoisuus Organisaatio varmistaa tehtävien hoitamisen kannalta olennaisten tietojärjestelmien vikasietoisuuden ja toiminnallisen käytettävyyden riittävällä testauksella säännöllisesti. Ei sisälly arviointiin HAL-17.1 Tietojärjestelmien toiminnallinen käytettävyys ja vikasietoisuus - saavutettavuus Organisaation on varmistettava digitaalisten palveluiden saavutettavuus lainsäädännön edellyttämässä laajuudessa. Olennainen HAL-18 Asiakirjajulkisuuden toteuttaminen Organisaatio varmistaa, että tietojärjestelmät, tietovarantojen tietorakenteet ja niihin liittyvän tietojenkäsittely suunnitellaan siten, että asiakirjojen julkisuus voidaan vaivatta toteuttaa. Olennainen HAL-19 Tietojen käsittely Organisaatio varmistaa, että tietoja käsitellään ja säilytetään siten, että pääsy tietoihin suojataan sivullisilta. Olennainen FYY-01 Fyysisen turvallisuuden riskien arviointi Fyysiset turvatoimet on mitoitettava riskien arvioinnin mukaisesti. Olennainen FYY-01.1 Fyysisen turvallisuuden riskien arviointi - TEMPEST Arvioitaessa tiedon käsittelyä päätelaitteessa ja turvallisuusalueiden sijaintia on riittävässä määrin otettava huomioon myös TEMPEST-riski. Ei sisälly arviointiin FYY-02 Fyysisten turvatoimien valinta (monitasoinen suojaus) Turvallisuusalueilla ja niitä ympäröivissä tiloissa on toteutettava turvallisuusalueen suojausta vaarantavia tekoja ennaltaehkäiseviä, estäviä ja rajaavia toimenpiteitä, toimenpiteitä suojausta vaarantavien tekojen havaitsemiseksi ja jäljittämiseksi sekä toimenpiteitä vaarantanutta tekoa edeltäneen turvallisuustason palauttamiseksi viipymättä monitasoista suojausperiaatetta soveltaen. Laitteet on tarkastettava ja huollettava säännöllisin väliajoin. Olennainen FYY-03 Tiedon käsittely Tietoja on käsiteltävä siten, että pääsy niihin suojataan sivullisilta. Valinnainen FYY-03.1 Tiedon käsittely - TL I Turvallisuusluokan I asiakirjaa saa käsitellä ainoastaan turva-alueella. Ei sisälly arviointiin FYY-04 Tiedon säilytys Tietoja on säilytettävä siten, että pääsy niihin suojataan sivullisilta. Valinnainen FYY-04.1 Tiedon säilytys - TL IV Organisaatio säilyttää paperiasiakirjat ja muut ei sähköisessä muodossa olevat tiedot - turva-alueella tai hallinnollisella alueella soveltuvaksi arvioidussa toimistokalusteessa tai - tilapäisesti turvallisuusalueiden ulkopuolella jos tiedon käsittelijä on sitoutunut noudattamaan annetuissa turvallisuusohjeissa määrättyjä korvaavia toimenpiteitä. Organisaatio säilyttää sähköisessä muodossa olevat tiedot - turva-alueella tai hallinnollisella alueella vaatimukset täyttävässä laitteessa tai sähköisessä tietovälineessä tai - turvallisuusalueiden ulkopuolella vaatimukset täyttävässä päätelaitteessa tai sähköisessä tietovälineessä valvotussa tilassa tai soveltuvassa lukitussa toimistokalusteessa turvapussissa tai vastaavalla tavalla. Ei sisälly arviointiin FYY-04.2 Tiedon säilytys - Tietovarannot ja tietojärjestelmät - TL IV Turvallisuusluokan IV asiakirjoja sisältävät tietovarannot ja näiden asiakirjojen käsittelyyn käytetyt tietojärjestelmät on sijoitettava turvallisuusalueelle (hallinnollinen alue tai turva-alue). Ei sisälly arviointiin FYY-04.3 Tiedon säilytys - Tietovarannot ja tietojärjestelmät - TL III Turvallisuusluokan II tai III asiakirjoja sisältävät tietovarannot ja näiden asiakirjojen käsittelyyn käytetyt tietojärjestelmät on sijoitettava turva-alueelle. Ei sisälly arviointiin FYY-04.4 Tiedon säilytys - TL III Organisaatio säilyttää paperiasiakirjat ja muut ei sähköisessä muodossa olevat tiedot turva-alueella soveltuvaksi arvioidussa säilytysratkaisussa. Organisaatio säilyttää sähköisessä muodossa olevat tiedot - turva-alueella vaatimukset täyttävässä laitteessa tai sähköisessä tietovälineessä tai - turva-alueiden ulkopuolella vaatimukset täyttävässä päätelaitteessa valvotussa tilassa tai soveltuvassa lukitussa toimistokalusteessa turvapussissa tai vastaavalla tavalla. Ei sisälly arviointiin FYY-04.5 Tiedon säilytys - TL II Organisaatio säilyttää paperiasiakirjat ja muut ei sähköisessä muodossa olevat tiedot turva-alueella soveltuvaksi arvioidussa säilytysratkaisussa. Organisaatio säilyttää sähköisessä muodossa olevat tiedot turva-alueella vaatimukset täyttävässä laitteessa tai sähköisessä tietovälineessä. Ei sisälly arviointiin FYY-04.6 Tiedon säilytys - TL I Turvallisuusluokan I asiakirjaa saa säilyttää ainoastaan turva-alueella. Ei sisälly arviointiin FYY-05 Turvallisuusalue Turvallisuusalueiden eli hallinnollisten alueiden sekä turva-alueiden on noudatettava tässä kriteerissä annettuja suosituksia. Valinnainen FYY-05.1 Turvallisuusalue - Äänieristys Alueen äänieristyksen tulee estää asiaan kuulumattomia henkilöitä kuulemasta selväsanaisena suojattavaan tietoon liittyviä keskusteluja. Äänieristys tulee ottaa huomioon myös alueen sisällä, mikäli siellä keskustellaan suojattavista tiedoista, joihin kaikilla ei ole tiedonsaantitarvetta. Ei sisälly arviointiin FYY-05.2 Turvallisuusalue - Salaa katselun estäminen Jos tietoihin kohdistuu salaa tai vahingossa katselun riski, on riskin torjumiseksi tehtävä asianmukaiset toimenpiteet. Valinnainen FYY-05.3 Turvallisuusalue - Tila- ja laitetarkastukset Organisaation on tarkastettava kaikki elektroniset laitteet, ennen kuin niitä käytetään sellaisella alueella, jossa käsitellään turvallisuusluokan II tietoja, mikäli tietoihin kohdistuva uhka arvioidaan korkeaksi. Myös alue on tarkastettava fyysisesti tai teknisesti säännöllisin väliajoin sekä mahdollisen luvattoman sisäänpääsyn tai sen epäilyn johdosta. Ei sisälly arviointiin FYY-05.4 Turvallisuusalue - Pääsyoikeuksien ja avaintenhallinnan menettelyt Organisaation on määriteltävä alueen pääsyoikeuksien ja avainhallinnan menettelyt ja roolit. Valinnainen FYY-05.5 Turvallisuusalue - Vierailijat Muilla kuin organisaation asianmukaisesti valtuuttamilla henkilöillä (vierailijoilla) on aina saattaja. Ei sisälly arviointiin FYY-06 Hallinnollinen alue Hallinnollisen alueen tulee täyttää tässä osiossa esitetyt suositukset sekä riskilähtöisesti arvioidut tarkennukset siten, että turvatoimien tavoitteet saavutetaan. Valinnainen FYY-06.1 Hallinnollinen alue - alueen raja ja rakenteet Alueella on oltava selkeästi määritelty näkyvä raja, mutta aluetta rajaavalle rakenteelle (seinät, ovet ja ikkunat sekä lattia- ja kattorakenteet) ei aseteta erityisiä vaatimuksia. Ei sisälly arviointiin FYY-06.2 Hallinnollinen alue - kulunvalvonta Alueelle pääsyä tulee valvoa, mikäli se on riskien arvioinnin perusteella tarkoituksenmukaista. Ei sisälly arviointiin FYY-06.3 Hallinnollinen alue - pääsyoikeuksien myöntäminen Ainoastaan asianmukaisesti valtuutetuilla henkilöillä on itsenäinen pääsy alueelle. Itsenäisen pääsyn alueelle voi myöntää tiedoista vastaava organisaatio tai sovituilla menettelyillä fyysisen tilan hallinnasta vastaava palvelun tuottaja, kuten esimerkiksi pilvipalvelun toimittaja. Valinnainen FYY-06.4 Hallinnollinen alue - tunkeutumisen ilmaisujärjestelmät Tarvittaessa tunkeutumisen ilmaisujärjestelmää voidaan käyttää täydentävänä monitasoisen suojauksen riskienhallintakeinona. Ei sisälly arviointiin FYY-07 Turva-alue Turva-alueen tulee täyttää tässä osiossa esitetyt suositukset sekä riskilähtöisesti arvioidut lisätarkennukset siten, että monitasoisen suojauksen tavoitteet saavutetaan. Ei sisälly arviointiin FYY-07.1 Turva-alue - alueen raja ja rakenteet Alueella on oltava selkeästi määritelty näkyvä raja. Mikäli alueella ei ole tiedon säilytykseen riittäväksi arvioitua säilytysratkaisua, on alueen seinien, lattian, katon, ikkunoiden ja ovien tarjottava tietojen säilytyksen edellyttämä turvallisuustaso. Ei sisälly arviointiin FYY-07.2 Turva-alue - kulunvalvonta Alueen rajalla tulee valvoa kaikkea kulkua sisään ja ulos kulkulupien avulla tai tunnistamalla henkilöt henkilökohtaisesti. Ei sisälly arviointiin FYY-07.3 Turva-alue - pääsyoikeuksien myöntäminen Itsenäinen pääsyoikeus alueelle voidaan myöntää vain organisaation asianmukaisesti valtuuttamalle henkilölle, jonka luotettavuus on varmistettu ja jolla on erityinen lupa tulla alueelle. Ei sisälly arviointiin FYY-07.4 Turva-alue - vierailijat Jos turva-alueelle tulo merkitsee käytännössä välitöntä pääsyä siellä oleviin turvallisuusluokiteltuihin tietoihin: - alueella tavanomaisesti säilytettyjen tietojen korkein turvallisuusluokka on ilmoitettava selkeästi sekä - kaikilla vierailijoilla on oltava erityinen lupa tulla alueelle, heillä on aina oltava saattaja ja heidän luotettavuutensa on oltava varmistettu asianmukaisesti, paitsi jos on varmistettu, ettei vierailijoilla ole pääsyä turvallisuusluokiteltuihin tietoihin. Ei sisälly arviointiin FYY-07.5 Turva-alue - turvallisuusohjeet Kullekin turva-alueelle on laadittava ohjeet noudatettavista turvallisuusmenettelyistä. Ei sisälly arviointiin FYY-07.6 Turva-alue - tunkeutumisen ilmaisujärjestelmät Alue, jolla ei ole henkilöstöä palveluksessa vuorokauden ympäri, on tarvittaessa tarkastettava normaalin työajan päätteeksi ja satunnaisiin aikoihin työajan ulkopuolella, paitsi jos alueelle on asennettu tunkeutumisen ilmaisujärjestelmä (murtohälytysjärjestelmä). Ei sisälly arviointiin FYY-07.7 Turva-alue - säilytysyksiköiden avaimet ja pääsykoodit Säilytysyksiköiden avaimet tai pääsykoodit ovat sellaisten henkilöiden hallussa, joilla on tiedonsaantitarve säilytysyksikössä säilytettävään tietoon. Kyseisten henkilöiden on osattava numeroyhdistelmät ulkoa. Turvallisuusluokiteltuja tietoja sisältävien säilytysyksiköiden numeroyhdistelmät on vaihdettava: - tehdaskoodit on vaihdettava uuden turvallisen säilytyspaikan vastaanoton yhteydessä - aina, kun numeroyhdistelmän tuntevassa henkilöstössä tapahtuu muutos. - aina, kun tiedot ovat vaarantuneet tai kun niiden epäillään vaarantuneen. - kun jokin lukoista on huollettu tai korjattu. Ei sisälly arviointiin FYY-08 Tietojen kuljettaminen 1. Tiedot tulee kuljettaa tietojen riittävän suojaamisen huomioivia, organisaation ohjeita noudattaen. 2. Tiedot on pakattava niin, että ne on suojattu luvattomalta ilmitulolta. 3. Tietoja saa kuljettaa turvallisuusalueiden ulkopuolelle suojaamalla sähköiset tietovälineet riittävän turvallisella salauksella. 