Tietoturva ja Tietosuoja

Questions and Answers

Mitä tarkoittaa tietoturva?

Tietoturva on vain lainsäädäntöä, joka suojaa tietoja.

Tietoturva varmistaa tiedon käytettävyyden, eheyden ja luottamuksellisuuden. (correct)

Tietoturva keskittyy vain ulkopuolisten hyökkäysten estämiseen.

Tietoturva on vain teknisiä toimenpiteitä.

Mikä seuraavista on osa kyberturvallisuutta?

Fyysinen turvallisuus liiketiloissa.

Moottorin suojaus auton tietokonejärjestelmässä.

Kyberuhkamalli, joka kuvaa uhkien vaikutusmekanismeja. (correct)

Sähkölaitteiden kunnossapito.

Miten voidaan vähentää riskiä joutua tietoturvahyökkäyksen kohteeksi?

Estämällä kaikki ulkopuolinen pääsy järjestelmiin.

Käyttämällä salattua viestintää ja vahvoja salasanoja. (correct)

Vähentämällä käyttäjien määrää.

Rajoittamalla ohjelmistopäivityksia.

Mikä on tietosuojan rooli tietoturvatyössä?

Tietosuoja on tietoturvan toteuttamiskeino.

Mitä tietoturvapoikkeamat tarkoittavat?

Ne ovat merkittäviä tapahtumia, joihin tulisi reagoida.

Mikä on yrityksen tai organisaation tietoturvapoliittisen strategian merkitys?

Se määrittää välineet, joilla tietoturva toteutetaan.

Miten kyberuhkat voivat vaikuttaa yhteiskunnan elintärkeisiin toimintoihin?

Ne voivat aiheuttaa merkittäviä häiriöitä ja vaarantaa kriittisen infrastruktuurin.

Mikä seuraavista ei ole osa tietoturvan kehittämistä?

Kustannusten kehittämisen ensisijaisuus turvallisuuden sijasta.

Mikä seuraavista kuuluu hallinnollisen tietoturvallisuuden perusasioihin?

Riskiarviointi

Mitä tarkoittaa tietoturvan luottamuksellisuus?

Tietojen suojaaminen vain oikeutettujen käyttäjien käytettäväksi

Mikä seuraavista ei sisälly Parkerian Hexad -malliin?

Riskiarviointi

Miksi yrityksen johtoportaalla on tärkeä rooli tietoturvassa?

Heidän on sitouduttava tietoturvaan ja tietosuojaan

Mikä seuraavista on osa laajennettua tietoturvaluokitusta?

Pääsynvalvonta

Mikä seuraavista kuvaa parhaiten tietoturvakomponenttien keskinäisiä suhteita?

Ne ovat erottamattomasti yhdistettyjä

Mikä on tietoturvan perinteinen luokitusmalli?

CIA-triadi-malli

Mikä seuraavista on tärkeä elementti tietoturvan jatkuvuuden varmistamiseksi?

Hallinnollinen tietoturvallisuus

Miten eheys varmennetaan ohjelmistoteknisin ratkaisuin?

Tarkastamalla tallennus- ja tiedonsiirto-operaatiot vahvistussummilla tai tiivisteillä

Mikä seuraavista kuvastaa saatavuutta tietojärjestelmässä?

Automatisoitu tiedonhaku, jonka avulla tiedot saadaan nopeasti käyttöön

Mikä seuraavista menetelmistä liittyy pääsynvalvontaan?

Estää ulkopuolisia käyttämästä yrityksen laitteita

Miten kiistämättömyys auttaa tietojärjestelmässä?

Se tunnistaa ja tallentaa käyttäjien käyttötiedot

Miten eheys voidaan varmistaa laitteistotasolla?

Hyödyntämällä virheiden tunnistamiseen ja korjaamiseen tarkoitettuja mekanismeja

Mikä on tunnistaminen tietojärjestelmässä?

Menetelmä, joka liittyy käyttäjän henkilöllisyyden varmistamiseen

Mikä seuraavista ei kuulu tietojen luottamuksellisuuden keinoihin?

Eheys

Mikä on tärkein syy valtuutuksen käyttämiselle tietojärjestelmissä?

