Järjestelmälokien kehityksen tulee pysyä järjestemän kehityksen mukana ja mahdollistaa esim. tarvittava häriötilanteiden selvitys. Kuvaamme tietojärjestelmälistauksen yhteydessä, minkä järjestelmien suhteen vastuu lokituksen toteutuksesta on itsellämme. Näiden järjestelmien suhteen dokumentoimme:
Viranomaisen on huolehdittava, että sen tietojärjestelmien käytöstä ja niistä tehtävistä tietojen luovutuksista kerätään tarpeelliset lokitiedot, jos tietojärjestelmän käyttö edellyttää tunnistautumista tai muuta kirjautumista. Lokitietojen käyttötarkoituksena on tietojärjestelmissä olevien tietojen käytön ja luovutuksen seuranta sekä tietojärjestelmän teknisten virheiden selvittäminen.
Digiturvamallissa tietojärjestelmän omistaja voi vastata tietojärjestelmän lokitietojen keräämisen tarkastamisesta. Organisaatio dokumentoi lokien sisällön tarkemmin niissä tietojärjestelmissä, joiden teknisestä ylläpidosta se vastaa itse. Muissa tietojärjestelmissä omistaja tarkistaa yhteistyössä järjestelmätoimittajan kanssa, että tarvittavat lokit kertyvät.
Organisaatio ottaa käyttöön luotettavia tietoturvakirjastoja, hyödyntää alustan tarjoamia ominaisuuksia, toteuttaa vakiomuotoisen salauksen, hyödyntää käyttöjärjestelmän auditointilokitusta, integroi IAM-palvelut, päivittää säännöllisesti tietoturvakomponentteja ja kouluttaa kehittäjiä parhaisiin käytäntöihin sovellusten vankan tietoturvan varmistamiseksi.
Organisaatio parantaa tietoturvaa valitsemalla ja ottamalla käyttöön sopivan laitepohjaisen IPS- tai EDR-ratkaisun. Organisaatio ottamaa ratkaisun käyttöön kriittisissä kohteissa, ja varmistaa että uhkakuvakkeet ja säännöt päivitetään säännöllisesti.
Organisaatio vahvistaa tietoturvaa valitsemalla yhteensopivan laitepohjaisen tunkeutumisen havaitsemisjärjestelmän (HIDS), joka on konfiguroitu kattavaan valvontaan ja hälytyksiin ja jossa on säännöllisesti päivitetyt allekirjoitukset ja säännöt. HIDS-järjestelmä otetaan käyttöön kriittisissä kohteissa, sitä tarkistetaan ja viritetään säännöllisesti tarkkuuden varmistamiseksi ja se integroidaan keskitettyihin loki- ja hallintajärjestelmiin, jotta häiriötilanteet voidaan analysoida ja niihin voidaan reagoida tehokkaasti.
Organisaatio noudattaa VPN-todennuskäytäntöä, jonka mukaan kaikkien käyttäjien on todennettava itsensä ennen kuin he pääsevät yrityksen resursseihin, integroi monitekijätodennuksen (MFA), ottaa käyttöön asiakasvarmenteita turvallisuuden parantamiseksi ja päivittää VPN-ohjelmiston säännöllisesti.
Organisaatio parantaa varmuuskopiointiturvallisuutta ottamalla käyttöön offline-tallennusratkaisuja, ottamalla käyttöön pilvipohjaisia eristettyjä varmuuskopiointiympäristöjä, hyödyntämällä muualla sijaitsevia fyysisiä tiloja ja ylläpitämällä versiohallittua varmuuskopiointiprosessia. Säännölliset auditoinnit varmistavat varmuuskopioiden eheyden, ja varmuuskopiointitoiminnalle osoitettu verkko minimoi uhkia ja turvaa tiedonsiirron ja tallennuksen.
Organisaatio määrittää ryhmäkäytännöt, joilla autorun ja automaattinen toisto poistetaan käytöstä kaikissa järjestelmissä. Organisaatio käyttää päätelaitteiden suojausohjelmistoa lisähallinnan saamiseksi, antaa käyttäjille koulutusta turvallisista mediakäytännöistä ja ottaa käyttöön virallisen politiikan, jossa esitetään median käyttöä koskevat säännöt.
