Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja
Akatemian etusivu
Blogit
Pääsynhallinta ja MFA (NIS2 21.2): Luo tukeva perusta ISO 27001:n parhaiden käytäntöjen avulla.

Tiesitkö, että monivaiheisen tunnistautumisen avulla voidaan estää yli 99,9 % tileihin kohdistuvista hyökkäyksistä? Koska tätä tilastoa ei yksinkertaisesti kannata jättää huomiotta, otetaan tämä aihe tämän päivän keskipisteeksi ja tutustutaan tarkemmin monivaiheiseen tunnistautumiseen (Multi-factor Authentication, MFA) ja siihen, miten se liittyy pääsynhallintaan.

Kaiken kaikkiaan ISO 27001- ja NIS2-standardien mukaisten luotettavien pääsynhallintatoimenpiteiden toteuttamisen tärkeyttä ei voi korostaa liikaa. Sen lisäksi, että se auttaa suojaamaan arkaluonteisia tietoja luvattomalta käytöltä, sillä varmistetaan myös, että vain valtuutetut henkilöt voivat käyttää tiettyjä resursseja, mikä vähentää tietomurtojen riskiä. Tässä kirjoituksessa syvennymme juuri näihin aiheisiin ja tutkimme pääsynhallinnan ja MFA:n keskeisiä piirteitä.

Pääsynhallinnan ja MFA:n ymmärtäminen

Seuraavissa kappaleissa tarkastelemme sekä NIS2-direktiivin että ISO 27001 -standardin hallintakeinoja, jotka kattavat pääsynhallintaa ja MFA:ta koskevat vaatimukset.

NIS2-vaatimukset ja hallintakeinot

Direktiivin 21.2.i ja 21.2.j osissa käsitellään erityisesti pääsynhallintaa ja monivaiheista tunnistautumista sekä tarvetta toteuttaa sopivia toimenpiteitä.

NIS2-direktiivin 21.2.i osassa korostetaan, että organisaatioiden on toteutettava toimenpiteitä, joilla estetään luvaton pääsy verkko- ja tietojärjestelmiin. Tähän kuuluu turvallisten ja luotettavien pääsynhallintamekanismien käyttö. Direktiivi kannustaa yhteisöjä omaksumaan " mahdollisimman vähän oikeuksia" -lähestymistavan, jossa käyttäjille myönnetään roolinsa hoitamisen kannalta välttämättömät vähimmäisoikeudet.

NIS2-direktiivin 21.2.j osassa keskitytään monivaiheisen tunnistautumisen käyttöön käyttäjien henkilöllisyyden todentamiskeinona. Monivaiheinen tunnistautuminen on todentamismenetelmä, jossa käyttäjien on esitettävä kaksi tai useampi varmennustekijä päästäkseen käyttämään resurssia, kuten sovellusta, käyttäjätilitä tai VPN:ää.

Yhteenvetona voidaan sanoa, että NIS2-direktiivin 21.2.i ja 21.2.j osissa korostetaan vahvan pääsynhallinnan ja monivaiheisen tunnistautumisen merkitystä verkko- ja tietojärjestelmien suojaamisessa. Näitä toimenpiteitä pidetään ratkaisevan tärkeinä luvattoman pääsyn estämiseksi ja arkaluontoisten tietojen turvallisuuden varmistamiseksi. NIS2-direktiivin ohjeet ovat kuitenkin melko heikot verrattuna muiden järjestelmien, kuten ISO 27001 -standardin, vaatimuksiin. Sen vuoksi ISO 27001:n parhaita toimintamalleja voidaan käyttää NIS2-vaatimusten täyttämiseksi.

ISO 27001 -standardin mukaiset pääsynhallinnan hallintakeinot

Seuraavat luvuissa 5 ("Organisaation valvonta") ja 8 (" Teknologinen valvonta") esitetyt valvontatoimet liittyvät käyttöoikeuksien hallintaan.

5.15 Pääsynhallinta

Pääasiassa ISO 27001 hallintakeinon 5.15 " Pääsynhallinta" tavoitteena on toteuttaa tehokkaita toimenpiteitä, joilla hallitaan ja rajoitetaan pääsyä tietoihin ja vähennetään näin luvattoman pääsyn ja mahdollisten tietomurtojen riskiä. Se jakautuu kahteen pääosaan: "Käyttäjien pääsynhallinta" ja "Käyttäjien vastuut". Käyttäjien pääsynhallinta käsittää prosessin, jossa käyttäjille myönnetään tai evätään käyttöoikeudet perustuen heidän rooleihinsa ja vastuualueisiinsa organisaatiossa. Tähän sisältyy käyttöoikeuksien hallinta, tarkistaminen ja poistaminen tai mukauttaminen.