4. Salaamattomia tietoja voidaan kuljettaa postipalvelujen välityksellä. Valinnainen FYY-08.1 Tietojen kuljettaminen - TL IV Alikriteeri tarkentaa pääkriteerin vaatimusta. Ei sisälly arviointiin FYY-08.2 Tietojen kuljettaminen - TL III Turvallisuusluokan II-III salaamaton tieto on kuljettamista varten pakattava asianmukaisesti sekä kuljetettava se jatkuvan valvonnan alaisuudessa vastaanottajalle. Mainitun tiedon saa kuljettaa vastaanottajalle myös muulla turvallisella tavalla, jolla tiedon luottamuksellisuus ja eheys varmistetaan kyseiselle turvallisuusluokalle riittävällä tavalla. Ei sisälly arviointiin FYY-08.3 Tietojen kuljettaminen - TL II Alikriteeri tarkentaa pääkriteerin vaatimusta. Ei sisälly arviointiin FYY-09 Tietojen kopioiminen Kopioihin ja käännöksiin sovelletaan alkuperäistä tietoa koskevia turvatoimia. Valinnainen FYY-09.1 Tietojen kopioiminen - TL II Tietojen kopiot ja niiden käsittelijät on luetteloitava. Tietojen kopiointia varten on hankittava tiedon laatineen viranomaisen lupa. Ei sisälly arviointiin FYY-10 Tietojen kirjaaminen Turvallisuusluokan III tai sitä korkeamman luokan tiedon vastaanottaminen ja lähettäminen tulee kirjata. Turvallisuusluokan III tietojen ja niitä korkeamman tason tietojen käsittely kirjataan sähköiseen lokiin, tietojärjestelmään, asianhallintajärjestelmään, asiarekisteriin tai tietoon (esimerkiksi dokumentin osaksi). Ei sisälly arviointiin FYY-11 Tietojen fyysinen tuhoaminen Ei-sähköisten tietojen tuhoaminen on järjestetty luotettavasti. Tuhoamisessa käytetään menetelmiä, joilla estetään tietojen kokoaminen uudelleen kokonaan tai osittain. Valinnainen FYY-11.1 Tietojen fyysinen tuhoaminen - TL IV Alikriteeri tarkentaa pääkriteerin vaatimusta. Ei sisälly arviointiin FYY-11.2 Tietojen fyysinen tuhoaminen - TL III Alikriteeri tarkentaa pääkriteerin vaatimusta. Ei sisälly arviointiin FYY-11.3 Tietojen fyysinen tuhoaminen - TL II Jos tiedon on laatinut toinen viranomainen, tarpeettomaksi käyneen tiedon tuhoamisesta on ilmoitettava tiedon laatineelle viranomaiselle, jollei sitä palauteta tiedon laatineelle viranomaiselle. Tiedon tuhoamisen saa suorittaa vain henkilö, jonka viranomainen on tähän tehtävään määrännyt. Valmisteluvaiheen versiot voi tuhota ne laatinut henkilö. Ei sisälly arviointiin TEK-01 Verkon rakenteellinen turvallisuus Tietojenkäsittely-ympäristö on erotettu julkisista tietoverkoista ja muista heikomman turvallisuustason ympäristöistä riittävän turvallisella tavalla. Valinnainen TEK-01.1 Verkon rakenteellinen turvallisuus - salaus yleisissä tietoverkoissa Yleisessä tietoverkossa salassa pidettävää tietoa sisältävä tietoliikenne salataan salausratkaisulla, jossa ei ole tunnettuja haavoittuvuuksia ja jotka tukevat valmistajalta saatujen tietojen mukaan moderneja salausvahvuuksia ja -asetuksia tai vaihtoisesti siirto toteutetaan muuten suojattua tiedonsiirtoyhteyttä tai -tapaa käyttämällä. Olennainen TEK-01.2 Verkon rakenteellinen turvallisuus - palomuuri Tietojenkäsittely-ympäristön kytkeminen muiden turvallisuustasojen ympäristöihin edellyttää vähintään palomuuriratkaisun käyttöä. Valinnainen TEK-01.3 Verkon rakenteellinen turvallisuus - käsittely-ympäristöjen erottaminen Tietojenkäsittely-ympäristö on erotettu muista ympäristöistä. Ei sisälly arviointiin TEK-01.4 Verkon rakenteellinen turvallisuus - salaaminen turva-alueiden ulkopuolella Hallitun fyysisen turvallisuusalueen ulkopuolelle menevä liikenne salataan riittävän turvallisella salausratkaisulla. Ei sisälly arviointiin TEK-01.5 Verkon rakenteellinen turvallisuus - yhdyskäytäväratkaisun käyttö Turvallisuusluokat III-II: Tietojenkäsittely-ympäristön kytkeminen muiden turvallisuusluokkien ympäristöihin edellyttää riittävän turvallisen yhdyskäytäväratkaisun käyttöä. Ei sisälly arviointiin TEK-01.6 Verkon rakenteellinen turvallisuus - TL II käsittely Turvallisuusluokan II käsittely-ympäristöt ovat lähtökohtaisesti fyysisesti eristettyjä kokonaisuuksia. Ei sisälly arviointiin TEK-01.7 Verkon rakenteellinen turvallisuus - TL I käsittely Alikriteeri tarkentaa pääkriteerin vaatimusta. Ei sisälly arviointiin TEK-02 Tietoliikenne-verkon vyöhykkeistäminen Tietoliikenneverkon vyöhykkeistäminen ja suodatussäännöstöt on toteutettava monitasoisen suojaamisen periaatteen mukaisesti. Valinnainen TEK-02.1 Tietoliikenne-verkon vyöhykkeistäminen - vähimpien oikeuksien periaate Tietoliikenneverkon vyöhykkeistäminen ja suodatussäännöstöt on toteutettava vähimpien oikeuksien periaatteen mukaisesti ko. turvaluokan sisällä. Ei sisälly arviointiin TEK-03 Suodatus- ja valvontajärjestelmien hallinnointi Suodatus- ja valvontajärjestelmien tarkoituksenmukaisesta toiminnasta huolehditaan koko tietojenkäsittely-ympäristön elinkaaren ajan. Valinnainen TEK-03.1 Suodatus- ja valvontajärjestelmien hallinnointi - vastuutus ja organisointi Liikennettä suodattavien tai valvovien järjestelmien asetusten lisääminen, muuttaminen, poistaminen ja valvonta on vastuutettu ja organisoitu. Valinnainen TEK-03.2 Suodatus- ja valvontajärjestelmien hallinnointi - dokumentointi Verkon ja siihen liittyvien suodatus- ja valvontajärjestelmien dokumentaatiota ylläpidetään sen elinkaaren aikana erottamattomana osana muutosten ja asetusten hallintaprosessia. Valinnainen TEK-03.3 Suodatus- ja valvontajärjestelmien hallinnointi - tarkastukset Liikennettä suodattavien tai valvovien järjestelmien asetukset ja haluttu toiminta tarkastetaan määräajoin tietojenkäsittely-ympäristön toiminnan ja huollon aikana sekä poikkeuksellisten tilanteiden ilmetessä. Valinnainen TEK-04 Hallintayhteydet Hallintapääsy tapahtuu rajattujen, hallittujen ja valvottujen pisteiden kautta. Olennainen TEK-04.1 Hallintayhteydet - vahva tunnistaminen julkisessa verkossa Hallintapääsyn julkisesta verkosta tai muun käytettävän etähallintaratkaisun tulee edellyttää vahvaa, vähintään kahteen todennustekijään pohjautuvaa käyttäjätunnistusta. Olennainen TEK-04.2 Hallintayhteydet - hallintayhteyksen salaaminen Hallintaliikenne julkisessa verkossa on salattua käyttötilanteeseen soveltuvalla menetelmällä, suosien oikeellisen toiminnan osalta varmistettuja (validoituja) ja standardoituja salausratkaisuja/-protokollia. Olennainen TEK-04.3 Hallintayhteydet - vähimmät oikeudet Hallintayhteydet on rajattu vähimpien oikeuksien periaatteen mukaisesti. Olennainen TEK-04.4 Hallintayhteydet - henkilökohtaiset tunnukset Järjestelmien ja sovellusten ylläpitotunnukset ovat henkilökohtaisia. Olennainen TEK-04.5 Hallintayhteydet - yhteyksien rajaaminen turvallisuusluokittain Hallintayhteydet on rajattu turvallisuusluokittain, ellei käytössä ole turvallisuusluokka huomioon ottaen riittävän turvallista yhdyskäytäväratkaisua. Ei sisälly arviointiin TEK-04.6 Hallintayhteydet - turvallisuusluokiteltua tietoa sisältävät hallintayhteydet Hallintaliikenteen sisältäessä turvallisuusluokiteltua tietoa ja kulkiessa matalamman turvallisuusluokan ympäristön kautta, turvallisuusluokitellut tiedot on salattu riittävän turvallisella salaustuotteella. Ei sisälly arviointiin TEK-04.7 Hallintayhteydet - salaaminen turvallisuusluokan sisällä Hallintaliikenteen kulkiessa ko. turvallisuusluokan sisällä, alemman tason salausta tai salaamatonta siirtoa voidaan käyttää riskinhallintaprosessin tulosten perusteella. Ei sisälly arviointiin TEK-04.8 Hallintayhteydet - TL III Turvallisuusluokan III käsittely-ympäristöjen etähallinta tulee suorittaa turva-alueelta. Ei sisälly arviointiin TEK-05 Langaton tiedonsiirto Langattomassa tiedonsiirrossa tietoliikenne salataan salausratkaisulla, jossa ei ole tunnettuja haavoittuvuuksia ja jotka tukevat valmistajalta saatujen tietojen mukaan moderneja salausvahvuuksia ja -asetuksia. Olennainen TEK-05.1 Langaton tiedonsiirto - salaaminen Langattomassa tiedonsiirrossa tietoliikenne salataan kyseiselle turvaluokalle riittävän turvallisella salausratkaisulla. Ei sisälly arviointiin TEK-06 Kasautumisvaikutus Kasautumisvaikutus on huomioitu tietojenkäsittely-ympäristön suojaamisessa. Olennainen TEK-07 Pääsyoikeuksien hallinnointi Tietojärjestelmien käyttöoikeudet on määritelty. Olennainen TEK-07.1 Pääsyoikeuksien hallinnointi - pääsyoikeuksien myöntäminen Tietojärjestelmien käyttöoikeudet voidaan myöntää vain henkilöille, joiden käyttötarpeesta on varmistuttu. Olennainen TEK-07.2 Pääsyoikeuksien hallinnointi - pääsyoikeuksien rajaaminen Tietojenkäsittely-ympäristön käyttäjille ja automaattisille prosesseille annetaan vain ne tiedot, oikeudet tai valtuutukset, jotka ovat niiden tehtävien suorittamiseksi välttämättömiä. Olennainen TEK-07.3 Pääsyoikeuksien hallinnointi - pääsyoikeuksien ajantasaisuus Käyttöoikeudet on pidettävä ajantasaisina. Olennainen TEK-07.4 Pääsyoikeuksien hallinnointi - turvallisuusluokiteltujen tietojen erottelu Alikriteeri tarkentaa pääkriteerin vaatimusta. Ei sisälly arviointiin TEK-07.5 Pääsyoikeuksien hallinnointi - TL III Alikriteeri tarkentaa pääkriteerin vaatimusta. Ei sisälly arviointiin TEK-08 Tietojenkäsittely-ympäristön toimijoiden tunnistaminen Tietojenkäsittely-ympäristöä käyttävät henkilöt, laitteet ja tietojärjestelmät tunnistetaan riittävän luotettavasti. Olennainen TEK-08.1 Tietojenkäsittely-ympäristön toimijoiden tunnistaminen Kaikki käyttäjät tunnistetaan ja todennetaan yksilöllisillä henkilökohtaisilla käyttäjätunnisteilla. Olennainen TEK-08.2 Tietojenkäsittely-ympäristön toimijoiden tunnistaminen Tunnistamisessa ja todennuksessa käytetään tunnettua ja turvallisena pidettyä tekniikkaa tai se on muuten järjestettävä luotettavasti. Olennainen TEK-08.3 Tietojenkäsittely-ympäristön toimijoiden tunnistaminen Käyttäjätunnukset lukittuvat tilanteissa, joissa tunnistus epäonnistuu liian monta kertaa peräkkäin. Olennainen TEK-08.4 Tietojenkäsittely-ympäristön toimijoiden tunnistaminen - TL IV Alikriteeri tarkentaa pääkriteerin vaatimusta. Ei sisälly arviointiin TEK-08.5 Tietojenkäsittely-ympäristön toimijoiden tunnistaminen - TL III Alikriteeri tarkentaa pääkriteerin vaatimusta. Ei sisälly arviointiin TEK-09 Tietojärjestelmien fyysinen turvallisuus Tietoaineistoja on käsiteltävä ja säilytettävä toimitiloissa, jotka ovat tietoaineiston luottamuksellisuuteen, eheyteen ja saatavuuteen liittyvien vaatimusten toteuttamiseksi riittävän turvallisia. Valinnainen TEK-10 Järjestelmäkovennus Käytössä on menettelytapa, jolla järjestelmät asennetaan järjestelmällisesti siten, että lopputuloksena on kovennettu asennus. Valinnainen TEK-10.1 Järjestelmäkovennus - käytössä olevien palveluiden minimointi Käyttöön on otettu vain käyttövaatimusten ja tietojen käsittelyn kannalta olennaiset toiminnot, laitteet ja palvelut. Valinnainen TEK-10.2 Järjestelmäkovennus - kovennusten varmistaminen koko elinkaaren ajan Kovennusten voimassaolosta ja vaikuttavuudesta huolehditaan koko tietojärjestelmän elinkaaren ajan. Valinnainen TEK-10.3 Järjestelmäkovennus - turvallisuusluokitellut ympäristöt Alikriteeri tarkentaa pääkriteerin vaatimusta. Ei sisälly arviointiin TEK-11 Haittaohjelmilta suojautuminen Tietojenkäsittely-ympäristössä toteutetaan luotettavat menetelmät haittaohjelmauhkien ennaltaehkäisyyn, estämiseen, havaitsemiseen, vastustuskykyyn ja tilanteen korjaamiseen. Valinnainen TEK-11.1 Haittaohjelmilta suojautuminen - TL IV Alikriteeri tarkentaa pääkriteerin vaatimusta. Ei sisälly arviointiin TEK-11.2 Haittaohjelmilta suojautuminen - TL III Alikriteeri tarkentaa pääkriteerin vaatimusta. Ei sisälly arviointiin TEK-11.3 Haittaohjelmilta suojautuminen - TL II Alikriteeri tarkentaa pääkriteerin vaatimusta. Ei sisälly arviointiin TEK-12 Turvallisuuteen liittyvien tapahtumien jäljitettävyys Tietojen luvattoman muuttamisen ja muun luvattoman tai asiattoman tietojen käsittelyn havaitsemiseksi tietojenkäsittely-ympäristössä toteutetaan luotettavat menetelmät turvallisuuteen liittyvien tapahtumien jäljitettävyyden varmistamiseksi. Olennainen TEK-12.1 Turvallisuuteen liittyvien tapahtumien jäljitettävyys - tietojen luovutukset Tietojärjestelmien käytöstä ja niistä tehtävistä tietojen luovutuksista kerätään tarpeelliset lokitiedot, jos tietojärjestelmän käyttö edellyttää tunnistautumista