Ohje arviointikriteeristöjen tulkinnasta



Samankaltaiset tiedostot
Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

Tutkimuslaitosseminaari

Kryptografiset vahvuusvaatimukset luottamuksellisuuden suojaamiseen - kansalliset suojaustasot

Varmaa ja vaivatonta viestintää kaikille Suomessa

Sähköi sen pal l tietototurvatason arviointi

Auditoinnit ja sertifioinnit

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

Pilvipalveluiden arvioinnin haasteet

Salassa pidettävien tietojen ja asiakirjojen turvaluokittelu

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Kieku-tietojärjestelmä Työasemavaatimukset sla-

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

Vahva vs heikko tunnistaminen

Liikenne- ja viestintävirasto Traficomin suorittamat tietojärjestelmien arviointi- ja hyväksyntäprosessit

Tietoturvapolitiikka

Teknisen ICT-ympäristön tietoturvataso-ohje

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano

Laatua ja tehoa toimintaan

Tietoaineistojen luokittelu ja käsittely HVK:ssa ja PTS:ssä

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman

Viestintäviraston NCSA-toiminnon suorittamat tietojärjestelmien arviointi- ja hyväksyntäprosessit

Yritysturvallisuusselvitys ja Pääesikunnan kokemukset niistä

Tietoturvaa verkkotunnusvälittäjille

NCSA-FI:n hyväksymät salausratkaisut

6) tietojen käytettävyys, eheys ja laatu viranomaisen tehtävän hoidossa ja viranomaisten yhteistyössä;

Ohje salauskäytännöistä

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

päiväys tekijä tarkastaja hyväksyjä Muutoshistoria Julkunen (Marja Julkunen)

VIRTU ja tietoturvatasot

Siilinjärven kunta ja Valtion IT-palvelukeskus

Lausunto Linjausten tulisi perustua pilvipalvelujen käyttöön liittyvään yleiseen riskiarvioon

Case VYVI-Turvaposti miten huolehditaan turvallisesta viestinnästä eri sidosryhmien kesken? Tommi Simula Tietoturvapäällikkö Valtori

LINJAUS: SUOMI.FI-PALVELUVÄYLÄN KÄYTTÖVELVOITTEESTA POIK- KEAMINEN

SELVITYS TIETOJEN SUOJAUKSESTA

Teknisen ICTympäristön

Tietoturvallisuus julkisessa. Sähköisen hallinnon oikeudelliset perusteet Tommi Oikarinen

Sisäasiainministeriö Lausunto id (6) Ministeriön hallintoyksikkö SMDno/2011/

Turun ammattikorkeakoulu (5) Tietojärjestelmien käyttösäännöt

Viestintäviraston NCSA-toiminnon hyväksymät salausratkaisut

VM 5/01/ Valtiovarainministeriö Hallinnon kehittämisosasto. Ministeriöille, virastoille ja laitoksille 1 LÄHTÖKOHDAT

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet. Lausunto

FI Moninaisuudessaan yhtenäinen FI A8-0305/4. Tarkistus. Mireille D'Ornano ENF-ryhmän puolesta

Virtu tietoturvallisuus. Virtu seminaari

Lausunto. Pilvipalveluiden hankinnasta voisi olla erillinen opas, joka kertoo, mihin asioihin tulisi kiinnittää huomiota hankittaessa pilvipalveluita.

HELSINGIN JA UUDENMAAN PYSYVÄISOHJE 3 / (5) SAIRAANHOITOPIIRI Yhtymähallinto

Ohje hyväksyttävien yhdyskäytäväratkaisujen suunnitteluperiaatteista ja ratkaisumalleista

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Kieku-tietojärjestelmä Työasemavaatimukset

Laki. EDUSKUNNAN VASTAUS 59/2011 vp

Toimitilojen tietoturva

Palvelukuvaus v Alkujaan digitaalisen aineiston vastaanoton ja säilyttämisen palvelu

Lyhyt oppimäärä mistä salauksessa on kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto

Punkalaitumen kunta ja. Valtion tieto- ja viestintätekniikkakeskus. Valtori

Tietoturva tulevassa tiedonhallintalaissa ja VAHTI Kirsi Janhunen, Väestörekisterikeskus

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Määräys. sähkönjakeluverkon kehittämissuunnitelmasta. Annettu Helsingissä 13 päivänä tammikuuta 2014

