Skaffa en överblick över informationssäkerheten

Uppgifter, system och funktioner är endast tillgängliga för dem som har rätt att använda dem och kan inte utnyttjas av utomstående.

Uppgifter, system och funktioner är korrekta och aktuella och har inte förändrats på ett okontrollerat sätt.

Uppgifter, system och funktioner är tillgängliga för dem som har rätt till dem enligt på förhand överenskomna gränser.

Organisationens och organisationens ledning ska säkerställa att

1. överblicken över informationssäkerheten är tillgänglig för alla och
2. alla har tillräckligt med arbetstid för att sätta sig in i de centrala delområdena inom informationssäkerhet.

Genom informationssäkerhetsutbildning som omfattar hela organisationen

• säkerställer man förmågan att observera risker i anslutning till informationssäkerheten och hur de realiseras
• säkerställer man rollerna och ansvar i anslutning till riskhanteringen av informationssäkerheten
• får man processerna att fungera som planerat
• minskar man sannolikheten för och effekterna av att riskerna realiseras.

Genom att goda informationssäkerhetsprinciper omsätts i praktiken säkerställs också

• att planerna för hantering av kvarstående risker fungerar
• att man reagerar på informationssäkerhetsincidenter
• hantering av avvikande situationer och återhämtning från dem.

Med informationssäkerhet avses åtgärder genom vilka man säkerställer ändamålsenlig säkerhet för uppgifter, det vill säga att de är enhetliga, konfidentiella och tillgängliga. Informationssäkerheten gäller såväl digital och analog kunskap som personers eller anställdas kunskaper.

Informationen skyddas till exempel från

• olovlig och lagstridig användning
• oavsiktlig förlust
• förstörelse eller skada.

För att skydda informationen kan man använda olika tekniska eller organisatoriska åtgärder, till exempel kryptering av uppgifter eller säkerhetsklassificeringar.

Med avvikelse avses en händelse som avviker från den önskade eller sedvanliga verksamheten. En avvikelse kan till exempel vara:

• vattenskada eller elavbrott
• dataläckage
• störning i den digitala tjänsten.

Med cyberverksamhetsmiljö avses den digitala parallella verklighet som skapats av människan och som globalt via informationsteknologi, automatiserade styrsystem, internet och sociala medier förenar människor och anordningar över statsgränserna.

− Utrikesministeriet

Med cybersäkerhet avses ett målläge där man kan lita på cyberverksamhetsmiljön och där dess funktion är tryggad. Cybersäkerheten säkerställer säkerheten i det digitala och nätverksbaserade samhället och i organisationer liksom även cybersäkerhetens inverkan på deras funktioner.

Genom åtgärder med anknytning till cybersäkerhet kan man hantera och tåla olika cyberhot och deras effekter. Att sörja för informationssäkerheten är en del av cybersäkerheten.

Läs mer om cybersäkerhet på Utrikesministeriets webbplatsÖppnas i ett nytt fönster..

En skadlig händelse eller utvecklingsförlopp som eventuellt inträffar och som riktar sig mot cyberverksamhetsmiljön och, om den inträffar, äventyrar en funktion som är beroende av den.

− Termbanken TEPA

De vanligaste cyberhoten är angrepp med utpressningsprogram, bedrägerimeddelanden och överbelastningsangrepp.

Förfaranden genom vilka man säkerställer att användare, enheter, applikationer och system kan använda informationen i informationssystemen enligt sin roll.

− Termbanken TEPA

Sekretessbelagd information är uppgifter som enligt lagen om offentlighet i myndigheternas verksamhet eller annan lagstiftning är sekretessbelagda.

• Rekommendation om behandling av sekretessbelagda handlingar (Finansministeriet)Öppnas i ett nytt fönster.

• Kyberturvallisuuden sanasto (Säkerhetskommittén, på finska, PDF)Öppnas i ett nytt fönster.
• Basordlista för cybersäkerhet (Cybersäkerhetscentret)Öppnas i ett nytt fönster.

Så kallade deepfake- eller djupförfalskningsbedrägerier som genomförts med hjälp av artificiell intelligens har till exempel utvecklats under den senaste tiden.

Tidigare var det lättare att identifiera nätbedrägerimeddelanden, eftersom de kunde innehålla fler skrivfel än normalt. Eftersom artificiell intelligens numera tränas med mer omfattande material än tidigare är ett korrekt språk inte längre en säkerhetsgaranti.

Ledningen ska förbinda sig till aktiv kommunikation och kommunikationen ska vara regelbunden, tydlig och delas via flera kanaler. Det finns företrädare för personalen som inte deltar i personalevenemang eller läser interna nyheter.

Dokumentation av kommunikationen hjälper till att hantera de risker som organisationens ledning ansvarar för. När man tagit hand om dokumentationen av kommunikationen och dokumentationen har underhållits kan ledningen och cheferna påvisa att de har informerat om ansvar och roller regelbundet.