tai muuta kirjautumista. Olennainen TEK-12.2 Turvallisuuteen liittyvien tapahtumien jäljitettävyys - TL III Turvallisuusluokan II–III tiedon käsittely on rekisteröitävä sähköiseen lokiin, tietojärjestelmään, asiarekisteriin tai tietoon (esimerkiksi dokumentin osaksi). Ei sisälly arviointiin TEK-12.3 Turvallisuuteen liittyvien tapahtumien jäljitettävyys - TL I Alikriteeri tarkentaa pääkriteerin vaatimusta. Ei sisälly arviointiin TEK-13 Poikkeamien havainnointikyky ja toipuminen Tietojenkäsittely-ympäristössä toteutetaan luotettavat menetelmät, joilla pyritään havaitsemaan hyökkäys tietojenkäsittely-ympäristöä vastaan, rajoittamaan hyökkäyksen vaikutukset mahdollisimman pieneen osaan tietoja tai tietojenkäsittely-ympäristön resursseja ja estämään muut vahingot, sekä palauttamaan tietojenkäsittely-ympäristön suojattu tilanne viipymättä. Valinnainen TEK-13.1 Poikkeamien havainnointikyky ja toipuminen - poikkeamien havainnointi lokitiedoista Alikriteeri tarkentaa pääkriteerin vaatimusta. Valinnainen TEK-13.2 Poikkeamien havainnointikyky ja toipuminen - TL IV Alikriteeri tarkentaa pääkriteerin vaatimusta. Ei sisälly arviointiin TEK-13.3 Poikkeamien havainnointikyky ja toipuminen - TL I Käyttäjien ja ylläpitäjien toimintaa seurataan poikkeuksellisen toiminnan havaitsemiseksi. Ei sisälly arviointiin TEK-14 Ohjelmistojen turvallisuuden varmistaminen Sovellukset ja ohjelmointirajapinnat (API:t) suunnitellaan, kehitetään, testataan ja otetaan käyttöön alan hyvien turvallisuuskäytäntöjen mukaisesti. Sovellusten ja rajapintojen on kestettävä niitä vastaan käytettävissä olevat yleiset hyökkäysmenetelmät ilman, että käsiteltävien tietojen luottamuksellisuus, eheys tai saatavuus vaarantuu. Olennainen TEK-15 Hajasäteily (TEMPEST) ja elektroninen tiedustelu Turvatoimia toteutetaan turvallisuusluokiteltuihin tietoihin liittyvässä tietojenkäsittely-ympäristössä riittävän turvallisilla menetelmillä niin, että tahattomat sähkömagneettiset vuodot eivät vaaranna tietoja (TEMPEST-turvatoimet). Nämä turvatoimet on suhteutettava tiedon hyväksikäytön riskiin ja turvallisuusluokkaan. Käsiteltäessä turvallisuusluokan III tai II tietoja sähköisesti, on pidettävä huolta, että elektroniseen tiedusteluun liittyviä riskejä on pienennetty riittävästi. Ei sisälly arviointiin TEK-15.1 Hajasäteily (TEMPEST) ja elektroninen tiedustelu - TL II Alikriteeri tarkentaa pääkriteerin vaatimusta. Ei sisälly arviointiin TEK-15.2 Hajasäteily (TEMPEST) ja elektroninen tiedustelu - TL I Alikriteeri tarkentaa pääkriteerin vaatimusta. Ei sisälly arviointiin TEK-16 Tiedon salaaminen Kun salassa pidettävää tietoa siirretään yleisissä tietoverkoissa, tieto salataan salausratkaisulla, jossa ei ole tunnettuja haavoittuvuuksia ja joka tukee valmistajalta saatujen tietojen mukaan moderneja salausvahvuuksia ja -asetuksia. Lisäksi tietojensiirto on järjestettävä siten, että vastaanottaja varmistetaan tai tunnistetaan riittävän tietoturvallisella tavalla ennen kuin vastaanottaja pääsee käsittelemään siirrettyjä turvallisuusluokittelemattomia salassa pidettäviä tietoja. Valinnainen TEK-16.1 Tiedon salaaminen - salaaminen turvallisuusalueen sisällä Kun salassa pidettävää tietoa siirretään viranomaisen sisäisessä verkossa, voidaan käyttää alemman tason salausta tai salaamatonta tiedonsiirtoa riskinhallintaprosessin tulosten perusteella. Valinnainen TEK-16.2 Tiedon salaaminen - turvallisuusluokitellun tiedon siirto turvallisuusalueiden ulkopuolella Kun turvallisuusluokiteltua tietoa siirretään hyväksyttyjen fyysisesti suojattujen turvallisuusalueiden ulkopuolella, tieto/tietoliikenne salataan riittävän turvallisella menetelmällä. Lisäksi tietojensiirto on järjestettävä siten, että vastaanottaja varmistetaan tai tunnistetaan riittävän tietoturvallisella tavalla ennen kuin vastaanottaja pääsee käsittelemään siirrettyjä turvallisuusluokiteltuja tietoja. Ei sisälly arviointiin TEK-16.3 Tiedon salaaminen - turvallisuusluokitellun tiedon siirto turvallisuusalueiden sisällä Kun turvallisuusluokiteltua tietoa siirretään hyväksyttyjen fyysisesti suojattujen turvallisuusalueiden sisäpuolella, alemman tason salausta tai salaamatonta siirtoa voidaan käyttää riskinhallintaprosessin tulosten perusteella toimivaltaisen viranomaisen erillishyväksyntään perustuen. Ei sisälly arviointiin TEK-16.4 Tiedon salaaminen - TL III Vain turvallisuusluokan III sähköisten tietojen säilytys on mahdollista kyseisen turvallisuusluokan mukaisessa päätelaitteessa turva-alueen ulkopuolella edellyttäen, että a) tiedot on suojattu ko. turvallisuusluokalle riittävän turvallisella salausratkaisulla , ja että b) päätelaitteen tietoturvallisuudesta, erityisesti ko. turvallisuusluokalle edellytettävästä luottamuksellisuudesta ja eheydestä on huolehdittu riittävin menettelyin. Ei sisälly arviointiin TEK-16.5 Tiedon salaaminen - TL I Alikriteeri tarkentaa pääkriteerin vaatimusta. Ei sisälly arviointiin TEK-17 Muutoshallintamenettelyt Tietojenkäsittely-ympäristöön tehtäviin muutoksiin on käytössä turvallisuuden huomioiva muutostenhallintamenettely. Olennainen TEK-17.1 Muutoshallintamenettelyt - uudelleenarviointi Tietoturvallisuutta koskevat tarkastukset ja uudelleentarkastelut suoritetaan määräajoin tietojenkäsittely-ympäristön toiminnan ja huollon aikana sekä poikkeuksellisten tilanteiden ilmetessä. Olennainen TEK-17.2 Muutoshallintamenettelyt - dokumentointi Tietojenkäsittely-ympäristön turvallisuusasiakirjoja kehitetään sen elinkaaren aikana erottamattomana osana muutosten- ja asetustenhallintaprosessia. Olennainen TEK-17.3 Muutoshallintamenettelyt - TL IV Alikriteeri tarkentaa pääkriteerin vaatimusta. Ei sisälly arviointiin TEK-17.4 Muutoshallintamenettelyt - TL II Alikriteeri tarkentaa pääkriteerin vaatimusta. Ei sisälly arviointiin TEK-18 Etäkäyttö Etäkäytössä käyttäjät ohjeistettu ja tunnistetaan riittävän luotettavasti. Olennainen TEK-18.1 Etäkäyttö - tietojen ja tietoliikenteen salaaminen Turvallisuusalueen ulkopuolella etäkäytössä käytettävät päätelaitteet, muistivälineet ja tietoliikenneyhteydet ovat suojattu käyttäen sellaisia salausratkaisuja, joissa ei ole tunnettuja haavoittuvuuksia ja jotka tukevat valmistajilta saatujen tietojen mukaan moderneja salausvahvuuksia ja -asetuksia. Valinnainen TEK-18.2 Etäkäyttö - turvallisuusluokitettujen tietojen ja tietoliikenteen salaaminen Turvallisuusalueen ulkopuolella etäkäytössä käytettävät päätelaitteet, muistivälineet ja tietoliikenneyhteydet ovat suojattu käyttäen ko. turvallisuusluokan huomioiden riittävän turvallisia salausratkaisuja. Ei sisälly arviointiin TEK-18.3 Etäkäyttö - käyttäjien vahva tunnistaminen Etäkäytössä järjestelmien käyttäjät tunnistetaan käyttäen vahvaa, vähintään kahteen todennustekijään perustuvaa käyttäjätunnistusta. Ei sisälly arviointiin TEK-18.4 Etäkäyttö - hyväksytyt laitteet Etäkäytössä käytetään vain käyttöympäristöön hyväksyttyjä ja tunnistettuja laitteita. Ei sisälly arviointiin TEK-18.5 Etäkäyttö - turvallisuusluokitellun tiedon käyttö julkisella paikalla Turvallisuusluokiteltuja tietoja ei lueta tai muuten käsitellä matkalla tai julkisilla paikoilla. Ei sisälly arviointiin TEK-18.6 Etäkäyttö - laitetunnistus Alikriteeri tarkentaa pääkriteerin vaatimusta. Ei sisälly arviointiin TEK-18.7 Etäkäyttö - TL III Turvallisuusluokan III sähköisten tietojen etäkäyttö (käsittely) ja säilytys on mahdollista kyseisen turvallisuusluokan mukaisessa päätelaitteessa turva-alueiden ulkopuolella edellyttäen, että a) tiedot on suojattu ko. turvallisuusluokalle riittävän turvallisella salausratkaisulla, ja että b) päätelaitteen tietoturvallisuudesta, erityisesti ko. turvallisuusluokalle edellytettävästä luottamuksellisuudesta ja eheydestä on huolehdittu riittävin menettelyin. Ei sisälly arviointiin TEK-18.8 Etäkäyttö - etäkäyttö turvallisuusalueella Järjestelmien etäkäyttö rajataan toimivaltaisen viranomaisen hyväksymälle turvallisuusalueelle. Ei sisälly arviointiin TEK-18.9 Etäkäyttö - TL I Alikriteeri tarkentaa pääkriteerin vaatimusta. Ei sisälly arviointiin TEK-19 Ohjelmistohaavoittuvuuksien hallinta Tietojenkäsittely-ympäristön koko elinkaaren ajalle toteutetaan luotettavat menettelyt ohjelmistohaavoittuvuuksien hallitsemiseksi. Olennainen TEK-19.1 Ohjelmistohaavoittuvuuksien hallinta - TL IV Tietojenkäsittely-ympäristön laitteet tarkastetaan kattavasti ohjelmistohaavoittuvuuksien varalta vähintään vuosittain ja merkittävien muutosten yhteydessä. Ei sisälly arviointiin TEK-19.2 Ohjelmistohaavoittuvuuksien hallinta - TL III Tietojenkäsittely-ympäristön laitteet tarkastetaan kattavasti ohjelmistohaavoittuvuuksien varalta vähintään puolivuosittain ja merkittävien muutosten yhteydessä. Ei sisälly arviointiin TEK-20 Varmuuskopiointi Varmistus- ja palautusprosessit on suunniteltu, toteutettu, testattu ja kuvattu siten, että ne vastaavat lainsäädännön ja toiminnan vaatimuksia. Olennainen TEK-20.1 Varmuuskopiointi -TL IV Alikriteeri tarkentaa pääkriteerin vaatimusta. Ei sisälly arviointiin TEK-20.2 Varmuuskopiointi - varmuuskopioiden rekisteröinti ja käsittelyn seuranta Alikriteeri tarkentaa pääkriteerin vaatimusta. Ei sisälly arviointiin TEK-21 Sähköisessä muodossa olevien tietojen tuhoaminen Sähköisessä muodossa olevien tietojen tuhoaminen on järjestetty luotettavasti. Salassa pidettävien tietojen tuhoamisessa käytetään menetelmiä, joilla estetään tietojen kokoaminen uudelleen kokonaan tai osittain. Valinnainen TEK-21.1 Sähköisessä muodossa olevien tietojen tuhoaminen - arkistointi Tietojen arkistointivelvollisuus on huomioitu tiedon elinkaaren hallinnassa. Olennainen TEK-21.2 Sähköisessä muodossa olevien tietojen tuhoaminen - pilvipalveluissa olevan tiedon tuhoaminen Alikriteeri tarkentaa pääkriteerin vaatimusta. Olennainen TEK-21.3 Sähköisessä muodossa olevien tietojen tuhoaminen - TL IV Alikriteeri tarkentaa pääkriteerin vaatimusta. Ei sisälly arviointiin TEK-21.4 Sähköisessä muodossa olevien tietojen tuhoaminen - toisen viranomaisen laatimat tiedot Jos tiedon on laatinut toinen viranomainen, tarpeettomaksi käyneen tiedon tuhoamisesta on ilmoitettava tiedon laatineelle viranomaiselle, jollei sitä palauteta tiedon laatineelle viranomaiselle. Ei sisälly arviointiin TEK-21.5 Sähköisessä muodossa olevien tietojen tuhoaminen - tuhoamisen suorittaja Tiedon tuhoamisen saa suorittaa vain henkilö, jonka viranomainen on tähän tehtävään määrännyt. Valmisteluvaiheen versiot voi tuhota ne laatinut henkilö. Ei sisälly arviointiin TEK-21.6 Sähköisessä muodossa olevien tietojen tuhoaminen - TL I Alikriteeri tarkentaa pääkriteerin vaatimusta. Ei sisälly arviointiin TEK-22 Tietojärjestelmien saatavuus Viranomaisen on varmistettava tietojärjestelmien saatavuus koko niiden elinkaaren ajan. Valinnainen TEK-22.1 Tietojärjestelmien saatavuus - saatavuutta suojaavat menettelyt Saattavuutta suojaavien menettelyiden toteutus on suhteutettu palautusaikatavoitteeseen. Valinnainen TEK-22.2 Tietojärjestelmien saatavuus - palveluiden valvonta Palveluiden ja tietojärjestelmien saatavuutta seurataan ja valvotaan niiden kriittisyyden edellyttämällä tasolla. Valinnainen TEK-23 Tietojärjestelmien toiminnallinen