SFS-ISO/IEC 27018:2014 Menettelyohjeet henkilötietojen suojaamiseen henkilötietoja käsittelevissä julkisissa pilvipalveluissa Yleisesittely Julkaisutilaisuus 9.6.2015 Teknologiajohtaja Aki Siponen, Microsoft Oy
SFS-ISO/IEC 27018:2014 Henkilötietojen suojaaminen pilvipalveluissa ISO/IEC 27000 standardiperhe ISO/IEC 27018 rooli Standardin tarkoitus Miksi ISO/IEC 27018 on tärkeä EU:n tietosuoja-asetus Miten organisaatioiden tulisi varautua Standardin rakenne Keskeinen sisältö Johtopäätökset
Innovaatiot kohtaavat vaatimukset Lait, säädökset ja Standardit määräykset Teknologia Vaatimukset Innovaatiot
ISO/IEC 27000 standardien perhe Yleiset vaatimukset Yleiset ohjeet Toimialaohjeet 27000 Yleiskatsaus ja sanasto 27001 Vaatimukset 27006 Sertifiointielinten vaatimukset 27002 Menettelyohje 27003 Toteutusohjeita 27004 Mittaukset 27005 Riskien hallinta 27007 Auditointiohjeita TR 27008 Sertifioijille hallintakeinoista 27013 27000 ja 20000 integrointi 27014 Hallintaohje 27017 Pilvipalveluiden hallintakeinot 27038 Digitaalisten asiakirjojen laatiminen 27010 Organisaatioiden välinen viestintä 27011 Teletoimiala TR 27015 Finanssitoimiala 27019 Energiahuolto 27036 Toimittajasuhteet 27799 Terveydenhuolto Hallintakeino-ohjeet 27031 ICT jatkuvuuden hallinnassa 27032 Kyberturvallisuus 27033 Verkkoturvallisuus 27034 Ohjelmistoturvallisuus 27035 Turvallisuustapahtumien hallinta 27037 Digitaalinen forensiikka 27039 Tunkeutumisen havainnointi ja esto 27040 Tallennuksen turvallisuus 27041 27043 Digitaalinen todistusaineisto
Kuinka ISO/IEC 27018 syntyi ❶ Tunnista EU-lainsäädännöstä henkilötietojen käsittelyä pilvessä koskevat säännökset Espanja ❷ Luo 70 uutta hallintakeinoa kattamaan EU-lakien vaatimukset ❹ Luonnostele ISO/IEC 27018 uudet hallintakeinot ja ohjeet ❺ Käytä ISO/IEC 27001 halintajärjestelmää 27002 ja 27018 hallintakeinojen yhdistelmällä ISO/IEC 27002:2013 Hallintakeinot ja ohjeet ISO/IEC 27018 Saksa Uudet hallintakeinot ja ohjeet Uusia ohjeita 27002 hallintakeinoille ISO/IEC 27001:2013 hallintajärjestelmä UK Uusia hallintakeinoja ja ohjeita Unkari ❸ Analysoi TSV (Art 29 WP) kannanotot ja päivitä hallintakeinoja
Standardin tarkoitus Hallintakeinot ja ohjeet henkilötietojen suojaamista varten julkisen pilvilaskennan ympäristössä Noudattaa ISO / IEC 29100 tietosuojaperiaatteita Perustuu IS / IEC 27002 standardiin Huomioidaan henkilötietojen suojaamista koskevat viranomaisvaatimukset Standardia voivat soveltaa kaikki organisaatiot, jotka tuottavat henkilötietoja sisältäviä pilvipalveluita käsittelijän roolissa asiakkaiden kanssa solmittujen sopimusten perusteella Voi soveltua myös rekisterinpitäjälle Rekisterinpitäjää saattavat koskea myös muut vaatimukset, jotka eivät koske käsittelijöitä
ISO / IEC 27018 asema ISO/IEC 29100 Tietosuojaperiaatteet ISO/IEC 17788 Pilvipalvelujen sanasto ISO/IEC 27018 Tietosuoja pilvipalveluissa ISO/IEC 27002 Menettelyohjeet ISO/IEC 27001 Hallintajärjestelmä ISO/IEC 27000 Sanasto
Asiakas ja pilvipalvelun tuottaja hallitsevat riskejä yhdessä Asiakkaan vastuulla olevat riskit Tiedon luokittelu Päätelaitteet Responsibility Tiedon luokittelu ja Vastuu tiedosta Päätelaitteiden suojaaminen Oma laitetila IaaS PaaS SaaS Identiteedin ja pääsyn hallinta Yhteiset riskit Identiteetin ja pääsyn hallinta Sovellustason kontrollit Verkkotason kontrollit Pilvipalvelun tuottaja vähentää asiakkaan riskejä Palvelinten turvallisuus Fyysiset tilat Verkko Fyysinen turvallisuus Asiakas Palveluntuottaja
