Sisältökirjasto
Pääsynhallinta ja tunnistautuminen
Disabling default accounts

Muita saman teeman digiturvatehtäviä

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset

Järjestelmien käyttöoikeuksien säännöllinen katselmointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
30
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
5. Henkilötietojen käsittelyä koskevat periaatteet
GDPR
24. Rekisterinpitäjän vastuu
GDPR
32. Käsittelyn turvallisuus
GDPR
9.2.5: Pääsyoikeuksien uudelleenarviointi
ISO27 Täysi
16 §: Tietojärjestelmien käyttöoikeuksien hallinta
TiHL
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Järjestelmien käyttöoikeuksien säännöllinen katselmointi
1. Tehtävän vaatimuskuvaus

Tietojärjestelmästä vastaava taho määrittää järjestelmän käyttöoikeudet käyttäjien tehtäviin liittyen. Todellisten käyttöoikeuksien vastaavuutta suunniteltuun on valvottava ja oikeuksia uudelleenarvioitava säännöllisin aikavälein.

Pääsyoikeuksia katselmoitaessa on huomiotava lisäksi ylläpito-oikeuksien minimointi sekä tarpeettomien tunnusten sulkeminen.

Salasanan hallintajärjestelmän käyttö ja arviointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
18
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
9.3: Käyttäjän vastuut
ISO27 Täysi
9.3.1: Tunnistautumistietojen käyttö
ISO27 Täysi
9.4.3: Salasanojen hallintajärjestelmä
ISO27 Täysi
SEC-07: Password policy
Cyber Essentials
5.17: Tunnistautumistiedot
ISO27k1 Täysi
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Salasanan hallintajärjestelmän käyttö ja arviointi
1. Tehtävän vaatimuskuvaus

Salasanojen hallintajärjestelmä antaa käyttäjän rekisteröitymistilanteessa päättää, mitenkä monimutkainen salasana tällä kertaa laitetaan, ja muistaa sen käyttäjän puolesta.

Salasanojen hallintajärjestelmän käytössä voidaan noudattaa mm. seuraavia periaatteita:

  • järjestelmä pakottaa käyttämään jatkossa yksilöllisiä salasanoja
  • järjestelmä varoittaa käyttäjää vaihtamaan vanhat toistuvat salasanat
  • järjestelmä pakottaa valitsemaan tarpeeksi monimutkaisia, laadukkaita salasanoja
  • järjestelmä pakottaa käyttäjän vaihtamaan tilapäisen salasanan ensimmäisellä kirjautumiskerralla
  • järjestelmä pakottaa vaihtamaan mahdollisesti tietovuodossa vaarantuneen salasanan
  • järjestelmä estää samojen salasanojen uudelleen käyttämisen
  • järjestelmä säilyttää salasanatiedostot erillään muista tiedoista ja vahvasti salattuina

Hyväksyttyjen tunnistautumistapojen määrittely ja dokumentointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
36
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
9.1.1: Pääsynhallintapolitiikka
ISO27 Täysi
9.2.4: Käyttäjien tunnistautumistietojen hallinta
ISO27 Täysi
9.4.2: Turvallinen kirjautuminen
ISO27 Täysi
I07: Tietojenkäsittely-ympäristön toimijoiden tunnistaminen
Katakri
6.6.2: Käyttövaltuushallinta ja tunnistautuminen järjestelmiin
Omavalvonta
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Hyväksyttyjen tunnistautumistapojen määrittely ja dokumentointi
1. Tehtävän vaatimuskuvaus

Organisaatio on ennalta määritellyt tunnistautumistavat, joita työntekijöiden tulisi suosia tietojärjestelmiä käytettäessä.

Useita pilvipalveluita käyttäessään käyttäjä voi itse määritellä, millä tavalla hän palveluun tunnistautuu. Yksittäinen keskitetty tunnistautumistili (esim. Google- tai Office365-tili) voi auttaa sulkemaan iso määrä pääsyoikeuksia kerralla, kun tunnistautumistapana toimiva käyttäjätili suljetaan.

Monivaiheisen tunnistautumisen käyttö tärkeiksi määriteltyihin järjestelmiin

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
30
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
9.1.1: Pääsynhallintapolitiikka
ISO27 Täysi
9.4.2: Turvallinen kirjautuminen
ISO27 Täysi
I07: Tietojenkäsittely-ympäristön toimijoiden tunnistaminen
Katakri
PR.AC-7: User, device, and other asset authentication
NIST
SEC-05: Remote access user authentication
Cyber Essentials
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Monivaiheisen tunnistautumisen käyttö tärkeiksi määriteltyihin järjestelmiin
1. Tehtävän vaatimuskuvaus

Tärkeää tietoa sisältäviin järjestelmiin olisi kirjauduttava useita tunnistamiskeinoja käyttävällä kirjautumisella, jota kutsutaan englanniksi joko "two-factor", “multi-factor” tai “dual factor” tunnistautumiseksi.

Esimerkiksi kirjautuessaan ensin salasanalla, käyttäjälle voidaan lähettää lisäksi kertakäyttöinen tunnistautumiskoodi tekstiviestinä. Tällöin hänet on tunnistettu kahden tekijän avulla (salasanan tietäminen ja puhelimen omistajuus).

Kaksivaiheisessa tunnistautumisessa voidaan käyttää apuna myös biometrisiä tunnisteita (esim. sormenjälki) ja muita laitteita. Kannattaa kuitenkin huomioida kustannukset ja vaikutukset yksityisyydensuojalle.

Pääsynhallintapolitiikan luominen ja ylläpito

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
5
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
40: Käyttövaltuuspolitiikka ja prosessi
Kokonaiskuva (DVV)
2.6.1: Create guidelines for access control
NSM ICT-SP
2.6.2: Establish a formal process for administration of accounts, access rights and privileges
NSM ICT-SP
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Pääsynhallintapolitiikan luominen ja ylläpito
1. Tehtävän vaatimuskuvaus

Varmistaakseen valtuutetun pääsyn ja estääkseen luvattoman pääsyn tietoihin ja muihin niihin liittyviin resursseihin organisaatio on määritellyt ja ottanut käyttöön selkeät säännöt fyysistä ja loogista pääsynvalvontaa varten.

Säännöt otetaan käyttöön ja niitä valvotaan useiden eri tehtävien avulla, mutta ne on myös yhdistetty pääsynvalvontapolitiikaksi selkeää viestintää ja tarkastelua varten.

Kaikki tilit, käyttöoikeudet ja etuoikeudet olisi voitava jäljittää niistä vastaavaan rooliin ja ne hyväksyneeseen henkilöön.

Tunnistus- ja pääsymenetelmien hallinta

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
4.1.1: Management of access methods
TISAX
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tunnistus- ja pääsymenetelmien hallinta
1. Tehtävän vaatimuskuvaus

Organisaatiolla on oltava määritellyt vaatimukset ja menettelyt tunnistusvälineiden käsittelyä varten niiden koko elinkaaren ajan. Seuraavat asiat tulee ottaa huomioon:

  • Luominen, luovuttaminen, palauttaminen ja tuhoaminen.
  • voimassaoloaika
  • Jäljitettävyys
  • Katoamisten käsittely

Tunnistusvälineet olisi pystyttävä luomaan vain valvotuissa olosuhteissa.