Varmaa ja vaivatonta viestintää

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

Politiikka: Tietosuoja Sivu 1/5

Webinaarin sisällöt

OHJE YLEISEEN KÄYTTÖÖN TARKOITETTUJEN OHJELMISTOJEN HYÖDYNTÄMISESTÄ SOTE- PALVELUISSA

Määräykset ja ohjeet 2/2012

Tietoturvallisuus osana tiedonhallintalakia. Lainsäädäntöneuvos Eeva Lantto VAHTI kesäseminaari

Päivitetty TIETOVERKON JA TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Viestintäviraston suorittamat tietojärjestelmien arviointi- ja hyväksyntäprosessit

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

1 YLEISKUVAUS Verkkoturvapalvelu Verkkoturvapalvelun edut Palvelun perusominaisuudet... 2

7 Poliisin henkilötietolaki 50

Varmaa ja vaivatonta

Päätelaitteiden. tietoturvaohje SUOJAKOODI: 5/2013 ***** # 0 VAHTI. Valtionhallinnon tietoturvallisuuden johtoryhmä

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2011

PK-yrityksen tietoturvasuunnitelman laatiminen

TIETOTURVA. Eduberry tietotekniikka marjanviljelijän apuvälineenä Leena Koponen

Langaton Tampere yrityskäyttäjän asetukset

Julkisen hallinnon tietoliikennepalvelulinjaukset. Yhteenveto. Linjausten tarkoitus ja kohdealue. Tietoliikennepalvelulinjaukset

MALLI HENKILÖTIETOJEN KÄSITTELYN/HENKILÖREKISTERIN REKISTERITOIMINTOJEN ANALYSOIMISEKSI

Luonnos. KOMISSION ASETUKSEKSI (EU) n:o /2010, annettu [ ], yhteisen ilmatilan käyttöä koskevista vaatimuksista ja toimintaohjeista

Oletetun onnettomuuden laajennus, ryhmä A

Tietoturvapolitiikka

Kysely pysyvistä ja ainutlaatuisista tunnisteista

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Valtioneuvoston asetus

Case VRK: tietosuojan työkirjat osa 2. JUDO Työpaja #4 - tietosuoja Noora Kallio

WestStar Oy Aleksanterinkatu 17 B Lahti. Liite Henkilötietojen käsittely

Liite 2 : RAFAELA -aineiston elinkaaren hallinta

Sovelto Oyj JULKINEN

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) /, annettu ,

Riski = epävarmuuden vaikutus tavoitteisiin. Valtionhallinnossa = epävarmuuden vaikutus lakisääteisten tehtävien suorittamiseen ja tavoitteisiin

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

EUROOPAN YHTEISÖJEN KOMISSIO. Luonnos. KOMISSION ASETUS (EU) N:o.../... annettu [ ] päivänä [ ]kuuta [ ],

Ohje tietoturvallisuuden arviointilaitoksille

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

VAHTI Sähköisen asioinnin tietoturvaohjeen esittely (VM 25/2017)

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Tietoturvapolitiikka Porvoon Kaupunki

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

Transkriptio:

Ohje 1 (6) 28.10.2015 Ohje arviointikriteeristöjen tulkinnasta Kansalliset arvioinnit 1 Arviointikriteeristöt Lain viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista (Tietojärjestelmien tarkastuslaki 1406/2011) 3 :n mukaan: "Valtionhallinnon viranomaiset saavat käyttää tietojärjestelmiensä ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnissa vain tässä laissa tarkoitettua menettelyä taikka sellaista arviointilaitosta, joka on saanut Viestintäviraston hyväksynnän tietoturvallisuuden arviointilaitoksista annetun lain (1405/2011) mukaan." Kansallista salassa pidettävää tietoa käsittelevien tietojärjestelmien viranomaisarvioinneissa voi arviointikriteeristönä käyttää a (Tietoturvallisuuden auditointityökalu viranomaisille, 2015), :a (valtiovarainministeriön tietoturvallisuutta koskevat ohjeet) tai molempia. Viestintävirasto suosittelee kansallista salassa pidettävää tietoa käsittelevien järjestelmien arviointikriteeristöksi a. Käytännön tasolla vaatimustasoeroa ei :n ja n välillä ole, vaan eroavaisuus ilmenee lähinnä esitystavassa. on yksi kokonaisuus, jossa kaikki vaatimukset sisältyvät samaan dokumenttiin. -ohjeet on annettu eri aikoina erillisissä julkaisuissa, joita on kertynyt useita. Sekä a että :a tulkitaan yksittäisten vaatimusten 1 osalta eroavasti riippuen siitä, onko kyse kansallisen turvallisuusluokitellun (JulkL 24 :n 1 momentin 2 ja 7 10 kohdat) vai muun salassa pidettävän tiedon suojaamisesta. 2 Tietoturvallisuuden arviointi -ohjeiden mukaan - Viestintäviraston tulkintalinja Tässä luvussa selvitetään, kuinka Viestintävirasto tulkitsee käsitettä "tietoturvallisuuden arviointi -ohjeiden mukaan". 2/2014 (Tietoturvallisuuden arviointiohje) kuvaa tietoturvallisuuden arvioinnista seuraavaa: "Tietoturvaturvallisuusasetuksen 4 :ssä säädetään kymmenen vaatimusta tietoturvallisuuden perustasolle. Näitä vaatimuksia täsmentää ja täydentää -ohje 2/2010, jossa tietoturvatasojen kaikkien kolmen tason vaatimukset on kuvattu yksityiskohtaisesti. Nämä vaatimukset kohdistuvat 1 Turvallisuusluokitellun ja muun salassa pidettävän tiedon suojausvaatimusten tulkinnat eroavat salauksen ja tietojen fyysisen suojaamisen osalta.

2 (6) menettelytapoihin ja prosesseihin eikä niiden perusteella voida tehdä päätöksiä teknisistä yksityiskohdista ja ratkaisuista, joiden avulla tasovaatimukset voidaan täyttää. Tämän seikan korjaamiseksi tietoturvatasot on huomioitu kaikissa asetuksen voimaantulon jälkeen julkaistuissa -ohjeissa, joissa annetaan vaatimuksia ja suosituksia eri tietoturvatasoilla sovellettavista ratkaisuista. Tietoturvatasovaatimuksia toteutettaessa ja arvioitaessa on huomioitava 2/2010 -ohjeen lisäksi erityisesti seuraavat ohjeet: Sisäverkko-ohje 3/2011 Valtion ICT-hankintojen tietoturvaohje 3/2012 Teknisen ympäristön tietoturvataso-ohje 1/2013 Sovelluskehityksen tietoturvaohje 2/2013 Toimitilojen tietoturvaohje 4/2013 Henkilöstön tietoturvaohje 5/2013 Päätelaitteiden tietoturvaohje". Viestintävirasto soveltaa edellä mainittua ohjeistusta nykytilassa siten, että -kriteeristöä vasten arvioitaessa arviointi kattaa ohjeissa 2/2010,, 3/2012, 1/2013, 2/2013 ja 5/2013 kuvatut vaatimukset soveltuvin osin. Tilanteissa, joissa vaatimukset ovat keskenään ristiriitaisia, tulkitaan vaatimusten täyttämisen olevan mahdollista siten, että tiukin vaatimus täyttyy 2. 3 Esimerkkejä - ja -kriteeristöjen soveltamisesta Tässä luvussa kuvataan esimerkkejä eri suojaustasojen vaatimuskehikoista - ja -kriteeristöissä. Viittaukset kohdistuvat n vuoden 2015 versioon, ellei erikseen toisin mainita. Luvussa kuvataan myös joitain yleisiä tulkintakäytäntöjä sekä niiden perusteita. 3.1 Verkon rakenne Vaatimus Lähde Suojaustasot "Organisaatiossa on tunnistettu ja eriytetty tietoverkon eri suojaustasoa vaativat osat ja eri suojaustason verkkojen välistä liikennettä rajoitetaan ja suodatetaan." "Verkko on suunniteltu ja rakennettu siten, että se tukee tiedon suojaamista tiedon luokittelun mukaisesti siten, että kriittisemmät tiedot on suojattu paremmin." Mikäli korkeamman tietoturvatason päätelaitteella halutaan käyttää alemman tietoturvatason järjestelmiä, tulee käytön riskejä arvioida, ja käyttö tapahtua yhdyskäytäväratkaisun kautta. (vertaa KATAKRI, ks. erityisesti I 401.0 3 )." 2/2010 5/2013 "Tietojenkäsittely-ympäristön kytkeminen muiden IV 2 Esimerkiksi kilpailutuksiin voidaan laatia myös oma järjestelmäkohtainen vaatimusmäärittely. Järjestelmäkohtaisissa vaatimusmäärittelyissä asetetaan usein -vaatimuksia tiukempia vaatimuksia niiltä osin, kuin ne ovat järjestelmän toiminnallisten tarpeiden näkökulmasta perusteltuja. 3 KATAKRI:n II-version vaatimus I 401.0 on n vuoden 2015 versiossa vaatimus I 01.