käytettävyys Viranomainen on varmistanut tehtävien hoitamisen kannalta olennaisten tietojärjestelmien vikasietoisuuden ja toiminnallisen käytettävyyden. Ei sisälly arviointiin VAR-01 Varautumista ohjaava lainsäädäntö Organisaatio on tunnistanut toimintaansa ja palveluihinsa liittyvät ICT-varautumista ohjaavan kansallisen ja EU-lainsäädännön sekä muut ICT-varautumiseen liittyvät normit. Olennainen VAR-02 Jatkuvuusvaatimusten määrittely Toiminnan ja siihen liittyvien olennaisten palvelujen ja tietojärjestelmien jatkuvuusvaatimukset on määritelty. Olennainen VAR-02.1 Jatkuvuusvaatimusten määrittely - palveluiden siirrot Jatkuvuusvaatimuksissa on huomioitu palveluiden kotiuttamiset ja siirrot toiselle palveluntarjoajalle. Olennainen VAR-03 Jatkuvuussuunnitelmat Jatkuvuussuunnitelmat on laadittu ja otettu käyttöön. Ei sisälly arviointiin VAR-03.1 Jatkuvuussuunnitelmien testaus ja harjoittelu Jatkuvuussuunnitelmia testataan ja harjoitellaan säännöllisesti. Ei sisälly arviointiin VAR-04 Resurssit ja osaaminen Henkilöt tuntevat omaan toimintaan liittyvät jatkuvuus- ja toipumissuunnitelmat sekä osaavat toimia niiden mukaisesti. Varahenkilöt on nimetty ja heidän kykynsä hoitaa tehtävät normaalitilanteissa on varmistettu. Ei sisälly arviointiin VAR-05 Henkilöstön saatavuus ja varajärjestelyt Kriittisten tehtävien suorittamiseksi on suunniteltu ja valmisteltu erityistilanteiden vaihtoehtoiset toimintatavat ja henkilöstön saatavuus ja varajärjestelyt. Ei sisälly arviointiin VAR-06 Tietoliikenteen varmistaminen Tietoliikennepalveluissa ja -sopimuksissa on huomioitu toiminnan kannalta tärkeiden palveluiden saatavuus häiriötilanteissa. Ei sisälly arviointiin VAR-07 Tietoteknisten ympäristöjen varmentaminen Tietoteknisissä ympäristöissä ja niihin liittyvissä sopimuksissa on huomioitu toiminnan kannalta tärkeiden palveluiden saatavuus häiriötilanteissa. Ei sisälly arviointiin VAR-08 Vikasietoisuus ICT-infrastruktuuri sekä olennaiset tietojärjestelmät on toteutettu riittävän vikasietoisiksi ja käyttövarmoiksi riskiarvioinnin perusteella. Ei sisälly arviointiin VAR-08.1 Vikasietoisuus - riippuvuudet Palvelujen riippuvuus muista palveluista ja toisista toimijoista on otettu huomioon koko tietojenkäsittely-ympäristön ja sen vikasietoisuuden suunnittelussa. Ei sisälly arviointiin VAR-09 Tietojärjestelmien toipumissuunnitelmat Tietojärjestelmien toipumissuunnitelmien tulee olla laadittu, otettu käyttöön ja yhteensovitettu keskenään. Ei sisälly arviointiin TSU-01 Käsiteltävien henkilötietojen tunnistaminen Organisaatio tunnistaa kaikki käsittelemänsä henkilötiedot. Olennainen TSU-01.1 Käsiteltävien henkilötietojen tunnistaminen - Erityiset henkilötietoryhmät tai rikostuomioihin ja rikkomuksiin liittyvät tiedot Organisaatio tunnistaa käsittelemiensä erityisiin henkilötietoryhmiin kuuluvat tai rikostuomioihin ja rikkomuksiin liittyvät tiedot. Valinnainen TSU-02 Organisaation roolit Organisaatio määrittelee käsittelemiensä henkilötietojen osalta, toimiiko organisaatio rekisterinpitäjänä, yhteisrekisterinpitäjänä vai henkilötietojen käsittelijänä. Olennainen TSU-03 Yhteisrekisterinpitäjät Toimiessaan yhteisrekisterinpitäjänä organisaatio määrittelee läpinäkyvällä järjestelyllä muiden yhteisrekisterinpitäjien kanssa rekisterinpitäjien velvoitteiden noudattamisesta sekä rekisteröityjen informoinnista. Olennainen TSU-04 Henkilötietojen käsittelijä Organisaatio käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet. Olennainen TSU-04.1 Henkilötietojen käsittelijä - Sopimukset Organisaatio laatii henkilötietojen käsittelijöiden kanssa tietosuoja-asetuksen vaatimukset täyttävät sopimukset. Olennainen TSU-05 Tehtävät ja vastuut Organisaatio määrittelee henkilötietojen käsittelyyn liittyvät tehtävät ja vastuut. Olennainen TSU-05.1 Tehtävät ja vastuut - Tietosuojavastaava Organisaatio nimeää tehtävään soveltuvan tietosuojavastaavan ja julkistaa hänen yhteystietonsa. Olennainen TSU-05.2 Tehtävät ja vastuut - Tietosuojavastaavan asema ja tehtävät Organisaatio määrittelee tietosuojavastaavan aseman, resurssit ja valtuudet siten, että hänellä on edellytykset hoitaa tietosuojavastaavalle kuuluvat tehtävät. Olennainen TSU-06 Henkilötietojen käsittelyn ohjeet Organisaatio laatii henkilötietojen käsittelyä koskevat ohjeet ja varmistaa, että henkilötietoja käsitellään näiden ohjeiden mukaisesti. Olennainen TSU-07 Käsittelyn lainmukaisuus Organisaatio tunnistaa käsittelemiensä henkilötietojen lainmukaiset käsittelyperusteet ja dokumentoi ne. Olennainen TSU-07.1 Käsittelyn lainmukaisuus - Suostumus Jos henkilötietojen käsittely perustuu poikkeuksellisesti suostumukseen, organisaatio varmistaa, että suostumuksen tietosuoja-asetuksessa säädetyt edellytykset täyttyvät. Olennainen TSU-07.2 Käsittelyn lainmukaisuus - Henkilötunnus Organisaatio tunnistaa henkilötunnuksen käsittelyperusteet ja dokumentoi ne. Olennainen TSU-07.3 Käsittelyn lainmukaisuus - Erityiset henkilötietoryhmät Organisaatio tunnistaa käsittelemiensä erityisten henkilötietoryhmien käsittelyperusteet ja dokumentoi ne. Valinnainen TSU-07.4 Käsittelyn lainmukaisuus - Rikostuomioihin ja rikkomuksiin liittyvät henkilötiedot Organisaatio tunnistaa käsittelemiensä rikostuomioihin ja rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyvien henkilötietojen käsittelyperusteet ja dokumentoi ne. Olennainen TSU-08 Tarpeellisuus ja oikeasuhtaisuus Organisaatio varmistaa, että henkilötietojen käsittely on tarpeellista ja oikeasuhtaista käsittelyn laillisten tarkoitusten saavuttamiseksi. Olennainen TSU-09 Käyttötarkoitussidonnaisuus Organisaatio kerää henkilötietoja vain tietyssä, nimenomaisessa ja laillisessa tarkoituksessa, eikä käsittele henkilötietoja alkuperäisten tarkoitusten kanssa yhteensopimattomalla tavalla myöhemmin. Olennainen TSU-10 Tietojen minimointi Organisaatio käsittelee henkilötietoja vain siinä määrin, kun se on tarpeellista käsittelyn tarkoituksen kannalta. Olennainen TSU-11 Säilytyksen rajoittaminen Organisaatio säilyttää henkilötietoja muodossa, josta rekisteröity on tunnistettavissa, ainoastaan niin kauan, kun on tarpeen tietojen käsittelyn tarkoitusten toteuttamista varten. Olennainen TSU-12 Täsmällisyys Organisaatio varmistaa, että henkilötiedot ovat täsmällisiä ja tarvittaessa päivitettyjä sekä toteuttaa kaikki mahdolliset kohtuulliset toimenpiteet käsittelyn tarkoituksiin nähden epätarkkojen ja virheellisten henkilötietojen poistamiseksi tai oikaisemiseksi viipymättä. Olennainen TSU-13 Käsittelyn turvallisuus Organisaatio varmistaa henkilötietojen turvallisuuden käyttäen asianmukaisia teknisiä tai organisatorisia toimia. Olennainen TSU-13.1 Käsittelyn turvallisuus - Erityiset henkilötietoryhmät tai rikostuomioihin ja rikkomuksiin liittyvät tiedot Käsiteltäessä erityisiin henkilötietoryhmiin kuuluvia tai rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja organisaatio toteuttaa asianmukaiset ja erityiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi. Valinnainen TSU-14 Tietoturvaloukkaukset Organisaatio dokumentoi kaikki henkilötietojen tietoturvaloukkaukset, sekä määrittelee toimintatavat niistä ilmoittamiseen valvontaviranomaiselle ja rekisteröidyille. Olennainen TSU-15 Osoitusvelvollisuus Organisaatio pystyy osoittamaan noudattavansa yleisen tietosuoja-asetuksen vaatimuksia. Olennainen TSU-16 Tietosuojariskien hallinta Organisaatio arvioi henkilötietojen käsittelyyn kohdistuvat olennaiset riskit sekä toteuttaa tarvittavat tekniset ja organisatoriset toimenpiteet riskiarvioinnin mukaisesti. Olennainen TSU-17 Tietosuojan vaikutustenarviointi Organisaatio toteuttaa ennen henkilötietojen käsittelyä arvioinnin suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle silloin, kun henkilötietojen käsittelyyn liittyy korkeita riskejä rekisteröidylle. Olennainen TSU-17.1 Tietosuojan vaikutustenarviointi - Ennakkokuuleminen Organisaatio kuulee tarvittaessa tietosuojavaltuutetun toimistoa ennen henkilötietojen käsittelyn aloittamista. Olennainen TSU-18 Henkilötietojen siirto ETA:n ulkopuolelle Organisaatio on tunnistanut toimintaansa liittyvät kansainväliset henkilötietojen siirrot ETA-alueen ulkopuolelle ja niihin käytettävät siirtoperusteet, sekä varmistanut tapauskohtaisesti, että siirrettäville henkilötiedoille taataan kolmannen maan lainsäädännössä ja käytännöissä sellainen henkilötietojen suojan taso, joka vastaa olennaisilta osin ETA-alueen tasoa. Olennainen TSU-19 Rekisteröidyn oikeudet Organisaatio toteuttaa rekisteröidyn oikeudet. Olennainen TSU-19.1 Rekisteröidyn oikeudet - Rekisteröidyn käytettävissä olevien oikeuksien tunnistaminen Organisaatio on määritellyt tunnistamansa henkilötietojen lainmukaisen käsittelyperusteen mukaisesti, mitkä rekisteröidyn oikeudet liittyvät kyseessä olevaan käsittelyyn. Olennainen TSU-19.2 Rekisteröidyn oikeudet - Läpinäkyvä informointi Organisaatio informoi rekisteröityjä henkilötietojen käsittelystä säädetyllä tavalla. Olennainen TSU-19.3 Rekisteröidyn oikeudet - Oikeus saada pääsy tietoihin Organisaatio toimittaa pyynnöstä rekisteröidylle jäljennöksen käsiteltävistä henkilötiedoista sekä informaatiota henkilötietojen käsittelystä. Olennainen TSU-19.4 Rekisteröidyn oikeudet - Tietojen oikaiseminen, poistaminen, siirtäminen, käsittelyn rajoittaminen ja vastustaminen Organisaatio toteuttaa tietojen oikaisemiseen, poistamiseen, siirtämiseen, käsittelyn rajoittamisen ja vastustamiseen liittyvät pyynnöt. Olennainen TSU-20 Automatisoidut yksittäispäätökset Organisaatio tunnistaa tilanteet, joissa henkilötietojen käsittelyyn sisältyy automaattista päätöksentekoa sekä varmistaa että automaattista päätöksentekoa ei tehdä muutoin kuin tietosuoja-asetuksessa erikseen sallituissa tapauksissa. Olennainen TSU-21 Seloste käsittelytoimista Organisaatio laatii kirjallisen kuvauksen organisaation suorittamista henkilötietojen käsittelytoimista. Olennainen 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 Pystynäkymä Rivityyppi Sisältö Olennaisuus Päätös soveltamisesta Sisältöapusarake Apusarake Tunniste HAL-01, L:Julkinen, E:Vähäinen, S:Vähäinen, TS:Henkilötieto, Olennainen Olennainen 0 =Kriteeristö!V2 2 Nimi Periaatteet Olennainen 0 =Kriteeristö!L2 2 Vaatimus Organisaatiolla on ylimmän johdon hyväksymät tietoturvallisuusperiaatteet, jotka kuvaavat organisaation tietoturvallisuustoimenpiteiden kytkeytymistä organisaation toimintaan sekä ovat tietojen suojaamisen kannalta kattavat ja tarkoituksenmukaiset. Olennainen 0 =Kriteeristö!M2 2 Yleiskuvaus Ylimmän johdon hyväksymillä tietoturvallisuusperiaatteilla osoitetaan, että johto on sitoutunut organisaation tietoturvallisuusperiaatteisiin ja periaatteet edustavat johdon tahtotilaa sekä tukevat organisaation toimintaa. Periaatteet voidaan kuvata monin eri tavoin, esimerkiksi yksittäisenä dokumenttina tai osana yleisiä toimintaperiaatteita, politiikkaa tai strategiaa. Olennainen 0 =Kriteeristö!N2 2 Toteutusesimerkki 0 Olennainen 0 =Kriteeristö!O2 2 Lainsäädäntö TihL 4 § 2 mom, 13 § Olennainen 0 =Kriteeristö!P2 2 Viitteet Katakri: T-01 Olennainen 0 =Kriteeristö!W2 2 Muita lisätietoja ISO/IEC 27002:2022 5.1; SFS-EN ISO/IEC 27001:2017 5.1, 