Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Upcoming SlideShare
What to Upload to SlideShare
Next
Download to read offline and view in fullscreen.

Share

Tietosuojastandardit

Download to read offline

Diasarja esittelee tietosuojaan keskeisesti liittyvät ISO/IEC-standardit 29151 ja 29134 ja kuinka niitä voidaan käyttää hyväksi tietosuojaan liittyvissä tehtävissä. Tavoitteena on tukea tietosuojastandardien sisällyttämistä tietoturvallisuuden hallintajärjestelmiä käsitteleviin opetussuunnitelmiin ja kurssien sisältöön.

Aineistossa ei käsitellä kaikkia tietosuojaan liittyviä standardeja yksityiskohtaisesti, vaan yleisen johdanto-osan jälkeen esitellään joidenkin standardien keskeiset sisällöt ja pääkohdat.

Opetuskokonaisuus on kaksi 45 min oppituntia
Diat soveltuvat tietosuojastandardien esittelyyn ainakin tietotekniikkaan, tietojenkäsittelytieteisiin, tietoturvaan,johtamiseen ja standardisointiin liittyvillä syventävillä kursseilla yliopistoissa ja ammattikorkeakouluissa.

Aineisto on tuotettu SFS:n projektirahoituksella

Related Books

Free with a 30 day trial from Scribd

See all
  • Be the first to like this

Tietosuojastandardit

  1. 1. Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät. Tietosuojastandardit Diasarja oppilaitoksille Suomen Standardisoimisliitto SFS ry 2019 1.11.2019
  2. 2. Tervetuloa luentoaineiston käyttäjäksi! Aineisto on suunnattu ammattikorkeakoulujen ja yliopistojen opettajille ja opiskelijoille. Diasarja esittelee tietosuojaan keskeisesti liittyvät ISO/IEC-standardit 27701, 29151 ja 29134 ja kuinka niitä voidaan käyttää hyväksi tietosuojaan liittyvissä tehtävissä. Tavoitteena on tukea tietosuojastandardien sisällyttämistä tietoturvallisuuden hallintajärjestelmiä käsitteleviin opetussuunnitelmiin ja kurssien sisältöön. Tässä aineistossa ei käsitellä kaikkia tietosuojaan liittyviä standardeja yksityiskohtaisesti, vaan yleisen johdanto-osan jälkeen esitellään joidenkin standardien keskeiset sisällöt ja pääkohdat. Aineisto on tuotettu SFS:n projektirahoituksella. 1.11.2019
  3. 3. Aineiston käyttö ja tekijänoikeudet • Tämän luentoaineiston tekijänoikeudet omistaa Suomen Standardisoimisliitto SFS ry. • Esitystä saa vapaasti käyttää opetustarkoituksiin ja sitä saa tarvittaessa muokata. Aineistoa lainattaessa lähde tulee mainita. • Aineiston käyttö kaupallisiin tarkoituksiin on kielletty. • Tämä materiaali on päivitetty viimeksi 1.11.2019. 1.11.2019
  4. 4. Sisältö • Opetuskokonaisuus • Tietosuojan tarve ja periaatteet • Tietosuojanhallinta ja siihen liittyvät käsitteet • Standardit ja lainsäädäntö • Tietosuojan varmistaminen • Kokemuksia ja hyötyjä standardien käytöstä 1.11.2019
  5. 5. Opetuskokonaisuus • Opetuskokonaisuus on kaksi 45 min oppituntia • Diat soveltuvat tietosuojastandardien esittelyyn ainakin tietotekniikkaan, tietojenkäsittelytieteisiin, tietoturvaan, johtamiseen ja standardisointiin liittyvillä syventävillä kursseilla yliopistoissa ja ammattikorkeakouluissa. • Aineistoa voi käyttää yhdessä SFS:n tuottaman ISO/IEC 27000 - sarjaa käsittelevän materiaalin kanssa, jolloin ne muodostavat yhtenäisen kokonaisuuden tietoturvallisuuden hallinnasta ja tietosuojasta. Tällöin kannattaa 27000 -sarjaa koskeva esitys käydä ensin läpi. 1.11.2019