Jos käyttöoikeus liittyy omaisuuteen, jonka suojaustarpeet ovat korkeat, tunnistusvälineiden voimassaoloaika olisi rajoitettava tarvittavaan ajanjaksoon sekä suunnitelmat katoamistapauksissa tunnistusvälineiden käytön estämiseksi tai mitätöimiseksi olisi luotava.

Ohjeet pääsyoikeuksiin vaikuttavien muutosten ilmoittamisesta

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
12
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
9.2.6: Pääsyoikeuksien poistaminen tai muuttaminen
ISO27 Täysi
I06: Pääsyoikeuksien hallinnointi
Katakri
PR.AC-1: Identity and credential management
NIST
TEK-07.3: Pääsyoikeuksien hallinnointi - pääsyoikeuksien ajantasaisuus
Julkri
5.18: Pääsyoikeudet
ISO27k1 Täysi
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Ohjeet pääsyoikeuksiin vaikuttavien muutosten ilmoittamisesta
1. Tehtävän vaatimuskuvaus

Esihenkilöitä on ohjeistettu ilmoittamaan etukäteen tietojärjestelmien omistajille merkittävistä muutoksista alaisten työsuhteissa, kuten ylennyksistä, alennuksista, työsuhteen päättymisestä tai muista muutoksista työroolissa.

Ilmoituksen perusteella henkilön pääsyoikeuksia voidaan päivittää joko keskitetystä hallintajärjestelmästä tai yksittäisistä tietojärjestelmistä.

Ylläpito-oikeuksien säännöt ja muodollinen hallintaprosessi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
20
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
9.2.3: Ylläpito-oikeuksien hallinta
ISO27 Täysi
TEK-04.4: Hallintayhteydet - henkilökohtaiset tunnukset
Julkri
8.2: Ylläpito-oikeudet
ISO27k1 Täysi
CC6.1b: Logical access control for protected information assets
SOC 2
CC6.3: Management of access to data based on roles and responsibilities
SOC 2
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Ylläpito-oikeuksien säännöt ja muodollinen hallintaprosessi
1. Tehtävän vaatimuskuvaus

Ylläpito-oikeuksia hallitaan muodollisen prosessin avulla, jonka tavoitteena on rajata ylläpito-oikeuksien jakamista ja valvoa käyttöä.

Ylläpito-oikeuksiin liittyen:

  • on määritely vanhenemista koskevat vaatimukset
  • ylläpito-oikeudet myönnetään vain muille kuin normaaliin arkikäyttöön käytettäville käyttäjätunnuksille
  • normaalia arkikäyttöä ei saa suorittaa ylläpito-oikeuksilla varustetulla käyttäjätunnuksella

Pääsyoikeusroolien määrittely ja dokumentointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
45
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
5. Henkilötietojen käsittelyä koskevat periaatteet
GDPR
25. Sisäänrakennettu ja oletusarvoinen tietosuoja
GDPR
9.1: Pääsynhallinnan liiketoiminnalliset vaatimukset
ISO27 Täysi
9.1.1: Pääsynhallintapolitiikka
ISO27 Täysi
9.1.2: Pääsy verkkoihin ja verkkopalveluihin
ISO27 Täysi
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Pääsyoikeusroolien määrittely ja dokumentointi
1. Tehtävän vaatimuskuvaus

Organisaatio toteuttaa roolipohjaista pääsynhallintaa, jossa on ennakkoon määritetty eri suojattavalle omaisuudelle pääsyoikeusroolit, jotka oikeuttavat pääsyn. Roolien tiukkuuden tulisi heijastaa omaisuuteen liittyviä tietoturvariskejä.

Määrittelyn tueksi pitää harkita seuraavia asioita:

  • kuinka laajoihin tietoihin kukin käyttäjä tarvitsee pääsyn
  • kuinka laajasti käyttäjän tulee pystyä muokkaamaan tietoja (luku-, kirjoitus-, poisto-, tulostamis-, suorittamisoikeus)
  • onko muilla sovelluksilla pääsyä tietoihin
  • voidaanko tietoja eriyttää omaisuuden sisällä niin, että arkaluonteiset tiedot paljastuvat vähemmän

Monivaiheisen tunnistautumisen mahdollistaminen kaikille käyttäjille

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
17
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
9.3: Käyttäjän vastuut
ISO27 Täysi
9.3.1: Tunnistautumistietojen käyttö
ISO27 Täysi
PR.AC-7: User, device, and other asset authentication
NIST
UAC-04: Two factor authentication
Cyber Essentials
44: Monivaiheinen tunnistus etäkäytössä
Kokonaiskuva (DVV)
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Monivaiheisen tunnistautumisen mahdollistaminen kaikille käyttäjille
1. Tehtävän vaatimuskuvaus

Monivaiheinen tunnistautuminen (multi-factor authentication, MFA) auttaa suojaamaan laitteita ja tietoja. Sen soveltamiseksi käyttäjistä on oltava identiteetinhallintajärjestelmässä muutakin tietoa kuin vain sähköpostiosoite - esimerkiksi puhelinnumero tai liitetty Authenticator-sovellus (esim. Microsoft, Google tai LastPass Authenticator).

Dedikoitujen admin-tunnusten käyttö kriittisissä järjestelmissä

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
18
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
9.2.3: Ylläpito-oikeuksien hallinta
ISO27 Täysi
UAC-05: Administrative account usage
Cyber Essentials
TEK-07.2: Pääsyoikeuksien hallinnointi - pääsyoikeuksien rajaaminen
Julkri
8.2: Ylläpito-oikeudet
ISO27k1 Täysi
CC6.3: Management of access to data based on roles and responsibilities
SOC 2
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Dedikoitujen admin-tunnusten käyttö kriittisissä järjestelmissä
1. Tehtävän vaatimuskuvaus

Etenkin identiteettien hallinnan pääjärjestelmissä (esim. Microsoft 365, Google), pääkäyttäjätileillä on hyvin merkittävät oikeudet. Nämä tilit ovat usein huijareiden ja hyökkäysten kohteina arvonsa takia. Tämän takia pääkäyttäjätilit on hyödyllistä dedikoida vain hallintakäyttöön, eikä samoja tilejä tulisi hyödyntää jokapäiväisessä käytössä tai esimerkiksi muihin verkkopalveluihin rekisteröidyttäessä.

Monivaiheisen tunnistautumisen käyttö pääkäyttäjille

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
19
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
9.1.1: Pääsynhallintapolitiikka
ISO27 Täysi
9.2.3: Ylläpito-oikeuksien hallinta
ISO27 Täysi
PR.AC-7: User, device, and other asset authentication
NIST
UAC-04: Two factor authentication
Cyber Essentials
TEK-04.1: Hallintayhteydet - vahva tunnistaminen julkisessa verkossa
Julkri
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Monivaiheisen tunnistautumisen käyttö pääkäyttäjille
1. Tehtävän vaatimuskuvaus

Organisaation tärkeimmissä järjestelmissä pääkäyttäjinä toimivilta vaaditaan useita tunnistamiskeinoja käyttävää kirjautumista (engl. multi-factor authentication, MFA).

Esimerkiksi kirjautuessaan ensin salasanalla, käyttäjälle voidaan lähettää lisäksi kertakäyttöinen tunnistautumiskoodi tekstiviestinä. Tällöin hänet on tunnistettu kahden tekijän avulla (salasanan tietäminen ja puhelimen omistajuus).

Monivaiheisessa tunnistautumisessa voidaan käyttää apuna myös biometrisiä tunnisteita (esim. sormenjälki) ja muita laitteita. Kannattaa kuitenkin huomioida kustannukset ja vaikutukset yksityisyydensuojalle.