5.2, 5.3, 9.3; PiTuKri TJ-01 Olennainen 0 =Kriteeristö!R2 2 Tunniste HAL-02, L:Julkinen, E:Vähäinen, S:Vähäinen, TS:Henkilötieto, Olennainen Olennainen 0 =Kriteeristö!V3 3 Nimi Tehtävät ja vastuut Olennainen 0 =Kriteeristö!L3 3 Vaatimus Organisaatio on määritellyt ja dokumentoinut tietoturvallisuuden hoitamisen tehtävät ja vastuut sisältäen myös palveluntuottajille kuuluvat vastuut. Olennainen 0 =Kriteeristö!M3 3 Yleiskuvaus Tietoturvallisuustyön tehtävien ja vastuiden määrittelyllä pyritään varmistamaan, että keskeisimpiin osa-alueisiin on nimetty tekijät ja heillä on tiedossaan omat vastuunsa ja valtuutensa. Organisaation johdon tehtävänä on määritellä tiedonhallintaan liittyvät vastuut. Kysymys ei ole tiedonhallintavastuiden delegoinnista, vaan niiden määrittelystä. Vastuut tulisi määritellä erityisesti turvallisuusohjeiden ylläpidosta, riskienhallinnasta, varautumisesta sekä turvallisuuden kokonaisvastuussa olevista henkilöistä. Tietoturvallisuuden vastuualueet määritellään yleensä osana turvallisuuden kokonaisvastuuta. Vastuiden määrittelyssä tulee ottaa huomioon myös toimittajan vastuulla olevat tehtävät. Pilvipalveluita käytettäessä on huomioitava erilaiset palvelumallit sekä niihin liittyvät vastuujakojen erot asiakkaan ja palvelun tuottajan välillä. Olennainen 0 =Kriteeristö!N3 3 Toteutusesimerkki Organisaatio on määritellyt turvallisuuden toteuttamisen tehtävät ja niihin liittyvät vastuut seuraavilta osin: a) turvallisuusjohtaminen b) fyysinen turvallisuus c) tekninen turvallisuus d) varautuminen ja jatkuvuudenhallinta e) tietosuoja f) riskienhallinta g) turvallisuuden kokonaisvastuu Olennainen 0 =Kriteeristö!O3 3 Lainsäädäntö TihL 4 § 2 mom Olennainen 0 =Kriteeristö!P3 3 Viitteet Katakri: T-02 Olennainen 0 =Kriteeristö!W3 3 Muita lisätietoja ISO/IEC 27002:2022 5.2; SFS-EN ISO/IEC 27001:2017 5.1, 5.2, 5.3; PiTuKri TJ-02; Suositus johdon vastuiden toteuttamisesta tiedonhallinnassa 2020:18, luku 3 Olennainen 0 =Kriteeristö!R3 3 Tunniste HAL-02.1, L:Salassa pidettävä, E:Tärkeä, S:Tärkeä, TS:Erityinen henkilötietoryhmä, Valinnainen Valinnainen 0 =Kriteeristö!V4 4 Nimi Tehtävät ja vastuut - tehtävien eriyttäminen Valinnainen 0 =Kriteeristö!L4 4 Vaatimus Organisaation on varmistettava, että henkilöillä ei ole tietoturvallisuuden kannalta vaarallisia työyhdistelmiä Valinnainen 0 =Kriteeristö!M4 4 Yleiskuvaus Organisaation tehtävien ja vastuualueiden on oltava eriytettyjä, jotta vähennetään organisaation suojattavan omaisuuden luvattoman tai tahattoman muuntelun tai väärinkäytön riskiä. Tällaisia vaarallisia yhdistelmiä ovat esimerkiksi yksi henkilö pääsee muuttamaan sekä tietojärjestelmän tietoja että tietojärjestelmän seurannassa käytettäviä lokitietoja. Vaaralliset työyhdistelmät on huomioitava myös ulkoistetuissa toiminnoissa. Valinnainen 0 =Kriteeristö!N4 4 Toteutusesimerkki - Organisaatio on määritellyt vaaralliset työyhdistelmät - Vaaralliset työyhdistelmät tarkastetaan osana tehtävien määrittelyjä - Vaaralliset työyhdistelmät tarkastetaan osana käyttöoikeuksien hallintaa erityisesti pääkäyttäjä- ja valvontaroolien kohdalla Valinnainen 0 =Kriteeristö!O4 4 Lainsäädäntö TihL 4 § 2 mom, 13 § Valinnainen 0 =Kriteeristö!P4 4 Viitteet Katakri: I-06 Valinnainen 0 =Kriteeristö!W4 4 Muita lisätietoja ISO/IEC 27002:2022 5.3 Valinnainen 0 =Kriteeristö!R4 4 Tunniste HAL-03, L:Julkinen, E:Vähäinen, S:Vähäinen, TS:Henkilötieto, Olennainen Olennainen 0 =Kriteeristö!V5 5 Nimi Resurssit Olennainen 0 =Kriteeristö!L5 5 Vaatimus Organisaatiolla on käytössään riittävät resurssit ja asiantuntemus tietoturvallisuuden varmistamiseksi. Olennainen 0 =Kriteeristö!M5 5 Yleiskuvaus Resursoinnilla ja asiantuntemuksella varmistetaan, että tietoturvallisuustyö voidaan toteuttaa määriteltyjen periaatteiden mukaisesti. Tietoturvallisuustyön resursseilla tarkoitetaan sekä henkilöresursseja että taloudellisia panostuksia, kuten tietojärjestelmäinvestointeja. Yleisinä vaatimuksina voidaan pitää, että organisaatiolla tulee olla henkilöitä tietoturvallisuuden hallinnan edellyttämiin tehtäviin ja että henkilöillä osaamista ja aikaa vaadittujen tehtävien suorittamiseen. Lisäksi organisaatiolla tulee olla kykyä ja halua tehdä sellaiset tietoturvallisuuteen liittyvät investoinnit, jotka tietoturvallisuusvaatimusten ja riskien arvioinnin perusteella on tunnistettu tarpeellisiksi. Olennainen 0 =Kriteeristö!N5 5 Toteutusesimerkki - Tietoturvallisuustehtäviä hoitavilla on riittävä asiantuntemus sekä näistä on näyttöjä. - Tietoturvallisuustyön resurssit, tehtävät, vastuut ja valtuudet on määritelty organisaation toimintaan, kokoon ja riskeihin nähden riittävän kattavasti. - Resurssit riittävät tietoturvallisuuden hallintajärjestelmän luomiseen, toteuttamiseen, ylläpitoon ja jatkuvaan parantamiseen. - Resurssien riittävyyttä arvioidaan säännöllisesti. - Organisaatio tekee tarvittavat päätökset tietoturvallisuuden edellyttämistä laite- ja muista investoinneista Olennainen 0 =Kriteeristö!O5 5 Lainsäädäntö TihL 4 § 2 mom Olennainen 0 =Kriteeristö!P5 5 Viitteet Katakri: T-05 Olennainen 0 =Kriteeristö!W5 5 Muita lisätietoja SFS-EN ISO/IEC 27001:2017 7.1, 7.2, 5.1 Olennainen 0 =Kriteeristö!R5 5 Tunniste HAL-04, L:Julkinen, E:Vähäinen, S:Vähäinen, TS:Henkilötieto, Olennainen Olennainen 0 =Kriteeristö!V6 6 Nimi Suojattavat kohteet Olennainen 0 =Kriteeristö!L6 6 Vaatimus Organisaatio tunnistaa suojattavat kohteet sekä pitää niistä ajantasaista dokumentaatiota. Olennainen 0 =Kriteeristö!M6 6 Yleiskuvaus Suojattavien kohteiden luettelointi on yksi tietoturvallisuuden hallinnan perusvaatimuksista. Suojattavia kohteita ovat tiedot, tietojärjestelmät, tietojenkäsittelyprosessit, tilat sekä muut mahdollisesti organisaation tietoturvallisuuteen vaikuttavat kohteet. Nykyisissä tietojenkäsittely-ympäristöissä suojattavia kohteita voivat olla myös muut kuin perinteiset tietotekniset kohteet, kuten erilaiset sensori- ja analyysilaitteet sekä IoT- ja automaatioympäristöt. Suojattavien kohteiden luettelointi on välttämätön edellytys suunnitelmallisen ja vaikuttavan tietoturvallisuuden hallinnan toteuttamiseksi. Ajantasaista luetteloa suojattavasta omaisuudesta hyödynnetään lähtötietona monilla tietoturvallisuuden hallinnan osa-alueilla. Olennainen 0 =Kriteeristö!N6 6 Toteutusesimerkki 0 Olennainen 0 =Kriteeristö!O6 6 Lainsäädäntö TihL 5 § 2 mom, 13 § Olennainen 0 =Kriteeristö!P6 6 Viitteet Olennainen 0 =Kriteeristö!W6 6 Muita lisätietoja ISO/IEC 27002:2022 5.9; Suositus tiedonhallintamallista 2020:29 Olennainen 0 =Kriteeristö!R6 6 Tunniste HAL-04.1, L:Julkinen, E:Vähäinen, S:Vähäinen, TS:Henkilötieto, Olennainen Olennainen 0 =Kriteeristö!V7 7 Nimi Suojattavat kohteet - vastuut Olennainen 0 =Kriteeristö!L7 7 Vaatimus Organisaatio määrittelee suojattavien kohteiden vastuut. Olennainen 0 =Kriteeristö!M7 7 Yleiskuvaus 0 Olennainen 0 =Kriteeristö!N7 7 Toteutusesimerkki 0 Olennainen 0 =Kriteeristö!O7 7 Lainsäädäntö TihL 4 § 2 mom Olennainen 0 =Kriteeristö!P7 7 Viitteet Olennainen 0 =Kriteeristö!W7 7 Muita lisätietoja ISO/IEC 27002:2022 5.9; Suositus tiedonhallintamallista VM 2020:29 Olennainen 0 =Kriteeristö!R7 7 Tunniste HAL-04.2, L:Julkinen, E:Vähäinen, S:Vähäinen, TS:Henkilötieto, Olennainen Olennainen 0 =Kriteeristö!V8 8 Nimi Suojattavat kohteet - luokittelu Olennainen 0 =Kriteeristö!L8 8 Vaatimus Organisaation on luokiteltava tiedot sekä niihin liittyvät järjestelmät ja käsittelyprosessit niihin kohdistuvien vaatimusten perusteella. Olennainen 0 =Kriteeristö!M8 8 Yleiskuvaus Organisaation tulee tunnistaa lainsäädännöstä käsittelemänsä julkiset, salassa pidettävät, turvallisuusluokitellut ja henkilötiedot sekä niiden suojaamisen tarpeet. Luokittelulla tarkoitetaan erilaisista käsittelyvaatimuksista johtuvaa tarvetta suojata tietoa eri tasoilla. Luokittelemalla tietojenkäsittely-ympäristöt tietoaineiston mukaisesti, pystytään helpommin osoittamaan ja perustelemaan kuhunkin tietojenkäsittely-ympäristöön liittyvät tietoturvallisuustoimenpiteet. Luokittelu olisi sisällytettävä organisaation prosesseihin ja sen olisi oltava johdonmukainen ja yhdenmukainen koko organisaatiossa. Luokittelu toimii lähtötietona useille muille tietoturvallisuuden prosesseille. Esimerkiksi järjestelmien saatavuusvaatimukset liittyvät järjestelmien vikasietoisuuden ja varautumisen suunnitteluun ja luottamuksellisuusvaatimukset järjestelmien tietoturvallisuusvaatimusten määrittelyyn. Tietojärjestelmän tai muun useita tietoaineistoja sisältävän kohteen luokitus määräytyy ensi sijassa korkeimman luokituksen aineiston mukaan. Tietojärjestelmien luokitusta arvioitaessa tulee huomioida myös kasautumisvaikutus riskilähtöisesti. Suuresta määrästä tietyn luottamuksellisuuden tason tietoa koostuvissa tietojärjestelmissä asiakokonaisuus voi nousta luokitukseltaan yksittäistä tietoa korkeammalle tasolle. Määrä ei ole kuitenkaan ainoa tekijä, vaan joskus esimerkiksi kahden eri tietolähteen yhdistäminen voi johtaa tietovarannon luokituksen nousemiseen. Tyypillisesti kasautumisessa on kysymys IV-luokan tiedosta (esimerkiksi suuri määrä turvallisuusluokan IV tietoa voi muodostaa yhdistettynä turvallisuusluokan III tietovarannon). Olennainen 0 =Kriteeristö!N8 8 Toteutusesimerkki - Organisaatio määrittelee tietojen sekä niihin liittyvien tietojärjestelmien ja käsittelyprosessien luokittelussa käytettävät tasot luottamuksellisuuden, saatavuuden ja eheyden sekä näkökulmista. Tarvittaessa luokittelua voidaan laajentaa kattamaan myös muita näkökulmia kuten esimerkiksi sisältääkö tiedot henkilötietoja. - Organisaatio määrittelee kriteerit, joiden mukaan tiedot ja muut kohteet luokitellaan eri luokkiin. - Luokat ja niihin liittyvät kriteerit perustuvat lakisääteisiin vaatimuksiin, mutta organisaatioiden tulee täsmentää kriteerit siten, että ne ovat tarkoituksenmukaisia organisaatiossa työskenteleville henkilöille. - Luokittelu voidaan tehdä suojattavien kohteiden luetteloinnin yhteydessä ja sisällyttää luetteloon suojattavista tiedoista - esimerkiksi tiedonhallintamalliin. Olennainen 0 =Kriteeristö!O8 8 Lainsäädäntö TihL 4 § 2 mom, 5 §, 13 §, 18 §; TLA 3 §, 4 §; JulkL 24 § Olennainen 0 =Kriteeristö!P8 8 Viitteet Katakri: T-08 Olennainen 0 =Kriteeristö!W8 8 Muita lisätietoja Suosituskokoelma tiettyjen tietoturvallisuussäännösten soveltamisesta 2021:65, luku 4.1; Suositus turvallisuusluokiteltavienasiakirjojen käsittelystä 2021:5 luku 2, luku 5.3; ISO/IEC 27002:2022 5.9 Olennainen 0 =Kriteeristö!R8 8 Tunniste HAL-04.3, L:Salassa pidettävä, E:, S:, TS:Erityinen henkilötietoryhmä, Valinnainen Valinnainen 0 =Kriteeristö!V9 9 Nimi Suojattavat kohteet - kasautumisvaikutus Valinnainen 0 =Kriteeristö!L9 9 Vaatimus Kasautumisvaikutus on huomioitu suojattavien kohteiden luokittelussa. Valinnainen 0 =Kriteeristö!M9 9 Yleiskuvaus Tietojärjestelmän tai muun useita tietoaineistoja sisältävän kohteen luokitus määräytyy ensi sijassa korkeimman luokituksen aineiston mukaan. Tietojärjestelmien luokitusta arvioitaessa tulee huomioida myös kasautumisvaikutus riskilähtöisesti. Suuresta määrästä tietyn luottamuksellisuuden tason tietoa koostuvissa tietojärjestelmissä asiakokonaisuus