Tietoturva ja Tietosuoja

Questions and Answers

Mitä tarkoittaa tietoturva?

• Tietoturva on vain lainsäädäntöä, joka suojaa tietoja.
• Tietoturva varmistaa tiedon käytettävyyden, eheyden ja luottamuksellisuuden. (correct)
• Tietoturva keskittyy vain ulkopuolisten hyökkäysten estämiseen.
• Tietoturva on vain teknisiä toimenpiteitä.

Mikä seuraavista on osa kyberturvallisuutta?

• Fyysinen turvallisuus liiketiloissa.
• Moottorin suojaus auton tietokonejärjestelmässä.
• Kyberuhkamalli, joka kuvaa uhkien vaikutusmekanismeja. (correct)
• Sähkölaitteiden kunnossapito.

Miten voidaan vähentää riskiä joutua tietoturvahyökkäyksen kohteeksi?

• Estämällä kaikki ulkopuolinen pääsy järjestelmiin.
• Käyttämällä salattua viestintää ja vahvoja salasanoja. (correct)
• Vähentämällä käyttäjien määrää.
• Rajoittamalla ohjelmistopäivityksia.

Mikä on tietosuojan rooli tietoturvatyössä?

Tietosuoja on tietoturvan toteuttamiskeino. (C)

Mitä tietoturvapoikkeamat tarkoittavat?

Ne ovat merkittäviä tapahtumia, joihin tulisi reagoida. (A)

Mikä on yrityksen tai organisaation tietoturvapoliittisen strategian merkitys?

Se määrittää välineet, joilla tietoturva toteutetaan. (D)

Miten kyberuhkat voivat vaikuttaa yhteiskunnan elintärkeisiin toimintoihin?

Ne voivat aiheuttaa merkittäviä häiriöitä ja vaarantaa kriittisen infrastruktuurin. (B)

Mikä seuraavista ei ole osa tietoturvan kehittämistä?

Kustannusten kehittämisen ensisijaisuus turvallisuuden sijasta. (D)

Mikä seuraavista kuuluu hallinnollisen tietoturvallisuuden perusasioihin?

Riskiarviointi (A)

Mitä tarkoittaa tietoturvan luottamuksellisuus?

Tietojen suojaaminen vain oikeutettujen käyttäjien käytettäväksi (C)

Mikä seuraavista ei sisälly Parkerian Hexad -malliin?

Riskiarviointi (D)

Miksi yrityksen johtoportaalla on tärkeä rooli tietoturvassa?

Heidän on sitouduttava tietoturvaan ja tietosuojaan (D)

Mikä seuraavista on osa laajennettua tietoturvaluokitusta?

Pääsynvalvonta (A)

Mikä seuraavista kuvaa parhaiten tietoturvakomponenttien keskinäisiä suhteita?

Ne ovat erottamattomasti yhdistettyjä (B)

Mikä on tietoturvan perinteinen luokitusmalli?

CIA-triadi-malli (A)

Mikä seuraavista on tärkeä elementti tietoturvan jatkuvuuden varmistamiseksi?

Hallinnollinen tietoturvallisuus (D)

Miten eheys varmennetaan ohjelmistoteknisin ratkaisuin?

Tarkastamalla tallennus- ja tiedonsiirto-operaatiot vahvistussummilla tai tiivisteillä (C)

Mikä seuraavista kuvastaa saatavuutta tietojärjestelmässä?

Automatisoitu tiedonhaku, jonka avulla tiedot saadaan nopeasti käyttöön (C)

Mikä seuraavista menetelmistä liittyy pääsynvalvontaan?

Estää ulkopuolisia käyttämästä yrityksen laitteita (D)

Miten kiistämättömyys auttaa tietojärjestelmässä?

Se tunnistaa ja tallentaa käyttäjien käyttötiedot (C)

Miten eheys voidaan varmistaa laitteistotasolla?

Hyödyntämällä virheiden tunnistamiseen ja korjaamiseen tarkoitettuja mekanismeja (A)

Mikä on tunnistaminen tietojärjestelmässä?

Menetelmä, joka liittyy käyttäjän henkilöllisyyden varmistamiseen (B)

Mikä seuraavista ei kuulu tietojen luottamuksellisuuden keinoihin?

