Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

12.4.1
ISO27 Täysi

ISO 27001 (2013): Täysi

12.4.3
ISO27 Täysi

ISO 27001 (2013): Täysi

21.2.b (logs)
NIS2

NIS2-direktiivi

3.2.4
NSM ICT-SP

NSM ICT Security Principles (Norway)

4.2.1
NSM ICT-SP

NSM ICT Security Principles (Norway)

5.2.4
TISAX

TISAX: Information security

8.15
ISO27k1 Täysi

ISO 27001 (2022): Täysi

9.9a §
KyberTL

Kyberturvallisuuslaki (NIS2)

Article 10
DORA

Digital Operational Resilience Act (DORA)

CC7.2
SOC 2

SOC 2 (järjestelmät ja organisaation hallintakeinot)

DE.CM-7
NIST

NIST Cybersecurity Framework

DE.CM-7
CyFun

CyberFundamentals (Belgia)

I-10
Katakri 2020

Katakri 2020

I10
Katakri

Katakri 2015

PR.PT-1
NIST

NIST Cybersecurity Framework

PR.PT-1
CyFun

CyberFundamentals (Belgia)

RS.AN-1
NIST

NIST Cybersecurity Framework

RS.AN-1
CyFun

CyberFundamentals (Belgia)

SITUATION-2
C2M2: MIL1

C2M2: MIL1

TEK-12
Julkri

Julkri: TL IV-I

Muita saman teeman digiturvatehtäviä

Lokitietojen kerääminen tietojärjestelmien käytöstä

Critical
High
Normal
Low

Viranomaisen on huolehdittava, että sen tietojärjestelmien käytöstä ja niistä tehtävistä tietojen luovutuksista kerätään tarpeelliset lokitiedot, jos tietojärjestelmän käyttö edellyttää tunnistautumista tai muuta kirjautumista. Lokitietojen käyttötarkoituksena on tietojärjestelmissä olevien tietojen käytön ja luovutuksen seuranta sekä tietojärjestelmän teknisten virheiden selvittäminen.

Digiturvamallissa tietojärjestelmän omistaja voi vastata tietojärjestelmän lokitietojen keräämisen tarkastamisesta. Organisaatio dokumentoi lokien sisällön tarkemmin niissä tietojärjestelmissä, joiden teknisestä ylläpidosta se vastaa itse. Muissa tietojärjestelmissä omistaja tarkistaa yhteistyössä järjestelmätoimittajan kanssa, että tarvittavat lokit kertyvät.

17 §: Lokitietojen kerääminen
TiHL
HAL-07.1: Seuranta ja valvonta - tietojen käyttö ja luovutukset
Julkri
TEK-12: Turvallisuuteen liittyvien tapahtumien jäljitettävyys
Julkri
TEK-12.1: Turvallisuuteen liittyvien tapahtumien jäljitettävyys - tietojen luovutukset
Julkri
49: Tietojärjestelmien lokitietojen keräys
Kokonaiskuva (DVV)

Järjestelmälokien dokumentointi itse ylläpidetyille tietojärjestelmille

Critical
High
Normal
Low

Järjestelmälokien kehityksen tulee pysyä järjestemän kehityksen mukana ja mahdollistaa esim. tarvittava häriötilanteiden selvitys. Kuvaamme tietojärjestelmälistauksen yhteydessä, minkä järjestelmien suhteen vastuu lokituksen toteutuksesta on itsellämme. Näiden järjestelmien suhteen dokumentoimme:

  • mitä tietoja lokiin tallentuu
  • kuinka pitkään lokin tiedot säilytetään
I10: Turvallisuuteen liittyvien tapahtumien jäljitettävyys
Katakri
12.4.1: Tapahtumien kirjaaminen
ISO27 Täysi
12.4.2: Lokitietojen suojaaminen
ISO27 Täysi
6.6.1: Tietoturvan ja tietosuojan seuranta ja valvonta
Omavalvonta
CLD 12.4: Logging and monitoring
ISO 27017

Lokitietojen suojaaminen (ST III-II)

Critical
High
Normal
Low

Lokeja suojataan luvattomilta muutoksilta ja häiriöiltä (esim. tietojen muokkaaminen tai säilytyskapasiteetin ylittyminen) mm. seuraavin toimintatavoin:

  • Keskeiset tallenteet säilytetään vähintään 2-5 vuotta, ellei lainsäädäntö tai sopimukset edellytä pitempää säilytysaikaa.
  • Lokitiedot varmuuskopioidaan säännöllisesti.
  • Samalla turvallisuusalueella olevien olennaisten tietojenkäsittelyjärjestelmien kellot on synkronoitu sovitun ajanlähteen kanssa.
  • Syntyneiden lokitietojen käytöstä ja käsittelystä muodostuu merkinnät.