Organisaatio laatii valkolistan hyväksytyille selaimille ja sähköpostiohjelmille, käyttää automaattista versionhallintaa sekä säännöllisiä vaatimustenmukaisuuden tarkistuksia varmistaakseen, että ohjelmistojen käyttö on ajantasaista ja sallittua, ja ottaa käyttöön keskitetyn IT-hallinnan asennusten rajoittamiseksi.
Organisaatio luo integraatioita palveluntarjoajien alustoihin automatisoidakseen keskeisiin tapahtumiin, kuten todennukseen ja käyttäjähallintaan, liittyvien lokien keräämisen, käyttää automatisoituja prosesseja näiden lokien rutiininomaiseen keräämiseen ja määrittää suodattimet asiaankuuluvien tietojen keräämiseksi.
Organisaatio ottaa käyttöön keskitetyn lokienhallintajärjestelmän, jonka tarkoituksena on
Organisaatio varustaa järjestelmät ajan tasalla olevilla lokiohjelmistoilla URL-pyyntöjen tallentamiseksi, määrittelee lokien kirjaamiskriteerit riskien ja säännösten perusteella, tarkistaa lokit rutiininomaisesti poikkeavuuksien varalta, valvoo pääsyn valvontaa ja integroi lokit SIEM-järjestelmiin uhkien havaitsemisen ja vaaratilanteisiin reagoimisen tehostamiseksi.
Organisaatio mahdollistaa arkaluonteisten tietovarantojen yksityiskohtaisen tarkastuslokitiedonkeruun, kattavien rikosteknisten yksityiskohtien keräämisen, kokoonpanojen optimoinnin perusteellisuuden varmistamiseksi, lokien turvallisen keskitetyn tallentamisen ja käytäntöjen säännöllisen tarkistamisen, jotta ne vastaisivat kehittyviä turvallisuus- ja tutkintatarpeita.
Organisaatio ottaa käyttöön arkaluonteisten tietovarantojen kattavan tarkastuslokitiedonkeruun, kerää yksityiskohtaiset tapahtumatiedot, määrittää järjestelmät lokien monipuolisuutta varten, päivittää lokimääritykset säännöllisesti ja varmistaa tarkastuslokien turvallisen tallentamisen vankkaa turvallisuusvalvontaa ja -analyysia varten.
Organisaatio ottaa käyttöön kattavan järjestelmän, jolla kerätään ja tallennetaan turvallisesti komentorivin tarkastuslokeja PowerShellin® ja BASHTM:n kaltaisista käyttöliittymistä, sekä integroidun etäpäätteiden lokitiedoston, ja se on ottanut käyttöön säännölliset tarkistukset, joilla seurataan käyttäjien toimintaa ja tunnistetaan mahdolliset poikkeamat.
Organisaatio on kehittänyt yksityiskohtaisen tarkastuslokien hallintaprosessin, jossa määritellään lokivaatimukset, keruu-, tarkastelu- ja säilytysmenettelyt.
Organisaatio varmistaa standardien noudattamisen, tekee vuosittaisia tarkistuksia ja päivityksiä sekä valvoo jatkuvasti näiden prosessien noudattamista ja ongelmien ratkaisemista.
Organisaatio mukauttaa omaisuusluettelon dokumentointikäytäntöjä siten, että niihin sisällytetään asiaankuuluvat tiedot, kuten osaston omistaja, tarkistuspäivä ja tilin käyttötarkoitus.
Organisaatio tarkistaa säännöllisesti tietojärjestelmien käyttöoikeudet ja varmistaa, että kaikki aktiiviset palvelutilit ovat valtuutettuja. Kullekin palvelutilille nimetään omistaja, joka perustuu tietojärjestelmien omistajien luettelointikäytäntöön, ja näiden tehtävänä on huolehtia tarvittavasta dokumentoinnista ja turvatoimista.
Organisaatio turvaa yrityksen omaisuutta ja ohjelmistoja hyödyntämällä Infrastructure-as-Code (IaC) -järjestelmää johdonmukaiseen konfiguraationhallintaan.
Organisaatio käyttää turvallisia verkkoprotokollia hallintakäyttöön, kuten SSH:ta ja HTTPS:ää, ja välttää turvattomia hallintaprotokollia ja täydentää niitä tarvittaessa lisäturvalla.