  6. 6. Mitä on tietosuoja? • Tietosuoja on kaikkien henkilöiden lakisääteinen perusoikeus suojata omia henkilötietojaan • Tietosuojan tarkoituksena on osoittaa milloin ja millä edellytyksillä henkilötietoja voidaan käsitellä • Henkilötietoja käsitteleviltä organisaatioilta edellytetään kohtuullisia toimenpiteitä tietojen suojaamiseksi • Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön 1.11.2019
  7. 7. 1.11.2019 • Nimi ja kotiosoite • Sähköpostiosoite • Puhelinnumero • Henkilökortin numero • Auton rekisterinumero • Paikannustiedot (esim. matkapuhelimesta) • IP-osoite • Potilastiedot • Lemmikin eläinlääkäritiedot • Isoisoisovanhempien perinnöllisiä sairauksia koskevat tiedot Esimerkkejä henkilötiedoista
  8. 8. Miten henkilötietoja tulee käsitellä? • Henkilötietojen käsittelyyn on vaatimuksia useissa eri laeissa • Henkilötietojen käsittelyn on oltava luottamuksellista ja turvallista • Henkilötietoja periaatteiden mukaan käsitellä vain tiettyä nimenomaista ja laillista tarkoitusta varten • Tietoja saa kerätä vain käsittelyn tarvettava vastaavan määrän • Tietojen säilytystavalla ei ole merkitystä • Henkilötietojen tietosuojaperiaatteet tarjoavat yleisesti hyväksytyt säännöt henkilötietojen käsittelyyn 1.11.2019
  9. 9. 1.11.2019 • Suostumus ja valinnanvapaus • Tarkoituksen laillisuus ja määrittely • Tiedonkeruun rajoittaminen • Tiedonkäsittelyn rajoittaminen • Käytön, säilytyksen ja luovuttamisen rajoittaminen • Oikeellisuus ja laatu • Avoimuus, läpinäkyvyys ja ilmoittaminen • Omien tietojen tarkistusoikeus • Vastuullisuus • Tietoturvallisuus • Tietosuojavaatimusten noudattaminen Tietosuojaperiaatteet Lähde: SFS-ISO/IEC 29100
  10. 10. Tietosuoja edellyttää tietoturvallisuutta Tietoturva Tietosuoja Luottamuksellisuus Eheys Saatavuus Salassapito Rekisteröidyn oikeudet 1.11.2019
  11. 11. Tietosuojan keskeiset käsitteet • Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön. • Rekisteröity on henkilö, jota henkilötieto koskee. • Rekisterinpitäjäksi kutsutaan henkilöä, yritystä, viranomaista tai yhteisöä, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. • Henkilötietojen käsittelijäksi kutsutaan rekisterinpitäjästä ulkopuolista tahoa, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. • Vaikutustenarviointi on toimenpide, jonka arvioidaan tietoihin kohdistuvia riskejä ja toimenpiteitä niiden hallitsemiseksi. 1.11.2019
  12. 12. Tietosuojaa määrittävä lainsäädäntö • EU:n yleinen tietosuoja-asetus • Tietosuojalaki • Tietosuojadirektiivi • Laki sähköisen viestinnän palveluista • Työelämän tietosuojalaki • Luottotietolaki 1.11.2019
  13. 13. Tietosuojaan liittyvät standardit • Tietosuojaa olennaisesti ohjaavia standardeja löytyy 29000-sarjasta • 27000-sarjassa on kuvattu tietoturvallisuuden hallintamenetelmään liittyvät standardit, joista osa koskee myös suoraan tietosuojaa • Uusin tietosuojastandardi SFS-ISO/IEC 27701 liittää yhteen sekä 27000-sarjan tietoturvallisuuden hallinnan standardit että 29000- sarjan tietosuojastandardit 1.11.2019