"Käyttäjän velvollisuudet" kohdassa "5.15 Pääsynhallinta" tarkoittaa, että käyttäjät tiedostavat vastuunsa käyttäessään organisaation tietojärjestelmiä. Tämä sisältää  varmistamisen, että käyttäjät noudattavat organisaation pääsynhallinnen käytäntöjä ja ymmärtävät noudattamatta jättämisen seuraukset.

Lisäksi "5.15 Pääsynhallinta" korostaa turvallisten kirjautumismenetelmien käytön, salasanojen tehokkaan hallinnan ja rajoittamalla sellaisten apuohjelmien käyttöä, jotka saattavat ohittaa järjestelmän ja sovellusten hallintakeinot. Tämä hallintakeino on ratkaisevan tärkeää organisaation tietojen eheyden, luottamuksellisuuden ja saatavuuden ylläpitämisessä.

5.16 Identiteetin hallinta

Kohdan "5.16 Identiteetinhallinta" hallintakeino velvoittaa organisaatiot luomaan perusteellisen identiteetinhallintajärjestelmän, johon sisältyy virallinen käyttäjien rekisteröinti- ja poistomenetelmä. Tavoitteena on auttaa jakamaan käyttöoikeudet huolellisesti ja valvoa pääsyä yrityksen eri tietoihin ja järjestelmiin. Käyttäjien käyttöoikeuksien säännöllisten päivitysten ja tarkistusten toteuttaminen on välttämätöntä, jotta voidaan taata niiden jatkuva asianmukaisuus erityisesti esimerkiksi roolin vaihtuessa tai työntekijän lähtiessä.

Järjestelmänvalvojien kaltaisten erityisten käyttöoikeuksien hallinta on myös ratkaisevan tärkeää, ja siinä on korostettava rajoitettua käyttöä ja johdonmukaista seurantaa. Kaikkien näiden avulla vältetään luvaton pääsy ja mahdollinen väärinkäyttö. Lisäksi tässä hallintakeinossa korostetaan käyttäjien merkittävää roolia tunnistautumistietojen turvallisuuden ylläpitämisessä ja korostetaan salasanojen luottamuksellisuuden ja häiriöiden raportoinnin tärkeyttä.

5.17 Tunnistautumistiedot

Hallintakeinossa korostetaan ennen kaikkea sitä, kuinka tärkeää on, että tunnistautumistietoja hallinnoidaan huolellisesti. Siinä velvoitetaan käyttäjät tiedostamaan roolinsa omien tunnistautumistietojensa luottamuksellisuuden ja turvallisuuden ylläpitämisessä. Automatisoitujen prosessien olisi käsiteltävä tehokkaasti salasanojen jakamista, ja salasanojen oikeellisuutta olisi tarkistettava ennen käyttöä, jotta voidaan vähentää luvattoman käytön riskiä.

Valvonnassa on myös otettava käyttöön luotettavia turvatoimia, kuten tehokkaat salasanat ja kaksivaiheinen tunnistus, sekä turvalliset sisäänkirjautumismenettelyt, jotka parantavat turvallisuutta. Lisäksi se edellyttää tunnistautumistietojen nopeaa vaihtoa aina, kun ilmenee merkkejä mahdollisesta vaarantumisesta. Näin varmistetaan, että luvaton pääsy estyy, vaikka tunnistautumistiedot vaarantuisivat.

5.18 Pääsyoikeudet

ISO 27001 -standardin hallintakeinossa "5.1.8 Käyttöoikeudet" esitetään tärkeitä näkökohtia käyttöoikeuksien hallinnoinnista. Siinä esitetään yksityiskohtaisesti käyttöoikeuksien valvontapolitiikan tarpeellisuus, hahmotellaan käyttäjien rekisteröintiä, rekisteröinnin poistamista ja käyttöoikeuksien myöntämistä koskevat prosessit sekä korostetaan etuoikeutettujen käyttöoikeuksien ja luotettavien tunnistautumistietojen hallintaa.