Jaettujen käyttäjätunnusten välttäminen ja dokumentointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
12
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
32. Käsittelyn turvallisuus
GDPR
9.2.4: Käyttäjien tunnistautumistietojen hallinta
ISO27 Täysi
I07: Tietojenkäsittely-ympäristön toimijoiden tunnistaminen
Katakri
TEK-08: Tietojenkäsittely-ympäristön toimijoiden tunnistaminen
Julkri
5.16: Identiteetin hallinta
ISO27k1 Täysi
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Jaettujen käyttäjätunnusten välttäminen ja dokumentointi
1. Tehtävän vaatimuskuvaus

Jaetut käyttäjätunnukset olisi sallittava vain, jos ne ovat tarpeellisia liiketoiminnallisista tai toiminnallisista syistä, ja ne olisi hyväksytettävä ja dokumentoitava.

Mikäli jaettuja käyttäjätunnuksia käytetään ylläpitokäyttöön, salasanat on vaihdettava mahdollisimman pian sen jälkeen, kun ylläpitooikeuksin varustettu käyttäjä jättää työnsä.

Jaettujen käyttäjätunnusten hallinta salasanan hallintajärjestelmän kautta

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
5
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
9.2.4: Käyttäjien tunnistautumistietojen hallinta
ISO27 Täysi
9.4.3: Salasanojen hallintajärjestelmä
ISO27 Täysi
5.17: Tunnistautumistiedot
ISO27k1 Täysi
2.6.1: Create guidelines for access control
NSM ICT-SP
2.6.5: Minimise privileges for management accounts
NSM ICT-SP
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Jaettujen käyttäjätunnusten hallinta salasanan hallintajärjestelmän kautta
1. Tehtävän vaatimuskuvaus

Yksi tapa hallita jaettuihin käyttäjätunnuksiin liittyviä riskejä on jaetun salasanan ja sen käyttäjien hallinnoiminen suoraan salasanojen hallintajärjestelmän kautta.

Tällöin voidaan toimia niin, että esimerkiksi ainoastaan yksittäinen henkilö tietää varsinaisesti salasanan ja sitä käyttävät henkilöt.

Kriittisten tietojärjestelmien tunnistautumismenettelyjen katsaus

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
16
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
9.4.2: Turvallinen kirjautuminen
ISO27 Täysi
PR.AC-7: User, device, and other asset authentication
NIST
SEC-05: Remote access user authentication
Cyber Essentials
9.4: Järjestelmien ja sovellusten pääsynhallinta
ISO 27017
9.4.2: Turvallinen kirjautuminen
ISO 27017
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Kriittisten tietojärjestelmien tunnistautumismenettelyjen katsaus
1. Tehtävän vaatimuskuvaus

Järjestelmän tai sovelluksen kirjautumismenettelyn olisi oltava suunniteltu siten, että mahdollisuus luvattomaan pääsyyn on mahdollisimman pieni.

Kirjautumismenettelyn olisi siksi paljastettava mahdollisimman vähän tietoa järjestelmästä tai sovelluksesta, jotta luvatonta käyttäjää ei avustettaisi tarpeettomasti. Kriteerejä hyvälle kirjautumismenettelylle ovat mm.:

  • kirjautumisesta ei paljastu liittyvä sovellus, ennen kuin yhteys on luotu
  • kirjautuminen ei näytä ohje- tai virheviestejä, jotka avustaisivat luvatonta käyttäjää
  • kirjautuminen osoittaa tiedot kelvollisiksi vasta, kun kaikki tiedot on syötetty
  • kirjautumisessa on estetty väsytyshyökkäysten käyttäminen
  • kirjautuminen lokittaa epäonnistuneet ja onnistuneet kirjautumisyritykset
  • epäilyttävistä kirjautumisyrityksistä kerrotaan käyttäjälle
  • salasanoja ei lähetetä selväkielisenä tekstinä verkossa
  • istunto ei kirjautumisen jälkeen jatku ikuisesti

Tarve tietää -periaate ja tehtävien eriyttäminen pääsynhallinnassa

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
18
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
9.1.1: Pääsynhallintapolitiikka
ISO27 Täysi
I06: Pääsyoikeuksien hallinnointi
Katakri
PR.AC-4: Access permissions and authorizations
NIST
HAL-02.1: Tehtävät ja vastuut - tehtävien eriyttäminen
Julkri
HAL-14: Käyttö- ja käsittelyoikeudet
Julkri
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tarve tietää -periaate ja tehtävien eriyttäminen pääsynhallinnassa
1. Tehtävän vaatimuskuvaus

Tarve tietää -periaatteella pääsyoikeus myönnetään ainoastaan sellaiseen tietoon, jota yksilö tarvitsee tehtävänsä suorittamiseen. Eri tehtävillä ja rooleilla on erilaiset tietotarpeet ja täten erilaiset pääsyprofiilit.

Tehtävien eriyttäminen tarkoittaa sitä, että ristiriidassa olevat tehtävät ja vastuualueet on eriytettävä, jotta vähennetään organisaation suojattavan omaisuuden luvattoman tai tahattoman muuntelun tai väärinkäytön riskiä.

Roolipohjaisista käyttöoikeuksista poikkeamien käsittely

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
2
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
6.6.2: Käyttövaltuushallinta ja tunnistautuminen järjestelmiin
Omavalvonta
6.7: Käyttövaltuuksien hallinnan ja tunnistautumisen käytännöt
Tietoturvasuunnitelma
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Roolipohjaisista käyttöoikeuksista poikkeamien käsittely
1. Tehtävän vaatimuskuvaus

Poikkeamat roolikohtaisista oikeuksista tulee asianmukaisesti hyväksyä ja dokumentoida.

Lokitietojen pääsyn minimointi ja seuranta

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
2
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Lokitietojen pääsyn minimointi ja seuranta
1. Tehtävän vaatimuskuvaus

Organisaation on rajattava lokitietoihin pääsy vain sallituille henkilöille. Lokeihin pitää jäädä merkintä niiden katsomisesta ja noita merkintöjä on säilytettävä, jotta lokien tarkastelukerrat voidaan yksilöidä.

Oletusalasanojen vaihtaminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
3
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
SEC-02: Changing default passwords
Cyber Essentials
PR.AC-1: Identities and credentials are issued, managed, verified, revoked, and audited for authorized devices, users, and processes.
CyFun
2.3.7: Change all standard passwords on ICT products before deployment
NSM ICT-SP
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Oletusalasanojen vaihtaminen
1. Tehtävän vaatimuskuvaus

Organisaation on vaihdettava kaikkien tietokoneiden, verkkolaitteiden ja muiden vastaavien oletussalasanat vaikeasti arvattaviin salasanoihin.

Eri käyttöoikeuksien hallintaprosessien kuvaukset

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
10
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
ACCESS-1: Establish Identities and Manage Authentication
C2M2: MIL1
I-06: VÄHIMPIEN OIKEUKSIEN PERIAATE – PÄÄSYOIKEUKSIEN HALLINNOINTI
Katakri 2020
4.5: Käyttöoikeuksien hallinta
TiHL: Tietoturva
4.2.1: Access Management
TISAX
PR.AC-1: Identities and credentials are issued, managed, verified, revoked, and audited for authorized devices, users, and processes.
CyFun
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Eri käyttöoikeuksien hallintaprosessien kuvaukset
1. Tehtävän vaatimuskuvaus

Organisaation on hallittava kaikki sen käyttäjät ja niiden käyttöoikeudet. Tähän kuuluu myös kolmannen osapuolen käyttäjät, joilla on pääsyoikeuksia organisaation tietoihin tai järjestelmiin.