  14. 14. RiskienhallintaHallintajärjestelmät/-mallit Tietosuojaan liittyvät standardit ISO/IEC 27001 Tietoturvallisuuden hallinta ISO/IEC 27002 Tietoturvallisuuden hallinnan ohjeistus ISO/IEC 27018 Pilvipalvelut ISO/IEC 27005 Riskienhallinta ISO/IEC 29134 Tietosuojavaikutusten arviointi ISO/IEC 29151 Henkilötietojen suojaamisen ohjeistus ISO/IEC 29100 Tietosuojamalli ISO/IEC 27009 Toimialakohtaiset soveltamisohjeet 1.11.2019 ISO/IEC 27701 Tietosuojavaatimukset ja –ohjeet Hallintakeinot
  15. 15. Tietosuojaan liittyvät standardit • SFS-ISO/IEC 29100 Informaatioteknologia. Turvallisuus. Tietosuojan perusteet • ISO/IEC 29101 Information technology. Security techniques. Privacy architecture framework • SFS-ISO/IEC 29151:2018 Informaatioteknologia. Turvallisuustekniikat. Menettelyohjeet henkilötietojen suojaamiseen • SFS-ISO/IEC 29134:2018 Informaatioteknologia. Turvallisuustekniikat. Ohjeita tietosuojavaikutusten arviointiin • SFS-ISO/IEC 29190:2015 Informaatioteknologia. Turvallisuustekniikat. Tietosuojakyvykkyyden arviointimalli. 1.11.2019
  16. 16. Tietosuojaan liittyvät 27000 -sarjan standardit 1/2 Standardiperhe Informaatioteknologia – Turvallisuustekniikat – Tietoturvallisuuden hallintajärjestelmät • 27000:2015 - Yleiskatsaus ja sanasto - Overview and vocabulary • 27001:2013 - Vaatimukset - Requirements • 27002:2013 - Tietoturvallisuuden hallintakeinojen menettelyohjeet - Code of practice for information security controls • 27003:2010 - Tietoturvallisuuden hallintajärjestelmän toteuttamisohjeita - Information security management system implementation guidance • 27004:2009 - Mittaaminen - Measurement 1.11.2019
  17. 17. Tietosuojaan liittyvät 27000 -sarjan standardit 2/2 • 27005:2011 – Tietoturvariskien hallinta – Information security risk management • 27018:2014 – Menettelyohjeet henkilötietojen suojaamiseen henkilötietoja käsittelevissä julkisissa pilvipalveluissa – Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors • 27701:2019 – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management – Requirements and guidelines 1.11.2019
  18. 18. Henkilötietojen käsittelyn toimenpiteet Seloste henkilötietojen käsittelytoimista Rekisteröidyn informointi tietojenkäsittelystä Vaikutustenarviointi Riskien arviointi Suojaustoimenpiteiden toteuttaminen 1.11.2019
  19. 19. Tietosuojastandardien käyttö 29100 ja 29101 Tietosuojamalli Hallinnollinen viitekehys 29151 Hallintakeinot Organisatoriset ja tekniset toimenpiteet tietosuojan varmistamiseen 29134 Vaikutusten arviointi Tietosuojaan liittyvien riskien kartoitus 1.11.2019 27701 Tietosuojan hallintamalli
  20. 20. SFS-ISO/IEC 27001 mukaan toimiville organisaatioille 27701 • SFS-ISO/IEC 27701 laajentaa 27001 ja 27002 hallintakeinoja ja ohjeistusta tietosuojan osalta • Jos organisaatiolla on 27001:n mukainen tietoturvallisuuden hallintajärjestelmä, niin 27701 suoraviivainen tapa huomioida tietosuoja 1.11.201920 27001 27701 information security information security and privacy information security policy information security and privacy policy information security management system (ISMS) privacy information management system (PIMS)