Organisaatio automatisoi istuntojen lukituksen yrityksen tieto-omaisuuksissa määrittämällä yleiskäyttöiset käyttöjärjestelmät lukittaviksi 15 minuutin käyttämättömyyden jälkeen ja mobiililaitteet 2 minuutin jälkeen.
Organisaatio käyttää keskitettyjä käytäntöjen hallintatyökaluja näiden asetusten noudattamisen valvomiseksi ja valistaa käyttäjiä istuntojen lukitsemisen tärkeydestä.
Organisaatio käyttää automatisoituja ohjelmistojen inventointityökaluja, jotka on otettu käyttöön koko yrityksessä asennettujen ohjelmistojen jatkuvaan seurantaan ja dokumentointiin.
Organisaatio tuottaa säännöllisesti raportteja ja hälytyksiä, joilla varmistetaan sääntöjen noudattaminen automaattisten tarkistusten avulla, jotta voidaan varmistaa, että vain valtuutetut ohjelmistot on asennettu.
Organisaation on käytettävä DHCP-lokitusta:
Organisaatio ottaa käyttöön prosessin luvattomien tieto-omaisuuksien käsittelyä varten, käyttää automaattisia työkaluja tieto-omaisuuksien löytämiseen, tekee viikoittaisia tarkistuksia poikkeamien havaitsemiseksi, toteuttaa luvattomien tieto-omaisuuksien pääsyn estäviä toimenpiteitä ja ylläpitää selkeitä protokollia tieto-omaisuuksien poistamista varten, ja kaikki toimet kirjataan ja dokumentoidaan.
Arvioi jatkuvasti, ovatko kerätyt tiedot, sekä turvallisuuden kannalta merkitykselliset seurantatiedot että asiaankuuluvista lähteistä saadut uhkatiedot, riittävän merkityksellisiä ja yksityiskohtaisia.
Ainoastaan merkityksellisiä seurantatietoja on kerättävä ja säilytettävä, ja tarvittaessa seurantaa on mukautettava uudelleen strategian mukaisesti. Kaikki kerätyt tiedot, joilla ei ole enää merkitystä toiminnalle tai turvallisuudelle, on poistettava.
Organisaation tulisi käyttää työkaluja, jotka tukevat sekä manuaalisia että automaattisia hakuja, mukaan lukien kriteereihin perustuvia hakuja. Työkalun pitäisi pystyä automaattisesti kokoamaan tietoja eri lähteistä, jotta voidaan helpommin määrittää, onko kyseessä oikea poikkeama, sekä määrittää sen laajuus ja luonne.
Nämä toiminnot ja prosessit voidaan toteuttaa SIEM:llä (Security information and event management). SIEM-ratkaisuissa käytetään analytiikkatyökaluja, teknologioita ja algoritmeja (esim. uudemmissa SIEM-ratkaisuissa käytetään sovellettua koneoppimista), joiden avulla voidaan havaita tuntemattomia uhkia ja poikkeavuuksia tietoturvan kannalta merkityksellisissä tiedoissa. SIEM-ratkaisujen avulla organisaatiot voivat myös muokata jo olemassa olevia hälytyksiä (yleensä valmiiksi konfiguroituja) ja lisätä kriteereihin perustuvia hälytyksiä vastaamaan tunnettuja uhkia. Nämä asiat auttavat havaitsemaan uhat aikaisemmin.
Organization should use tools that support both manual and automated searches, including criteria-based searches. The tool should be able to automatically collate data from different sources to more easily determine whether an incident is genuine, as well as its scope and nature.
These operations and processes can be implemented with SIEM (Security information and event management). SIEM solutions use analytics tools, technology and algorithms (e.g., newer SIEM solutions employ applied machine learning) to help detect unknown threats and abnormalities in the security-relevant data. Also SIEM solutions allow organizations to modify already existing (which usually come pre-configured) and add criteria-based alerts to match known threats. These things will help detect threats earlier.
Organisation must identify which laws and regulations it needs comply with. Based on these laws and regulations, the organisation determines a strategy and guidelines for data logging and analysis.
