KATAKRI versio II - Puolustusministeriö

Recommendations

Info

KANSALLINEN TURVALLISUUSAUDITOINTIKRITEERISTÖ 42 Kysymys A 806.0 Miten organisaatiossa on huolehdittu riittävästä ohjeistuksesta, koulutuksesta ja tiedotuksesta (ex I 204.0) * Viranomaisvaatimus: Perustaso (IV) Organisaatiossa on huolehdittu riittävästä ohjeistuksesta ja koulutuksesta. 1) Henkilöstö on saanut perehdytyksen yhteydessä ohjeet kuinka toimia organisaation turvaperiaatteiden mukaisesti. Ohjeistuksen/koulutuksen tulee sisältää tärkeimmät toimintatilanteet (peruskäyttö, etäkäyttö, matkatyö, ylläpito, jne.) ja -tavat. 2) Henkilöille, jotka on otettu palvelukseen sellaiseen asemaan, jossa he voisivat päästä suojattaviin tietoihin, annetaan heti aluksi ja säännöllisin väliajoin tarkat ohjeet turvatoimien tarpeellisuudesta ja niiden täytäntöönpanomenettelyistä. 3) Suojattavia tietoja käsitteleviin järjestelmiin on laadittu turvallisen käytön ohjeistus. 4) Tiedon merkitsemistä (luokittelua), käsittelyä (sis. salaus) ja tallennusta koskeva ohjeistus on laadittu ja otettu käyttöön. 5) Henkilöstö on ohjeistettu ja velvoitettu ilmoittamaan havaitsemistaan tietoturvapoikkeamista ja -uhista. 6) Tulevista työasemien tietoturva-aukkojen päivityksistä tiedotetaan vähintään sillä tarkkuudella, että käyttäjät ovat tietoisia siitä, mitä toimia heiltä vaaditaan. 7) Käyttäjille tiedotetaan kaikkein merkittävimmistä ajankohtaisista uhista, jotka kohdistuvat organisaation käyttäjiin (esim. kohdistetuista hyökkäyksistä). 8) Järjestelmien ylläpitohenkilöstö on suorittanut ko. järjestelmiä koskevan valmistaja-/ ympäristökohtaisen turvallisuuskoulutuksen, muun yleisesti hyväksytyn ko. ympäristöön soveltuvan turvallisuuskoulutuksen, tai ylläpitohenkilöstölle on muuten hankittu riittävä osaaminen ko. järjestelmien turvalliseen ylläpitoon. Viranomaisvaatimus: Korotettu taso (III) Perustason vaatimusten lisäksi: Henkilöille annettava turvallisuuskoulutus on dokumentoitu. Viranomaisvaatimus: Korkea taso (II) Perustason vaatimusten lisäksi: Henkilöille annettava turvallisuuskoulutus on dokumentoitu. Elinkeinoelämän suositukset Organisaatiossa on huolehdittu riittävästä ohjeistuksesta ja koulutuksesta. Henkilöstö on saanut perehdytyksen yhteydessä ohjeet, kuinka toimia organisaation turvaperiaatteiden mukaisesti. Ohjeistuksen/koulutuksen tulee sisältää tärkeimmät toimintatilanteet (peruskäyttö, etäkäyttö, matkatyö, ylläpito, jne.) ja -tavat. Lähde/lisätietoa ISO/IEC 27002 10.7.3, ISO/IEC 27002 13.1.1, ISO/ IEC 27002 7.2.2, ISO/ IEC 27002 8.2.2, PCI DSS 12.6, COBIT 4.1 DS7, Kansallisen turvallisuusviranomaisen ”Kansainvälisen turvallisuusluokitellun tietoaineiston käsittelyohje”, VAHTI 8/2006, EU:n turvallisuussäännöstö 6952/2/11 REV2 /1.4.2011 liite I, VAHTI 2/2010, VAHTI 3/2010, https://www.bsi. bund.de/SharedDocs/ Downloads/EN/BSI/ Grundschutz/ guidelines/guidelines_pdf. pdf Voidaan todentaa esim. siten, että kysellään muutamalta tarkastuksen yhteydessä satunnaisesti valitulta käyttäjältä, miten heidät on ohjeistettu toimimaan tietoturvallisesti. Auditointitulos: OK/ poikkeama