Eheys (A)

Mikä on tärkein syy valtuutuksen käyttämiselle tietojärjestelmissä?

Antaa käyttöoikeus valtuutetuille henkilöille ja järjestelmille (B)

Mikä seuraavista asioista ei kuulu VAHTI-asiakirjan osa-alueisiin?

Taloudellinen turvallisuus (D)

Mikä laki määrittelee salassa pidettävien terveys­Tietojen riittävän hyvän suojaamisen?

HITECH (A)

Mitä tarkoittaa GDPR:n noudattamisen osalta 'osoitusvelvollisuus'?

Velvollisuus osoittaa asetuksen täyttyminen (D)

Mikä seuraavista ei ole GDPR:n tavoitteita?

Henkilötietojen vapaa käyttö (D)

Mitä tapahtuu, jos henkilötietojen rikkoutumisesta ei ilmoiteta ajallaan?

Tietosuojavaltuutettu voi määrätä hallinnollisia sanktioita (B)

Miksi HIPAA-lakia ei voida soveltaa sellaisenaan Suomessa?

Koska Suomen lainsäädäntö on erilainen (D)

Mikä seuraavista on EU:n GDPR:n mukana tuo­mia velvoitteita?

Henkilötietojen käsittelyn luvallisuus (D)

Mihin tietosuojarikkomuksen epäillessä siirretään asia?

Poliisin käsittelyyn (C)

Miten lasketaan riskiluku (RL)?

Kertomalla todennäköisyys vaikutuksella (D)

Mikä seuraavista kuvaa parhaiten säilytettävien tietojen suojaustasoa?

Tietojen luokittelu ja käsittely (B)

Mikä seuraavista on tietoturvapolitiikan tyyppejä?

Neuvoa-antavat toimintaperiaatteet (D)

Mitä tarkoitetaan sääntelykäytännöillä?

Pakolliset täytännöt alan säädösten noudattamiseksi (C)

Mikä on vahingon ehkäisyn kustannusten laskentakaava?

Menetyksen ja todennäköisyyden tulo (B)

Mikä on tietoturvapolitiikan tärkein tarkoitus?

Suojaa organisaation tiedot ja varmistaa luottamuksellisuus (C)

Mikä seuraavista ei ole osa tietoturvapolitiikkaa?

Organisaation kannattavuuden analysointi (A)

Miksi on tärkeää määritellä tiedon omistaja?

Tietojen oikeellisuuden ja hallinnan varmistamiseksi (A)

Study Notes

Tietoturva ja Tietosuoja

• Tietoturvallisuus käsittää toimenpiteitä tietojärjestelmien suojaamiseksi luvattomilta pääsyltä sekä tärkeän tiedon suojaamiseksi ulkopuolisilta. Tavoitteena on varmistaa tiedon saatavuus, eheys ja luottamuksellisuus.
• Tietosuoja (information security) on yksi tietoturvan toteuttamiskeino.
• Kyberuhkamalli kuvaa kyberuhkien vaikutuksia, kuten häiriöitä, uhkan mekanismeja, vaikutteita kohteisiin ja vaikutteita yhteiskunnan elintärkeisiin toimintoihin.
• Yrityksen johdon on oltava sitoutunut tietoturva ja tietosuoja asioihin.
• Tietoturva ja tietosuoja koskettavat kaikkia yrityksen toimintoja.
• Tietoturva koostuu hallinnollisista, teknillisistä ja fyysisistä osa-alueista.
• Hallinnollinen tietoturvallisuus sisältää tietoturvallisuuden johtamisen, jonka avulla varmistetaan toiminta­jatkuvuus. Tämä sisältää mm. tietosuoja-asetuksen noudattamisen ja tietoturva­politiikan luomisen ja ylläpidon.
• Tietoturvakomponenttien keskinäiset yhteydet ovat tärkeitä tietojärjestelmän suojaamisen kannalta.