  21. 21. SFS-ISO/IEC 27701 tietosuojan hallintajärjestelmä • Esittää vaatimukset tietosuojan hallintajärjestelmälle (privacy information management system, PIMS) • Standardissa on vaatimuksia ja ohjeita sekä rekisterinpitäjille että käsittelijöille • Hallintatavoitteet ja –keinot tavoitteet laajentavat ISO/IEC 27001 liitettä A tietosuojan varmistamista käsittelevillä tavoitteilla ja - keinoilla • Liitteessä D vaatimusten ja ohjeistusten väliset yhteydet EU:n tietosuoja-asetuksen artikloihin 1.11.2019
  22. 22. Tietosuojamalli – SFS-ISO/IEC 29100 • Tietosuojamalli auttaa organisaatiota tunnistamaan vaatimukset henkilötietojen suojaamiseen • Tietosuojamallissa määritellään • toimijat ja roolit • vuorovaikutukset • henkilötietojen tunnistaminen • yksityisyyden suojaamisen vaatimukset • tietosuojamenettelyt • tietosuojan hallintakeinot • Lisäksi standardissa sisältää tietosuojaperiaatteiden laajemmat kuvaukset huomioitavaksi organisaation toiminnassa 1.11.2019
  23. 23. Hallintakeinot – SFS-ISO/IEC 29151 • Kyseinen standardi on tietosuojaa koskeva laajennus 27001- hallintamallin liitteen A hallintakeinoille • 27002 kuvaa tietoturvallisuuden hallintakeinot vastaavalla tasolla kuin 29151 • Hallintakeinot ovat konkreettisia toimenpiteitä tietosuojan varmistamiseksi, kuten • Pääsyoikeuksien myöntäminen • Järjestelmien ja sovellusten pääsynhallinta • Tietojen salaaminen • Laitteiden suojaaminen • Lokitietojen suojaaminen • Toimittajasuhteiden hallinta ja tietoturvallisuus • Tietoturvahäiriöiden hallinta 1.11.2019
  24. 24. SFS-ISO/IEC 29151 rakenne Luvut 1-4 Soveltamisala Viittaukset Määritelmät Yleiskatsaus Luvut 5-18 ISO/IEC 27002:n mukainen otsikointi Liite A Hallintakeinot Velvoittava osa standardia Tarkennuksia ISO/IEC 27002:n hallintakeinoihin 1.11.2019
  25. 25. 1.11.2019 • A.2 Henkilötietojen suojaamisen ja käytön yleiset toimintaperiaatteet • A.3 Suostumus ja valinnanvapaus • A.4 Tarkoituksen laillisuus ja määrittely • A.5 Tiedonkeruun rajoittaminen • A.6 Tiedonkäsittelyn rajoittaminen • A.7 Käytön, säilytyksen ja luovuttamisen rajoittaminen • A.8 Oikeellisuus ja laatu • A.9 Avoimuus, läpinäkyvyys ja ilmoittaminen • A.10 Rekisteröidyn omien tietojen tarkistusoikeus • A.11 Vastuut ja velvollisuudet • A.12 Tietoturvallisuus • A.13 Tietosuojavaatimusten noudattaminen Tietosuojan hallintakeinot (liite A)
  26. 26. Esimerkki hallintakeinosta1.11.2019
  27. 27. Tietosuojavaikutustenarviointi – SFS-ISO/IEC 29134 • SFS-ISO/IEC 29134 antaa suosituksia vaikutustenarviointiprosessiin ja vaikutusten arviointiraportin rakenteeseen ja sisältöön • Vaikutustenarvioinnin tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä • Vaikutustenarviointi on tehtävä silloin, kun suunniteltu käsittely todennäköisesti aiheuttaa korkean riskin ihmisten oikeuksille ja vapauksille • Standardia voivat soveltaa kaikentyyppiset organisaatiot, joilta edellytetään vaikutustenarvioinnin tekemistä 1.11.2019