Kysymys A 807.0 Onko tietoon ja tietojenkäsittelypalveluihin määritetty hyväksyttävän käytön säännöt ja onko niistä tiedotettu henkilöstölle (ex I 205.0) Viranomaisvaatimus: Perustaso (IV) 1) Tiedon ja tietojenkäsittelypalveluihin liittyvien suojattavien kohteiden hyväksyttävän käytön säännöt on määritetty. 2) Hyväksyttävän käytön säännöissä otetaan kantaa vähintään siihen, saako organisaation tietojärjestelmiä käyttää henkilökohtaisiin tarpeisiin (sähköposti, levytila, pankkipalveluiden käyttö, jne.). 3) On selkeästi tiedotettu hyväksyttävän käytön säännöistä henkilöstölle. 4) Hyväksyttävän käytön säännöt ovat henkilöstölle helposti saatavilla. Viranomaisvaatimus: Korotettu taso (III) 1) Tiedon ja tietojenkäsittelypalveluihin liittyvien suojattavien kohteiden hyväksyttävän käytön säännöt on määritetty. 2) Hyväksyttävän käytön säännöissä otetaan kantaa vähintään siihen, saako organisaation tietojärjestelmiä käyttää henkilökohtaisiin tarpeisiin (sähköposti, levytila, pankkipalveluiden käyttö, jne.). 3) On selkeästi tiedotettu hyväksyttävän käytön säännöistä henkilöstölle. 4) Hyväksyttävän käytön säännöt ovat henkilöstölle helposti saatavilla. Viranomaisvaatimus: Korkea taso (II) 1) Tiedon ja tietojenkäsittelypalveluihin liittyvien suojattavien kohteiden hyväksyttävän käytön säännöt on määritetty. 2) Hyväksyttävän käytön säännöissä otetaan kantaa vähintään siihen, saako organisaation tietojärjestelmiä käyttää henkilökohtaisiin tarpeisiin (sähköposti, levytila, pankkipalveluiden käyttö, jne.). 3) On selkeästi tiedotettu hyväksyttävän käytön säännöistä henkilöstölle. 4) Hyväksyttävän käytön säännöt ovat henkilöstölle helposti saatavilla. Elinkeinoelämän suositukset 1) Tiedon ja tietojenkäsittelypalveluihin liittyvien suojattavien kohteiden hyväksyttävän käytön säännöt on määritetty. 2) Hyväksyttävän käytön säännöissä otetaan kantaa vähintään siihen, saako organisaation tietojärjestelmiä käyttää henkilökohtaisiin tarpeisiin (sähköposti, levytila, pankkipalveluiden käyttö, jne.). 3) On selkeästi tiedotettu hyväksyttävän käytön säännöistä henkilöstölle. 4) Hyväksyttävän käytön säännöt ovat henkilöstölle helposti saatavilla. Lähde/lisätietoa ISO/IEC 27002 7.1.3, PCI DSS 12.3, VAH- TI 8/2006 Voidaan todentaa tarkistamalla AUP:n (acceptable use policy) olemassaolo ja sisältö, lisäksi se, onko AUP helposti saatavilla henkilöstölle. Selvitetään lisäksi miten AUP:sta tiedotettu henkilöstölle. Auditointitulos: OK/ poikkeama KANSALLINEN TURVALLISUUSAUDITOINTIKRITEERISTÖ 43
Page 1: KATAKRI Kansallinen turvallisuusaud
Page 4 and 5: KANSALLINEN TURVALLISUUSAUDITOINTIK
Page 94 and 95:
KANSALLINEN TURVALLISUUSAUDITOINTIK
Page 96 and 97:
Page 98 and 99:
Page 100 and 101:
Page 102 and 103:
Page 104 and 105:
Page 106 and 107:
Page 108 and 109:
Page 110 and 111:
Page 112 and 113:
Page 114 and 115:
Page 116 and 117:
Page 118 and 119:
Page 120 and 121:
Page 122 and 123:
Page 124 and 125:
Page 126 and 127:
Page 128:
Kansallinen turvallisuusauditointik
show all

KATAKRI versio II - Puolustusministeriö

Create successful ePaper yourself

Delete template?

Save as template?