Organisaation on poistettava kokonaan tai poistettava käytöstä käyttöoikeuksia, kun niitä ei enään tarvita tehtävän täyttämiseen. Esimerkiksi silloin, kun työntekijän työtehtävä vaihtuu.

Tietojärjestelmien salasanakäytäntöjen tarkistus

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
6
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
SEC-06: Reviewing password practices on password protected systems
Cyber Essentials
PR.AC-1: Identities and credentials are issued, managed, verified, revoked, and audited for authorized devices, users, and processes.
CyFun
2.6.3: Use a centralised tool to manage accounts, access rights and privileges
NSM ICT-SP
2.6.7: Use multifactor authentication
NSM ICT-SP
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietojärjestelmien salasanakäytäntöjen tarkistus
1. Tehtävän vaatimuskuvaus

Organisaation on käytettävä salasanapohjaisissa palveluihin kirjautumisessa seuraavia salasanakäytäntöjä. Suojautuakseen mm. "brute-force" salasananmurtohyökkäystä vastaan organisaation täytyy käyttää vähintään yhtä alla olevista käytännöistä:

  • käyttäjä lukkiutuu 10 epäonnistuneen kirjautumisyrityksen jälkeen
  • Asettaa raja viiden minuutin aikana tehtyihin kirjautumisyrityksiin kymmeneen

Lisäksi seuraava salasanakäytännöt tulisi olla käytössä:

  • Salasanan vähimmäispituus 8 merkkiä
  • Salasanalla ei ole maksimipituutta
  • Salasana on vaihdettava, jos tiedetään tai epäillään sen vaarantumisesta

Tietojenkäsittely-ympäristön toimijoiden tunnistaminen (TL III, ST III-II)

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
2
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
TEK-08.5: Tietojenkäsittely-ympäristön toimijoiden tunnistaminen - TL III
Julkri
I-07: MONITASOINEN SUOJAAMINEN – TIETOJENKÄSITTELY-YMPÄRISTÖN TOIMIJOIDEN TUNNISTAMINEN FYYSISESTI SUOJATUN TURVALLISUUSALUEEN SISÄLLÄ
Katakri 2020
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietojenkäsittely-ympäristön toimijoiden tunnistaminen (TL III, ST III-II)
1. Tehtävän vaatimuskuvaus

Tietojenkäsittely-ympäristöjen toimijoiden tunnistamiselta edellytetään seuraavia lisätoimia:

  • Käytössä on vahva, vähintään kahteen tekijään perustuvaa käyttäjätunnistus
  • Päätelaitteet tunnistetaan teknisesti (laitetunnistus, 802.1X, tai vastaava menettely) ennen pääsyn sallimista verkkoon tai palveluun, ellei verkkoon kytkeytymistä ole fyysisen turvallisuuden menetelmin rajattu suppeaksi (esim. palvelimen sijoittaminen lukittuun laitekaappiin turva-alueen sisällä).

Tietyissä tilanteissa sähköisiä tunnistusmenelmiä voidaan korvata fyysisen turvallisuuden toimilla (esim. pääsy järjestelmään vain tiukasti rajatulta ja fyysisesti suojatulta alueelta, kuten lukittu laitekaappi, jota valvotaan vahvalla tunnistamisella). Nojattaessa fyysisen turvallisuuden menettelyihin, tulee myös fyysisen turvallisuuden menettelyjen täyttää jäljitettävyydelle asetetut vaatimukset erityisesti lokitietojen ja vastaavien tallenteiden säilytysaikojen suhteen. Tällöin varsinainen järjestelmään tunnistautuminen voi olla esim. käyttäjätunnus-salasana -pari.

Tietojärjestelmien tärkeimpien ylläpitotehtävien valvonta ja eriyttäminen (TL III)

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
TEK-07.5: Pääsyoikeuksien hallinnointi - TL III
Julkri
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietojärjestelmien tärkeimpien ylläpitotehtävien valvonta ja eriyttäminen (TL III)
1. Tehtävän vaatimuskuvaus

Tietojärjestelmien kriittisimpiä ylläpitotehtäviä valvotaan riittävällä tarkkuudella.

Tarvittava tarkkuus valvonnassa ja tehtävien eriyttämisessä riippuu merkittävästi kyseessä olevan tietojärjestelmän käyttötapauksista. Useimmissa järjestelmissä riittävä eriyttäminen on toteutettavissa järjestelmän ylläpitoroolien ja lokien valvontaan osallistuvien roolien erottelulla toisistaan. Yleinen valvontamekanismi on myös vaatia kahden tai useamman henkilön hyväksyntä järjestelmän kriittisille ylläpitotoimille.

Käyttäjätunnusten lukittuminen toistuvista epäonnistuneista tunnistuksista

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
2
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
TEK-08.2: Tietojenkäsittely-ympäristön toimijoiden tunnistaminen
Julkri
TEK-08.3: Tietojenkäsittely-ympäristön toimijoiden tunnistaminen
Julkri
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Käyttäjätunnusten lukittuminen toistuvista epäonnistuneista tunnistuksista
1. Tehtävän vaatimuskuvaus

Käyttäjien käyttäjätunnukset lukittuvat tilanteissa, joissa tunnistus epäonnistuu liian monta kertaa peräkkäin.

Tietojärjestelmien turvallisuusluokiteltujen tietojen erittely

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
TEK-07.2: Pääsyoikeuksien hallinnointi - pääsyoikeuksien rajaaminen
Julkri
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietojärjestelmien turvallisuusluokiteltujen tietojen erittely
1. Tehtävän vaatimuskuvaus

Käyttöoikeuksien rajaamisella vähimpien oikeuksien periaatteen mukaiseksi voidaan pienentää sekä tahallisten että tahattomien tekojen, kuin myös esimerkiksi haittaohjelmista aiheutuvia riskejä.

Tietojärjestelmissä turvallisuusluokitellut tiedot on eritelty vähimpien oikeuksien periaatteen mukaisesti käyttöoikeuksien sekä järjestelmän käsittelysääntöjen avulla tai muulla vastaavalla menettelyllä.

Erittelyä voidaan toteuttaa:

  • loogisen tason erottelulla (esim. palvelinten virtualisointi ja käyttöoikeuksin rajoitetut verkkolevykansiot)
  • luotettavalla loogisella erottelulla (esim. hyväksytysti salatut virtuaalikoneet levyjärjestelmän asiakaskohtaisesti varatuilla fyysisillä levyillä, ja tiedon tai tietoliikenteen hyväksytty salaus yhteiskäyttöisillä verkkolaitteilla)
  • fyysisellä erottelulla (tiedonomistajakohtaisesti varatut fyysiset laitteet) (soveltuu myös korkeammille turvallisuusluokille)

Hallintayhteyksien rajaaminen turvallisuusluokittain

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
2
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
TEK-04.5: Hallintayhteydet - yhteyksien rajaaminen turvallisuusluokittain
Julkri
I-04: TIETOJENKÄSITTELY-YMPÄRISTÖJEN SUOJATTU YHTEENLIITTÄMINEN – HALLINTAYHTEYDET
Katakri 2020
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Hallintayhteyksien rajaaminen turvallisuusluokittain
1. Tehtävän vaatimuskuvaus

Hallintayhteydet on rajattu turvallisuusluokittain, ellei käytössä ole turvallisuusluokka huomioon ottaen riittävän turvallista yhdyskäytäväratkaisua.