Käyttäjien käyttöoikeuksien säännöllistä tarkastamista ja oikeuksien nopeaa poistamista tai mukauttamista roolin vaihtuessa tai työsuhteen päättyessä myös suositellaan. Kohdan 5.1.8 "Käyttöoikeudet" tehokas täytäntöönpano edistää tietojen luottamuksellisuutta, eheyttä ja tietoturvamääräysten noudattamista.

Seuraavassa kuvakaappauksessa on esimerkki siitä, miten työkalua voidaan käyttää esimerkiksi tietojärjestelmien käyttöoikeuksien säännöllisen tarkistamisen varmistamiseen. Työkalussa käyttöoikeusroolit on dokumentoitu selkeästi ja toteutuksen kuvaus kertoo, miten käyttöoikeusroolit tarkistetaan säännöllisesti. Tässä tapauksessa työkalu antaa käyttäjälle myös mahdollisuuden asettaa tarkistuspäivämäärän/-syklin varmistaakseen, että tarkistukset todella tapahtuvat.

Esimerkkikuva työkalun (Digiturvamalli) käytöstä käyttöoikeuksien dokumentointiin ja valvontaan.

8.2 Ylläpito-oikeudet

Pääsynhallinnan määrittelyssä on tärkeää keskittyä etuoikeutettuihin käyttöoikeuksiin. Rajoittamalla ja hallinnoimalla niitä tehokkaasti organisaatio varmistaa, että vain valtuutetut käyttäjät, ohjelmat ja menetelmät pääsevät käsiksi suojattuihin tietoihin. Menetelmä, jolla myönnetään etuoikeutetut käyttöoikeudet, riippuu hyvin suunnitellusta valtuutusjärjestelmästä, joka on linjassa vastaavan käyttöoikeuksien valvontakäytännön kanssa.

Tämän hallintakohdan mukaan käyttöoikeuksien myöntämistä ja käyttöä on rajoitettava ja valvottava. Tämä tarkoittaa sitä, että vain rajoitetulle määrälle luotettavia henkilöitä olisi myönnettävä nämä oikeudet ja että heidän käyttöään olisi valvottava ja kirjattava. Lisäksi etuoikeutettujen käyttöoikeuksien myöntämiseen olisi sovellettava virallista valtuutusprosessia.

Käyttäjille, joilla on etuoikeutetut käyttöoikeudet, olisi annettava asianmukaista koulutusta, mikä tarkoittaa, että heidät olisi saatava tietoisiksi oikeuksiinsa liittyvistä riskeistä ja niiden mukanaan tuomista vastuista. Heitä olisi myös koulutettava siihen, miten he voivat käyttää oikeuksiaan turvallisesti ja tehokkaasti. Lisäksi näitä oikeuksia olisi tarkistettava säännöllisin väliajoin. Näin varmistetaan, että oikeudet ovat edelleen tarpeellisia ja että niitä käytetään asianmukaisesti.

8.3 Tietoihin pääsyn rajoittaminen

Hallintakeinossa "8.3 Tietojen käyttöoikeuksien rajoittaminen" esitetään ohjeet käyttöoikeuksien myöntämistä ja peruuttamista koskevista säännöistä ja määrätään verkon palvelujen suojaamisesta ja turvallisten kirjautumismenettelyjen käyttöönotosta.

Pääasiassa sen tarkoituksena on varmistaa, että pääsy tietoihin on rajoitettu vain valtuutetuille käyttäjille ja että näitä käyttöoikeuksia hallinnoidaan, tarkistetaan ja päivitetään säännöllisesti tietojen eheyden ja luottamuksellisuuden säilyttämiseksi.

8.4 Pääsy lähdekoodiin

Tämän hallintakeinon ensisijaisena tarkoituksena on varmistaa, että lähdekoodiin pääsevät käsiksi vain valtuutetut henkilöt. Tällä pyritään estämään luvattomat muutokset, jotka voisivat johtaa järjestelmän haavoittuvuuteen tai haitalliseen toimintaan. Sen tarkoituksena on myös suojella organisaation immateriaalioikeuksia.

Lisäksi hallintakeino edellyttää, että lähdekoodin käyttöoikeudet tarkistetaan säännöllisin väliajoin ja päivitetään tarvittaessa. Näin varmistetaan, että käyttöoikeudet ovat vain niillä, jotka tarvitsevat niitä työtehtäviensä suorittamiseen, ja että entiset työntekijät tai organisaatiossa roolia vaihtaneet eivät saa tarpeettomia käyttöoikeuksia.