voi nousta luokitukseltaan yksittäistä tietoa korkeammalle tasolle. Määrä ei ole kuitenkaan ainoa tekijä, vaan joskus esimerkiksi kahden eri tietolähteen yhdistäminen voi johtaa tietovarannon luokituksen nousemiseen. Tyypillisesti kasautumisessa on kysymys IV-luokan tiedosta (esimerkiksi suuri määrä turvallisuusluokan IV tietoa voi muodostaa yhdistettynä turvallisuusluokan III tietovarannon), mutta kasautumisvaikutus tulee huomioida myös turvallisuusluokittelemattoman salassa pidettävän tiedon suojaamisessa. Valinnainen 0 =Kriteeristö!N9 9 Toteutusesimerkki 0 Valinnainen 0 =Kriteeristö!O9 9 Lainsäädäntö TihL 5 § 2 mom, 13 § 1 mom Valinnainen 0 =Kriteeristö!P9 9 Viitteet Julkri: HAL-06, TEK-06; Katakri: T-08 Valinnainen 0 =Kriteeristö!W9 9 Muita lisätietoja 0 Valinnainen 0 =Kriteeristö!R9 9 Tunniste HAL-04.4, L:Salassa pidettävä, E:, S:, TS:Erityinen henkilötietoryhmä, Valinnainen Valinnainen 0 =Kriteeristö!V10 10 Nimi Suojattavat kohteet - merkitseminen Valinnainen 0 =Kriteeristö!L10 10 Vaatimus Organisaation on merkittävä tiedot lakisääteisten vaatimusten sekä organisaation määrittelemien luokitteluperiaatteiden mukaisesti. Valinnainen 0 =Kriteeristö!M10 10 Yleiskuvaus Tiedon merkitsemistapojen pitää kattaa sekä fyysisessä että sähköisessä muodossa olevat tiedot ja niihin liittyvä suojattava omaisuus kuten tietovälineet. Merkintöjen olisi oltava organisaation määrittelemien luokitteluperiaatteiden mukaisia ja helposti tunnistettavia. Organisaation olisi ohjeistettava, mihin ja miten merkinnät kiinnitetään. Ohjeistuksessa tulee ottaa huomioon myös tulosteet. Lisäksi tarpeettoman työn säästämiseksi kannattaa ohjeistaa, milloin merkintöjä ei tarvita. Tietyissä tapauksissa, kuten esimerkiksi julkisuuslain mukaisista salassa pitoa koskevista merkinnöistä tulee myös käydä ilmi, miltä osin asiakirja on salassa pidettävä sekä mihin salassapito perustuu. Valinnainen 0 =Kriteeristö!N10 10 Toteutusesimerkki 0 Valinnainen 0 =Kriteeristö!O10 10 Lainsäädäntö TihL 18 §; TLA 3 §, 4 §; JulkL 25 § Valinnainen 0 =Kriteeristö!P10 10 Viitteet Katakri: T-08 Valinnainen 0 =Kriteeristö!W10 10 Muita lisätietoja Suositus turvallisuusluokiteltavienasiakirjojen käsittelystä 2021:5 luku 3; ISO/IEC 27002:2022 5.13 Valinnainen 0 =Kriteeristö!R10 10 Tunniste HAL-04.5, L:Julkinen, E:Vähäinen, S:Vähäinen, TS:Henkilötieto, Olennainen Olennainen 0 =Kriteeristö!V11 11 Nimi Suojattavat kohteet - riippuvuudet Olennainen 0 =Kriteeristö!L11 11 Vaatimus Organisaatio on tunnistanut ja dokumentoinut suojattavien kohteiden väliset riippuvuudet. Olennainen 0 =Kriteeristö!M11 11 Yleiskuvaus 0 Olennainen 0 =Kriteeristö!N11 11 Toteutusesimerkki 0 Olennainen 0 =Kriteeristö!O11 11 Lainsäädäntö TihL 5 § Olennainen 0 =Kriteeristö!P11 11 Viitteet Olennainen 0 =Kriteeristö!W11 11 Muita lisätietoja 0 Olennainen 0 =Kriteeristö!R11 11 Tunniste HAL-04.6, L:Julkinen, E:Vähäinen, S:Vähäinen, TS:Henkilötieto, Olennainen Olennainen 0 =Kriteeristö!V12 12 Nimi Suojattavat kohteet - sidosryhmät Olennainen 0 =Kriteeristö!L12 12 Vaatimus Organisaatio on tunnistanut ja dokumentoinut suojattaviin kohteisiin liittyvät sidosryhmät. Olennainen 0 =Kriteeristö!M12 12 Yleiskuvaus 0 Olennainen 0 =Kriteeristö!N12 12 Toteutusesimerkki 0 Olennainen 0 =Kriteeristö!O12 12 Lainsäädäntö TihL 5 § Olennainen 0 =Kriteeristö!P12 12 Viitteet Olennainen 0 =Kriteeristö!W12 12 Muita lisätietoja 0 Olennainen 0 =Kriteeristö!R12 12 Tunniste HAL-05, L:Julkinen, E:Vähäinen, S:Vähäinen, TS:Henkilötieto, Olennainen Olennainen 0 =Kriteeristö!V13 13 Nimi Vaatimukset Olennainen 0 =Kriteeristö!L13 13 Vaatimus Organisaatio tunnistaa lainsäädännöstä, sidosryhmistä sekä organisaation toiminnasta johtuvat tietoturvavaatimukset. Olennainen 0 =Kriteeristö!M13 13 Yleiskuvaus Organisaation tulee tunnistaa ja yksilöidä lainsäädännöstä, eri sidosryhmien kanssa laadituista sopimuksista sekä organisaation toiminnasta johtuvat tietoturvallisuutta koskevat vaatimukset. Lisäksi organisaation tulee tunnistaa ja ottaa huomioon toimialakohtaisesta lainsäädännöstä sekä kansainvälisestä lainsäädännöstä ja EU-sääntelystä johtuvat vaatimukset. Julkisessa hallinnossa noudatettavat tiedonhallintalakiin perustuvat tietoturvallisuuden vähimmäisvaatimukset, ja niiden noudattamisesta annetut suositukset on määritelty tiedonhallintalautakunnan suosituksen 2021:65 luvussa 2. Organisaation tietoturvallisuusvaatimukset muodostuvat edellä mainituista vähimmäisvaatimuksista sekä muista tunnistetuista vaatimuksista. Kunkin vaatimuksen toteuttamisen menettely arvioidaan riskiarviointiprosessin avulla. Olennainen 0 =Kriteeristö!N13 13 Toteutusesimerkki 0 Olennainen 0 =Kriteeristö!O13 13 Lainsäädäntö TihL 13 § Olennainen 0 =Kriteeristö!P13 13 Viitteet Olennainen 0 =Kriteeristö!W13 13 Muita lisätietoja SFS-EN ISO/IEC 27001:2017 4.2; Suosituskokoelma tiettyjen tietoturvallisuussäännösten soveltamisesta 2021:65 luvut 2 ja 4 Olennainen 0 =Kriteeristö!R13 13 Tunniste HAL-05.1, L:Julkinen, E:Vähäinen, S:Vähäinen, TS:Henkilötieto, Olennainen Olennainen 0 =Kriteeristö!V14 14 Nimi Vaatimukset - seuranta Olennainen 0 =Kriteeristö!L14 14 Vaatimus Organisaatio seuraa asetettujen tietoturvallisuusvaatimusten ja toimintaympäristön muutoksia ja tekee tarvittavat toimenpiteet niihin reagoimiseksi. Olennainen 0 =Kriteeristö!M14 14 Yleiskuvaus Lainsäädäntö, sopimusvaatimukset sekä muuttuvat tietoturvallisuusuhat edellyttävät säännöllistä vaatimusten ja uhkien seurantaa ja muutoksiin reagoimista. Olennainen 0 =Kriteeristö!N14 14 Toteutusesimerkki 0 Olennainen 0 =Kriteeristö!O14 14 Lainsäädäntö TihL 4 § 2 mom, 13 § 1 mom Olennainen 0 =Kriteeristö!P14 14 Viitteet Olennainen 0 =Kriteeristö!W14 14 Muita lisätietoja SFS-EN ISO/IEC 27001:2017 9.1; Suosituskokoelma tiettyjen tietoturvallisuussäännösten soveltamisesta 2021:65 luku 4.1 Olennainen 0 =Kriteeristö!R14 14 Tunniste HAL-05.2, L:Julkinen, E:Vähäinen, S:Vähäinen, TS:Henkilötieto, Olennainen Olennainen 0 =Kriteeristö!V15 15 Nimi Vaatimukset - muutosvaikutukset Olennainen 0 =Kriteeristö!L15 15 Vaatimus Organisaatio arvioi olennaisten hallinnollisten uudistusten ja tietojärjestelmien käyttöönottojen muutosvaikutukset suhteessa tietoturvallisuusvaatimuksiin ja -toimenpiteisiin. Olennainen 0 =Kriteeristö!M15 15 Yleiskuvaus Olennaisten muutosten yhteydessä organisaatioilta edellytetään muutosvaikutusten arviointia. Osana muutosvaikutusten arviointia on arvioitava muutosten vaikutukset suhteessa tietoturvallisuusvaatimuksiin ja -toimenpiteisiin. Olennainen 0 =Kriteeristö!N15 15 Toteutusesimerkki 0 Olennainen 0 =Kriteeristö!O15 15 Lainsäädäntö TihL 5 § Olennainen 0 =Kriteeristö!P15 15 Viitteet Olennainen 0 =Kriteeristö!W15 15 Muita lisätietoja Suositus tiedonhallinnan muutosvaikutusten arvioinnista 2020:53; ISO/IEC 27002:2022 5.31 Olennainen 0 =Kriteeristö!R15 15 Tunniste HAL-06, L:Julkinen, E:Vähäinen, S:Vähäinen, TS:Henkilötieto, Olennainen Olennainen 0 =Kriteeristö!V16 16 Nimi Riskienhallinta Olennainen 0 =Kriteeristö!L16 16 Vaatimus Organisaatio toteuttaa tietoturvallisuusriskien hallintaa ja on arvioinut olennaiset tietoihin kohdistuvat riskit sekä mitoittanut tietoturvallisuustoimenpiteet riskiarvioinnin mukaisesti. Olennainen 0 =Kriteeristö!M16 16 Yleiskuvaus Tietoturvallisuusriskien hallintaprosessi koostuu toimintaympäristön määrittämisestä, riskien arvioinnista (tunnistaminen, analysointi, merkityksen arviointi), riskien käsittelystä, riskien hyväksynnästä, riskejä koskevasta viestinnästä ja tiedonvaihdosta sekä riskien seurannasta ja katselmoinnista. Tietoturvallisuusriskien hallinta on osa organisaation toimintaa ja muuta riskienhallintaa. Tietoturvallisuusriskien hallinnan avulla varmistetaan tietoturvallisuustoimenpiteiden riittävyys tietojen luottamuksellisuuden, eheyden ja saatavuuden suojaamiseksi. Riskienhallinta vaikuttaa muihin tietoturvallisuuden hallinnan eri osa-alueisiin. Riskienhallinta tulee suunnitella ja ohjeistaa siten, että siinä käsitellään systemaattisesti ja suunnitelmallisesti erilaisia tietoturvallisuuteen liittyviä riskejä kuten tietosisällön virheellisyyksistä johtuvia riskejä, organisaation toiminnan keskeytyksiin liittyviä riskejä sekä henkilötietojen tietoturvaloukkauksiin liittyviä riskejä. Olennainen 0 =Kriteeristö!N16 16 Toteutusesimerkki - Tietoturvallisuusriskien arvioinnissa ja analysoinnissa käytetään yleisesti hyväksyttyä menetelmää. - Tietoturvallisuusriskien arvioinneista laaditaan aikataulutettu ja vastuutettu vuosisuunnitelma - Tietoturvallisuusriskien hallintaan osallistuu riittävästi asiantuntijoita. - Tietoturvallisuusriskien hallinnassa on otettu huomioon sidosryhmistä ja toimitusketjuista aiheutuvat riskit. - Tietoturvallisuusriskien arviointia hyödynnetään muissa tietoturvallisuuden hallinnan prosesseissa. Olennainen 0 =Kriteeristö!O16 16 Lainsäädäntö TihL 13 § 1 mom; TLA 6 §, 7 § Olennainen 0 =Kriteeristö!P16 16 Viitteet Julkri: FYY-01, TEK-01, TEK-14, TEK-16; Katakri: T-03 Olennainen 0 =Kriteeristö!W16 16 Muita lisätietoja SFS-EN ISO/IEC 27001:2017 6.1 ja 8-10; SFS-EN ISO/IEC 27005:2018 luku 6; SFS ISO 31000:2018; PiTuKri TJ-03; Suositus turvallisuusluokiteltavien asiakirjojen käsittelystä 2021:5 luku 5.2; Suosituskokoelma tiettyjen tietoturvallisuussäännösten soveltamisesta 2021:65 luku 6 Olennainen 0 =Kriteeristö!R16 16 Tunniste HAL-06.1, L:Salassa pidettävä, E:, S:, TS:Henkilötieto, Olennainen Olennainen 0 =Kriteeristö!V17 17 Nimi Riskienhallinta - lainsäädäntöjohdannaiset riskit Olennainen 0 =Kriteeristö!L17 17 Vaatimus Palveluun liittyvät lainsäädäntöjohdannaiset riskit on tunnistettu, arvioitu ja niistä on huolehdittu. Olennainen 0 =Kriteeristö!M17 17 Yleiskuvaus Lainsäädäntöjohdannaisilla riskeillä viitataan eri maiden lainsäädännössä oleviin mahdollisuuksiin velvoittaa palveluntarjoaja toimimaan yhteistyössä kyseisen maan viranomaisten kanssa, ja tarjoamaan esimerkiksi suora tai epäsuora pääsy palvelun asiakkaiden salassa pidettäviin tietoihin. Lainsäädäntöjohdannaiset riskit voivat ulottua sekä salassa pidettävän tiedon fyysiseen sijaintiin sekä muun muassa toisesta maasta käsin hallintayhteyksien kautta toteutettavaan tietojen luovutukseen. Lainsäädäntöjohdannainen tietojen luovuttaminen ja tutkimusoikeus on useissa maissa rajattu koskevaksi poliisia sekä tiedusteluviranomaisia. Organisaation tulee varmistaa, että lainsäädäntöjohdannaiset riskit eivät rajoita palvelun soveltuvuutta sen käyttötarkoitukseen. Lainsäädäntöjohdannaisten riskien arvioinnissa on otettu huomioon koko palvelun tuottamisessa käytetty toimitusketju, ja niiden valtioiden säännökset, joiden mukaisesti palvelua tuotetaan sekä riski tietojen oikeudettomasta paljastumisesta näiden valtioiden viranomaisille. Suosituksen turvallisuusluokiteltavien asiakirjojen käsittelystä pilvipalveluissa (VM 2022:4) mukaisesti suositeltavaa on, että pilvipalveluihin liittyvien riskien hallitsemiseksi turvallisuusluokiteltujen tietoaineistojen käsittelyssä käytetään ainoastaan viranomaisten luotettaviksi arvioimia pilvipalveluita ja tarjoajia. Jos turvallisuusluokiteltuja tietoaineistoja käsitellään kansainvälisissä