Lokitietojen suojaaminen

Critical
High
Normal
Low

Lokeja pyritään suojaamaan luvattomilta tietojen muutoksilta sekä toimintahäiriöiltä, joita ovat mm.:

  • tallennettavien sanomatyyppien muutokset
  • lokin tietojen muokkaaminen tai poistaminen
  • lokin säilytyskapasiteetin ylittäminen, josta voi seurata tapahtumien ylikirjoittaminen tai jääminen kirjaamatta
12.4.2: Lokitietojen suojaaminen
ISO27 Täysi
6.6.1: Tietoturvan ja tietosuojan seuranta ja valvonta
Omavalvonta
TEK-12: Turvallisuuteen liittyvien tapahtumien jäljitettävyys
Julkri
8.15: Lokikirjaukset
ISO27k1 Täysi
3.2.1: Determine a strategy and guidelines for security monitoring
NSM ICT-SP

Kertyvien järjestelmälokien katselmointi

Critical
High
Normal
Low

Organisaation on oltava selvillä eri tietojärjestelmien käytöstä kertyvistä tapahtumalokeista, olipa lokien tuottaminen omalla tai järjestelmätoimittajan vastuulla. Lokeihin tallentuvat käyttäjien suorittamat toiminnot sekä tapahtuneet poikkeamat, virheet ja tietoturvatapahtumat.

Kertyvän lokin riittävyyttä on katselmoitava säännöllisesti. Lokin avulla pitäisi tarvittaessa pystyä selvittämään järjestelmään liittyvät häiriötilanteet ja niiden syy.

I10: Turvallisuuteen liittyvien tapahtumien jäljitettävyys
Katakri
12.4.1: Tapahtumien kirjaaminen
ISO27 Täysi
12.4.3: Pääkäyttäjä- ja operaattorilokit
ISO27 Täysi
PR.PT-1: Audit/log records
NIST
DE.CM-7: Monitoring for unauthorized activity
NIST

Hälytyskäytäntöjen määrittely ja valvonta

Critical
High
Normal
Low

Usein turvallisuustyökalut tarjoavat tavan asettaa hälytyksiä (alert policies), kun organisaation ympäristössä tapahtuu jotain mahdollisesti vaarallista. Esim. Microsoft 365 -ympäristössä on sisäänrakennettuja hälytyskäytäntöjä, jotka pyrkivät varoittamaan pääkäyttäjäoikeuksien väärinkäytöstä, haittaohjelmista, mahdollisista sisäistä ja ulkoisista riskeistä sekä riskeistä tietoaineistojen turvallisuudelle.

Organisaation on tunnistettava tietoturvaan liittyvät tapahtumat tietojärjestelmissä sekä niiden toimintaan liittyvissä ympäristöissä. Näihin tapahtumiin liittyviin muutoksiin reagoimiseksi on luotava hälytyskäytännöt.

Hälytyskäytäntöjä on valvottava aktiivisesti ja niitä on muokattava kokemuksen perusteella.

12.4.1: Tapahtumien kirjaaminen
ISO27 Täysi
16.1.7: Todisteiden kokoaminen
ISO27 Täysi
PR.DS-4: Availability
NIST
DE.AE-5: Incident alert thresholds
NIST
RS.AN-1: Notifications from detection systems
NIST

Suojausjärjestelmien muodostamien lokien tarkistaminen ja käyttöönotto

Critical
High
Normal
Low

Suojausjärjestelmissä (esim. palomuuri, haittaohjelmasuojaus) on usein mahdollisuus tallentaa lokia tapahtumista. Varmistakaa säännöllisin aikavälein, että kattavaa lokia kertyy ja pyrkikää tunnistamaan epäilyttävää toimintaa. Lokista on hyötyä myös häiriöiden tai loukkausten tutkinnassa.

9.1.2: Pääsy verkkoihin ja verkkopalveluihin
ISO27 Täysi
12.4.1: Tapahtumien kirjaaminen
ISO27 Täysi
PR.PT-1: Audit/log records
NIST
RS.AN-1: Notifications from detection systems
NIST
8.15: Lokikirjaukset
ISO27k1 Täysi

Suojausjärjestelmien lokitusvirheiden tunnistaminen ja reagointi

Critical
High
Normal
Low

Organisaatiolla on oltava ennalta suunnitellut, selkeät toimintatavat kunkin eri suojausjärjestelmän osalta tilanteisiin, joissa lokituksen tai muun käytön valvonnan epäillään pettäneen. Näistä tilanteista on ilmoitettava viipymättä oikealle vastuutaholle.

Prosessin on otettava huomioon vähintään organisaation digiturvalle oleelliset suojausjärjestelmät (esim. palomuurit, IDS/IPS, haittaohjelmatorjunta, kulunvalvonta).

Kellojen synkronointi

Critical
High
Normal
Low

Eri järjestelmien välisten kellojen synkronointi mahdollistaa hyvän yhteentoimivuuden sekä helpottaa ongelmatilanteiden jäljittämistä sekä tapahtumakulkujen hahmottamista.