8.5 Turvallinen todentaminen

ISO 27001 -standardin yhteydessä turvallisella tunnistautumisella tarkoitetaan käyttäjän, järjestelmän tai sovelluksen henkilöllisyyden todentamista ennen tietojen tai resurssien käyttöoikeuden myöntämistä. Tämä saavutetaan tyypillisesti salasanojen, biometriikan tai muiden tunnistetietojen avulla.

Valvonta edellyttää, että organisaatiot ottavat käyttöön turvallisen todennusprosessin , joka soveltuu järjestelmän tai sovelluksen luonteeseen. Tähän voi sisältyä monivaiheinen tunnistautuminen (multi-factor authentication, MFA), jossa käytetään kahta tai useampaa erityyppistä tunnistetta turvallisuuden lisäämiseksi.

Lisäksi valvonnassa määrätään, että tunnistautumistiedot on suojattava siten, ettei niitä paljasteta luvattomille osapuolille. Tämä voi tarkoittaa tietojen salaamista, salasanojen säännöllistä päivittämistä tai turvallisten kanavien käyttämistä tunnistautumistietojen siirtämiseen.

ISO 27001 -valvonta MFA:ta varten

Kuten edellä mainittiin, ISO 27001 -standardi edellyttää verkkopalvelujen käytön hallintakeinoja. Tähän liittyy MFA:n käyttö sen varmistamiseksi, että vain valtuutetut käyttäjät voivat käyttää verkkoa. Tämä on erityisen tärkeää etäkäytössä, jossa luvattoman käytön riski on suurempi.

Monivaiheinen tunnistus (Multi-Factor Authentication, MFA) on elintärkeä tietoturvaprotokolla, jonka mukaan käyttäjien on todennettava henkilöllisyytensä kahdella tai useammalla tunnistusmuodolla ennen pääsyä arkaluonteisiin tietoihin. MFA:n menetelmiä ovat muun muassa seuraavat:

  • tietoon perustuvat (salasanat, PIN-koodit)
  • hallussapitoon perustuvat (älykortit, mobiililaitteet)
  • luontaiset tekijät (biometriset tiedot)

Biometrinen tunnistus, kertaluonteiset salasanat (OTP), push-ilmoitukset ja laitteisto- tai ohjelmistotunnukset ovat nykyään yleisesti käytettyjä monivaiheisen tunnistautumisen tekniikoita. MFA:n ensisijainen tavoite on luoda kerrostettu puolustus, mikä vaikeuttaa luvattomien henkilöiden pääsyä niihin, vaikka yksi tunnistautumistekijä vaarantuisi.

Esimerkkejä ISMS:n osista, jotka liittyvät pääsynhsllinnan ja MFA:n toteuttamiseen.

Nykyään voit löytää työkaluja, joilla tehostat työtäsi kirjaimellisesti kaikessa. Se voi helpottaa työelämääsi huomattavasti, kun on kyse käyttöoikeuksien ja MFA-vaatimusten täyttämisestä. Katsotaanpa esimerkiksi, miten voit seurata tärkeiden tietojärjestelmien pääsyoikeuksia. Seuraavassa kuvakaappauksessa näet työkalun tehtävän, joka keskittyy "Tietojärjestelmien käyttöoikeuksien säännölliseen tarkistamiseen". Tätä tarkoitusta varten kaikki tärkeät tietojärjestelmät on linkitetty dokumentaatioksi.

Tässä työkalussa voit yksinkertaisesti hypätä dokumentoituihin tietojärjestelmiin ja löytää luettelon kaikista tietojärjestelmistä, joka voi näyttää esimerkiksi seuraavalta:

Yleiskatsaus dokumentoiduista tietojärjestelmistä työkalussa (Digiturvamalli) esimerkkinä.

Tällaisella yleiskatsauksella voit paitsi pitää kirjaa kaikista tietojärjestelmistä, joiden käyttöoikeuksia haluat pitää silmällä, voit myös linkittää lisätietoja. Esimerkiksi tämän työkalun avulla jokainen listattu dokumentaatio on omana tietokorttina, jossa on kaikki tärkeät tiedot kustakin tietojärjestelmästä. Seuraavassa kuvakaappauksessa näet esimerkin siitä, kuinka järjestelmän käyttöoikeuksien keräämistä (MFA:n avulla) käytetään.