pilvipalveluissa, suosituksena on lisäksi, että käsiteltävät turvallisuusluokitellut tietoaineistot rajataan ja valitaan käyttötapausten ja niihin liittyvien viranomaisprosessien perusteella tarkasti ja siten, että ne ovat luovutettavissa valtioihin, joiden lainkäyttövaltaan pilvipalvelujen tarjoaja ja sen alihankkijat kuuluvat. Olennainen 0 =Kriteeristö!N17 17 Toteutusesimerkki Riskienarvioinnin tulisi kattaa lainsäädäntöjohdannaiset riskit vähintään seuraavien tekijöiden osalta: a) Palvelussa käsiteltävän tiedon fyysinen sijainti koko tiedon elinkaaren ajalta, kattaen myös mahdolliset alihankinta- ja ulkoistusketjut. b) Palvelun eri toimintojen (esimerkiksi ylläpito- ja hallintaratkaisut, varmistukset) ja komponenttien fyysinen sijainti koko tiedon elinkaaren ajalta. c) Mahdolliset muut palvelun tuottamiseen osallistuvat tahot, esimerkiksi mahdolliset alihankinta-ja ulkoistusketjut. d) Palvelun käyttöön ja palvelussa käsiteltäviin tietoihin sovellettava lainsäädäntö ja oikeuspaikka. e) Toimijat, joilla voi sovellettavasta lainsäädännöstä johtuen olla pääsy palvelussa käsiteltäviin tietoihin. Lainsäädäntöjohdannaisten riskien arvioimiseksi palvelun toimittajalta tulee edellyttää kuvauksia kyseisessä palvelussa käsiteltäviin tietoihin kohdistuvista lainsäädäntöjohdannaisista riskeistä. Kuvausten on oltava sellaisia, että niiden perusteella pystytään luotettavasti arvioimaan kyseisen palvelun yleistä soveltuvuutta kyseiseen asiakkaan käyttötapaukseen. Kuvausten tulee kattaa palvelun käytön ja palvelussa käsiteltävien tietojen koko elinkaaren, huomioiden myös edellä mainittujen alakohtien a-e sisällön. Arvioinnissa suositellaan noudatettavan PiTuKrissa kuvattuja (EE-02 / Taulukko 2) jatkoarvioinnin yleisperiaatteita. Turvallisuusluokittelemattomien salassa pidettävien tietojen suojaamisessa on huomioitavaa, että tällaisten tietojen suojaamisessa voidaan hyväksyä turvallisuusluokiteltuun tietoon nähden laajemmin lainsäädäntöjohdannaisia riskejä. Olennainen 0 =Kriteeristö!O17 17 Lainsäädäntö TihL 13 § 1 mom; TLA 6 §, 7 § Olennainen 0 =Kriteeristö!P17 17 Viitteet Julkri: FYY-01, TEK-01, TEK-14, TEK-16, TSU-18; Katakri: T-03 Olennainen 0 =Kriteeristö!W17 17 Muita lisätietoja SFS-EN ISO/IEC 27001:2017 6.1 ja 8-10; SFS-EN ISO/IEC 27005:2018 luku 6; SFS ISO 31000:2018; PiTuKri TJ-03 ja EE-02; Suositus turvallisuusluokiteltavien asiakirjojen käsittelystä 2021:5 luku 5.2; Suosituskokoelma tiettyjen tietoturvallisuussäännösten soveltamisesta 2021:65 luku 6 Olennainen 0 =Kriteeristö!R17 17 Tunniste HAL-07, L:Julkinen, E:Vähäinen, S:Vähäinen, TS:Henkilötieto, Olennainen Olennainen 0 =Kriteeristö!V18 18 Nimi Seuranta ja valvonta Olennainen 0 =Kriteeristö!L18 18 Vaatimus Organisaatiossa on järjestetty seuranta ja valvonta tietoturvallisuuteen liittyvien prosessien toimivuudesta ja vaatimusten täyttymisestä. Olennainen 0 =Kriteeristö!M18 18 Yleiskuvaus Organisaation on seurattava toimintaympäristönsä tietoturvallisuuden tilaa ja varmistettava tietoaineistojen ja tietojärjestelmien tietoturvallisuus koko niiden elinkaaren ajan. Tiedon elinkaari alkaa tiedon tuottamis- tai vastaanottovaiheessa ja päättyy tiedon pysyvään säilyttämiseen arkistossa tai tiedon tuhoamiseen. Tiedon elinkaari kattaa kaikki tiedon käsittelyn vaiheet, jotka ovat tiedon tuottaminen tai vastaanotto, säilytys, käyttö, jakaminen, siirto ja arkistointi tai tuhoaminen. Tietoturvallisuuden seurannan mittareina voidaan käyttää sekä hallintakeinojen suorituskykyyn että vaikuttavuuteen perustuvia mittareita, jotka voivat olla numeerisia tai laadullisia. Seurannan perustana ovat havaitut poikkeamat, joiden pohjalta laaditaan ehdotuksia tietoturvallisuuden kehittämiseksi. Mittarit voivat olla esimerkiksi numeerisia raja-arvoja (esim. palveluiden saatavuus vähintään 99 %) tai vaatimustenmukaisuuden todentamista (esim. vuosikellon mukaiset arvioinnit ja katselmoinnit on hoidettu suunnitellusti). Olennainen 0 =Kriteeristö!N18 18 Toteutusesimerkki Paljon salassa pidettäviä tietoja käsittelevä organisaation on määritellyt esimerkiksi: a) mitä täytyy seurata ja mitata, b) millä seuranta-, mittaus-, analysointi- tai arviointimenetelmillä varmistetaan kelvolliset tulokset c) milloin seuranta ja mittaus on toteutettava d) ketkä toteuttavat seurannan ja mittaamisen e) milloin seurannan ja mittauksen tuloksia on analysoitava ja arvioitava f) ketkä analysoivat ja arvioivat saadut tulokset Olennainen 0 =Kriteeristö!O18 18 Lainsäädäntö TihL 4 § 2 mom, 13 § 1 mom Olennainen 0 =Kriteeristö!P18 18 Viitteet Katakri: T-01, I-19 Olennainen 0 =Kriteeristö!W18 18 Muita lisätietoja SFS-EN ISO/IEC 27001:2017 9.1; Suositus johdon vastuiden toteuttamisesta tiedonhallinnassa 2020:18, luku 7 Olennainen 0 =Kriteeristö!R18 18 Tunniste HAL-07.1, L:Julkinen, E:Vähäinen, S:Vähäinen, TS:Henkilötieto, Olennainen Olennainen 0 =Kriteeristö!V19 19 Nimi Seuranta ja valvonta - tietojen käyttö ja luovutukset Olennainen 0 =Kriteeristö!L19 19 Vaatimus Organisaatio on tunnistanut lokitietojen keräämiseen liittyvät vaatimukset ja varmistanut niiden perusteella lokitietojen keräämisen ja seurannan riittävyyden. Olennainen 0 =Kriteeristö!M19 19 Yleiskuvaus Lokitiedot ovat yksi keskeisimmistä keinoista tietojen käytön ja luovutusten seurantaan. Tiedonhallintalain mukaan lokitiedot tulee kerätä, jos tietojärjestelmän käyttö edellyttää tunnistautumista tai muuta kirjautumista. Lisäksi tietosuoja-asetuksen osoitusvelvollisuus henkilötietojen käsittelyn turvallisuudesta edellyttää usein käytännössä lokitietojen keruuta ja seurantaa. Lokitiedot tulee kerätä tietojärjestelmän käytöstä ja tietojen luovutuksista, mutta tietojen kerääminen on sidottu tarpeellisuuteen. Jos tietojärjestelmästä luovutetaan rajapintojen tai katseluyhteyden avulla salassa pidettäviä tietoja tai henkilötietoja, tulee luovuttavassa järjestelmässä kerätä luovutuslokitiedot sen varmistamiseksi, että tietojen luovuttamiselle on ollut laillinen perusteensa. Lisäksi käyttölokitiedot tulee kerätä ainakin tietojärjestelmistä, joissa käsitellään henkilötietoja tai salassa pidettäviä tietoja. Olennainen 0 =Kriteeristö!N19 19 Toteutusesimerkki Paljon salassa pidettäviä tietoja käsittelevä organisaatio voi toteuttaa esimerkiksi seuraavat toimenpiteet: - Organisaatio määrittelee osana palvelujen ja tietojärjestelmien hankintaa niihin liittyvät lokitietojen keruun vaatimukset ja varmistaa niiden täyttymisen. - Organisaatio määrittelee tietojärjestelmittäin tietojen käytön ja luovutusten seurannan tarpeet ja menettelyt. - Seurannan menettelyitä arvioidaan määräajoin. - Organisaatio määrittelee lokitietojen säilyttämiseen, hävittämiseen ja suojaamiseen liittyvät vastuut ja varmistaa niiden täyttymisen. - Mikäli lokitietojen käyttö on laaja-alaista, organisaatio voi harkita keskitettyyn lokitietojen hallintaan (SIEM) siirtymistä. Olennainen 0 =Kriteeristö!O19 19 Lainsäädäntö TihL 17 § Olennainen 0 =Kriteeristö!P19 19 Viitteet Katakri: I-10 Olennainen 0 =Kriteeristö!W19 19 Muita lisätietoja Kyberturvallisuuskeskus, Näin keräät ja käytät lokitietoja; Suosituskokoelma tiettyjen tietoturvallisuussäännösten soveltamisesta 2021:65, luku 14; ISO/IEC 27002:2022 5.31, 8.15 Olennainen 0 =Kriteeristö!R19 19 Tunniste HAL-08, L:Julkinen, E:Vähäinen, S:Vähäinen, TS:Henkilötieto, Olennainen Olennainen 0 =Kriteeristö!V20 20 Nimi Häiriöiden hallinta Olennainen 0 =Kriteeristö!L20 20 Vaatimus Organisaatiolla on tietoturvallisuushäiriöiden ja poikkeamatilanteiden käsittelyyn määritellyt prosessit ja ohjeet. Olennainen 0 =Kriteeristö!M20 20 Yleiskuvaus Tietoturvallisuushäiriöiden hallinnalla pyritään varmistamaan, että organisaatio kykenee toimimaan tehokkaasti ei-toivotuissa, odottamattomissa tilanteissa, minimoiden vahingot ja palauttaen tilanteen normaaliksi sekä varmistamaan, ettei samankaltainen häiriö ole mahdollinen muualla organisaatiossa. Organisaatiolla tulee olla häiriöiden käsittelyprosessi, joka ottaa kantaa vähintään tilanteen vakavuuden määrittelemiseen, lisävahinkojen estämiseen, todisteiden keräämiseen, tilanteen selvittämiseen, tilanteesta viestimiseen, korjaavien toimenpiteiden toteuttamiseen ja tilanteesta oppimiseen. Käsittelyprosessissa tulee ottaa huomioon palvelun aikakriittisyys ja sitä suunniteltaessa tulee arvioida tarpeet virka-ajan ulkopuolella tapahtuvien häiriöiden hallinnalle. Organisaatiossa on myös selvitetty, mitkä kansalliset ja kansainväliset säädökset tai organisaation tekemät sopimukset edellyttävät tietoturvapoikkeamista tai niiden epäilystä ilmoittamista viranomaisille. Ilmoittamisen kriteerit, vastuut, yhteystiedot sekä tiedottamisen määräajat on määritetty ja dokumentoitu. Olennainen 0 =Kriteeristö!N20 20 Toteutusesimerkki Tietoturvallisuushäiriöiden hallinta on - suunniteltu ottaen huomioon koko palveluketju sekä virka-ajan ulkopuolella tapahtuvat häiriöt, - ohjeistettu ja koulutettu, - dokumentoitu riittävällä tasolla, - harjoiteltu, sekä - viestintäkäytännöt ja vastuut on sovittu Olennainen 0 =Kriteeristö!O20 20 Lainsäädäntö TihL 4 § 2 mom ja 13 §; TLA 7 § Olennainen 0 =Kriteeristö!P20 20 Viitteet Katakri: T-07 Olennainen 0 =Kriteeristö!W20 20 Muita lisätietoja ISO/IEC 27002:2022 5.24; PiTuKri TJ-04 Olennainen 0 =Kriteeristö!R20 20 Tunniste HAL-09, L:Julkinen, E:Vähäinen, S:Vähäinen, TS:Henkilötieto, Olennainen Olennainen 0 =Kriteeristö!V21 21 Nimi Dokumentointi Olennainen 0 =Kriteeristö!L21 21 Vaatimus Tietoturvallisuuteen liittyvät politiikat, prosessit, ohjeet ja prosessien toteuttamisessa syntyvät tulokset on dokumentoitu. Olennainen 0 =Kriteeristö!M21 21 Yleiskuvaus 0 Olennainen 0 =Kriteeristö!N21 21 Toteutusesimerkki - Organisaatio on määritellyt tietoturvallisuuden hallinnan edellyttämät sekä tietoturvallisuuden hallinnan eri prosesseissa syntyvät dokumentit. - Dokumentaatiolle on määritelty ylläpito- ja jakeluprosessit - Dokumentaation oikeudet ja suojaukset on määritelty Olennainen 0 =Kriteeristö!O21 21 Lainsäädäntö TihL 5 §, 6 §, 13 § 1 mom Olennainen 0 =Kriteeristö!P21 21 Viitteet Katakri: T-01 Olennainen 0 =Kriteeristö!W21 21 Muita lisätietoja ISO/IEC 27002:2022 5.37 Olennainen 0 =Kriteeristö!R21 21 Tunniste HAL-09.1, L:Julkinen, E:Vähäinen, S:Vähäinen, TS:Henkilötieto, Olennainen Olennainen 0 =Kriteeristö!V22 22 Nimi Dokumentointi - ajantasaisuus Olennainen 0 =Kriteeristö!L22 22 Vaatimus Tietoturvallisuuteen liittyvä dokumentaatio on ajantasaista. Olennainen 0 =Kriteeristö!M22 22 Yleiskuvaus 0 Olennainen 0 =Kriteeristö!N22 22 Toteutusesimerkki - Organisaatiolla on prosessi, jonka avulla seurataan dokumentaation kattavuutta ja ajantasaisuutta - Dokumentaation puutteisiin reagoidaan Olennainen 0 =Kriteeristö!O22 22 Lainsäädäntö TihL 5 §, 6 §, 13 § 1 mom Olennainen 0 =Kriteeristö!P22 22 Viitteet Olennainen 0 =Kriteeristö!W22 22 Muita lisätietoja ISO/IEC 27002:2022 5.37 Olennainen 0 =Kriteeristö!R22 22 Tunniste HAL-10, L:Julkinen, E:Vähäinen, S:Vähäinen, TS:Henkilötieto, Olennainen Olennainen 0 =Kriteeristö!V23 23 Nimi Henkilöstön luotettavuuden arviointi Olennainen 0 =Kriteeristö!L23 23 Vaatimus Organisaatio tunnistaa ne tehtävät, joiden suorittaminen edellyttää sen