Organisaation on käytettävä luotettavaa lähdettä ajan säätämiseksi ja synkronisoimiseksi vähintään omalle toiminnalle kriittisten järjestelmien osalta.

12.4.4: Kellojen synkronointi
ISO27 Täysi
8.17: Kellojen synkronointi
ISO27k1 Täysi
PR.PT-1: Audit/log records are determined, documented, implemented, and reviewed in accordance with policy.
CyFun
2.3.9: Synchronize time across devices and use trusted time sources
NSM ICT-SP
3.2.6: Prevent manipulation of monitoring-data
NSM ICT-SP

Verkon ja tietojärjestelmien käytön normaalitason määrittäminen valvontaa varten

Critical
High
Normal
Low

Organisaation on kuvattava verkon ja tietojärjestelmien käytön normaalitila, jota käytetään lähtökohtana poikkeavuuksien tunnistamisessa. 

Normaalitilaa määritettäessä on otettava huomioon seuraavat asiat:

  • tietojärjestelmien käytön valvonta sekä normaali- että ruuhka-aikoina
  • tavalliset käyttöajat, käyttöpaikat sekä käyttötiheys kunkin käyttäjän ja käyttäjäryhmän osalta

Valvontajärjestelmät on konfiguroitava normaalitilaa vasten, jotta voidaan tunnistaa poikkeava käyttäytyminen, kuten:

  • järjestelmien tai prosessien suunnittelematon lopettaminen
  • haittaohjelmiin tai haitallisiin IP-osoitteisiin tai verkkotunnuksiin liittyvä liikenne
  • tunnetut hyökkäysominaisuudet (esim. palvelunesto tai buffer overflow)
  • epätavallinen järjestelmäkäyttö (esim. näppäinpainallusten lokitus)
  • pullonkaulat ja ylikuormitukset (esim. verkon jonot, latenssitasot)
  • luvaton pääsy (todellinen tai yritys) järjestelmiin tai tietoihin
  • tietojärjestelmien ja verkkojen luvaton skannaus
  • onnistuneet ja epäonnistuneet yritykset käyttää suojattuja resursseja (esim. DNS-palvelimia, verkkoportaaleja ja tiedostojärjestelmiä)
  • epätavallinen käyttäjien ja järjestelmän käyttäytyminen
8.16: Valvontatoiminnot
ISO27k1 Täysi
I-11: MONITASOINEN SUOJAAMINEN – POIKKEAMIEN HAVAINNOINTIKYKY JA TOIPUMINEN
Katakri 2020
Article 10: Detection
DORA
DE.AE-1: A baseline of network operations and expected data flows for users and systems is established and managed.
CyFun
3.3.1: Create a plan for analysing data from security monitoring
NSM ICT-SP

Tietojenkäsittely-ympäristön käyttäjien tehostettu seuranta (TL I)

Critical
High
Normal
Low

Käyttäjien ja ylläpitäjien toimintaa seurataan poikkeuksellisen toiminnan havaitsemiseksi. Turvallisuusluokan I tietojen käsittelyssä suositellaan tehostettua poikkeamien havainnointikykyä, painottaen muun muassa tietojenkäsittely-ympäristön käyttäjien ja ylläpitäjien toiminnan seurantaa.

TEK-13.3: Poikkeamien havainnointikyky ja toipuminen - TL I
Julkri

Poikkeamien havainnoinnin ja toipumisen lisävaatimukset (TL IV)

Critical
High
Normal
Low
  • On olemassa menettely, jolla kerätyistä tallenteista ja tilannetiedosta (esimerkiksi muutokset lokikertymissä) pyritään havaitsemaan poikkeamia (erityisesti tietojärjestelmän luvaton käyttöyritys on kyettävä havaitsemaan).
  • On olemassa menettely, jolla tietojenkäsittely-ympäristön kohteista (hosts, esimerkiksi työasemat ja palvelimet) voidaan havainnoida poikkeamia.
  • On olemassa menettely havaituista poikkeamista toipumiseen.
TEK-13.2: Poikkeamien havainnointikyky ja toipuminen
Julkri
I-10: MONITASOINEN SUOJAAMINEN – TURVALLISUUTEEN LIITTYVIEN TAPAHTUMIEN JÄLJITETTÄVYYS
Katakri 2020
I-11: MONITASOINEN SUOJAAMINEN – POIKKEAMIEN HAVAINNOINTIKYKY JA TOIPUMINEN
Katakri 2020

Turvallisuusluokitellun tiedon käsittelyn lokitus ja lokitietojen säilytys (TL I)

Critical
High
Normal
Low

Turvallisuusluokan I tietojen käsittelyssä suositellaan riskiperustaisesti turvallisuusluokkaa II pidempiä säilytysaikoja lokitiedoille (esimerkiksi vähintään 10 vuotta).