Henkilökohtaiset tunnukset hallintayhteyksien käytössä

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
TEK-04.4: Hallintayhteydet - henkilökohtaiset tunnukset
Julkri
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Henkilökohtaiset tunnukset hallintayhteyksien käytössä
1. Tehtävän vaatimuskuvaus

Järjestelmien ja sovellusten ylläpitotunnuksien on oltava henkilökohtaisia. Mikäli henkilökohtaisten tunnusten käyttäminen ei kaikissa järjestelmissä tai sovelluksissa ole teknisesti mahdollista, edellytetään sovitut, dokumentoidut ja käyttäjän yksilöinnin mahdollistavat hallintakäytännöt yhteiskäyttöisille tunnuksille.

Hallintayhteyksien rajaaminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
2
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
TEK-04.3: Hallintayhteydet - vähimmät oikeudet
Julkri
I-04: TIETOJENKÄSITTELY-YMPÄRISTÖJEN SUOJATTU YHTEENLIITTÄMINEN – HALLINTAYHTEYDET
Katakri 2020
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Hallintayhteyksien rajaaminen
1. Tehtävän vaatimuskuvaus

Hallintayhteydet on rajattu vähimpien oikeuksien periaatteen mukaisesti.

Hallintayhteyksien vahva tunnistaminen julkisessa verkossa

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
TEK-04.1: Hallintayhteydet - vahva tunnistaminen julkisessa verkossa
Julkri
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Hallintayhteyksien vahva tunnistaminen julkisessa verkossa
1. Tehtävän vaatimuskuvaus

Hallintapääsyn julkisesta verkosta tai muun käytettävän etähallintaratkaisun tulee edellyttää vahvaa, vähintään kahteen todennustekijään pohjautuvaa käyttäjätunnistusta.

Hallintayhteyksien suojaus on eräs kriittisimmistä tietojärjestelmien turvallisuuteen vaikuttavista tekijöistä. Tietojärjestelmiä, jotka eivät sisällä kriittisiä tietoja, voi kuitenkin olla perusteltua pystyä hallinnoimaan myös fyysisesti suojattujen turvallisuusalueiden ulkopuolelta. Tällöin etähallinta on tarpeen suojata etäkäyttöä kattavammilla turvatoimilla.

Identiteettien todentaminen ja käyttäjätietoihin sitominen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
9
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
PR.AC-6: Proof of identity
NIST
ACCESS-1: Establish Identities and Manage Authentication
C2M2: MIL1
4.1.3: Management of users in data systems
TISAX
PR.AC-6: Identities are proofed and bound to credentials and asserted in interactions.
CyFun
PR.AC-7: Identities are proofed, bound to credentials and asserted in interactions.
CyFun
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Identiteettien todentaminen ja käyttäjätietoihin sitominen
1. Tehtävän vaatimuskuvaus

Organisaatio todentaa käyttäjien identiteetin ja yhdistää ne käyttäjätietoihin. Nämä tulisi myös vahvistaa aina ennen kanssakäymistä.

Identiteetin todentaminen täytyy suorittaa ennalta kirjoitettujen ja hyväksyttyjen sääntöjen mukaisesti.

Käyttöoikeudet hallitaan pienimmän oikeuden periaatteen mukaan

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
8
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
PR.AC-4: Access permissions and authorizations
NIST
I-06: VÄHIMPIEN OIKEUKSIEN PERIAATE – PÄÄSYOIKEUKSIEN HALLINNOINTI
Katakri 2020
PR.AC-4: Access permissions and authorizations are managed, incorporating the principles of least privilege and separation of duties.
CyFun
2.6.1: Create guidelines for access control
NSM ICT-SP
2.6.4: Minimise privileges for end users and special users
NSM ICT-SP
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Käyttöoikeudet hallitaan pienimmän oikeuden periaatteen mukaan
1. Tehtävän vaatimuskuvaus

Organisaation järjestelmien käyttöoikeudet myönnetään ja hallitaan pienimmän oikeuden periaatteen mukaan. Käyttäjälle ei myönnetä enempää käyttöoikeuksia, kun on tarpeen.

Käyttöoikeuksia tarkistetaan ja myös tarpeen tullaan vähennetään, jos käyttäjällä on oikeuksia joita hän tarvitsi tehtävien suorittamiseen, mutta hän ei tarvitse niitä enään.


Etuoikeutettujen apuohjelmien rajoitus tarjottujen digipalvelujen näkökulmasta

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
9.4.4: Ylläpito- ja hallintasovellukset
ISO 27017
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Etuoikeutettujen apuohjelmien rajoitus tarjottujen digipalvelujen näkökulmasta
1. Tehtävän vaatimuskuvaus

Pilvipalveluita tarjoaessaan organisaation tulee määritellä apuohjelmien käytön vaatimukset tarjoamaansa pilvipalveluun liittyen.

Organisaation tulee varmistaa, että apuohjelmat, jotka voivat ohittaa normaalit käyttö- tai turvallisuustoimenpiteet, saa käyttää vain valtuutettu henkilökunta. Näiden apuohjelmien käyttö ja hyödyllisyys tulee tarkistaa säännöllisesti.

Etuoikeutettujen apuohjelmien käytön rajoittaminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
2
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
9.4.4: Ylläpito- ja hallintasovellukset
ISO27 Täysi
8.18: Ylläpito- ja hallintasovellukset
ISO27k1 Täysi
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Etuoikeutettujen apuohjelmien käytön rajoittaminen
1. Tehtävän vaatimuskuvaus

Etuoikeutetut apuohjelmat ovat sovelluksia, jotka vaativat järjestelmä- tai järjestelmänvalvojan oikeudet tehdäkseen työnsä. Erilaisia apuohjelmia voivat olla järjestelmäapuohjelmat (esim. haittaohjelmasuojaus), tallennusapuohjelmat (esim. varmuuskopiointi), tiedostonhallinta-apuohjelmat (esim. salaus) tai muut (esim. korjaus).

Jos etuoikeutettujen apuohjelmien käyttö on sallittua, organisaation tulee tunnistaa kaikki etuoikeutetut apuohjelmat, myös ne, joita käytetään sen pilvilaskentaympäristössä.

Organisaation tulee varmistaa, että apuohjelmat eivät häiritse millään tavalla isännöityjen tietojärjestelmien ohjausta (paikan päällä tai pilvessä).

Ominaisuudet ja ohjeet pääsynhallintaan tarjotuissa digipalveluissa

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
2
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
PR.AC-1: Identity and credential management
NIST
9.2.2: Pääsyoikeuksien jakaminen
ISO 27017
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Ominaisuudet ja ohjeet pääsynhallintaan tarjotuissa digipalveluissa
1. Tehtävän vaatimuskuvaus

Pilvipalveluita tarjoaessaan organisaation tulee tarjota tekninen toteutus, jotta asiakas voi hallita käyttäjien käyttöoikeuksia tililleen.

Organisaation tulee myös tarjota ohjeita käyttäjähallinnan käyttöön (esim. ohjeartikkelit, FAQ:t), jotka liittyvät esimerkiksi käytettävissä oleviin todennusmenetelmiin, kertakirjautumisominaisuuksiin ja erilaisiin järjestelmänvalvojan toimintoihin.

