jt/saitti
jt/saitti
1
1
Fork 0
Code Issues 1 Pull requests Activity Actions

fi domain registrar documentation incoming
All checks were successful
build / build (push) Successful in 37s
Details
build / deploy (push) Successful in 16s
Details

Browse source
This commit is contained in:
Lauren Toivanen 2025-01-25 23:23:03 +02:00
parent cd7670b5fa
commit 731e182d36
6 changed files with 496 additions and 0 deletions
Download patch file Download diff file Expand all files Collapse all files

157
docs/domain-fi/tietoturva.md Executable file
View file

@ -0,0 +1,157 @@
# Tietoturva
Verkkotunnusvälittäjän on huolehdittava toimintansa tietoturvasta.
Tietoturvasta huolehtiminen on välittäjän lakisääteinen velvollisuus, josta
säädetään sähköisen viestinnän palveluista annetun lain 170.1 §:n kohdassa 6
sekä GDPR artiklassa 32.
Tietoturvalla tarkoitetaan sähköisen viestinnän palveluista annetun lain 3.1
§:n 28 kohdan mukaan hallinnollisia ja teknisiä toimia tietojen
luottamuksellisuuden, eheyden ja saatavuuden turvaamiseksi.
Verkkotunnusmääräyksen 68 luvussa neljä kuvataan vähimmäisvaatimukset
tietoturvan hallinnoinnille, jotka verkkotunnusvälittäjän tulee toteuttaa
toiminnassaan.
Verkkotunnusmääräyksen perustelut ja soveltaminen tarkentaa konkreettisemmin,
miten tietoturvavaatimuksia tulee soveltaa käytännössä.
## Välittäjän ilmoitusvelvollisuus tietoturvahäiriöistä
Verkkotunnusvälittäjän on ilmoitettava välitystoimintaan kohdistuvista
tietoturvauhkista ja -loukkauksista.
Tietoturvaloukkauksista ilmoitetaan Traficomin asiointilomakkeella, joka löytyy
sisäänkirjautuneen välittäjän www-käyttöliittymässä vasemmasta navigaatiosta.
Välittäjän on ilmoitettava viipymättä Traficomille, jos sen verkkotunnusten
välitystoimintaan kohdistuu
- merkittävä tietoturvaloukkaus
- uhka merkittävästä tietoturvaloukkauksesta tai tapahtumasta, joka estää tai
häiritsee toimintaa olennaisesti.
Samalla on myös ilmoitettava häiriön tai sen uhan
- arvioitu kesto
- vaikutukset
- korjaustoimenpiteet
- toimenpiteet, joilla häiriön toistuminen pyritään estämään.
Traficomille annettavassa merkittävää tietoturvahäiriötä koskevassa
ilmoituksessa tulee mahdollisuuksien mukaan selvittää häiriön tai uhan syy ja
kuvata, miten häiriö on aiheutunut.
**Tietoturvahäiriöstä on ilmoitettava välittömästi**
Häiriöilmoitus on tehtävä 24 tunnin kuluessa siitä, kun häiriötilanne on tullut
välittäjän tietoon.
Esimerkiksi tilanteessa, jossa verkkotunnusvälittäjän järjestelmään on
tunkeuduttu, on välttämätöntä, että valvova viranomainen saa asiasta viipymättä
tiedon. Vaarana on, että tunkeutuja voi päästä vapaasti muuttamaan kyseisen
välittäjän hallinnoimien verkkotunnusten tietoja, kuten esimerkiksi
nimipalvelimia. Uhka voi koskea laajaakin asiakasmäärää riippuen välittäjän
asiakaskunnasta.
Jos kaikkia ilmoituksessa esitettyjä tietoja ei ole saatavilla ja tilannetta on
tutkittava tarkemmin, tehdään viimeistään 24 tunnin kuluessa ns. alustava
ilmoitus, jota täydennetään mahdollisimman pian, viimeistään kuitenkin kolmen
(3) päivän kuluttua alustavasta ilmoituksesta.
Jos tutkimuksista huolimatta verkkotunnusvälittäjä ei pysty antamaan kaikkia
tietoja kolmen päivän kuluessa alustavasta ilmoituksesta, on ilmoitettava
kyseisessä määräajassa käyttöön saadut tiedot ja perusteltava, miksi loput
tiedot ilmoitetaan määräajan jälkeen.
## Merkittävät tietoturvaloukkaukset
Merkittävistä välittäjätoimintaan kohdistuvista tietoturvaloukkauksista on
ilmoitettava Traficomille.
Tietoturvaloukkausten vaikutukset voivat kohdistua tietojen tai
tietojärjestelmien luottamuksellisuuteen, eheyteen tai saatavuuteen.
Luottamuksellisuus: Tiedot ja käyttäjätunnuksiin liittyvät todentamistiedot