The following things should be described in the strategy and guidelines:
Organisaation on tunnistettava, mitä lakeja ja asetuksia sen on noudatettava. Näiden lakien ja asetusten perusteella organisaatio määrittää strategian ja ohjeet tietojen lokitusta ja analysointia varten.
Strategiassa ja ohjeissa tulisi kuvata seuraavat asiat:
Continually assess whether the collected data, both security-relevant monitoring data and obtained threat information from relevant sources, is sufficiently relevant and detailed.
Only relevant monitoring data should be collected and preserved, and if necessary, reconfigure the monitoring in line with the strategy. All collected data which no longer has operational or security relevance should be removed.
Organisaation on lokitettava käytettyjen laitteiden ja palveluiden hallinto- ja turvalokit.
Näihin lokitietoihin lokitetaan järjestelmänvalvojien ja etuoikeutettujen käyttäjien tekemät toimet. Niiden avulla voidaan valvoa järjestelmäkonfiguraatioiden, käyttäjien käyttöoikeuksien ja muiden kriittisten asetusten muutoksia. Säilyttämällä näitä lokitietoja organisaatio voi tarkastaa hallintatoimet ja varmistaa vastuullisuuden.
Tietoturvalokit tallentavat järjestelmien ja tietojen turvallisuuteen liittyviä tapahtumia. Näihin kuuluvat kirjautumisyritykset, palomuuritoiminnot, tunkeutumisen havaitsemisjärjestelmän hälytykset ja virustorjuntatoimet. Näiden lokien seuraaminen auttaa tunnistamaan epäilyttävät toiminnot, jotka voivat viitata tietoturvaloukkaukseen tai sisäiseen uhkaan.
Käytä standardoitua lokimuotoa. Tämä auttaa lokien ja kolmansien osapuolten lokianalyysityökalujen integrointia, mikä tekee siitä helpompaa ja joissakin tapauksissa jopa mahdollista.
Organization should use tools that support both manual and automated searches, including criteria-based searches. The tool should be able to automatically collate data from different sources to more easily determine whether an incident is genuine, as well as its scope and nature.
These operations and processes can be implemented with SIEM (Security information and event management). SIEM solutions use analytics tools, technology and algorithms (e.g., newer SIEM solutions employ applied machine learning) to help detect unknown threats and abnormalities in the security-relevant data. Also SIEM solutions allow organizations to modify already existing (which usually come pre-configured) and add criteria-based alerts to match known threats. These things will help detect threats earlier.
Organisaatiolla on oltava menettely, jolla tapahtumalokit tarkastetaan sääntöjen rikkomisen ja muiden havaittavien ongelmien varalta lakisääteisten ja organisatoristen määräysten mukaisesti.
Organisaation on myös suojattava tapahtumalokien eheys (esim. erillisellä ympäristöllä).
Organisaation on teknisesti varmistettava, että kertyvät lokit ovat "vain luku" muodossa (read-only) kaikille kirjoitusoikeudet omaaville käyttäjille - sisältäen pääkäyttäjäoikeudet.
Lokien käytöstä poistamisen tai muokkaamisen on oltava mahdollista ainoastaan tarkasti harkittujen toimintamallien kautta, jotka varmistavat tehtävien eriyttämisen sekä tarvittaessa "break glass" -tyyliset hätätoimenpiteet.
Hallintaprosessin toteuttamisessa kannattaa harkita logihallinnan integroimista keskitettyyn lokihallintajärjestelmään sekä integrointia SIEM-ratkaisuun, joka voi auttaa reaaliaikaisessa väärinkäytöstän valvonnassa.
Pilvipohjaisia tietojärjestelmiä käytettäessä organisaation tulee pyytää palveluntarjoajalta tietoja kunkin järjestelmän valvontamahdollisuuksien selvittämiseksi.
Pilvipalveluita tarjoaessaan palveluntarjoajana organisaation tulee tarjota asiakkaalle ennakoivasti seurantavalmiuksia ja niihin liittyvää dokumentaatiota. Tämä sisältää esim. kyvyn valvoa, käytetäänkö palvelua alustana tai vektorina hyökätäkseen muihin tai kyky tarkkailla tietovuotoja palvelussa.
Organisaatio on tunnistanut lokitietojen keräämiseen liittyvät vaatimukset ja varmistanut niiden perusteella lokitietojen keräämisen ja seurannan riittävyyden.