3 (6) suojaustasojen ympäristöihin edellyttää vähintään palomuuriratkaisun käyttöä." "Tietojenkäsittely-ympäristön kytkeminen muiden suojaustasojen ympäristöihin edellyttää viranomaisen ko. suojaustasolle hyväksymän yhdyskäytäväratkaisun käyttöä." / I 01 / I 01 III-II 3.2 Etäkäyttö Vaatimus Lähde Suojaustasot "Etäkäyttö työnantajan tähän käyttöön antamilla välineillä ja yhteydellä edellyttäen, että käyttöympäristö täyttää tiedon suojaukselle asetetut vaatimukset: sallittu suojattua yhteyttä käyttäen, käyttäjän vahva todentaminen." "Käyttäjä käsittelee tietoa vain sellaisissa fyysisissä tiloissa, jotka vastaavat käsiteltävän tietoaineiston vaatimuksia." "Huomioitava, että esimerkiksi ST III tietoaineistojen käsittely edellyttää sitä, että myös käytettävät fyysiset tilat täyttävät ST III-tason käsittelyn edellytykset." "Turvallisuusluokitellun tiedon osalta etäkäyttö soveltuu lähinnä IV-tasolle, sillä ST III (LUOTTAMUKSELLINEN) -tason aineiston käsittely edellyttää aina viranomaisen hyväksymää fyysisesti suojattua tilaa, tai tietyissä erityistapauksissa korvaavia suojausmenetelmiä (esim. tietyt poliisioperaatiot). Kansallisten tietoaineistojen osalta etäkäyttö on mahdollista toteuttaa ST III-tietoaineistoja käsitteleviin järjestelmiin esimerkiksi henkilön kotoa tai muusta sovitusta, turvallisesta fyysisestä sijainnista." "Kansallisen ja kansainvälisen turvallisuusluokitellun tiedon siirrossa käytetään salausta aina, kun verkko menee viranomaisen valvoman tilan ulkopuolelle." "Salaukseen tulee käyttää vähintään siirrettävän aineiston suojaustasolle hyväksyttyjä salausratkaisuja." "Tietojen välitys ja käsittely fyysisesti suojattujen alueiden välillä on mahdollista vain viranomaisen ko. suojaustasolle hyväksymien korvaavien menettelyjen mukaisesti." "Järjestelmien etäkäyttö-/-hallintaratkaisu edellyttää viranomaisen ko. suojaustasolle hyväksymää liikenteen salausta." "Järjestelmien etäkäyttö/-hallinta rajataan viranomaisen hyväksymälle fyysisesti suojatulle alueelle." 4 2/2010 3/2012 3/2012 3/2012 / I 22 / I 22 / I 22 III I III-II 4 Muun kuin turvallisuusluokitellun suojaustason III aineiston etäkäyttö/-hallinta on mahdollista toteuttaa esimerkiksi henkilön kotoa tai muusta ennalta määritellystä fyysisestä sijainnista riskienarvioinnissa määriteltyjen korvaavien suojausten tukemana.

