Mitä kohta A.3.28 edellyttää?
Henkilötietojen käsittelyyn liittyvät tietoturvavaatimukset on tunnistettava, määriteltävä ja hyväksyttävä sovelluksia kehitettäessä tai hankittaessa.
Tämä ohjaus sijaitsee Jaetut suojaustoiminnot liite (A.3) ja edellyttää jäsenneltyä lähestymistapaa henkilötietoja käsittelevien sovellusten tietoturvavaatimusten määrittelyyn. Tämä koskee yhtä lailla sekä itse rakennettuja että kolmansilta osapuolilta hankittuja sovelluksia. Avainsana on "hyväksytty" – tietoturvavaatimukset on paitsi tunnistettava ja dokumentoitava, myös virallisesti allekirjoitettava ennen kehityksen tai hankinnan jatkamista.
Mitä liitteen B täytäntöönpano-ohjeissa sanotaan?
Liitteessä B (kohta B.3.28) annetaan seuraavat ohjeet:
- Salaus epäluotettaville verkoille — Organisaation tulisi varmistaa, että epäluotettavien tiedonsiirtoverkkojen kautta lähetettävät henkilötiedot salataan lähetystä varten.
- Epäluotettavien verkkojen määritelmä — Epäluotettaviin verkkoihin voivat kuulua julkinen internet ja muut organisaation operatiivisen hallinnan ulkopuolella olevat tilat.
- Käytännön rajoitukset — Joissakin tapauksissa (esim. sähköpostinvaihdossa) epäluotettavien tiedonsiirtoverkkojen ominaispiirteet voivat edellyttää, että osa otsikko- tai liikennetiedoista paljastetaan tehokasta siirtoa varten.
- Katso myös A.3.29: Turvallinen järjestelmäarkkitehtuuri ja suunnitteluperiaatteet asiaankuuluvia vaatimuksia varten
- Katso myös A.3.30: Ulkoistettu kehitys asiaankuuluvia vaatimuksia varten
Ohjeistus keskittyy erityisesti siirron aikaiseen salaukseen sovelluksen perustietoturvavaatimuksena. Tämä heijastaa sitä tosiasiaa, että henkilötietoja käsittelevät sovellukset lähettävät lähes aina tietoja verkkojen kautta, ja salaus on perustavanlaatuinen suoja sieppausta vastaan. Käytännön rajoitusten (kuten sähköpostin otsikoiden) tunnustaminen osoittaa pragmaattista lähestymistapaa – standardi tunnustaa, että kaikkea dataa ei voida salata kaikissa olosuhteissa.
Miten tämä vastaa GDPR:ää?
Kontrolli A.3.28 vastaa seuraavaa GDPR artikkeleita:
- 5 artiklan 1 kohdan f alakohta — Eheyden ja luottamuksellisuuden periaate, joka edellyttää henkilötietojen asianmukaista suojaa
- 32 artikla (1) a) — Vaatimus asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttamisesta, mukaan lukien henkilötietojen salaus
Molemmat artikkelit tukevat periaatetta, jonka mukaan henkilötietoja käsittelevissä sovelluksissa on oltava alusta alkaen suunnitellut asianmukaiset turvatoimet, joita ei lisätä jälkikäteen.
Täydellinen GDPR:n ja ISO 27701 -standardin välinen vastaavuus on lueteltu alla. GDPR-vaatimustenmukaisuusopas.
Mikä muuttui standardista ISO 27701:2019?
Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.
Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin kohdissa 6.11.1.2 (sovelluspalveluiden suojaaminen julkisissa verkoissa) ja 6.11.1.3 (sovelluspalvelutapahtumien suojaaminen). Vuoden 2025 painos yhdistää nämä kohdiksi A.3.28, ja sen soveltamisala on laajempi ja kattaa kaikki sovellusten tietoturvavaatimukset, ei pelkästään julkisen verkon ja tapahtumien tietoturvan. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.
Aloita ilmainen kokeilu
Haluatko tutkia?
Rekisteröidy ilmaiseen kokeilujaksoon tänään ja pääset käyttämään kaikkia ISMS.onlinen tarjoamia yhteensopivuusominaisuuksia
Mitä todisteita tilintarkastajat odottavat?
Arvioidessaan kohdan A.3.28 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:
- Tietoturvavaatimusten määrittely — Dokumentoidut turvallisuusvaatimukset kullekin henkilötietoja käsittelevälle sovellukselle, jotka kattavat todennuksen, valtuutuksen, salauksen, syötteen validoinnin, lokinkirjauksen ja tiedonkäsittelyn
- Hyväksyntätietueet — Todiste siitä, että asianmukainen viranomainen (esim. tietoturvatiimi, tietosuojavastaava tai arkkitehtuurin tarkastuslautakunta) on virallisesti tarkistanut ja hyväksynyt tietoturvavaatimukset ennen kehitystä tai hankintaa
- Salaus kuljetuksen aikana — Todiste siitä, että kaikki henkilötietoja epäluotettavien verkkojen kautta lähettävät sovellukset käyttävät TLS 1.2:ta tai uudempaa ja että varmenteet on määritetty oikein.