Haasteita ja huomioita

Yksi yleisimmistä haasteista, joita monivaiheisessa tunnistamisessa (MFA ) tai pääsynhallinnan ISO 27001 -vaatimusten noudattamisen yhteydessä aiheuttaa, on täytäntöönpanon monimutkaisuus. MFA- ja pääsynhallintajärjestelmät voivat olla monimutkaisia ottaa käyttöön ja hallita, erityisesti organisaatioissa, joissa on suuri määrä käyttäjiä tai monimutkainen IT-infrastruktuuri. Tämä voi johtaa virheisiin tai haavoittuvuuksiin, jos niitä ei hallita asianmukaisesti.

Toinen haaste on käyttäjien vastustelu. MFA lisää kirjautumisprosessiin ylimääräisen vaiheen, jonka jotkut käyttäjät saattavat kokea hankalaksi. Tämä voi johtaa vastarintaan käyttöönottoa kohtaan, varsinkin jos käyttäjille ei kerrota selkeästi MFA:n hyödyistä.

Myös kustannukset ovat merkittävä haaste. MFA:n ja vahvojen pääsynhallintajärjestelmien käyttöönotto voi olla kallista erityisesti pienille ja keskisuurille yrityksille. Kustannuksia syntyy paitsi alkuasennuksessa, myös jatkuvan ylläpidon ja hallinnan osalta.

Lisäksi alati kehittyvien standardien noudattaminen on haasteellista. ISO 27001 ja muut kyberturvallisuusstandardit päivitetään säännöllisesti uusien uhkien ja parhaiden käytäntöjen mukaan. Organisaatioiden on pysyttävä ajan tasalla näistä muutoksista ja varmistettava, että niiden kulunvalvonta- ja MFA-järjestelmät ovat vaatimusten mukaisia. Tietyt työkalut voivat auttaa sinua pysymään ajan tasalla ja kertomaan sinulle tehokkaasti, mikä on muuttunut kehyksen päivityksessä ja mihin lisätyöhön sinun on mahdollisesti panostettava.

Lopuksi haasteena on turvallisuuden ja käytettävyyden tasapainottaminen. Vaikka MFA ja vahvat kulunvalvontatoiminnot voivat parantaa merkittävästi turvallisuutta, ne voivat myös vaikeuttaa järjestelmien käyttöä. Organisaatioiden on löydettävä tasapaino, joka tarjoaa vahvan suojan vaikuttamatta negatiivisesti käyttökokemukseen.

Johtopäätös

Yhteenvetona voidaan todeta, että vahvan pääsynhallinnan ja monivaiheisen tunnistautumisen (MFA) merkitystä ei voida liioitella, kun pyritään ISO 27001 (tai NIS2) -vaatimustenmukaisuuteen. Nämä toimenpiteet ovat välttämättömiä arkaluonteisten tietojen suojaamisessa ja luvattoman pääsyn estämisessä järjestelmiin ja tietoihin. Ne muodostavat jokaisen tehokkaan tietoturvastrategian selkärangan.

ISO 27001 -standardissa ja NIS2 -direktiivissä esitetään ohjeita näiden toimenpiteiden toteuttamiseksi ja korostetaan edelleen, että pääsynhallinnan hallintapolitiikka on määriteltävä tarkasti, hallinnan on oltava tehokasta, käyttäjien vastuualueet on määriteltävä selkeästi ja tunnistautumismekanismien on oltava vahvoja. Näiden vaatimusten noudattaminen ei ainoastaan paranna organisaation tietoturvatasoa, vaan myös osoittaa sen sitoutumisen korkeatasoisen tietosuojan ylläpitämiseen.

Pääsynhallinnan ja MFA:n hallitseminen on loppujen lopuksi alituinen prosessi. Se edellyttää jatkuvia ponnisteluja, jotta voidaan pysyä kehittyvien uhkien edellä ja mukauttaa turvatoimenpiteitä niiden mukaisesti. Mutta hyödyt - parannettu tietoturva, kansainvälisesti hyväksyttyjen standardien noudattaminen ja mielenrauha - tekevät näistä ponnisteluista sen arvoisia. Tutustu myös muihin Akatemian blogikirjoituksiin, jos olet kiinnostunut oppimaan lisää parhaista käytännöistä ISMS:n rakentamisessa.

Sisältö

Jaa artikkeli