  28. 28. Vaikutustenarviointia velvoittavat tilanteet • Vaikutustenarviointi on tehtävä erityisesti silloin, kun • henkilötietojen käsittelyssä käytetään uutta teknologiaa • käsitellään laajamittaisesti rikostuomioita, rikkomuksia tai erityisiä henkilötietoryhmiä, kuten terveystietoja, etnistä alkuperää, poliittisia mielipiteitä, uskonnollista vakaumusta tai seksuaalista suuntautumista • henkilön henkilökohtaisia ominaisuuksia arvioidaan automaattisen käsittelyn avulla, järjestelmällisesti ja kattavasti, ja arvio johtaa päätöksiin, joilla on oikeusvaikutuksia tai jotka muuten vaikuttavat henkilöön merkittävästi • yleisölle avointa aluetta valvotaan järjestelmällisesti ja laajamittaisesti. https://tietosuoja.fi/vaikutustenarviointi 1.11.2019
  29. 29. Vaikutustenarvioinnin vaiheet Tarvitaanko vaikutustenarviointia? Arvioinnin suunnittelu Kyllä Valmis Ei Arvioinnin käynnistys Arviointisessiot Arviointiraportti Raportin korjausehdotusten toteutus ja uudelleenarviointi 1.11.2019
  30. 30. Vaikutusarvioinnin suunnittelu • Arviointiryhmän nimeäminen ja ohjeistus • Arviointisuunnitelman laatiminen ja tarvittavien resurssien määrittäminen • Arvioinnin kohteen kuvaus • Sidosryhmien osallistaminen • Sidosryhmien tunnistaminen • Konsultointisuunnitelman laatiminen • Sidosryhmien konsultointi tarpeen mukaan 1.11.2019
  31. 31. Vaikutustenarvioinnin suorittaminen • Henkilötietojen tietovirtojen tunnistaminen • Käyttötapauskaavioiden analysointi • Olennaisten yksityisyyden suojaamisen vaatimusten määrittäminen • Tietosuojariskien arvioiminen • Riskien tunnistaminen • Riskien analysoiminen • Riskien merkitysten arviointi • Tietosuojariskien käsittelyyn valmistautuminen • Käsittelytapojen valinta • Hallintakeinojen määrittäminen • Tietosuojariskien käsittelysuunnitelman laatiminen 1.11.2019
  32. 32. Vaikutustenarvioinnin raportointi ja seuranta • Vaikutustenarviointitaportin laatiminen • Raportin julkaisu sidosryhmille • Tietosuojariskien käsittelysuunnitelman toteuttaminen • Tietosuojavaikutusten arvioinnin katselmointi tai auditointi • Toimintaprosesseihin tehtävien muutosten tarkastelu 1.11.2019
  33. 33. Tietosuojavaikutusten arviointiraportti • Raportin sisältö tulisi mukauttaa kulloiseenkin tilanteeseen eli ei ole yhtä oikeaa raporttipohjaa • Esimerkki raportin sisällöstä • Arvioinnin laajuus ja rajaukset sekä arviointiin käytetyt resurssit • Järjestelmävaatimusten ja arkkitehtuurien kuvaukset • Toimintasuunnitelmat ja -konseptit • Riskiarvioinnin tulokset • Tunnistetut riskit ja niiden arvioinnin tulokset • Riskien käsittelysuunnitelma • Johtopäätökset ja päätökset • Julkinen tiivistelmä tuloksista 1.11.2019
  34. 34. SFS-ISO/IEC 29134 standardin apuliitteet • Liite A: Tietosuojaluokkauksen vaikuttavuuden ja todennäköisyyden skaala • “Mitä tarkoittaa luokkauksesta aiheutuva merkittävä haitta henkilölle?” • Liite B: Yleisiä tietosuojauhkia • Nopeuttaa ja helpottaa uhkien tunnistamista arvioinnin aikana • Liite C: Käytettyjen termien selityksiä • Liite D: Esimerkkikuvia henkilötietojen käsittelyprosessista ja riskikartasta 1.11.2019
  35. 35. 1.11.2019 • ISO/IEC 29134 PIA • PIA – Privacy Impact Assessment • Malli vaikutusten-arvioinnin tekemiseen • EU GDPR DPIA • DPIA - Data Protection Impact Assessments • Tietosuoja-asetuksen edellyttämä vaikutustenarviointi PIA vs DPIA 29134 PIA on yksi tapa tehdä tietosuoja-asetuksen edellyttämä vaikutustenarviointi (DPIA)