Mistä on kysymys Rekisteröity Henkilötieto Rekisterinpitäjä Käsittelijä Julkisen pilvipalvelun tuottaja Henkilötietojen käsittely Tietoturvaloukkaus luonnollinen henkilö, johon henkilötieto liittyy kaikki sellainen tieto, (a) jonka avulla pystytään tunnistamaan tietoihin liittyvä rekisteröity tai (b) joka on tai saattaa olla suoraan tai epäsuorasti yhdistetty rekisteröityyn (yksi tai useampi) tietosuojatoimija, joka määrittelee henkilötietojen käsittelemisen tarkoituksen sekä niiden käsittelyn keinot ja joka ei ole luonnollinen henkilö, joka käyttää tietoja henkilökohtaisiin tarkoituksiinsa tietosuojatoimija, joka käsittelee henkilötietoja rekisterinpitäjän puolesta ja tämän ohjeiden mukaisesti osapuoli, joka asettaa pilvipalvelun saataville julkisen pilven toteutusmallin mukaisesti henkilötiedoille suoritettava toiminto tai toimintojoukko esim. henkilötietojen kerääminen, säilyttäminen, muuttaminen, hakeminen, käyttäminen, luovuttaminen, anonymisointi, pseudonymisointi, levittäminen tai muunlainen jakaminen, poistaminen tai hävittäminen turvallisuuden pettäminen, joka johtaa siirretyn, varastoidun tai muuten käsitellyn tiedon tahattomaan tai laittomaan tuhoutumiseen, häviämiseen, muuttumiseen, luvattomaan julkaisemiseen tai käyttöön
Standardin rakenne vastaa ISO / IEC 27002:ta Luku Pääkohta 5 Tietoturvapolitiikat Ohjeistus Muut lisätiedot 6 Tietoturvallisuuden organisointi Toteuttamisohjeistus 7 Henkilöstöturvallisuus Ohjeistus Muut lisätiedot 8 Suojattavan omaisuuden hallinta --- 9 Pääsynhallinta Toteuttamisohjeistus Viittaus Liite A 10 Salaus Toteuttamisohjeistus 11 Fyysinen turvallisuus ja ympäristön turvallisuus Toteuttamisohjeistus Viittaus Liite A 12 Käyttöturvallisuus Toteuttamisohjeistus 13 Viestintäturvallisuus Toteuttamisohjeistus Viittaus Liite A 14 Järjestelmien hankkiminen, kehittäminen ja ylläpito --- 15 Suhteet toimittajiin --- 16 Tietoturvahäiriöiden hallinta Toteuttamisohjeistus 17 Liiketoiminnan jatkuvuuden hallintaan liittyviä tietoturvanäkökohtia 18 Vaatimustenmukaisuus Toteuttamisohjeistus Viittaus Liite A
Pääkohdan rakenne Pääkohdassa yksi tai useampi pääturvallisuusluokka määrittelevät tavoitteen Pääturvallisuusluokassa yksi tai useampia hallintakeinoja toteutusohjeineen 5. Tietoturvapolitiikat 5.1 Johdon ohjaus tietoturvallisuutta koskevissa asioissa Tavoite: Standardin ISO/IEC 27002:2013 kohdassa 5.1 määritellyt tavoitteet ovat voimassa. 5.1.1 Tietoturvapolitiikat Hallintakeino: Hallintakeino 5.1.1 ja siihen liittyvät toteuttamisohjeet sekä muut standardissa ISO/IEC 27002 määritellyt tiedot ovat voimassa. Myös Julkisissa pilvipalveluissa olevien henkilötietojen suojaamista koskeva ohjeistus: Julkisissa pilvipalveluissa olevien henkilötietojen suojaamista koskevat lisätiedot: 5.1.2 Tietoturvapolitiikkojen katselmointi Hallintakeino: Hallintakeino 5.2.1 ja siihen liittyvät standardissa ISO/IEC 27002 määritellyt toteuttamisohjeet ovat voimassa. Julkisissa pilvipalveluissa olevien henkilötietojen suojaamista koskeva ohjeistus: Julkisissa pilvipalveluissa olevien henkilötietojen suojaamista koskevat lisätiedot:
Luku Keskeiset ohjeistukset Pääkohta 5 Tietoturvapolitiikat Henkilötietoja koskevan lainsäädännön noudattaminen 6 Tietoturvallisuuden organisointi 7 Henkilöstöturvallisuus 8 Suojattavan omaisuuden hallinta Sopimusten ehtojen tukeminen ja sitoutuminen sopimusten noudattamiseen Yhteydenottopiste asiakkaille henkilötietojen käsittelyä koskien Olennainen henkilöstö tietoinen tietosuojan ja yksityisyyden suojan sääntöjen ja menettelytapojen rikkomisen seurauksista --- 9 Pääsynhallinta Asiakkaalle kyky hallita pääsyä asiakkaan hallinnassa olevien käyttäjien osalta 10 Salaus 11 Fyysinen turvallisuus ja ympäristön turvallisuus Käyttäjien rekisteröinti ja poistaminen aina kuten tietoturvaloukkaustilanteissa Tarvittaessa turvallinen kirjautuminen kaikille käyttäjätileille Asiakkaalle tiedot, missä tilanteissa henkilötietojen suojaamiseen käytetään salausta ja minkälaisia salausratkaisuja asiakkaalla on käytettävissä Käytöstä poistettaessa tallennusvälineitä, jotka saattavat sisältää henkilötietoja, on käsiteltävä kuin ne sisältäisivät niitä.
Keskeiset ohjeistukset Luku Pääkohta 12 Käyttöturvallisuus Riskiarviointi, jos henkilötietojen käyttöä testauksiin ei voida välttää. Tunnistettuja riskejä pienennettävä teknisillä ja organisaatioon kohdistuvilla ratkaisuilla Pilvipalveluissa uusia mekanismeja suojaamaan tietojen menettämiseltä, turvaamaan toiminnan jatkuvuus ja toipumaan häiriötilanteista. Varmuuskopiointipalveluissa kyvykkyydet asiakkaan tietoon. Toimintojen palauttaminen määritellyssä ja dokumentoidussa ajassa häiriötilanteen jälkeen. Varmistus- ja palautusmenettelyjen säännöllinen katselmointi. Määriteltävä politiikka kattamaan varmuuskopiointia koskevat vaatimukset ja varmuuskopioina säilytettävien henkilötietojen poistamista koskevat vaatimukset. Tapahtumalokien katselmointi määräajoin. Asiakkaan saataville tiedot siitä, millä kriteereillä tapahtumalokeja voidaan saattaa asiakkaan saataville. Varmistettava, että asiakkaalla on pääsy vain omiin lokitietoihinsa. Varmistettava, että lokitietoja käytetään vain tarkoitetusti. Varmistettava, että lokitiedot poistetaan määritellyn ja dokumentoidun ajan kuluttua.
Keskeiset ohjeistukset Luku Pääkohta 13 Viestintäturvallisuus 16 18 Tietoturvahäiriöiden hallinta Vaatimustenmukaisuus Fyysisiä tallennusvälineitä käytettäessä varmistettava, että tietoja ei voida käyttää matkalla. Fyysisistä tallennusvälineistä ja niiden käytöstä pidettävä kirjaa. Voi olla tarpeen toimia yhteistyössä asiakkaan kanssa toiminnan kehittämisessä. Tietoturvahäiriön käynnistettävä katselmointi, jossa palvelutuottaja tutkii onko häiriö vaarantanut henkilötietoja. Asiakkaan auditoinnit epäkäytännöllisiä ja saattavat lisätä tietoturvariskejä. Asiakkaiden saataville ennen sopimuksen tekemistä riippumatonta näyttöä tietoturvallisuuden toteuttamisesta. Palvelutuottajan valitseman riippumattoman auditoinnin oltava hyväksyttävä menetelmä täyttää asiakkaan auditointitarve.
Liite A yksityisyydensuojan hallintakeinot
Liite A: Uudet henkilötietojen suojaamisen hallintakeinot henkilötietoja käsitteleville julkisille pilvipalveluille (velvoittava) Luku Pääkohta Uusia hallintakeinoja A1 Suostumus ja valinnanvapaus 1 A2 Tarkoituksen laillisuus ja määrittely 2 A3 Tiedonkeruun rajoittaminen 0 A4 Tiedonkäsittelyn rajoittaminen 1 A5 Käytön, säilytyksen ja luovutuksen rajoittaminen 2 A6 Oikeellisuus ja laatu 0 A7 Avoimuus, läpinäkyvyys ja ilmoittaminen 1 A8 Omien tietojen tarkistusoikeus 0 A9 Vastuullisuus 3 A10 Tietoturvallisuus 13 A11 Tietosuojavaatimusten noudattaminen 2
Tärkeysjärjestys Kohdat eivät ole tärkeysjärjestyksessä Standardia soveltavan organisaation olisi tunnistettava Pätevät hallintakeinot Hallintakeinojen tärkeys Soveltaminen yksittäisiin liiketoimintaprosesseihin.
Kiitos!