Antaa käyttöoikeus valtuutetuille henkilöille ja järjestelmille

Mikä seuraavista asioista ei kuulu VAHTI-asiakirjan osa-alueisiin?

Taloudellinen turvallisuus

Mikä laki määrittelee salassa pidettävien terveys­Tietojen riittävän hyvän suojaamisen?

HITECH

Mitä tarkoittaa GDPR:n noudattamisen osalta 'osoitusvelvollisuus'?

Velvollisuus osoittaa asetuksen täyttyminen

Mikä seuraavista ei ole GDPR:n tavoitteita?

Henkilötietojen vapaa käyttö

Mitä tapahtuu, jos henkilötietojen rikkoutumisesta ei ilmoiteta ajallaan?

Tietosuojavaltuutettu voi määrätä hallinnollisia sanktioita

Miksi HIPAA-lakia ei voida soveltaa sellaisenaan Suomessa?

Koska Suomen lainsäädäntö on erilainen

Mikä seuraavista on EU:n GDPR:n mukana tuo­mia velvoitteita?

Henkilötietojen käsittelyn luvallisuus

Mihin tietosuojarikkomuksen epäillessä siirretään asia?

Poliisin käsittelyyn

Miten lasketaan riskiluku (RL)?

Kertomalla todennäköisyys vaikutuksella

Mikä seuraavista kuvaa parhaiten säilytettävien tietojen suojaustasoa?

Tietojen luokittelu ja käsittely

Mikä seuraavista on tietoturvapolitiikan tyyppejä?

Neuvoa-antavat toimintaperiaatteet

Mitä tarkoitetaan sääntelykäytännöillä?

Pakolliset täytännöt alan säädösten noudattamiseksi

Mikä on vahingon ehkäisyn kustannusten laskentakaava?

Menetyksen ja todennäköisyyden tulo

Mikä on tietoturvapolitiikan tärkein tarkoitus?

Suojaa organisaation tiedot ja varmistaa luottamuksellisuus

Mikä seuraavista ei ole osa tietoturvapolitiikkaa?

Organisaation kannattavuuden analysointi

Miksi on tärkeää määritellä tiedon omistaja?

Tietojen oikeellisuuden ja hallinnan varmistamiseksi

Study Notes

Tietoturva ja Tietosuoja

• Tietoturvallisuus käsittää toimenpiteitä tietojärjestelmien suojaamiseksi luvattomilta pääsyltä sekä tärkeän tiedon suojaamiseksi ulkopuolisilta. Tavoitteena on varmistaa tiedon saatavuus, eheys ja luottamuksellisuus.
• Tietosuoja (information security) on yksi tietoturvan toteuttamiskeino.
• Kyberuhkamalli kuvaa kyberuhkien vaikutuksia, kuten häiriöitä, uhkan mekanismeja, vaikutteita kohteisiin ja vaikutteita yhteiskunnan elintärkeisiin toimintoihin.
• Yrityksen johdon on oltava sitoutunut tietoturva ja tietosuoja asioihin.
• Tietoturva ja tietosuoja koskettavat kaikkia yrityksen toimintoja.
• Tietoturva koostuu hallinnollisista, teknillisistä ja fyysisistä osa-alueista.
• Hallinnollinen tietoturvallisuus sisältää tietoturvallisuuden johtamisen, jonka avulla varmistetaan toiminta­jatkuvuus. Tämä sisältää mm. tietosuoja-asetuksen noudattamisen ja tietoturva­politiikan luomisen ja ylläpidon.
• Tietoturvakomponenttien keskinäiset yhteydet ovat tärkeitä tietojärjestelmän suojaamisen kannalta.