palveluksessa olevilta tai sen lukuun toimivilta henkilöiltä erityistä luotettavuutta. Olennainen 0 =Kriteeristö!M23 23 Yleiskuvaus Erityistä luotettavuutta edellyttäviä tehtäviä voidaan tunnistaa esimerkiksi määrittämällä tilanteet, joissa henkilö käsittelee turvallisuusluokiteltavia tai merkittävässä määrin ja säännöllisesti salassa pidettäviä tietoja tai työskentelee tiloissa, joissa henkilön tietoon voi tulla muutoin kuin satunnaisesti turvallisuusluokiteltavia tai salassa pidettäviä tietoja. Olennainen 0 =Kriteeristö!N23 23 Toteutusesimerkki - Organisaatio laatii kuvauksen sellaisista tietoaineistojen käsittelyyn liittyvistä tehtävistä, jotka edellyttävät erityistä luotettavuutta. - Näihin tehtäviin nimettävistä henkilöistä haetaan turvallisuusselvitys, mikäli tähän on turvallisuusselvityslain mukaan peruste. - Lisäksi tiedonhallintayksikkö ylläpitää luetteloa näistä tehtävistä. Olennainen 0 =Kriteeristö!O23 23 Lainsäädäntö TihL 12 §; Olennainen 0 =Kriteeristö!P23 23 Viitteet Katakri: T-10 Olennainen 0 =Kriteeristö!W23 23 Muita lisätietoja Turvallisuusselvityslaki 726/2014; ISO/IEC 27002:2022 6.1 Olennainen 0 =Kriteeristö!R23 23 Tunniste HAL-10.1, L:Salassa pidettävä, E:Kriittinen, S:Kriittinen, TS:Erityinen henkilötietoryhmä, Valinnainen Valinnainen 0 =Kriteeristö!V24 24 Nimi Henkilöstön luotettavuuden arviointi - turvallisuusselvitys Valinnainen 0 =Kriteeristö!L24 24 Vaatimus Organisaatio arvioi turvallisuusselvityksen tarpeen ja mikäli sellaista edellytetään, myöntää henkilöille pääsyn suojattaviin kohteisiin vasta turvallisuusselvityksen jälkeen. Valinnainen 0 =Kriteeristö!M24 24 Yleiskuvaus Henkilöturvallisuusselvityksen laatimisen edellytyksistä säädetään turvallisuusselvityslaissa (726/2014). Henkilöturvallisuusselvitys voidaan tehdä ihmisestä, joka työssään pääsee esimerkiksi turvallisuuden kannalta tärkeään tilaan tai käsittelee salassa pidettävää tietoa. Turvallisuusselvityksen laajuus riippuu ihmisen työtehtävästä ja tarvittavista oikeuksista esimerkiksi salassa pidettävän tiedon käsittelyyn. Selvityksen laajuus ratkaisee, mitä tietolähteitä selvityksen tekemisessä käytetään. Henkilöä itseään voidaan tarvittaessa haastatella. Turvallisuusselvityksen hakee useimmiten työnantaja ja työntekijä täyttää aluksi turvallisuusselvitykseen liittyvät lomakkeet. Valinnainen 0 =Kriteeristö!N24 24 Toteutusesimerkki - Rekrytointien, tehtävämuutosten sekä ulkoisten palveluhankintojen yhteydessä tarkastetaan, edellyttääkö tehtävä turvallisuusselvitystä, - tarvittaessa organisaatio on määritellyt turvallisuusselvitysten hakemiseen prosessin Valinnainen 0 =Kriteeristö!O24 24 Lainsäädäntö TihL 12 §; TLA 9 § Valinnainen 0 =Kriteeristö!P24 24 Viitteet Katakri: T-10 Valinnainen 0 =Kriteeristö!W24 24 Muita lisätietoja Valtion virkamieslaki 750/1994 8 c § Valinnainen 0 =Kriteeristö!R24 24 Tunniste HAL-11, L:Salassa pidettävä, E:, S:, TS:Henkilötieto, Olennainen Olennainen 0 =Kriteeristö!V25 25 Nimi Salassapito- ja vaitiolovelvollisuus Olennainen 0 =Kriteeristö!L25 25 Vaatimus Tietoa käsitteleville henkilöille on selvitetty tietojen suojaamista ja asiakirjojen käsittelyä koskevat tietoturvallisuusperiaatteet ja -toimenpiteet. Olennainen 0 =Kriteeristö!M25 25 Yleiskuvaus 0 Olennainen 0 =Kriteeristö!N25 25 Toteutusesimerkki - Henkilölle selvitetään tietojen suojaamista koskevat periaatteet ennen pääsyä tietoihin, - todisteeksi selvityksen saamisesta henkilö voi allekirjoittaa kirjallisen vaitiolositoumuksen ja allekirjoitus luetteloidaan "vaitiolositoumusluetteloon" tai - sitoumuksen antamiseen on sähköinen menettely, joka hoidetaan automaattisesti ensimmäisen sisäänkirjautumisen yhteydessä Olennainen 0 =Kriteeristö!O25 25 Lainsäädäntö TihL 4 § 2 mom; TLA 6 §, 8 §; JulkL 25 §, 26 § 3 mom Olennainen 0 =Kriteeristö!P25 25 Viitteet Katakri: T-11 Olennainen 0 =Kriteeristö!W25 25 Muita lisätietoja ISO/IEC 27002:2022 6.6; PiTuKri HT-03 Olennainen 0 =Kriteeristö!R25 25 Tunniste HAL-12, L:Julkinen, E:Vähäinen, S:Vähäinen, TS:Henkilötieto, Olennainen Olennainen 0 =Kriteeristö!V26 26 Nimi Ohjeet Olennainen 0 =Kriteeristö!L26 26 Vaatimus Organisaatiossa on ajantasaiset ja kattavat ohjeet tietoturvallisuuden varmistamiseksi. Olennainen 0 =Kriteeristö!M26 26 Yleiskuvaus Ohjeistamalla tietoturvallisuuden kannalta keskeiset asiat pyritään varmistumaan siitä, että toiminta ei ole henkilöriippuvaista. Organisaatiolla tulisi olla ajantasaiset ohjeet tietojen käsittelystä, tietojärjestelmien käytöstä, tietojenkäsittelyoikeuksista, tiedonhallinnan vastuiden toteuttamisesta, tiedonsaantioikeuksien toteuttamisesta sekä tietoturvallisuustoimenpiteistä. Ohjeet kattavat tietoihin liittyvät prosessit ja käsittely-ympäristöt tietojen koko elinkaaren ajalta. Olennainen 0 =Kriteeristö!N26 26 Toteutusesimerkki - Tietojen suojaamiseksi ja tietoturvallisuuden varmistamiseksi tarvittavat menettelyt ja ohjeet on dokumentoitu. - Turvallisuusohjeistus toteutetaan henkilöstön työtehtävien tarpeet huomioiden. - Turvallisuusohjeiden kattavuutta ja ajantasaisuutta seurataan säännöllisesti ja se on tarvittavien tahojen saatavilla. Olennainen 0 =Kriteeristö!O26 26 Lainsäädäntö TihL 4 § 2 mom, 13 § 1 mom; TLA 6 § ja 8 § Olennainen 0 =Kriteeristö!P26 26 Viitteet Julkri: TEK-17.2; Katakri: T-04 Olennainen 0 =Kriteeristö!W26 26 Muita lisätietoja ISO/IEC 27002:2022 5.37; SFS-EN ISO/IEC 27001:2017 7.5; PiTuKri HT-04; Suositus johdon vastuiden toteuttamisesta tiedonhallinnassa 2020:18, luku 4 Olennainen 0 =Kriteeristö!R26 26 Tunniste HAL-13, L:Julkinen, E:Vähäinen, S:Vähäinen, TS:Henkilötieto, Olennainen Olennainen 0 =Kriteeristö!V27 27 Nimi Koulutukset Olennainen 0 =Kriteeristö!L27 27 Vaatimus Organisaatio varmistaa perehdytyksillä, koulutuksilla ja viestinnällä, että henkilöstöllä ja organisaation lukuun toimivilla on tuntemus voimassa olevista tietoturvallisuutta koskevista määräyksistä ja ohjeista. Olennainen 0 =Kriteeristö!M27 27 Yleiskuvaus Johdon on huolehdittava siitä, että organisaatiossa on tarjolla koulutusta, jolla varmistetaan, että henkilöstöllä ja organisaation lukuun toimivilla on tuntemus voimassa olevista tietoturvallisuutta, tiedonhallintaa, tietojenkäsittelyä sekä tietojen julkisuutta ja salassapitoa koskevista säädöksistä, määräyksistä ja organisaation ohjeista sekä organisaation vastuulla oleviin tietoihin kohdistuvista riskeistä ja uhista. Erityisesti koulutuksissa on huomioitava etäkäyttöön, tietojärjestelmien hallinnointiin sekä muihin korkeamman riskin käsittelytilanteisiin liittyvät uhat ja ohjeet. Olennainen 0 =Kriteeristö!N27 27 Toteutusesimerkki - Tietoja käsittelevälle henkilölle on selvitetty tietojen suojaamista koskevat turvallisuussäännöt ja -menettelyt. - Koulutus toteutetaan henkilöstön työtehtävien tarpeet huomioiden. - Koulutuksen sisältö dokumentoidaan - Koulutuksiin osallistuneista pidetään kirjaa Olennainen 0 =Kriteeristö!O27 27 Lainsäädäntö TihL 4 § 2 mom; TLA 6 §, 8 § Olennainen 0 =Kriteeristö!P27 27 Viitteet Katakri: T-12 Olennainen 0 =Kriteeristö!W27 27 Muita lisätietoja ISO/IEC 27002:2022 6.3; PiTuKri HT-04; Suositus johdon vastuiden toteuttamisesta tiedonhallinnassa 2020:18, luku 5 Olennainen 0 =Kriteeristö!R27 27 Tunniste HAL-14, L:Julkinen, E:Vähäinen, S:, TS:Henkilötieto, Olennainen Olennainen 0 =Kriteeristö!V28 28 Nimi Käyttö- ja käsittelyoikeudet Olennainen 0 =Kriteeristö!L28 28 Vaatimus Organisaatio varmistaa, että tietojärjestelmien käyttöoikeudet ja tietojen käsittelyoikeudet määritellään tehtäviin liittyvien tarpeiden mukaan sekä pidetään ajantasaisina. Olennainen 0 =Kriteeristö!M28 28 Yleiskuvaus Käyttö- ja käsittelyoikeuksien hallinnan avulla mahdollistetaan tietojen luvallinen käyttö ja estetään niiden luvatonta käyttöä. Käyttäjälle annetaan tietojärjestelmiin vain sellaiset käyttöoikeudet ja -valtuudet, jotka ovat työtehtävien kannalta tarpeellisia. Käsittelyoikeus tietoihin voidaan antaa vain sille, jolla työtehtäviensä vuoksi on tarve saada tietoja tai muutoin käsitellä niitä, jolle on selvitetty tietojen suojaamista koskevat ohjeet ja joka tuntee tietojen käsittelyä koskevat velvoitteet. Olennainen 0 =Kriteeristö!N28 28 Toteutusesimerkki - Organisaatio on määritellyt periaatteet, joiden mukaan käyttö- ja käsittelyoikeudet myönnetään - Oikeuksien hyväksymiseen on määritelty vastuut ja menettelyt - Oikeuksien toteuttamiseen on määritelty vastuut ja menettelyt - Käyttöoikeuksien myöntäminen on dokumentoitu siten, että se on tarkastettavissa jälkikäteen Olennainen 0 =Kriteeristö!O28 28 Lainsäädäntö TihL 4 § 2 mom ja 16 §; TLA 8 §, 11 § 1 mom 3 k Olennainen 0 =Kriteeristö!P28 28 Viitteet Katakri: T-13, I-6 Olennainen 0 =Kriteeristö!W28 28 Muita lisätietoja ISO/IEC 27002:2022 5.15, 5.18; PiTuKri HT-05; Suosituskokoelma tiettyjen tietoturvallisuussäännösten soveltamisesta 2021:65, luku 13; Suositus turvallisuusluokiteltavien asiakirjojen käsittelystä 2021:5, luku 7.6 Olennainen 0 =Kriteeristö!R28 28 Tunniste HAL-14.1, L:TL III, E:, S:, TS:, Ei sisälly arviointiin Ei sisälly arviointiin 0 =Kriteeristö!V29 29 Nimi Käyttö- ja käsittelyoikeudet - ajantasainen luettelo Ei sisälly arviointiin 0 =Kriteeristö!L29 29 Vaatimus Organisaatio varmistaa, että sillä on ajantasaiset luettelot henkilöiden käyttö- ja käsittelyoikeuksista. Ei sisälly arviointiin 0 =Kriteeristö!M29 29 Yleiskuvaus Valtionhallinnon viranomaisen on pidettävä luetteloa henkilöistä, joilla on oikeus käsitellä turvallisuusluokan I, II tai III asiakirjoja. Luettelossa on mainittava henkilön tehtävä, johon turvallisuusluokitellun tiedon käsittelytarve perustuu. Ei sisälly arviointiin 0 =Kriteeristö!N29 29 Toteutusesimerkki 0 Ei sisälly arviointiin 0 =Kriteeristö!O29 29 Lainsäädäntö TLA 8 § Ei sisälly arviointiin 0 =Kriteeristö!P29 29 Viitteet Katakri: T-13 Ei sisälly arviointiin 0 =Kriteeristö!W29 29 Muita lisätietoja ISO/IEC 27002:2022 5.18; Suositus turvallisuusluokiteltavien asiakirjojen käsittelystä 2021:5 luku 4.1 Ei sisälly arviointiin 0 =Kriteeristö!R29 29 Tunniste HAL-14.2, L:Salassa pidettävä, E:Kriittinen, S:, TS:Erityinen henkilötietoryhmä, Valinnainen Valinnainen 0 =Kriteeristö!V30 30 Nimi Käyttö- ja käsittelyoikeudet - päättyminen Valinnainen 0 =Kriteeristö!L30 30 Vaatimus Organisaatio varmistaa, että se, joka ei enää toimi tehtävissä, joihin oikeus tietojen käsittelyyn perustuu, palauttaa tiedot tai tuhoaa ne asianmukaisella tavalla. Valinnainen 0 =Kriteeristö!M30 30 Yleiskuvaus 0 Valinnainen 0 =Kriteeristö!N30 30 Toteutusesimerkki 0 Valinnainen 0 =Kriteeristö!O30 30 Lainsäädäntö TihL 13 § 1 mom, 21 § 2 mom; TLA 8 § Valinnainen 0 =Kriteeristö!P30 30 Viitteet Katakri: T-13 Valinnainen 0 =Kriteeristö!W30 30 Muita lisätietoja ISO/IEC 27002:2022 5.18; Suositus turvallisuusluokiteltavien asiakirjojen käsittelystä 2021:5 luku 4.1 Valinnainen 0 =Kriteeristö!R30 30 Tunniste HAL-15, L:Julkinen, E:Vähäinen, S:Vähäinen, TS:Henkilötieto, Olennainen Olennainen 0 =Kriteeristö!V31 31 Nimi Työskentelyn tietoturvallisuus koko palvelussuhteen ajan Olennainen 0 =Kriteeristö!L31 31 Vaatimus Organisaatio huolehtii työskentelyn tietoturvallisuudesta koko palvelussuhteen ajan. Olennainen 0 =Kriteerist