Saku Tuominen

Saku Tuominen

Author works as information security and privacy specialist at Mint Security. He brings two decades of professional experience to the table.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

Tehtävien eriyttämisellä ISO 27001:ssa tarkoitetaan — sen lisäksi että sillä tarkoitetaan Liite A:n hallintakeinoa 6.1.2 — kaikkia niitä käytäntöjä, joissa tietyn prosessin suorittamiseen tarvittava tieto ja/tai oikeudet pilkotaan. Ne jaetaan useammalle henkilölle tai roolille siten, että yksikään henkilö ei pysty yksin suorittamaan tai täysin hallitsemaan kyseistä prosessia. Eriyttämisellä pyritään pienentämään erityisesti sellaisia riskejä, jotka liittyvät suojattavan omaisuuden tahattomaan tai tahalliseen väärinkäyttöön.

Eriyttämisen periaatteet

Tehtävien eriyttäminen voidaan toteuttaa tiettyä periaatetta soveltaen. Se, mitä periaatetta sovelletaan riippuu tehtävän laadusta, odotetusta lopputuloksesta ja erilaisista suoritusolosuhteisiin vaikuttavista tekijöistä.

Periaatteita on neljä.

1. Peräkkäinen erottaminen

Sovelletaan silloin kun toiminto tai tehtävä jaetaan useisiin, eri henkilöiden suorittamiin peräkkäisiin vaiheisiin

Esimerkki: valtuuksien ja käyttöoikeuksien pyytäminen sekä myöntäminen

3. Fyysinen erottaminen

Sovelletaan, kun toiminnon eri vaiheita suoritetaan useissa lokaatioissa

Esimerkki: kriittisten järjestelmien varmuuskopiointi-, palautus- ja jatkuvuuteen/toipumiseen liittyvät tehtävät

2. Yksilöllinen erottaminen

Sovelletaan, kun kahden henkilön on hyväksyttävä toiminto ennen sen toteuttamista
Yhteistoiminnan (salaisen sopimuksen) mahdollisuus on huomioitava

Esimerkki: ostolaskujen hyväksyntä ja maksu

4. Tekijöihin perustuva erottaminen

Sovelletaan, kun useat tekijät vaikuttavat toiminnon läpivientiin

Esimerkki: monitasoinen autentikointi

Periaatteiden soveltaminen

Näitä periaatteita voidaan soveltaa lisäksi myös esim. liiketoimintayksikkö- tai organisaatiotasolla. Ehdotonta vaatimusta tehtävien jakamisesta ainoastaan luonnollisten henkilöiden kesken ei ole; ylemmällä tasolla voidaan mukaan ottaa myös vaikka tiimejä tai kokonaisia yrityksiä (esim. konsernirakenteen ollessa kyseessä).

ISO 27002 mukaan olisi aina huolehdittava siitä, ”ettei yksittäinen henkilö voi päästä käsiksi, muuttaa tai käyttää suojattavaa omaisuutta ilman valtuutusta tai paljastumista. Tapahtuman suorittajan ja valtuuttajan olisi oltava eri henkilöitä.”

Mikäli eriyttämistä ei voida tehdä, on väärinkäytösten estämiseksi otettava käyttöön muita kompensoivia hallintakeinoja — kuten riittävän tarkka ja eheyden takaava audit-lokitus.

Toteuttaminen käytännössä

Ensimmäinen askel on tunnistaa tärkeät toiminnot ja vaaralliset työyhdistelmät. Kaikki sellaiset, joissa yksittäinen henkilö voisi itsekseen toimien aiheuttaa yritykselle mittavaa vahinkoa. Sen jälkeen toiminnot jaetaan vaiheisiin ja tunnistetaan, kuka on vastuussa mistäkin vaiheesta.

Vastuutuksen yhteydessä tarkistetaan, onko jonkin tietyn toiminnon vaiheilla päällekkäisiä vastuita. Tällaisia ristiriitoja tulisi välttää. Lisäksi tarkistetaan, onko jollakin tietyllä henkilöllä täysi määräysvalta prosessissa tai sen suorittamisessa.

Tehtävien eriyttäminen dokumentoidaan, soveltaen aiemmin mainittuja periaatteita. Suoritukseen osallistuville tahoille kommunikoidaan vastuut ja tarvittaessa annetaan asianmukainen koulutus tehtävän suorittamiseen.

Yhdenmukaisuus ja tukitoiminnot

Käyttöoikeuksien ja -valtuuksien tulee tukea tehtävien eriyttämisen toteuttamista. Tämä tarkoittaa että sen lisäksi, että tietty henkilö ei saisi suorittaa tiettyjä toiminnon vaiheita, hänen ei tulisi myöskään pystyä siihen. On siis syytä varmistaa, että myönnetyt käyttöoikeudet eivät ole liian laajoja.

Dokumentaation tulee olla yhdenmukainen muun ISMS-dokumentaation kanssa. Erityisesti tulee huomioida kaikki se, mitä organisaatiossa on kirjattu tietoturvarooleista ja -vastuista. Lisäksi myös riskinarviointi vaikuttaa tehtävien eriyttämiseen; sen ajantasaisuudesta ja oikeellisuudesta on hyvä pitää tiukasti huolta.

Writing requirements

ISO 27001 – keskeiset vaatimukset

Jokainen organisaatio on tietoturvatarpeiltaan ja -kyvykkyyksiltään yksilöllinen, eikä ISO 27001 pyri tätä tosiasiaa muuttamaan. Standardi ohjaa ottamaan käyttöön asianmukaisia prosesseja ja käytäntöjä, joilla parannetaan, selkeytetään ja ylläpidetään tietoturvaa luontaisena osana jokapäiväistä toimintaa.

Lue lisää »
Saku Tuominen

Saku Tuominen

Author works as information security and privacy specialist at Mint Security. He brings two decades of professional experience to the table.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.