Turvallisuusluokan I tietojenkäsittely-ympäristöt ovat tyypillisesti suppeita, koostuen esimerkiksi kaikista verkoista pysyvästi irtikytketyistä päätelaitteista. Toisaalta esimerkiksi 10 vuoden lokikertymän säilyvyys on haastava toteuttaa uskottavasti vain päätelaitteilla, joten tällaisten päätelaitteiden lokienkeräys sekä kerättyjen lokitietojen varmistukset edellyttävätkin yleensä suunniteltua säännöllistä prosessia. Käytännön toteutustapana voi olla esimerkiksi lokitietojen säännöllinen kerääminen irtomedialle, jota käsitellään ja säilytetään sen elinkaaren ajan kuin turvallisuusluokan I tietoa. Lisäksi huomioitava, että mikäli tietojärjestelmän pääsynhallinta tai esimerkiksi toimien jäljitettävyys nojautuu fyysisen turvallisuuden menettelyihin, myös näistä syntyviä tallenteita saattaa olla perusteltua säilyttää ja hallinnoida turvallisuusluokan I mukaisilla menettelyillä.

TEK-12.3: Turvallisuuteen liittyvien tapahtumien jäljitettävyys - TL I
Julkri
I-10: MONITASOINEN SUOJAAMINEN – TURVALLISUUTEEN LIITTYVIEN TAPAHTUMIEN JÄLJITETTÄVYYS
Katakri 2020

Turvallisuusluokitellun tiedon käsittelyn lokitus ja lokitietojen säilytys (TL III)

Critical
High
Normal
Low

Turvallisuusluokan II–III tiedon käsittely on rekisteröitävä sähköiseen lokiin, tietojärjestelmään, asiarekisteriin tai tietoon (esimerkiksi dokumentin osaksi). Teemasta on olemassa suositus VM 2021:5: Suositus turvallisuusluokiteltavien asiakirjojen käsittelystä.

TL III ja TL II käsittely-ympäristöissä vaatimus voidaan siten, että toteutetaan alla mainitut toimenpiteet:

  • Relevantille henkilöstölle on laadittu selkeät ohjeet lokitietojen keräämiseen, luovuttamiseen sekä seurantaan liittyen.
  • Keskeiset tallenteet säilytetään vähintään 5 vuotta, ellei lainsäädäntö, suositukset tai sopimukset edellytä pitempää säilytysaikaa. Tallenteita, joilla on esimerkiksi poikkeamatilanteiden selvittelyn tai viranomaistoiminnan rikosoikeudelliselta kannalta hyvin vähäistä merkitystä, voidaan säilyttää lyhyemmän ajan, esimerkiksi 2-5 vuotta.
  • Lokitiedot varmuuskopioidaan säännöllisesti.
  • Samalla turvallisuusalueella olevien olennaisten tietojenkäsittelyjärjestelmien kellot on synkronoitu sovitun ajanlähteen kanssa.
  • On olemassa menetelmä lokien eheyden (muuttumattomuuden) varmistamiseen.
  • Syntyneiden lokitietojen käytöstä ja käsittelystä muodostuu merkinnät.
TEK-12.2: Turvallisuuteen liittyvien tapahtumien jäljitettävyys - TL III
Julkri
I-10: MONITASOINEN SUOJAAMINEN – TURVALLISUUTEEN LIITTYVIEN TAPAHTUMIEN JÄLJITETTÄVYYS
Katakri 2020

Turvalliset toimintatavat tiedon sisääntuontiin ja ulosvientiin järjestelmistä (TL II)

Critical
High
Normal
Low

Tilanteissa, joissa on tarve tuoda tietoa ei-luotetuista järjestelmistä jotain muistivälinettä käyttäen, huomioidaan lisäksi yleensä turvallisuusluokasta II lähtien myös muistivälineen kontrolleritason räätälöinnin uhat.

TEK-11.3: Haittaohjelmilta suojautuminen - TL II
Julkri

Turvalliset toimintatavat tiedon sisääntuontiin ja ulosvientiin järjestelmistä (TL III)

Critical
High
Normal
Low

Kaikki tiedon sisääntuonnin ja ulosviennin käyttötapaukset on tunnistettu. Turvalliset toimintatavat on määritetty, ohjeistettu ja valvonnan piirissä. Turvallisten toimintatapojen piiriin sisältyy tarvearviointi järjestelmien USB-porttien ja vastaavien liityntöjen käytölle.

USB-porttien ja vastaavien liityntöjen käytön tapauskohtaisiin ehtoihin voi sisältyä esimerkiksi, että järjestelmään voi kytkeä vain erikseen määritettyjä luotettavaksi todennettuja muistitikkuja (ja vastaavia), joita ei kytketä mihinkään muuhun järjestelmään. Tapauskohtaisiin ehtoihin voi sisältyä esimerkiksi järjestely, jossa vain organisaation tietohallinnon jakamia muistivälineitä voidaan kytkeä organisaation järjestelmiin, ja että kaikkien muiden muistivälineiden kytkeminen on kielletty ja/tai teknisesti estetty.

