Tietoturvallisuuden arviointi

Arviointimenetelmiä

Pilvipalvelujen turvallisuuden arvioinnissa voidaan käyttää erilaisia menetelmiä. Joidenkin tietojen suojaamisen arvioinnissa saattaa olla riittävää nojautua esimerkiksi pilvipalveluntarjoajan tuottamaan itsearviointiin, mahdollisiin muihin sertifiointeihin sekä sopimusteknisiin sitoumuksiin. Joidenkin tietojen suojaamisen arvioinnissa on perusteltua edellyttää lisäksi ulkopuolisen riippumattoman tahon tekemää todennusta.

Todennuksen tuottamien tulosten luotettavuus riippuu merkittävästi todennuksessa käytettyjen menetelmien luotettavuudesta. Esimerkiksi dokumentaation tutustuminen eroaa luotettavuudeltaan siitä, että pilvipalvelun suojaus todennettaisiin myös teknisen testaamisen keinoin. Todennuksessa voidaan usein hyödyntää myös esimerkiksi jatkuvan auditoinnin mahdollisuuksia lisänäytön lähteinä. Joidenkin tietojen suojaamisen arvioinnissa on perusteltua käyttää kansallisen tietoturvallisuusviranomaisen arviointipalvelua.
(Lähde: Pilvipalveluiden turvallisuuden arviointikriteeristö, Traficom)

Huomioitavaa: Pilvipalveluissa suuri osa turvallisuudesta on palveluntoimittajan vastuulla, mutta tämä ei kuitenkaan vapauta kuntaa vastuusta tietoturvan, varautumisen, jatkuvuudenhallinnan ja tietosuojan suhteen.

Arvioinnit voidaan jakaa suorittajan mukaan seuraavasti:

  • Itsearviointi: Arvioinnin kohteen vastuuhenkilön tai työryhmän toteuttama arviointi. Vastuuhenkilö ei välttämättä ole tietoturvahenkilöstöä.
  • Sisäinen arviointi: Organisaation tietoturvahenkilöstön tai asiantuntijoiden toteuttama arviointi.
  • Sisäinen tarkastus: Organisaation oma järjestelmällinen ja riippumaton arviointi.
  • Vertaisarviointi: Arvioijina toimivat henkilöt, jotka työskentelevät samankaltaisen kohteen parissa toisessa organisaatiossa tai yksikössä.
  • Ulkoinen arviointi: Organisaation ulkopuolisen, riippumattoman toimijan suorittama arviointi.
    (Lähde: Tietoturvallisuuden arviointiohje, Valtiovarainministeriö)

 

Vinkkejä kriteerien ja standardien käyttöön:

  1. Pohdi käyttötarkoitus
  2. Pohdi rajaus
  3. Suunnittele, miten kriteeristö/standardi tukee toimintaa
  4. Muodosta kokonaiskuva toiminnasta
  5. Suunnittele dokumentointi
  6. Sovella, tee soveltamissuunnitelma
  7. Toteuta
  8. Arvioi
  9. Kehitä

Arviointityökaluja

Kriteeristöjä ja standardeja

(täydentyy…)

Pilvipalveluiden turvallisuuden arviointikriteeristö (PiTuKri)

Tutustu pilvipalveluiden turvallisuuden arviointikriteeristöön (PiTuKri) Traficomin verkkosivuilla. Voit myös ladata käyttöösi PiTuKri-arviointityökalun (Excel).

Julkisen hallinnon tietoturvallisuuden arviointikriteeristö (Julkri)

Tutustu julkisen hallinnon tietoturvallisuuden arviointikriteeristöön (Julkri) Valtioneuvoston verkkosivuilla. Voit myös ladata käyttöösi Julkri-arviointityökalun (Excel). Ennalta määritelty käyttötapaus ”SaaS-pilvipalvelun arviointi” on tarkoitettu juuri SaaS-palveluiden turvallisuuden arviointiin.

Ota Julkri haltuun! Julkri-koulutus eOppivassa (linkki) (Digi- ja väestötietovirasto)