Ominaisuudet ja ohjeet käyttäjien rekisteröintiin ja poistamiseen tarjotuissa digipalveluissa

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
6
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
PR.AC-1: Identity and credential management
NIST
PR.AC-6: Proof of identity
NIST
9.2.1: Käyttäjien rekisteröinti ja poistaminen
ISO 27017
9.2: Pääsyoikeuksien hallinta
ISO 27018
9.2.1: Käyttäjien rekisteröinti ja poistaminen
ISO 27018
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Ominaisuudet ja ohjeet käyttäjien rekisteröintiin ja poistamiseen tarjotuissa digipalveluissa
1. Tehtävän vaatimuskuvaus

Pilvipalveluita tarjoaessaan organisaation tulee tarjota tekninen toteutus, jonka avulla asiakas voi hallita käyttäjän rekisteröintiä ja rekisteröinnin poistamista palvelussa.

Organisaation tulee myös tarjota ohjeita ja teknisiä tietoja käyttäjien luomiseen/poistamiseen (esim. ohjeartikkelit, FAQ:t), esim. liittyen eri käyttäjätasoihin, käyttäjäkutsuprosessiin ja erilaisiin järjestelmänvalvojan toimintoihin.

Deaktivoitujen tai vanhentuneiden käyttäjätunnusten turvallinen hallinta

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
5
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
A.11.10: User ID management
ISO 27018
PR.AC-1: Identities and credentials are issued, managed, verified, revoked, and audited for authorized devices, users, and processes.
CyFun
2.6.2: Establish a formal process for administration of accounts, access rights and privileges
NSM ICT-SP
2.6.3: Use a centralised tool to manage accounts, access rights and privileges
NSM ICT-SP
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Deaktivoitujen tai vanhentuneiden käyttäjätunnusten turvallinen hallinta
1. Tehtävän vaatimuskuvaus

Deaktivoituja tai vanhentuneita käyttäjätunnuksia ei saa koskaan käyttää uudelleen muille käyttäjille.

Tämä on relevantti yleisenä hallintoperiaatteena itse kehitetyissä pilvipalveluissa ja kaikissa muissa käytössä olevissa tietojärjestelmissä, joissa muun ylläpidon voi suorittaa kumppaniorganisaatio, mutta pääsyn/käyttäjätunnusten hallinnan organisaatio itse.

Tarjottujen pilvipalvelujen valtuutettujen käyttäjien kokonaismäärä

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
A.11.9: Records of authorized users
ISO 27018
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tarjottujen pilvipalvelujen valtuutettujen käyttäjien kokonaismäärä
1. Tehtävän vaatimuskuvaus

Organisaation tulee ylläpitää ajan tasalla olevaa rekisteriä käyttäjistä, joilla on hyväksytty pääsy tarjolla oleviin pilvipalveluihin.

Jokaiselle käyttäjälle tulee olla profiili, joka sisältää tarvittavat tiedot (esim. käyttäjätunnukset ja muut todennustiedot) valtuutetun pääsyn tarjoamisen teknisten toimenpiteiden toteuttamiseksi.

Yksilöllisten käyttäjätunnusten käyttäminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
10
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
PR.AC-6: Proof of identity
NIST
UAC-02: User authentication
Cyber Essentials
A.11.8: Unique use of user IDs
ISO 27018
TEK-04.4: Hallintayhteydet - henkilökohtaiset tunnukset
Julkri
TEK-08.1: Tietojenkäsittely-ympäristön toimijoiden tunnistaminen
Julkri
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Yksilöllisten käyttäjätunnusten käyttäminen
1. Tehtävän vaatimuskuvaus

Organisaation on käytettävä yksilöllisiä käyttäjätunnuksia, jotta käyttäjät voidaan yhdistää toimintaansa ja vastuu niistä kohdistaa heihin.

Jaettuja käyttäjätunnuksia ei sallita eikä käyttäjille anneta pääsyä tietojärjestelmiin ennen yksilöllisen käyttäjätunnuksen antamista.

Asiakasta osallistava hyväksyntäprosessi korkean riskin ylläpito-oikeuksille

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Asiakasta osallistava hyväksyntäprosessi korkean riskin ylläpito-oikeuksille
1. Tehtävän vaatimuskuvaus

Organisaatiolla täytyy olla käytäntöjä ja toimintatapoja, joilla asiakas voi osallistua, jos mahdollista, korkean riskin ylläpito-oikeuksien hyväksyntäprosessiin.

Varmenteeseen perustuva todennus järjestelmien välistä viestintää varten

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
PR.AC-1: Identities and credentials are issued, managed, verified, revoked, and audited for authorized devices, users, and processes.
CyFun
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Varmenteeseen perustuva todennus järjestelmien välistä viestintää varten
1. Tehtävän vaatimuskuvaus

Järjestelmien välinen automaattinen viestintä olisi suojattava digitaalisilla varmenteilla. Digitaalisia varmenteita käytetään yhteyden muodostavan laitteen tunnistamiseen ennen pääsyn myöntöä järjestelmään. Toteutuksessa tulisi huomioida myös turvallinen avain politiikka.

Document the identity life cycle management processes

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Document the identity life cycle management processes
1. Tehtävän vaatimuskuvaus

Document the identity life cycle management processes. Documentation should include the following things:

  • The process of creating an identity
  • How identities are maintained
  • The process of deactivating an identity


Käytä keskitettyä työkalua salasanojen laadun tarkistamiseen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
2.6.3: Use a centralised tool to manage accounts, access rights and privileges
NSM ICT-SP
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Käytä keskitettyä työkalua salasanojen laadun tarkistamiseen
1. Tehtävän vaatimuskuvaus

Käytä keskitettyä työkalua, jolla voidaan tarkistaa salasanojen laatua organisaation turvallisuusvaatimuksia vasten. Vähimmäisvaatimuksena olisi välttää yleisten sanojen ja nimien käyttöä työntekijöiden äidinkielellä ja englanniksi sekä vuosien ja vuodenaikojen käyttöä.

Identiteettien uudelleenkäyttö eri järjestelmissä, alijärjestelmissä ja sovelluksissa

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
2.6.1: Create guidelines for access control
NSM ICT-SP
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Identiteettien uudelleenkäyttö eri järjestelmissä, alijärjestelmissä ja sovelluksissa
1. Tehtävän vaatimuskuvaus

Käytä identiteettejä uudelleen aina kun se on mahdollista eri järjestelmissä, alijärjestelmissä ja sovelluksissa. Ihannetapauksessa tämä tapahtuisi kertakirjautumisen avulla.

Luottamukseen perustuvan pääsynvalvonnan käyttäminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
2
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
2.2.6: Control access to services based on knowledge of users and devices
NSM ICT-SP
2.5.2: Restrict access to internal services from external locations
NSM ICT-SP
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Luottamukseen perustuvan pääsynvalvonnan käyttäminen
1. Tehtävän vaatimuskuvaus

Pääsynvalvonnan toteuttaminen palveluihin käyttäjien ja laitteiden tuntemuksen perusteella.

Esimerkiksi, jos käyttäjä kirjautuu sisään hallitsemattomalla laitteella (organisaatio luottaa käyttäjään, mutta ei hallitse laitetta), hän saa pääsyn harvempiin palveluihin kuin jos käyttäjä kirjautuisi sisään organisaation hallinnoimalla laitteella (organisaatio tuntee sekä käyttäjän että laitteen).