4 (6) 3.3 Liikenteen salaus Vaatimus Lähde Suojaustasot "Kansallisen ja kansainvälisen turvallisuusluokitellun tiedon siirrossa käytetään salausta aina, kun verkko menee viranomaisen valvoman tilan ulkopuolelle." 5 "Salaukseen tulee käyttää vähintään siirrettävän aineiston suojaustasolle hyväksyttyjä salausratkaisuja." "Kun salassa pidettävää aineistoa siirretään hyväksyttyjen fyysisesti suojattujen alueiden ulkopuolella, aineisto/liikenne salataan viranomaisen ko. suojaustasolle hyväksymällä menetelmällä." / I 15 3.4 Yleisiä tulkintakäytäntöjä 3.4.1 Suojaustasojen eriyttäminen ja yhdyskäytäväratkaisut Internet-palvelujen 6 käytön sallivat ympäristöt ovat haavoittuvia nykypäivän yleisiä hyökkäysmenetelmiä vastaan. Ympäristöjen riskitasoa voidaan laskea käyttämällä useita eri suojauksia 7, mutta edes suojausten yhdistelmillä ei saavuteta kovinkaan luotettavaa suojausta nykypäivän hyökkäysmenetelmiä vastaan. Nykypäivän hyökkäysmenetelmien käyttö ei edellytä syvällistä osaamista tai merkittäviä resursseja. Esimerkiksi työasemaan suunnatun, sähköpostin ja/tai web-selaimen kautta tapahtuvan hyökkäyksen onnistuneeseen toteuttamiseen tarvittavat menetelmät ovat kotikäyttäjän resursseilla saatavilla. Viranomaisen salassa pidettävää tietoa käsittelevien tietojärjestelmien suojausten arvioinnissa tulee huomioida järjestelmäkohtaisesti arvioitu riskitaso sekä vaatimuskriteeristöissä kuvatut yleiset suojausvaatimukset. Esimerkiksi suojaustason IV tietoa käsittelevien ympäristöjen riskienhallinnassa voi olla perusteltua hyväksyä Internet-palvelujen käyttö. Toisaalta suojaustason III tietoa käsittelevän järjestelmän kytkemistä matalamman suojaustason ympäristöön ei yleensä nähdä riskienhallinnallisesti perustelluksi ilman hyväksyttyä yhdyskäytäväratkaisua 8. Poikkeuksina ympäristöt, joissa aiheutuu luottamuksellisuuden menetystä suurempi riski (tyypillisesti ihmishenkien menetys), jos tietoa ei saada välitettyä järjestelmään/järjestelmästä 5 Vaatimusta sovelletaan muulle salassa pidettävälle tiedolle siten, että salaukselle ei edellytetä turvallisuusluokitellulle tiedolle vastaavia vahvuuksia. 6 Internet-palveluilla tarkoitetaan tässä web-selailua, sähköpostia, ja vastaavia Internetverkkoa käyttäviä palveluja. 7 Yleisesti käytettyjä suojauksia ovat muun muassa palomuuraus, järjestelmäkovennus, päivitysmenettelyt, haittaohjelmantorjuntaohjelmistojen käyttö sekä esimerkiksi web-liikenteen suodatus välityspalvelimen (proxy) avulla. 8 Hyväksyttävien yhdyskäytäväratkaisujen suunnitteluperiaatteita ja yleisiä toteutustapoja on kuvattu yksityiskohtaisemmin Viestintäviraston yhdyskäytäväratkaisuohjeessa. URL: https://www.viestintavirasto.fi/attachments/yhdyskaytavaratkaisuohje.pdf.