- Hankintojen turvallisuusarviointi — Hankittujen sovellusten osalta todisteet siitä, että henkilötietojen tietoturvavaatimukset sisältyivät hankintakriteereihin ja että valittu tuote täyttää ne
- Turvallisuustestaus — Todisteet siitä, että sovelluksia on testattu niiden tietoturvavaatimuksia vasten, mukaan lukien penetraatiotestauksen tai tietoturvakoodin tarkistuksen tulokset
Mitä asiaan liittyviä ohjausobjekteja on?
| Valvonta: | Yhteys |
|---|---|
| A.3.27 Turvallinen kehityssykli | Sovellustietoturvavaatimukset vaikuttavat turvalliseen kehitysprosessiin |
| A.3.26 Salauksen käyttö | Sovellusten kryptografisia vaatimuksia säätelee kryptografiakäytäntö. |
| A.3.23 Suojattu todennus | Todennus on keskeinen sovelluksen tietoturvavaatimus |
| A.3.10 Toimittajasopimukset | Hankittujen sovellusten on täytettävä toimittajasopimuksissa määritellyt tietoturvavaatimukset. |
| A.3.25 Lokikirjaus | Sovellusten lokikirjausvaatimukset tulisi määritellä osana tietoturvaspesifikaatiota |
Ketä tämä valvonta koskee?
A.3.28 on jaettu hallinta Tämä koskee sekä henkilötietojen rekisterinpitäjiä että käsittelijöitä. Kaikkien organisaatioiden, jotka kehittävät tai hankkivat sovelluksia henkilötietojen käsittelyyn, on tunnistettava ja hyväksyttävä turvallisuusvaatimukset ennen jatkamista. Tämä koskee verkkosovelluksia, mobiilisovelluksia, API-rajapintoja, sisäisiä työkaluja, SaaS-tuotteita ja kaikkia muita ohjelmistoja, jotka käsittelevät henkilötietoja.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Miksi valita ISMS.online sovellusten tietoturvan hallintaa varten?
ISMS.online tarjoaa käytännön työkaluja sovellusten tietoturvavaatimusten hallintaan:
- Vaatimuspohjat — Valmiita tietoturvavaatimusten malleja yleisille sovellustyypeille, jotka voidaan mukauttaa organisaatiosi erityisiin henkilötietojen käsittelytarpeisiin
- Hyväksyntätyönkulut — Reititä turvallisuusvaatimukset virallisten tarkastus- ja hyväksyntäprosessien kautta, joissa on mukana tarkastusketju ja kuittausten seuranta
- Toimittajien arviointi — Arvioi kolmannen osapuolen sovelluksia tietoturvavaatimuksiasi vasten käyttämällä strukturoituja kyselylomakkeita ja pisteytystä
- Riskianalyysit — Suorita sovellustason riskinarviointeja, jotka vaikuttavat suoraan tietoturvavaatimuksiisi ja varmistavat, että vaatimukset ovat oikeassa suhteessa riskiin.
- Todisteiden hallinta — Tallenna tietoturvatestien tulokset, hyväksyntätietueet ja vaatimustenmukaisuustodisteet jäsennellyssä, auditointivalmiissa muodossa, joka on linkitetty kuhunkin sovellukseen
UKK
Mitä tietoturvavaatimuksia tulisi määrittää henkilötietojen käsittelysovelluksille?
Henkilökohtaisia tietoja käsittelevillä sovelluksilla tulisi olla vähintään seuraavat vaatimukset: todennus ja valtuutus (kuka voi käyttää henkilökohtaisia tietoja ja millä tasolla), salaus sekä tallennustilassa että siirron aikana, syötteen validointi ja tulosteen koodaus (injektiohyökkäysten estämiseksi), istunnon hallinta, lokinkirjoitus ja tarkastusketjut, virheenkäsittely (henkilökohtaisten tietojen vuotamisen estämiseksi virheilmoituksissa), tietojen säilytys- ja poisto-ominaisuudet sekä tarvittaessa suostumusten hallinta. Vaatimusten tulisi olla oikeassa suhteessa henkilökohtaisten tietojen arkaluontoisuuteen ja sovelluksen riskiprofiiliin.
Miten tämä kontrolli soveltuu SaaS-hankintoihin?
Hankittaessa SaaS-sovelluksia, jotka käsittelevät henkilötietoja, organisaation tulisi sisällyttää henkilötietojen tietoturvavaatimukset hankinnan arviointikriteereihin. Tähän sisältyy toimittajan salauskäytäntöjen, todennusvaihtoehtojen, tietojen säilytyspaikan, käyttöoikeuksien hallinnan, lokitietojen tallentamisen ja vaatimustenmukaisuussertifikaattien arviointi. Arviointi tulee dokumentoida ja hyväksyä ennen hankintapäätöksen tekemistä. Jatkuvaa vaatimustenmukaisuutta tulee seurata toimittajien hallintaprosessien avulla (A.3.10 Toimittajasopimukset).
Mitä tarkoitetaan epäluotettavilla verkoilla?
Epäluotettaviin verkkoihin kuuluvat julkinen internet ja kaikki verkkopalvelut, jotka ovat organisaation suoran operatiivisen hallinnan ulkopuolella. Näihin voivat kuulua kolmannen osapuolen verkkopalveluntarjoajat, julkinen Wi-Fi, mobiilidatan verkot ja julkisen infrastruktuurin läpi kulkevat toimipaikkojen väliset yhteydet. Henkilökohtaisten tietojen osalta turvallinen oletus on käsitellä kaikkia organisaatiosi suoran fyysisen ja loogisen hallinnan ulkopuolella olevia verkkoja epäluotettavina ja salata kaikki henkilökohtaisten tietojen lähetykset vastaavasti.
SaaS-alustat voivat löytää räätälöityä ohjausta opas SaaS-alustoille.
Dokumentoi tämä kontrolli omaan Ilmoitus soveltuvuudesta.