Lokitiedot tulee kerätä tietojärjestelmän käytöstä ja tietojen luovutuksista, mutta tietojen kerääminen on sidottu tarpeellisuuteen. Jos tietojärjestelmästä luovutetaan rajapintojen tai katseluyhteyden avulla salassa pidettäviä tietoja tai henkilötietoja, tulee luovuttavassa järjestelmässä kerätä luovutuslokitiedot sen varmistamiseksi, että tietojen luovuttamiselle on ollut laillinen perusteensa. Lisäksi käyttölokitiedot tulee kerätä ainakin tietojärjestelmistä, joissa käsitellään henkilötietoja tai salassa pidettäviä tietoja.
Kaikki tiedon sisääntuonnin ja ulosviennin käyttötapaukset on tunnistettu. Turvalliset toimintatavat on määritetty, ohjeistettu ja valvonnan piirissä. Turvallisten toimintatapojen piiriin sisältyy tarvearviointi järjestelmien USB-porttien ja vastaavien liityntöjen käytölle.
USB-porttien ja vastaavien liityntöjen käytön tapauskohtaisiin ehtoihin voi sisältyä esimerkiksi, että järjestelmään voi kytkeä vain erikseen määritettyjä luotettavaksi todennettuja muistitikkuja (ja vastaavia), joita ei kytketä mihinkään muuhun järjestelmään. Tapauskohtaisiin ehtoihin voi sisältyä esimerkiksi järjestely, jossa vain organisaation tietohallinnon jakamia muistivälineitä voidaan kytkeä organisaation järjestelmiin, ja että kaikkien muiden muistivälineiden kytkeminen on kielletty ja/tai teknisesti estetty.
Tilanteissa, joissa on tarve tuoda tietoa ei-luotetuista järjestelmistä jotain muistivälinettä käyttäen, tapauskohtaisiin ehtoihin sisältyy usein myös määrittelyt siitä, millä menetelmillä pienennetään tämän aiheuttamaa riskiä. Menetelmänä voi esimerkiksi olla ei-luotetusta lähteestä tulevan muistivälineen kytkeminen eristettyyn tarkastusjärjestelmään, jonne siirrettävä tieto siirretään, ja josta siirrettävä tieto viedään edelleen luotettuun järjestelmään erillistä muistivälinettä käyttäen.
Tilanteissa, joissa on tarve tuoda tietoa ei-luotetuista järjestelmistä jotain muistivälinettä käyttäen, huomioidaan lisäksi yleensä turvallisuusluokasta II lähtien myös muistivälineen kontrolleritason räätälöinnin uhat.
Turvallisuusluokan II–III tiedon käsittely on rekisteröitävä sähköiseen lokiin, tietojärjestelmään, asiarekisteriin tai tietoon (esimerkiksi dokumentin osaksi). Teemasta on olemassa suositus VM 2021:5: Suositus turvallisuusluokiteltavien asiakirjojen käsittelystä.
TL III ja TL II käsittely-ympäristöissä vaatimus voidaan siten, että toteutetaan alla mainitut toimenpiteet:
Turvallisuusluokan I tietojen käsittelyssä suositellaan riskiperustaisesti turvallisuusluokkaa II pidempiä säilytysaikoja lokitiedoille (esimerkiksi vähintään 10 vuotta).
Turvallisuusluokan I tietojenkäsittely-ympäristöt ovat tyypillisesti suppeita, koostuen esimerkiksi kaikista verkoista pysyvästi irtikytketyistä päätelaitteista. Toisaalta esimerkiksi 10 vuoden lokikertymän säilyvyys on haastava toteuttaa uskottavasti vain päätelaitteilla, joten tällaisten päätelaitteiden lokienkeräys sekä kerättyjen lokitietojen varmistukset edellyttävätkin yleensä suunniteltua säännöllistä prosessia. Käytännön toteutustapana voi olla esimerkiksi lokitietojen säännöllinen kerääminen irtomedialle, jota käsitellään ja säilytetään sen elinkaaren ajan kuin turvallisuusluokan I tietoa. Lisäksi huomioitava, että mikäli tietojärjestelmän pääsynhallinta tai esimerkiksi toimien jäljitettävyys nojautuu fyysisen turvallisuuden menettelyihin, myös näistä syntyviä tallenteita saattaa olla perusteltua säilyttää ja hallinnoida turvallisuusluokan I mukaisilla menettelyillä.