5 (6) nopeasti. Tällaisia järjestelmiä ovat esimerkiksi tietyt pelastustoimeen liittyvät erityisjärjestelmät. 3.4.2 Etäkäyttö/-hallinta ja salaus Etäkäytöllä/-hallinnalla tarkoitetaan perinteisessä merkityksessään organisaation toimitilojen ulkopuolelta tapahtuvaa tietojärjestelmien käyttöä/hallintaa tätä tarkoitusta varten hankitulla päätelaitteella. Normaalisti päätelaitteena toimii organisaation henkilön käyttöön antama kannettava tietokone. Turvallisuusluokitellun tiedon osalta etäkäyttö/-hallinta soveltuu perinteisessä merkityksessään vain suojaustasolle IV. Suojaustasolta III lähtien turvallisuusluokitellun aineiston käsittely edellyttää viranomaisen hyväksymää fyysisesti suojattua aluetta/tilaa, ellei viranomainen ole hyväksynyt korvaavia menettelyjä, joilla saavutetaan vastaavat fyysisen turvallisuuden olosuhteet (esimerkiksi tietyissä viranomaisoperaatioissa). Muun kuin turvallisuusluokitellun suojaustason III aineiston etäkäyttö/- hallinta on mahdollista toteuttaa esimerkiksi henkilön kotoa tai muusta ennalta määritellystä fyysisestä sijainnista riskienarvioinnissa määriteltyjen korvaavien suojausten tukemana. Käyttäjätunnistus ja -todennus tulee toteuttaa riskeihin nähden riittävän vahvalla menetelmällä. Suojaustasosta IV lähtien etäkäytössä/-hallinnassa riittävän vahvaksi menetelmäksi tulkitaan vähintään kahteen tekijään perustuva, niin sanottu vahva käyttäjätunnistus. Etäkäyttöön/-hallintaan tulee käyttää vain hyväksyttyjä laitteita ja etäyhteyksiä. Suojaustasosta III lähtien edellytetään lisäksi käytön teknistä sitomista hyväksyttyyn etäkäyttölaitteistoon (esimerkiksi laitetunnistus). Hallintayhteyksien suojaus on eräs kriittisimmistä tietojärjestelmien turvallisuuteen vaikuttavista tekijöistä. Erityisesti suojaustason IV järjestelmiä voi kuitenkin olla perusteltua pystyä hallinnoimaan myös fyysisesti suojattujen alueiden ulkopuolelta. Tilanteissa, joissa etähallinta nähdään perustelluksi, suositellaan se suojattavan etäkäyttöä kattavammilla turvatoimilla. Esimerkiksi suojaustason IV järjestelmän etähallintayhteydet voidaan rajata yksittäisiin fyysisiin ja loogisiin pisteisiin. Etäkäyttö/-hallinta on mahdollista toteuttaa tiivistetysti seuraavankaltaisella rakenteella: Ko. suojaustason työasema - ko. suojaustason liikennesalaus - ko. suojaustason järjestelmä. Siten esimerkiksi suojaustason IV tietoa sisältävää järjestelmää voi olla perusteltua etäkäyttää/-hallita suojaustason IV työasemalta suojaustason IV liikennesalauksen suojaamana. Vastaavasti ei-turvaluokiteltua suojaustason III tietoa sisältävää järjestelmää voi olla perusteltua etäkäyttää/-hallita suojaustason III työasemalta suojaustason III liikennesalauksen suojaamana. Turvaluokitellulle suojaustason III tiedolle on lisävaatimuksena hyväksytty fyysisesti suojattu alue, ei-turvaluokitellun osalta hyväksyntäprosessissa on enemmän liikkumavaraa riskienarvioinnissa määriteltyjen korvaavien suojausten kautta. Jotta kunkin suojaustason tieto saisi yleisiin riskeihin nähden riittävän suojauksen, ylemmän suojaustason järjestelmän etäkäyttöä/-hallintaa ei tule sallia matalamman suojaustason päätelaitteelta käsin. Siten esimerkiksi suojaustason III tietoa käsittelevän järjestelmän etähallintaa suojaustason IV työasemalta ei tule sallia, ellei käytössä ole hyväksyttyä

6 (6) yhdyskäytäväratkaisua, jolla estetään suojaustason III tiedon kulkeutuminen matalamman suojaustason ympäristöön. 3.5 Yhteenveto ja suositukset Internet-palvelujen käytön sallivien ympäristöjen suojaukset on ohitettavissa ilman syvällistä osaamista tai merkittäviä resursseja. Viestintäviraston näkemyksen mukaan viranomaisten salassa pidettäviä tietoa käsittelevät ympäristöt tulee eriyttää Internet-palveluista. Erityisesti suojaustason III ja sitä korkeammalle luokiteltujen tietojen käsittely-ympäristöt tulee eriyttää muiden suojaustasojen ympäristöistä hyväksytyillä yhdyskäytäväratkaisuilla tai fyysisen tason erottelulla. Etäkäyttö ja -hallinta tulee toteuttaa vastaavia periaatteita noudattaen. Lisäksi tulee varmistua erityisesti siitä, että ketju etäkäytön/-hallinnan päätelaitteelta kohdejärjestelmään asti on suojattu kyseisen suojaustason mukaisesti. Viestintävirasto suosittelee organisaatioita myös pohtimaan, minkä tasoisen tiedon vuotaminen on organisaation riskienhallinnassa hyväksyttävissä, sekä kuinka todennäköiseksi kyseisen uhkan realisoituminen arvioidaan. Viestintävirasto suosittelee myös varmistumaan tiedon luokittelun tarkoituksenmukaisuudesta ennen suojausmenetelmien yksityiskohtaista suunnittelua ja toteutusta.

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute