You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 23 Next »

Sirtfi kehikolla on ennaltaehkäisevä sekä reaktiivinen vaikutus luottamusverkostossa tapahtuviin tietoturvapoikkeamiin. Ennaltaehkäisevästi toimijat tekevät kehikon mukaisen itsearvioinnin. Reagointi tietoturvapoikkeamiin edellyttää usein ripeää viestintää luottamusverkoston toimijoiden välillä, jonka edistämiseksi toimijat julkaisevat yhteystiedot luottamusverkoston metadatassa.

Palveluorganisaatiot sitoutuvat Haka-luottamusverkostoon liittyessään voimassa olevaan CoCo käytännesääntöön, jossa suositellaan Sirtfi käyttöönottoa.

Lisätietoa: SIRTFI – REFEDS


Sirtfi-itsearviointiprosessi

Organisaatio voi osoittaa toimivansa Sirtfi-kehikon vaatimusten mukaisesti suorittamalla itsearvioinnin. Itsearvioinnin suorittaminen on tarpeellista vain eduGAIN-luottamusverkostoon kuuluvilla organisaatioilla, mutta suositeltavaa kaikille Haka-luottamusverkostoon kuuluvilla organisaatioilla.

Organisaation edustaja (tietoturvan edustaja tai hallinnollinen yhteyshenkilö) täyttää Sirtfi-lomakkeen, jossa on 18 väittämää. Jos itsearvioinnin kaikkiin väittämiin valitaan vastaukseksi True, organisaatio täyttää Sirtfi-vaatimuksenmukaisuuden (18/18). Tällöin organisaation tunnistuslähteisiin tai palveluihin voidaan tehdä merkintä Haka-resurssirekisterissä Sirtfi-vaatimuksenmukaisuuden osoittamiseksi.

Itsearviointia ei tarvitse suorittaa säännöllisesti, vaan Sirtfi-prosessi lähtee oletuksesta, että itsearviointi on ajantasainen. Organisaation vastuulla on huolehtia itsearvioninin ajantasaisuudesta ja päivittää sitä tarvittaessa. Mikäli itsearvioinnin tulos päivityksen jälkeen ei täytä Sirtfi-vaatimuksenmukaisuutta (18/18), on organisaation vastuulla huolehtia, että organisaation tunnistuslähteet / palvelut päivitetään vastaamaan itsearvioinnin tulosta Haka-resurssirekisterissä.

Sirtfi-prosessi


Itsearvioinnin suorittaminen

  • Kirjaudu osoitteeseen https://rr.funet.fi/haf
  • Valitse vasemmasta navigointivalikosta Questionnaires


  • Itsearviointilomake aukeaa (kuva alla). Lomakkeella on 18 väittämää itsearviointia suorittavan organisaation tietoturvakäytäntöihin liittyen. Kysymyksiin vastataan True, False tai N/A.
  • Lomakkeen lopussa kysytään vielä yhteystietoja tietoturva-asioihin liittyen. Täytä osoitteeseen nimi ja sähköpostiosoite. Osoite pitäisi olla ns. prosessiosoite, esimerkiksi Security Team / security@organisaatio.fi
  • Paina lopuksi Submit.

Sirtfi-tiedon päivittäminen resurssirekisterissä

Kun Sirfi-kysely on täytetty, voidaan Haka-resurssirekisterissä käydä pävittämässä tunnistuslähteisiin tai palveluihin tieto Sirtfi-kehikon mukaisten tietoturvakäytäntöjen noudattamisesta.

  • Kirjaudu Haka-resurssirekisteriin
  • Avaa Manage IdPs / SPs ja avaa haluamasi IdP / SP
  • Päivitä merkintä Sirtfi tuesta ja paina apply sirtfi
  • Tallenna muutokset painmalla apply changes
  • No labels