Käyttäjien ja ylläpitäjien toimintaa seurataan poikkeuksellisen toiminnan havaitsemiseksi. Turvallisuusluokan I tietojen käsittelyssä suositellaan tehostettua poikkeamien havainnointikykyä, painottaen muun muassa tietojenkäsittely-ympäristön käyttäjien ja ylläpitäjien toiminnan seurantaa.
Organisaation on kuvattava verkon ja tietojärjestelmien käytön normaalitila, jota käytetään lähtökohtana poikkeavuuksien tunnistamisessa.
Normaalitilaa määritettäessä on otettava huomioon seuraavat asiat:
Valvontajärjestelmät on konfiguroitava normaalitilaa vasten, jotta voidaan tunnistaa poikkeava käyttäytyminen, kuten:
Kellojen synkronointi eri järjestelmien välillä mahdollistaa hyvän yhteentoimivuuden sekä helpottaa ongelmatilanteiden seurantaa ja tapahtumavirtojen hahmottamista.
Organisaation on käytettävä luotettavaa lähdettä kellonajan säätämiseen ja synkronointiin ainakin toimintansa kannalta kriittisten järjestelmien osalta. Sopivissa tapauksissa organisaation tulisi käyttää kahta lähdettä.
Organisaatiolla on oltava ennalta suunnitellut, selkeät toimintatavat kunkin eri suojausjärjestelmän osalta tilanteisiin, joissa lokituksen tai muun käytön valvonnan epäillään pettäneen. Näistä tilanteista on ilmoitettava viipymättä oikealle vastuutaholle.
Prosessin on otettava huomioon vähintään organisaation digiturvalle oleelliset suojausjärjestelmät (esim. palomuurit, IDS/IPS, haittaohjelmatorjunta, kulunvalvonta).
Suojausjärjestelmissä (esim. palomuuri, haittaohjelmasuojaus) on usein mahdollisuus tallentaa lokia tapahtumista. Varmistakaa säännöllisin aikavälein, että kattavaa lokia kertyy ja pyrkikää tunnistamaan epäilyttävää toimintaa. Lokista on hyötyä myös häiriöiden tai loukkausten tutkinnassa.
Usein turvallisuustyökalut tarjoavat tavan asettaa hälytyksiä (alert policies), kun organisaation ympäristössä tapahtuu jotain mahdollisesti vaarallista. Esim. Microsoft 365 -ympäristössä on sisäänrakennettuja hälytyskäytäntöjä, jotka pyrkivät varoittamaan pääkäyttäjäoikeuksien väärinkäytöstä, haittaohjelmista, mahdollisista sisäistä ja ulkoisista riskeistä sekä riskeistä tietoaineistojen turvallisuudelle.
Organisaation on tunnistettava tietoturvaan liittyvät tapahtumat tietojärjestelmissä sekä niiden toimintaan liittyvissä ympäristöissä. Näihin tapahtumiin liittyviin muutoksiin reagoimiseksi on luotava hälytyskäytännöt.
Hälytyskäytäntöjä on valvottava aktiivisesti ja niitä on muokattava kokemuksen perusteella.
Organisaation on oltava selvillä eri tietojärjestelmien käytöstä kertyvistä tapahtumalokeista, olipa lokien tuottaminen omalla tai järjestelmätoimittajan vastuulla. Lokeihin tallentuvat käyttäjien suorittamat toiminnot sekä tapahtuneet poikkeamat, virheet ja tietoturvatapahtumat.
Kertyvän lokin riittävyyttä on katselmoitava säännöllisesti. Lokin avulla pitäisi tarvittaessa pystyä selvittämään järjestelmään liittyvät häiriötilanteet ja niiden syy.
Lokeja pyritään suojaamaan luvattomilta tietojen muutoksilta sekä toimintahäiriöiltä, joita ovat mm.:
Lokeja suojataan luvattomilta muutoksilta ja häiriöiltä (esim. tietojen muokkaaminen tai säilytyskapasiteetin ylittyminen) mm. seuraavin toimintatavoin:
Organisaation olisi kerättävä lokitiedot kaikesta omaisuudestaan. Keräys olisi tehtävä organisaation lokienhallintaprosessin mukaisesti.