Tilanteissa, joissa on tarve tuoda tietoa ei-luotetuista järjestelmistä jotain muistivälinettä käyttäen, tapauskohtaisiin ehtoihin sisältyy usein myös määrittelyt siitä, millä menetelmillä pienennetään tämän aiheuttamaa riskiä. Menetelmänä voi esimerkiksi olla ei-luotetusta lähteestä tulevan muistivälineen kytkeminen eristettyyn tarkastusjärjestelmään, jonne siirrettävä tieto siirretään, ja josta siirrettävä tieto viedään edelleen luotettuun järjestelmään erillistä muistivälinettä käyttäen.

TEK-11.2: Haittaohjelmilta suojautuminen - TL III
Julkri

Lokitietojen keräämiseen liittyvien vaatimusten tunnistaminen ja lokitietojen riittävyys

Critical
High
Normal
Low

Organisaatio on tunnistanut lokitietojen keräämiseen liittyvät vaatimukset ja varmistanut niiden perusteella lokitietojen keräämisen ja seurannan riittävyyden.

Lokitiedot tulee kerätä tietojärjestelmän käytöstä ja tietojen luovutuksista, mutta tietojen kerääminen on sidottu tarpeellisuuteen. Jos tietojärjestelmästä luovutetaan rajapintojen tai katseluyhteyden avulla salassa pidettäviä tietoja tai henkilötietoja, tulee luovuttavassa järjestelmässä kerätä luovutuslokitiedot sen varmistamiseksi, että tietojen luovuttamiselle on ollut laillinen perusteensa. Lisäksi käyttölokitiedot tulee kerätä ainakin tietojärjestelmistä, joissa käsitellään henkilötietoja tai salassa pidettäviä tietoja.

HAL-07.1: Seuranta ja valvonta - tietojen käyttö ja luovutukset
Julkri
4.6: Lokitietojen kerääminen
TiHL: Tietoturva

Pilvipohjaisten tietojärjestelmien seuranta

Critical
High
Normal
Low

Pilvipohjaisia tietojärjestelmiä käytettäessä organisaation tulee pyytää palveluntarjoajalta tietoja kunkin järjestelmän valvontamahdollisuuksien selvittämiseksi.

Pilvipalveluita tarjoaessaan palveluntarjoajana organisaation tulee tarjota asiakkaalle ennakoivasti seurantavalmiuksia ja niihin liittyvää dokumentaatiota. Tämä sisältää esim. kyvyn valvoa, käytetäänkö palvelua alustana tai vektorina hyökätäkseen muihin tai kyky tarkkailla tietovuotoja palvelussa.

CLD 12.4: Logging and monitoring
ISO 27017
CLD 12.4.5: Monitoring of Cloud Services
ISO 27017

Hallintaprosessi lokien muokkaamisen estämiseksi

Critical
High
Normal
Low

Organisaation on teknisesti varmistettava, että kertyvät lokit ovat "vain luku" muodossa (read-only) kaikille kirjoitusoikeudet omaaville käyttäjille - sisältäen pääkäyttäjäoikeudet.

Lokien käytöstä poistamisen tai muokkaamisen on oltava mahdollista ainoastaan tarkasti harkittujen toimintamallien kautta, jotka varmistavat tehtävien eriyttämisen sekä tarvittaessa "break glass" -tyyliset hätätoimenpiteet.

Hallintaprosessin toteuttamisessa kannattaa harkita logihallinnan integroimista keskitettyyn lokihallintajärjestelmään sekä integrointia SIEM-ratkaisuun, joka voi auttaa reaaliaikaisessa väärinkäytöstän valvonnassa.

Tapahtumalokien tarkistusprosessi

Critical
High
Normal
Low

Organisaatiolla on oltava menettely, jolla tapahtumalokit tarkastetaan sääntöjen rikkomisen ja muiden havaittavien ongelmien varalta lakisääteisten ja organisatoristen määräysten mukaisesti.

Organisaation on myös suojattava tapahtumalokien eheys (esim. erillisellä ympäristöllä).

5.2.4: Log management and analysis
TISAX

Implement SIEM as part of the ICT system

Critical
High
Normal
Low

Organization should use tools that support both manual and automated searches, including criteria-based searches. The tool should be able to automatically collate data from different sources to more easily determine whether an incident is genuine, as well as its scope and nature.


These operations and processes can be implemented with SIEM (Security information and event management). SIEM solutions use analytics tools, technology and algorithms (e.g., newer SIEM solutions employ applied machine learning) to help detect unknown threats and abnormalities in the security-relevant data. Also SIEM solutions allow organizations to modify already existing (which usually come pre-configured) and add criteria-based alerts to match known threats. These things will help detect threats earlier.

Standardoitun lokimuodon käyttöönotto

Critical
High
Normal
Low

Käytä standardoitua lokimuotoa. Tämä auttaa lokien ja kolmansien osapuolten lokianalyysityökalujen integrointia, mikä tekee siitä helpompaa ja joissakin tapauksissa jopa mahdollista.

3.2.5: Verify that the monitoring is working as intended
NSM ICT-SP

Hallinto- ja turvallisuuslokien lokitus ja tarkistus

Critical
High
Normal
Low

Organisaation on lokitettava käytettyjen laitteiden ja palveluiden hallinto- ja turvalokit.

Näihin lokitietoihin lokitetaan järjestelmänvalvojien ja etuoikeutettujen käyttäjien tekemät toimet. Niiden avulla voidaan valvoa järjestelmäkonfiguraatioiden, käyttäjien käyttöoikeuksien ja muiden kriittisten asetusten muutoksia. Säilyttämällä näitä lokitietoja organisaatio voi tarkastaa hallintatoimet ja varmistaa vastuullisuuden.

Tietoturvalokit tallentavat järjestelmien ja tietojen turvallisuuteen liittyviä tapahtumia. Näihin kuuluvat kirjautumisyritykset, palomuuritoiminnot, tunkeutumisen havaitsemisjärjestelmän hälytykset ja virustorjuntatoimet. Näiden lokien seuraaminen auttaa tunnistamaan epäilyttävät toiminnot, jotka voivat viitata tietoturvaloukkaukseen tai sisäiseen uhkaan.

3.2.4: Decide which data is security-relevant and should be collected
NSM ICT-SP

Ensuring collected data relevance

Critical
High
Normal
Low

Continually assess whether the collected data, both security-relevant monitoring data and obtained threat information from relevant sources, is sufficiently relevant and detailed.

Only relevant monitoring data should be collected and preserved, and if necessary, reconfigure the monitoring in line with the strategy. All collected data which no longer has operational or security relevance should be removed.

Määritä strategia ja ohjeet tietoturvamonitorointia varten

Critical
High
Normal
Low

Organisaation on tunnistettava, mitä lakeja ja asetuksia sen on noudatettava. Näiden lakien ja asetusten perusteella organisaatio määrittää strategian ja ohjeet tietojen lokitusta ja analysointia varten.


Strategiassa ja ohjeissa tulisi kuvata seuraavat asiat:

  • Kerättyjen tietojen tarkoitus ja käyttö
  • Mitä tietoja kerätään
  • Miten tiedot tallennetaan
  • Kerättyjen tietojen säilytysaika
  • Lakien ja asetusten velvoittamien tietoon liittyvien asioiden tiedottaminen asianomaisille sidosryhmille.
3.2.2: Comply with laws, regulations and the organisation’s guidelines on security monitoring
NSM ICT-SP
3.2.1: Determine a strategy and guidelines for security monitoring
NSM ICT-SP

Determine a strategy and guidelines for security monitoring

Critical
High
Normal
Low

Organisation must identify which laws and regulations it needs comply with. Based on these laws and regulations, the organisation determines a strategy and guidelines for data logging and analysis.


The following things should be described in the strategy and guidelines:

  • Purpose and usage of collected data
  • Which data to collect
  • How the data is stored
  • Retention period for collected data
  • Informing relevant stakeholders data-related requirements mandated by laws and regulations.

Implement SIEM as part of the ICT system

Critical
High
Normal
Low

Organization should use tools that support both manual and automated searches, including criteria-based searches. The tool should be able to automatically collate data from different sources to more easily determine whether an incident is genuine, as well as its scope and nature.


These operations and processes can be implemented with SIEM (Security information and event management). SIEM solutions use analytics tools, technology and algorithms (e.g., newer SIEM solutions employ applied machine learning) to help detect unknown threats and abnormalities in the security-relevant data. Also SIEM solutions allow organizations to modify already existing (which usually come pre-configured) and add criteria-based alerts to match known threats. These things will help detect threats earlier.

SIEM-järjestelmän käyttöönotto osana ICT-järjestelmää

Critical
High
Normal
Low

Organisaation tulisi käyttää työkaluja, jotka tukevat sekä manuaalisia että automaattisia hakuja, mukaan lukien kriteereihin perustuvia hakuja. Työkalun pitäisi pystyä automaattisesti kokoamaan tietoja eri lähteistä, jotta voidaan helpommin määrittää, onko kyseessä oikea poikkeama, sekä määrittää sen laajuus ja luonne.


Nämä toiminnot ja prosessit voidaan toteuttaa SIEM:llä (Security information and event management). SIEM-ratkaisuissa käytetään analytiikkatyökaluja, teknologioita ja algoritmeja (esim. uudemmissa SIEM-ratkaisuissa käytetään sovellettua koneoppimista), joiden avulla voidaan havaita tuntemattomia uhkia ja poikkeavuuksia tietoturvan kannalta merkityksellisissä tiedoissa. SIEM-ratkaisujen avulla organisaatiot voivat myös muokata jo olemassa olevia hälytyksiä (yleensä valmiiksi konfiguroituja) ja lisätä kriteereihin perustuvia hälytyksiä vastaamaan tunnettuja uhkia. Nämä asiat auttavat havaitsemaan uhat aikaisemmin.

3.3.1: Create a plan for analysing data from security monitoring
NSM ICT-SP
3.3.7: Use analytics tools, technology and algorithms
NSM ICT-SP
3.3.3: Select tools that support manual and automated searches including criteria based alerts
NSM ICT-SP

Kerättyjen tietojen asianmukaisuuden varmistaminen

Critical
High
Normal
Low

Arvioi jatkuvasti, ovatko kerätyt tiedot, sekä turvallisuuden kannalta merkitykselliset seurantatiedot että asiaankuuluvista lähteistä saadut uhkatiedot, riittävän merkityksellisiä ja yksityiskohtaisia.

Ainoastaan merkityksellisiä seurantatietoja on kerättävä ja säilytettävä, ja tarvittaessa seurantaa on mukautettava uudelleen strategian mukaisesti. Kaikki kerätyt tiedot, joilla ei ole enää merkitystä toiminnalle tai turvallisuudelle, on poistettava.

3.2.7: Review the security relevant monitoring-data regularly and, if necessary, reconfigure the monitoring
NSM ICT-SP
3.3.5: Continually assess whether the collected data is sufficiently relevant and detailed
NSM ICT-SP

Pilveen tallennettujen tiedostojen pääsyn valvonta

Critical
High
Normal
Low

Valvomalla pilvipalveluissa jaettujen tietojen määrää voidaan pyrkiä havaitsemaan riskejä, jotka voivat johtaa tiedon luvattomaan paljastumiseen. Tiedostoihin liittyen voidaan esimerkiksi valvoa:

  • Ketkä työntekijät jakavat eniten tiedostoja pilvipalveluissa?
  • Kuinka usein DLP-käytännöt ovat antaneet hälytyksiä?
  • Miten usein DLP-käytäntöjen antamia varoituksia on ohitettu?
  • Paljonko tärkeitä tietoja on muissa pilvipalveluissa - DLP-valvonnan ulottumattomissa?
9.4.1: Tietoihin pääsyn rajoittaminen
ISO27 Täysi
12.4.1: Tapahtumien kirjaaminen
ISO27 Täysi
8.3: Tietoihin pääsyn rajoittaminen
ISO27k1 Täysi

Lokitietojen automaattinen analysointi

Critical
High
Normal
Low

Järjestelmälokit sisältävät usein runsaasti tietoa, josta suuri osa on tietoturvallisuuden tarkkailun kannalta epäolennaista. Jotta tietoturvallisuuden tarkkailun kannalta merkittävät tapahtumat saadaan tunnistettua, olisi harkittava tarkoituksenmukaisten sanomatyyppien automaattista kopiointia toiseen lokiin tai soveltuvien apuohjelmien tai tarkastustyökalujen käyttöä tiedostojen läpikäymisessä ja selvittämisessä.

12.4.1: Tapahtumien kirjaaminen
ISO27 Täysi
6.6.1: Tietoturvan ja tietosuojan seuranta ja valvonta
Omavalvonta
DE.CM-3: Personnel activity
NIST
TEK-13.1: Poikkeamien havainnointikyky ja toipuminen - poikkeamien havainnointi lokitiedoista
Julkri
8.15: Lokikirjaukset
ISO27k1 Täysi

Suojausjärjestelmien tehon, kannattavuuden ja uusien tarpeiden arviointi

Critical
High
Normal
Low

Suojausjärjestelmät ovat niitä tietojärjestelmiä, jotka ovat käytössä suojatakseen meillä olevaa tietoa, ei niinkään sen käsittelemiseksi.

Arvioimme säännöllisesti eri suojausjärjestelmien toimintaa ja tarvetta uusille järjestelmille.

12.1.2: Muutoksenhallinta
ISO27 Täysi
CC6.8: Detection and prevention of unauthorized or malicious software
SOC 2
DE.DP-5: Detection processes are continuously improved.
CyFun
3.3.1: Create a plan for analysing data from security monitoring
NSM ICT-SP

IT-henkilöstön suojausjärjestelmäkoulutus

Critical
High
Normal
Low

Tarvittavaa henkilöstöä koulutetaan säännöllisesti valittujen suojausjärjestelmien käytöstä.

7.2.2: Tietoturvatietoisuus, -opastus ja -koulutus
ISO27 Täysi

Prosessi järjestelmälokien vikojen tunnistamiseen ja reagointiin

Critical
High
Normal
Low

Organisaatiolla on oltava ennalta suunnitellut, selkeät toimintatavat tilanteisiin, joissa lokituksen tai muun käytön valvonnan epäillään pettäneen. Näistä tilanteista on ilmoitettava viipymättä oikealle vastuutaholle.