ovat vain niihin oikeutettujen tahojen tiedossa.
Eheys: Tietoja ei ole mahdollista muuttaa oikeudettomasti. Sivullisten ei ole
mahdollista vaikuttaa tietojärjestelmien toimintaan.
Saatavuus: Palvelu ja sen sisältämät tiedot ovat siihen oikeutettujen tahojen
saatavissa.
## Tietoturvaloukkausten merkittävyyden arviointi
Tietoturvaloukkauksen tai muun tapahtuman merkittävyyttä arvioitaessa on
kiinnitettävä huomiota tapauksen haitallisiin vaikutuksiin tai tietoturvauhan
vakavuuteen. Merkittävänä voidaan pitää aina sitä, että tietoturvahäiriö
kohdistuu johonkin seuraavista suojattavista kohteista:
- verkkotunnusvälittäjän omiin palveluihin ja palvelujen tuotantoon käytettäviin
tieto- ja viestintäjärjestelmiin
- verkkotunnusvälittäjän asiakkaiden tietoturvaan, henkilötietojen suojaan tai
yrityssalaisuuksien suojaan
- Traficomin hallinnoimaan Suomen fi-juureen (joko suoraan tai välillisesti
verkkotunnusvälittäjään kohdistuneen tietoturvaloukkauksen seurauksena).
Merkittävänä voidaan myös pitää usein toistuvaa, poikkeuksellisen pitkäkestoista
tai tahalliselta vaikuttavaa toimintaa, jolla on negatiivisia vaikutuksia
verkkotunnusvälittäjän kykyyn huolehtia välitystoimintansa tietoturvasta.
Lisäksi merkittävänä voidaan pitää sitä, että häiriötä ei ole mahdollista
poistaa pelkillä verkkotunnusvälittäjän omilla toimenpiteillä.
## Ilmoitusvelvollisuuteen kuuluvia tietoturvaloukkaustyyppejä
Alla oleva luettelo ilmoitettavista tietoturvaloukkaustyypeistä ei ole
tyhjentävä, vaan sen on tarkoitus kuvata ilmoituskynnyksen vakavuustasoa.
Harkinnan mukaan myös vähäisemmistä tietoturvaloukkauksista ja niiden uhkista
kannattaa ilmoittaa Traficomille.
Traficomille ilmoitettavia merkittäviä tietoturvahäiriöitä ovat esimerkiksi:
- tietomurrot verkkotunnusvälittäjän tietojärjestelmiin
- oikeudeton pääsy verkkotunnusvälittäjän järjestelmään
- verkkotunnusvälittäjän järjestelmässä oleva tietoturvaa vaarantava
haavoittuvuus tai konfiguraatiovirhe.
- sisäänkirjautumistunnusten päätyminen kolmannen osapuolen tietoon
- Traficomin järjestelmiin käytettävien sisäänkirjautumistunnusten päätyminen
ulkopuolisille.
Oikeudettomat muutokset
- mahdollisuus oikeudettomasti muuttaa verkkotunnusvälittäjän hallinnoimien
verkkotunnusten tietoja
- verkkotunnusvälittäjän oman henkilöstön oikeudettomasti suorittamat muutokset
Traficomin verkkotunnusrekisteriin
- oikeudeton pääsy verkkotunnusvälittäjän asiakkailleen tarjoamaan
itsepalveluportaaliin, jonka avulla asiakkaat voivat itse ylläpitää
verkkotunnustensa tietoja.
Palvelunestohyökkäykset
- jos verkkotunnusvälittäjän järjestelmä lamaantuu ja/tai asiakkaiden pääsy
järjestelmään estyy tai
- järjestelmän häiriö vaikuttaa Traficomin järjestelmän toimintaan.
## Suositus vapaaehtoisista ilmoituksista
Traficom suosittelee, että verkkotunnusvälittäjät ilmoittavat harkintansa mukaan
Traficomille myös merkittävää vähäisemmistä tietoturvaloukkauksista ja niiden
uhkista. Näillä tiedoilla voi olla merkitystä Traficomin muiden
tietoturvatehtävien hoitamisen kannalta.
Traficomilla on oikeus ryhtyä välttämättömiin toimiin fi-verkkotunnuksia
hyödyntämällä toteutettavien yleisiin viestintäverkkoihin tai -palveluihin
taikka niiden käyttäjiin kohdistuvien merkittävien tietoturvaloukkausten
havaitsemiseksi, estämiseksi, selvittämiseksi ja esitutkintaan saattamiseksi.
Traficom voi ryhtyä näihin toimiin verkkotunnuksen käyttäjää kuulematta.
Traficomin suorittamat välttämättömät toimet voidaan kohdistaa fi-juuren
nimipalvelintietoihin ja ne voivat käsittää:
- verkkotunnukseen suuntautuvan liikenteen estämisen tai rajoittamisen
- verkkotunnukseen suuntautuvan liikenteen ohjaamisen toiseen
verkko-osoitteeseen
- muut näihin rinnastettavat tekniset toimenpiteet.