Arkistoi ja allekirjoita lokit digitaalisesti säännöllisin väliajoin lokien eheyden varmistamiseksi.
Organisaation tietojärjestelmiä ja verkkoa on valvottava poikkeavan käytön havaitsemiksi. Kun poikkeavaa käyttöä havaitaan, organisaation on ryhdyttävä tarvittaviin toimenpiteisiin arvioidakseen tietoturvahäiriön mahdollisuuden.
Valvonnassa tulisi hyödyntää työkaluja, jotka mahdollistavat reaaliaikaisen tai säännöllisen valvonnan organisaation tarvetason huomioiden. Valvontakäytännöillä tulisi pystyä hallitsemaan suuria määriä dataa, mukautumaan muuttuvaan uhkaympäristöön sekä lähettää tarvittaessa hälytyksiä välittömästi.
Seuraavien lähteiden sisällyttämistä valvontajärjestelmään on harkittava:
Organisaation on myös luotava toimintatavat "false positive" tulosten tunnistamiseksi ja korjaamiseksi, mukaan lukien valvontaohjelmiston virittäminen tarkempaa poikkeavuuksien tunnistamista varten.
Poikkeavuuksista tulee ilmoittaa relevanteille osapuolille seuraavien toimintojen kehittämiseksi:
Haavoittuvuuksia kolmannen osapuolen kehittämissä tai avoimen lähdekoodin kirjastoissa on valvottava, skannattava ja raportoitava samaan tyyliin kuin muitakin haavoittuvuuksia.
Organisaation on määritetävä toimintatavat, joiden kautta tunnistetaan tarvittavat päivitykset ulkoisia kirjastoja hyödyntävissä sovelluksissa. Valvontaa suorittavat skannaukset voidaan toteuttaa automatisoidusti asiaan erikoistuneilla työkaluilla.
Organisaation on järkevää myös seurata yleistä viestintää haavoittuvuuksien uutisoinnista.
Organisaatiolla täytyy olla kyvykkyys valvoa ja raportoida salaukseen sekä salausavainten hallintaan liittyviä toimia.
Kun havaitaan normaalista poikkeavaa toimintaa, tapauset olisi käsiteltävä häiriöiden hallinnan prosessien mukaisesti.
Organisaatiolla on oltava ennalta suunnitellut, selkeät toimintatavat tilanteisiin, joissa lokituksen tai muun käytön valvonnan epäillään pettäneen. Näistä tilanteista on ilmoitettava viipymättä oikealle vastuutaholle.
Eri tyyppisiin tilanteisiin tulisi olla omat toimintaohjeensa. Virheitä valvonnassa voivat aiheuttaa esimerkiksi ohjelmistovirheet, lokien tallennusvirheet, lokien varmuuskopiointivirheet tai muistitilan ylittäminen.
Tarvittavaa henkilöstöä koulutetaan säännöllisesti valittujen suojausjärjestelmien käytöstä.
Suojausjärjestelmät ovat niitä tietojärjestelmiä, jotka ovat käytössä suojatakseen meillä olevaa tietoa, ei niinkään sen käsittelemiseksi.
Arvioimme säännöllisesti eri suojausjärjestelmien toimintaa ja tarvetta uusille järjestelmille.
Järjestelmälokit sisältävät usein runsaasti tietoa, josta suuri osa on tietoturvallisuuden tarkkailun kannalta epäolennaista. Jotta tietoturvallisuuden tarkkailun kannalta merkittävät tapahtumat saadaan tunnistettua, olisi harkittava tarkoituksenmukaisten sanomatyyppien automaattista kopiointia toiseen lokiin tai soveltuvien apuohjelmien tai tarkastustyökalujen käyttöä tiedostojen läpikäymisessä ja selvittämisessä.
Valvomalla pilvipalveluissa jaettujen tietojen määrää voidaan pyrkiä havaitsemaan riskejä, jotka voivat johtaa tiedon luvattomaan paljastumiseen. Tiedostoihin liittyen voidaan esimerkiksi valvoa:
Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.
.png)
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