  36. 36. SFS-ISO/IEC 27018 – Henkilötietojen suojaaminen julkisissa pilvipalveluissa 1.11.2019
  37. 37. Esimerkki hallintatoimenpiteen tarkennuksesta • SFS-ISO/IEC 27002:n hallintakeino 6.1.1 määrittää tietoturvaroolit ja -vastuut • Kaikki tietoturvavastuut olisi määriteltävä ja jaettava • Toteuttamisohjeet ja lisätiedot tarkentavat hallintakeinoa • SFS-ISO/IEC 27018 määrittää, että • 27002 määrittelyt ovat voimassa • Lisäksi henkilötietoja käsittelevän julkisen pilvipalvelun olisi nimettävä yhteydenottopiste pilvipalvelun asiakkaalle sopimuksen alaisten henkilötietojen käsittelyä koskien 1.11.2019
  38. 38. Tietosuojastandardien käytön hyödyt • Esitellyt standardit tarjoavat valmiita työkaluja kaikille organisaatioille tietosuojan varmistamiseen • Nopeuttaa vaikutustenarvioinnin tekemistä • Helpottaa riskien tunnistamista ja tarjoaa apua riskiarvioinnin tekemiseen • Helpottaa henkilötietojen käsittelyyn liittyvien uhkien tunnistamista • Standardeissa kuvatut käytännöt on yleisesti hyväksyttyjä toimenpiteitä tietosuojan varmistamiseksi 1.11.2019
  39. 39. Standardien merkinnät • ISO → ISO:n vahvistama kansainvälinen standardi • EN → CEN:n vahvistama eurooppalainen standardi • SFS → SFS:n vahvistama suomalainen standardi • Yhdistelmät • Tunnusyhdistelmä SFS-EN tarkoittaa, että sama standardi on voimassa sekä Suomessa että Euroopassa • SFS-ISO puolestaan sitä, että standardi on voimassa Suomessa ja ISOssa, mutta sitä ei CENissä • SFS-EN ISO tarkoittaa, että standardi on vahvistettu kaikissa kolmessa organisaatiossa 1.11.2019
  40. 40. Lisätietoa standardeista • ISO:n online browsing platform -palvelu • http://www.iso.org/obp/ui • 27K-standardiperheestä vastaa kansainvälinen ISO/IEC JTC 1/SC 27 -komitea. • Working Group 1:n vastaa tietoturvallisuuden hallinnasta. • WG 5 vastaa tietosuojaan liittyvistä teknologioista. • Lisätietoa https://www.iso.org/committee/45306.html • Suomen osalta SFS:n seurantaryhmä SR 307 Tietoturvatekniikat seuraa komitean ja sen työryhmien työtä ja lähettää kansallisia kannanottoja. • Lisätietoja https://www.sfs.fi 1.11.2019

Diasarja esittelee tietosuojaan keskeisesti liittyvät ISO/IEC-standardit 29151 ja 29134 ja kuinka niitä voidaan käyttää hyväksi tietosuojaan liittyvissä tehtävissä. Tavoitteena on tukea tietosuojastandardien sisällyttämistä tietoturvallisuuden hallintajärjestelmiä käsitteleviin opetussuunnitelmiin ja kurssien sisältöön. Aineistossa ei käsitellä kaikkia tietosuojaan liittyviä standardeja yksityiskohtaisesti, vaan yleisen johdanto-osan jälkeen esitellään joidenkin standardien keskeiset sisällöt ja pääkohdat. Opetuskokonaisuus on kaksi 45 min oppituntia Diat soveltuvat tietosuojastandardien esittelyyn ainakin tietotekniikkaan, tietojenkäsittelytieteisiin, tietoturvaan,johtamiseen ja standardisointiin liittyvillä syventävillä kursseilla yliopistoissa ja ammattikorkeakouluissa. Aineisto on tuotettu SFS:n projektirahoituksella

Views

Total views

610

On Slideshare

0

From embeds

0

Number of embeds

54

Actions

Downloads

11

Shares

0

Comments

0

Likes

0

×