Oletko hankkimassa IT-palveluita ja pohdit niiden tietoturvavaatimuksia? Tai tarjoatko IT-palveluita muille? Euroopan unionin kyberturvallisuusvirasto ENISA:n nettisivuilla on vapaasti saatavilla ohje (01/2017), jossa kerrotaan turvallisen ICT-hankinnan ehdottomat minimivaatimukset.
Vaatimukset on kirjattu sen verran yleisesti, että ne sopivat niin palveluiden, järjestelmien kuin laitteidenkin hankintaan. Palveluntarjoajat saavat ohjeesta puolestaan tietoa, miten kokonaisuudet kannattaisi rakentaa.
Ohjeella ja siinä olevilla vaatimuksilla tavoitellaan sitä, että EU:n sisämarkkinoille tuotettaisiin turvallisia ICT-tuotteita, -järjestelmiä ja -palveluita.
Ohessa on ENISA:n kymmenen vaatimusta vapaasti suomennettuna ja tiivistettynä:
Suunniteltu turvalliseksi: Tuote tai palvelu on suunniteltu ja konfiguroitu niin, että se ei sisällä turhia tai piilotettuja toiminnallisuuksia, eikä turvattomia teknologioita.
Turvallisuuslähtöistä suunnittelua voi verrata tietosuojalainsäädännöstä tuttuun sisäänrakennettuun ja oletusarvoiseen tietosuojaan (GDPR, 25 artikla).
Noudattaa vähimpien oikeuksien periaatetta: Käyttäjätunnuksiin kytketään oletuksena vain ne käyttöoikeudet, jotka on tarpeen. Ei siis käytetä turhaan esim. pääkäyttäjätunnuksia päivittäisessä toiminnassa. Tunnukset ja salasanat on ostajan hallittavissa.
Tukee vahvaa tunnistautumista: Palvelu tai järjestelmä tukee vahvaa tunnistautumista ja varmistaa, kuka henkilö tai mikä laite on kirjautumassa. Tähän liittyy esim. kaksivaiheinen tunnistautuminen.
Kriittisen tiedon suojaus on kokonaisvaltaista: tietoa, järjestelmiä ja laitteita suojataan kunnolla, erityisesti kriittisen tiedon tallennuksen ja siirron yhteydessä.
Toimitusketjun turvallisuus on huomioitu: tuotteet, järjestelmät, laitteet jne. on alkuperäisiä eli kukaan ei ole päässyt muuttamaan niitä toimituksen aikana.
Dokumentaatio on läpinäkyvää: kokonaisuudesta on olemassa kattava ja ymmärrettävä dokumentaatio, jossa kerrotaan palvelun/järjestelmän/tuotteen toimintaperiaatteista, toiminnallisuuksista, protokollista, turvallisuudesta jne.
Turvallisuus on todennettavissa: toimittaja pystyy todentamaan sen, että tietoturvallisuus ja vaatimuslistassa olevat asiat on huomioitu elinkaaren eri vaiheissa.
Jatkuvuus on taattu: toimittaja tukee palvelun jatkuvuutta ja varmistaa, että järjestelmä pysyy turvallisena koko sen elinkaaren ajan.
Kokonaisuus on EU:n lainsäädännön alainen: toimittaja ja alihankkijat toimivat EU:n lainsäädännön alaisina. Jos heitä sitoo EU:n ulkopuolinen lainsäädäntö, tästä on kerrottava etukäteen.
Tietojen keruu on rajattua ja perusteltua: toimittaja kuvaa, mitä tietoja kerätään ja miksi.
Minimivaatimukset on järkeviä ja itsestäänselviä asioita.
Vastaa