Luottamukseen perustuvan pääsynvalvonnan käyttäminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Luottamukseen perustuvan pääsynvalvonnan käyttäminen
1. Tehtävän vaatimuskuvaus

Pääsynvalvonnan toteuttaminen palveluihin käyttäjien ja laitteiden tuntemuksen perusteella.

Esimerkiksi, jos käyttäjä kirjautuu sisään hallitsemattomalla laitteella (organisaatio luottaa käyttäjään, mutta ei hallitse laitetta), hän saa pääsyn harvempiin palveluihin kuin jos käyttäjä kirjautuisi sisään organisaation hallinnoimalla laitteella (organisaatio tuntee sekä käyttäjän että laitteen).

Dokumentoi identiteetin elinkaaren hallintaprosessit

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
2
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
2.6.2: Establish a formal process for administration of accounts, access rights and privileges
NSM ICT-SP
2.6.3: Use a centralised tool to manage accounts, access rights and privileges
NSM ICT-SP
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Dokumentoi identiteetin elinkaaren hallintaprosessit
1. Tehtävän vaatimuskuvaus

Dokumentoi identiteetin elinkaaren hallintaprosessit. Dokumentoinnin tulisi sisältää seuraavat asiat:

  • Identiteetin luomisprosessi
  • Miten identiteettejä ylläpidetään
  • Identiteetin deaktivointiprosessi


Protecting credentials and Identity Assertions

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Protecting credentials and Identity Assertions
1. Tehtävän vaatimuskuvaus

The organization defines and implements protections for login data and identity assertions such as:

  • Protecting login data and identity assertions, including authentication and user information, during transmission by using strong encryption methods such as TLS.
  • Identity assertions and login data at rest are secured with cryptographic methods to protect data stored in databases or authentication systems.
  • Using digital signatures and validating them to ensure the integrity and authenticity of login and identity assertions across all environments, especially in Single Sign-On (SSO) and federated systems.
  • Following standards-based approaches such as SAML, OAuth and OpenID Connect for generating, protecting, and verifying identity assertions in all organizational contexts and environments.

Zero trust architecture in authentication

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Zero trust architecture in authentication
1. Tehtävän vaatimuskuvaus

Organization implements and maintains zero trust in authentication across its systems and hardware. At least these controls should be considered in authentication:

  • Implement periodic reauthentication for users, services, and hardware based on risk levels and activity patterns
  • Use contextual factors such as user roles, device health, location, and access behavior to determine the frequency and requirements for reauthentication.
  • Each hardware's, service's and user's integrity, identity and authenticity should be confirmed, access denied by default and access granted based on the least privileges
  • Integrate multi-factor authentication (MFA) as a mandatory step in authentication and reauthentication processes

Disabling default accounts

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Disabling default accounts
1. Tehtävän vaatimuskuvaus

Enhance security by disabling default accounts on enterprise systems or making them unusable. This practice involves either completely disabling these accounts or changing default credentials and permissions to prevent unauthorized access, reducing the risk of exploitation by attackers who may target known default settings

Enforcing an automatic device lockout on portable end-user devices

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Enforcing an automatic device lockout on portable end-user devices
1. Tehtävän vaatimuskuvaus

To enforce automatic device lockout on portable end-user devices after a predetermined number of failed authentication attempts, the organization adopts several strategies. For laptops, the strategy involves reviewing password practices to implement a limit of 20 failed attempts before lockout. For tablets and smartphones, security policies are set to lock devices after 10 failed attempts. The implementation is supported by mobile device management (MDM) solutions, which enforce these security policies across devices.

Process for establishing and maintaining an inventory of accounts

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Process for establishing and maintaining an inventory of accounts
1. Tehtävän vaatimuskuvaus

To establish and maintain an inventory of accounts within the enterprise, the organization implements several key practices. This includes maintaining a centralized record of access rights, which covers user, administrator, and service accounts to ensure a comprehensive inventory. The inventory is detailed with information such as the individual's name, username, start and stop dates, and department, adapted from documentation practices for data sets.

Using unique passwords

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Using unique passwords
1. Tehtävän vaatimuskuvaus

A password management system ensures that each account has a unique password. For accounts using Multi-Factor Authentication (MFA), the policy sets a minimum password length of 8 characters. In contrast, accounts not protected by MFA are required to use complex passwords with a minimum of 14 characters to enhance security. These guidelines are part of a broader strategy to maintain password uniqueness and complexity, tailored according to the presence or absence of MFA.

Requiring MFA for remote network access

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Requiring MFA for remote network access
1. Tehtävän vaatimuskuvaus

MFA is used for administrative access from public networks or through remote management solutions, ensuring strong authentication that uses at least two factors.

MFA is required for accessing important data systems, employing examples like combining a password with a one-time authentication code sent via text message. These measures ensure that remote network access is secured by verifying user identity with multiple factors, thereby enhancing security for sensitive systems and data.

Centralizing access control

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Centralizing access control
1. Tehtävän vaatimuskuvaus

By defining and documenting accepted authentication methods like Google or Microsoft 365 accounts, the organization uses centralized authentication accounts to efficiently manage a large number of access rights. A centralized record of users’ access rights to data systems and services is maintained, which facilitates the management and auditing of these rights.

Unified access management ensures that closing a central authentication account simultaneously revokes multiple access rights, streamlining the process of access termination when employees leave the organization or change roles.

Using of DNS filtering services

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Using of DNS filtering services
1. Tehtävän vaatimuskuvaus

By utilizing DNS filtering, the organization can detect and block access to potentially dangerous sites, thereby protecting users from known threats.

DNS filtering is network segmentation and filtering practice, which ensure that only safe and approved DNS queries are permitted.

Deploying and maintaining anti-malware protections of email server

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Deploying and maintaining anti-malware protections of email server
1. Tehtävän vaatimuskuvaus

Email and download scanning protocols are established to ensure that malware detection software thoroughly scans all email attachments and downloaded files.

Anti-malware software is configured for automatic file scanning whenever files are downloaded, opened, or accessed from network storage, ensuring immediate scanning of email attachments upon receipt.

Using behavior-based anti-malware software

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Using behavior-based anti-malware software
1. Tehtävän vaatimuskuvaus

Anti-malware software is configured to perform automatic file scans when files are downloaded, opened, or accessed from network storage, with an adaptation to include behavior detection capabilities to identify suspicious activities.

Deploying malware protection systems from multiple vendors allows the organization to enhance its detection capabilities by leveraging diverse behavior-based detection tools.

Enforcing MFA for external applications

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Enforcing MFA for external applications
1. Tehtävän vaatimuskuvaus

The organization has strengthened security by enforcing multi-factor authentication (MFA) for all external applications, integrating it with a central directory or SSO, ensuring third-party compatibility, educating users on its importance, and monitoring compliance through regular reporting.

Enforcing MFA for administrative access

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Enforcing MFA for administrative access
1. Tehtävän vaatimuskuvaus

The organization has bolstered security by implementing multi-factor authentication (MFA) for all administrative access accounts across both on-site and service provider-managed assets, ensuring configurations support MFA, training administrators on its use, and regularly reviewing compliance with MFA policies.

Establishing and maintaining an inventory of the enterprise’s authentication systems

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Establishing and maintaining an inventory of the enterprise’s authentication systems
1. Tehtävän vaatimuskuvaus

The organization has established a comprehensive inventory of all authentication and authorization systems, including those on-site and with remote providers, and uses automated tools and regular reviews to ensure accurate, up-to-date tracking and management of these systems.

Keskitetty tallenne käyttäjätunnuksen pääsyoikeuksista tietojärjestelmiin

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
11
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
9.2.2: Pääsyoikeuksien jakaminen
ISO27 Täysi
HAL-14.1: Käyttö- ja käsittelyoikeudet - ajantasainen luettelo - TL III
Julkri
21.2.i (access): Access control
NIS2
9.7 §: Pääsynhallinta, todentaminen ja MFA
KyberTL
2.6.3: Use a centralised tool to manage accounts, access rights and privileges
NSM ICT-SP
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Keskitetty tallenne käyttäjätunnuksen pääsyoikeuksista tietojärjestelmiin
1. Tehtävän vaatimuskuvaus

Organisaatio ylläpitää keskitettyä tallennetta käyttäjätunnukselle tietojärjestelmiin ja -palveluihin myönnetyistä pääsyoikeuksista. Tätä tallennetta hyödynnetään pääsyoikeuksien katselmoimiseksi työsuhteen muutoshetkillä tai samaan rooliin liittyvien uusien kollegoiden onboarding-prosessissa.

Muodollisten pääsynhallintaprosessien toteuttaminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
16
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
9.1.1: Pääsynhallintapolitiikka
ISO27 Täysi
5.15: Pääsynhallinta
ISO27k1 Täysi
21.2.i (access): Access control
NIS2
6.7: Käyttövaltuuksien hallinnan ja tunnistautumisen käytännöt
Tietoturvasuunnitelma
4.1.2: Security of authentication
TISAX
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Muodollisten pääsynhallintaprosessien toteuttaminen
1. Tehtävän vaatimuskuvaus

Varmistaakseen valtuutettujen käyttäjien pääsyn järjestelmiin ja estääkseen luvattoman pääsyn, organisaatio on määritellyt muodolliset prosessit seuraaviin asioihin:

  • Käyttäjien rekisteröinti ja poistaminen
  • Pääsyoikeuksien jakaminen
  • Pääsyoikeuksien uudelleenarviointi
  • Pääsyoikeuksien poistaminen tai muuttaminen

Näiden asioiden toteuttaminen tulee toteutua aina määritellyn, muodollisen prosessin kautta.

Vanhentuneiden tunnistautumistapojen estäminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
2.3.7: Change all standard passwords on ICT products before deployment
NSM ICT-SP
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Vanhentuneiden tunnistautumistapojen estäminen
1. Tehtävän vaatimuskuvaus

Estämällä vanhentuneiden tunnistautumistapojen käytön voi vaikeuttaa selvästi hyökkääjien pääsyn hankkimista. Esimerkiksi Microsoft 365 -ympäristössä 2013-mallin toimistosovellukset tukevat oletuksena vanhentuneita tunnistautumistapoja (esim. Microsoft Online Sign-in Assistant), mutta tämän voi estää luomalla nämä tunnistautumistavat estävän käytännön.

Tunnistautumistietoja ei välitetä sähköpostitse

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
3
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
9.2.4: Käyttäjien tunnistautumistietojen hallinta
ISO27 Täysi
5.17: Tunnistautumistiedot
ISO27k1 Täysi
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tunnistautumistietoja ei välitetä sähköpostitse
1. Tehtävän vaatimuskuvaus

Tunnistautumistiedot olisi välitettävä käyttäjille turvallisesti. Salasanan toimittamista ulkopuolisen osapuolen välityksellä tai suojaamattomana (selväkielisenä) sähköpostiviestinä olisi vältettävä.

Käyttöoikeuspyyntöjä hyväksyvien henkilöiden ja roolien määrittely

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
2
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
6.6.2: Käyttövaltuushallinta ja tunnistautuminen järjestelmiin
Omavalvonta
6.7: Käyttövaltuuksien hallinnan ja tunnistautumisen käytännöt
Tietoturvasuunnitelma
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Käyttöoikeuspyyntöjä hyväksyvien henkilöiden ja roolien määrittely
1. Tehtävän vaatimuskuvaus

Organisaatio on määritellyt roolit, joissa toimivat henkilöt voivat hyväksyä käyttöoikeuspyyntöjä. Organisaatio on lisäksi määritellyt, kuinka dokumentoidaan muut henkilöt, jotka voivat hyväksyä käyttöoikeuspyyntöjä.

Turvallinen ylläpito-oikeuksia omaavien järjestelmien tunnistaminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
3
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
TEK-08: Tietojenkäsittely-ympäristön toimijoiden tunnistaminen
Julkri
2.6.4: Minimise privileges for end users and special users
NSM ICT-SP
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Turvallinen ylläpito-oikeuksia omaavien järjestelmien tunnistaminen
1. Tehtävän vaatimuskuvaus

Organisaation on käytettävä digitaalisia varmenteita tai muuta vastaavaa järjestelyä, jotta ylläpito-oikeuksia tai sensitiivistä tietoa käsittelevillä järjestelmäidentiteeteille voidaan saavuttaa monivaiheista tunnistautumista vastaava, vahva tunnistamistaso.

Erillinen hyväksymisprosessi korkean luottamuksellisuuden käyttöoikeuksia varten

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
2
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
4.2.1: Access Management
TISAX
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Erillinen hyväksymisprosessi korkean luottamuksellisuuden käyttöoikeuksia varten
1. Tehtävän vaatimuskuvaus

Korkean luottamuksellisuuden käyttöoikeuksiin liittyvien käyttöoikeuksien myöntämisen organisaatiossa voi hyväksyä vain kyseisen korkean luottamuksellisuuden omaavan tiedon sisäinen omistaja.

Autamme täyttämään vaatimukset tehokkaasti Universal cyber compliance language -teknologialla

Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.

Tietoturvakehikoilla on yleensä yhteinen ydin. Kaikki kehikot kattavat perusaiheita, kuten riskienhallinnan, varmuuskopioinnin, haittaohjelmat, henkilöstön tietoisuuden tai käyttöoikeuksien hallinnan omissa osioissaan.
Digiturvamallin "universal cyber compliance language" -teknologia luo teille yksittäisen suunnitelman ja varmistaa, että kehikkojen yhteiset osat tehdään vain kerran. Te voitte keskittyä suunnitelman toteuttamiseen, me automatisoimme compliance-osan - nykyisiä ja tulevia vaatimuksia päin.
Aloita ilmainen kokeilu
Tutustu Digiturvamalliin
Aloita ilmainen kokeilu
Digiturvamallin avulla rakennat tietoturvallisen ja halutut vaatimukset täyttävän organisaation. Halusitko kehittää tietoturvan hallintaa yleisesti, raportoida omasta NIS2-valmiudesta tai hankkia ISO 27001 -sertifioinnin, Digiturvamalli yksinkertaistaa koko prosessia.
AI-pohjaiset parannussuositukset ja käyttäjäystävällinen työkalu varmistavat, että organisaationne voi olla luottavainen vaatimusten täyttymisestä ja keskittyä oman tietoturvan jatkuvaan parantamiseen.
Selkeä suunnitelma vaatimusten täyttämiseen
Aktivoi teille tärkeät vaatimuskehikot ja jalkauta niiden vaatimukset täyttäviä selkeitä toimenpiteitä.
Uskottavat raportit todisteiksi hyvästä tietoturvasta
Etene tehtävien avulla varmistaaksesi turvallisen toiminnan. Luo ammattimaisia ​​raportteja muutamalla napsautuksella.
AI-avusteiset parannussuositukset
Keskity vaikuttavimpiin parannuksiin Digiturvamallin suositusten avulla.