Tietoturvaluokitukset

• CIA-triadi -malli sisältää luottamuksellisuuden (Confidentiality), eheyden (Integrity) ja saatavuuden (Accessibility).
• Laajennettu tietoturvaluokitus sisälttää CIA-triadin lisäksi kiistämättömyyden (Non-Repudiation), pääsynvalvonnan (Access Control) ja tunnistamisen (Authentication).
• Parkerian Hexad -malli sisältää seuraavat kuusi tietoturvaelementtiä: Luottamuk­sellisuus, eheys, saatavuus, hallussapito/hallinta, aitous ja hyödyllisuus.
• Luottamuksellisuus: Tietojärjestelmän tietojen saatavillaolo vain niille, joilla on oikeu­det.
• Eheys: Tietojärjestelmien tietojen paik­kan­sa­pitävyys ja virheettömyys.
• Saatavuus: Val­tuutettujen henkilöiden ja järjestelmien kyky käyttää tieto­järjestelmää.
• Kiistämättömyys: Järjestelmäkäskyjen käyttötied­on tallenta­minen, joka mahdollistaa tiedon alkuperän tunnis­ta­mi­sen.
• Pääsynvalvonta: Menetelmät, joilla estetään ulkopuolisten pääsyn yrityksen laitteille.
• Tunnistaminen: Tietojärjestelmän käyttä­jien luotet­tava tunnistaminen (esimerkiksi salasanoilla tai digitaalisilla alle­kirjoituksin).

Tietojen luokittelu ja käsittely

• Iso 27002 standardia voidaan hyödyntää tietojen luo­kittelussa. Standardi sisältää ohjeita tiedon omistaja­n määrit­telulle, säily­ty­s­a­jan määritel­lä­lle ja varmuuskopioin­tia­lle.

GDPR (General Data Protection Regulation)

• GDPR -asetus koskee henkilötietojen käsittelyä sekä julkisella että yksityisellä sektorilla.
• Asetus on voimassa koko EU-alueella ja tuli voimaan 25.5.2018.
• Asetuksen tarkoituksena on varmistaa ihmisten tietosuojan ja yksity­i­syyden oikeudet.
• GDPR:ssä määriteltyjä henkilötietoja ovat:
  • Nimi
  • Osoite
  • Sähköpostiosoitteet
  • Puhelinnumerot
  • Syntymäpäivät
  • Kuvat
  • Videot
  • Biometriset tiedot
• Yrityksillä ja organisaatiolla on velvollisuus ilmoittaa tietoturva­rikkomuksista sekä henkilöille että viranomaisille.
• Tietosuojaval­tuutettu voi määrätä hallinnollisia sankti­oita asetuk­sen noudattamatta jättämisestä. Jos epäillä­ään­ ri­ko­sta, menee asia poliisin käsittelyyn.

Tietoturvapolitiikka

• Tietoturvapolitiikka on organisaation yleisohje tietoturvaan ja tietosuojaan liittyen.
• Se koostuu organisaation johdon hyväksymistä yleisistä säännöistä ja käytän­nöistä.
• Tietoturvapolitiikka määrittää ja luo tietoturvatasot, jotka ovat tarpeelli­set haluttujen luottamuksel­li­suus­tavoitteiden saavuttamiseksi.
• Suojaus­käytäntö määrittää, miten organisaatio hallinnoi, suojaa ja jakaa arkaluontoisia tietoja.
• Suojaus­käytäntöja voi luokitella kolmeen tyyppiin: Sääntelykäytännöt, neuvoa-antavat toimintaperiaatteet ja informatiiviset käytännöt.

Tietoturvan tärkeys

• Digitaalisaatiossa usean IT-toimijan yhteistyö on välttämätöntä.
• Tietoturva on jatkuva prosessi, jossa kaikilla osapuolilla on rooli.
• Riskianalyysi on olennaisinta vaihetta tietoturvan hallintaan.
• Riskienhallintaa tulisi ohjata periaatteella: "Vahingon ehkäisyn kustannukset (Burden B)< vahingon aiheuttama menetys (L) x vahingon todennäköisyys (P).
• Tiedon luokittelu ja suojaustasot ovat tärkeitä tietoturvan hallinnassa.

Description

Tässä tietoturvaan ja tietosuojaan liittyvässä tietovisassa käsitellään eri näkökulmia tietojärjestelmien suojaamisesta luvattomalta pääsyltä. Tutustu kyberuhkamalleihin, hallinnolliseen ja teknilliseen tietoturvaan, sekä yritysjohdon vastuisiin. Tämä visailu tarjoaa kattavan yleiskatsauksen aiheeseen.