Tietoturvaluokitukset

• CIA-triadi -malli sisältää luottamuksellisuuden (Confidentiality), eheyden (Integrity) ja saatavuuden (Accessibility).
• Laajennettu tietoturvaluokitus sisälttää CIA-triadin lisäksi kiistämättömyyden (Non-Repudiation), pääsynvalvonnan (Access Control) ja tunnistamisen (Authentication).
• Parkerian Hexad -malli sisältää seuraavat kuusi tietoturvaelementtiä: Luottamuk­sellisuus, eheys, saatavuus, hallussapito/hallinta, aitous ja hyödyllisuus.
• Luottamuksellisuus: Tietojärjestelmän tietojen saatavillaolo vain niille, joilla on oikeu­det.
• Eheys: Tietojärjestelmien tietojen paik­kan­sa­pitävyys ja virheettömyys.
• Saatavuus: Val­tuutettujen henkilöiden ja järjestelmien kyky käyttää tieto­järjestelmää.
• Kiistämättömyys: Järjestelmäkäskyjen käyttötied­on tallenta­minen, joka mahdollistaa tiedon alkuperän tunnis­ta­mi­sen.
• Pääsynvalvonta: Menetelmät, joilla estetään ulkopuolisten pääsyn yrityksen laitteille.
• Tunnistaminen: Tietojärjestelmän käyttä­jien luotet­tava tunnistaminen (esimerkiksi salasanoilla tai digitaalisilla alle­kirjoituksin).

Tietojen luokittelu ja käsittely

• Iso 27002 standardia voidaan hyödyntää tietojen luo­kittelussa. Standardi sisältää ohjeita tiedon omistaja­n määrit­telulle, säily­ty­s­a­jan määritel­lä­lle ja varmuuskopioin­tia­lle.

GDPR (General Data Protection Regulation)

• GDPR -asetus koskee henkilötietojen käsittelyä sekä julkisella että yksityisellä sektorilla.
• Asetus on voimassa koko EU-alueella ja tuli voimaan 25.5.2018.
• Asetuksen tarkoituksena on varmistaa ihmisten tietosuojan ja yksity­i­syyden oikeudet.
• GDPR:ssä määriteltyjä henkilötietoja ovat:
  • Nimi
  • Osoite
  • Sähköpostiosoitteet
  • Puhelinnumerot
  • Syntymäpäivät
  • Kuvat
  • Videot
  • Biometriset tiedot
• Yrityksillä ja organisaatiolla on velvollisuus ilmoittaa tietoturva­rikkomuksista sekä henkilöille että viranomaisille.
• Tietosuojaval­tuutettu voi määrätä hallinnollisia sankti­oita asetuk­sen noudattamatta jättämisestä. Jos epäillä­ään­ ri­ko­sta, menee asia poliisin käsittelyyn.

Tietoturvapolitiikka

• Tietoturvapolitiikka on organisaation yleisohje tietoturvaan ja tietosuojaan liittyen.
• Se koostuu organisaation johdon hyväksymistä yleisistä säännöistä ja käytän­nöistä.
• Tietoturvapolitiikka määrittää ja luo tietoturvatasot, jotka ovat tarpeelli­set haluttujen luottamuksel­li­suus­tavoitteiden saavuttamiseksi.
• Suojaus­käytäntö määrittää, miten organisaatio hallinnoi, suojaa ja jakaa arkaluontoisia tietoja.
• Suojaus­käytäntöja voi luokitella kolmeen tyyppiin: Sääntelykäytännöt, neuvoa-antavat toimintaperiaatteet ja informatiiviset käytännöt.

Tietoturvan tärkeys

• Digitaalisaatiossa usean IT-toimijan yhteistyö on välttämätöntä.
• Tietoturva on jatkuva prosessi, jossa kaikilla osapuolilla on rooli.
• Riskianalyysi on olennaisinta vaihetta tietoturvan hallintaan.
• Riskienhallintaa tulisi ohjata periaatteella: "Vahingon ehkäisyn kustannukset (Burden B)< vahingon aiheuttama menetys (L) x vahingon todennäköisyys (P).
• Tiedon luokittelu ja suojaustasot ovat tärkeitä tietoturvan hallinnassa.

Description

Tässä tietoturvaan ja tietosuojaan liittyvässä tietovisassa käsitellään eri näkökulmia tietojärjestelmien suojaamisesta luvattomalta pääsyltä. Tutustu kyberuhkamalleihin, hallinnolliseen ja teknilliseen tietoturvaan, sekä yritysjohdon vastuisiin. Tämä visailu tarjoaa kattavan yleiskatsauksen aiheeseen.