Eri tyyppisiin tilanteisiin tulisi olla omat toimintaohjeensa. Virheitä valvonnassa voivat aiheuttaa esimerkiksi ohjelmistovirheet, lokien tallennusvirheet, lokien varmuuskopiointivirheet tai muistitilan ylittäminen.

PR.DS-6: Integrity checking mechanisms are used to verify software, firmware, and information integrity.
CyFun

Salauksen ja salausavainten hallinnan valvonta

Critical
High
Normal
Low

Organisaatiolla täytyy olla kyvykkyys valvoa ja raportoida salaukseen sekä salausavainten hallintaan liittyviä toimia.

Kun havaitaan normaalista poikkeavaa toimintaa, tapauset olisi käsiteltävä häiriöiden hallinnan prosessien mukaisesti.

10: Salaus
ISO 27017
10.1: Salauksen hallinta
ISO 27017
10.1.2: Salausavainten hallinta
ISO 27017

Haavoittuvuuksien valvonta hyödynnetyissä ulkoisissa kirjastoissa

Critical
High
Normal
Low

Haavoittuvuuksia kolmannen osapuolen kehittämissä tai avoimen lähdekoodin kirjastoissa on valvottava, skannattava ja raportoitava samaan tyyliin kuin muitakin haavoittuvuuksia.

Organisaation on määritetävä toimintatavat, joiden kautta tunnistetaan tarvittavat päivitykset ulkoisia kirjastoja hyödyntävissä sovelluksissa. Valvontaa suorittavat skannaukset voidaan toteuttaa automatisoidusti asiaan erikoistuneilla työkaluilla.

Organisaation on järkevää myös seurata yleistä viestintää haavoittuvuuksien uutisoinnista.

8.28: Turvallinen ohjelmointi
ISO27k1 Täysi
ID.RA-1: Asset vulnerabilities are identified and documented.
CyFun

Tiedonjako verkon ja tietojärjestelmien käyttöön liittyvistä poikkeavuuksista

Critical
High
Normal
Low

Poikkeavuuksista tulee ilmoittaa relevanteille osapuolille seuraavien toimintojen kehittämiseksi:

  • auditointi
  • turvallisuuden arviointi
  • teknisten haavoittuvuuksien tunnistaminen ja seuranta
8.16: Valvontatoiminnot
ISO27k1 Täysi

Verkon ja tietojärjestelmien käytön valvonta poikkeavuuksien tunnistamiseksi

Critical
High
Normal
Low

Organisaation tietojärjestelmiä ja verkkoa on valvottava poikkeavan käytön havaitsemiksi. Kun poikkeavaa käyttöä havaitaan, organisaation on ryhdyttävä tarvittaviin toimenpiteisiin arvioidakseen tietoturvahäiriön mahdollisuuden.

Valvonnassa tulisi hyödyntää työkaluja, jotka mahdollistavat reaaliaikaisen tai säännöllisen valvonnan organisaation tarvetason huomioiden. Valvontakäytännöillä tulisi pystyä hallitsemaan suuria määriä dataa, mukautumaan muuttuvaan uhkaympäristöön sekä lähettää tarvittaessa hälytyksiä välittömästi.

Seuraavien lähteiden sisällyttämistä valvontajärjestelmään on harkittava:

  • lähtevä ja saapuva verkko- ja tietojärjestelmäliikenne
  • pääsy kriittisiin tietojärjestelmiin, palvelimiin, verkkolaitteisiin ja itse valvontajärjestelmään
  • kriittiset järjestelmä- ja verkkomääritystiedostot
  • lokit suojaustyökaluista (esim. virustorjunta, IDS, IPS, verkkosuodattimet, palomuurit)
  • verkon ja tietojärjestelmien käyttöön liittyvät tapahtumalokit
  • suoritettavan koodin tarkistukset
  • resurssien käyttö (esim. CPU, kiintolevyt, muisti, kaistanleveys) ja niiden suorituskyky

Organisaation on myös luotava toimintatavat "false positive" tulosten tunnistamiseksi ja korjaamiseksi, mukaan lukien valvontaohjelmiston virittäminen tarkempaa poikkeavuuksien tunnistamista varten.

8.16: Valvontatoiminnot
ISO27k1 Täysi
6.11: Alusta- ja verkkopalvelujen tietoturvallinen käyttö tietosuojan ja varautumisen kannalta
Tietoturvasuunnitelma
I-11: MONITASOINEN SUOJAAMINEN – POIKKEAMIEN HAVAINNOINTIKYKY JA TOIPUMINEN
Katakri 2020
5.2.3: Malware protection
TISAX
DE.CM-1: The network is monitored to detect potential cybersecurity events.
CyFun

Lokien arkistointi ja allekirjoittaminen säännöllisin väliajoin

Critical
High
Normal
Low

Arkistoi ja allekirjoita lokit digitaalisesti säännöllisin väliajoin lokien eheyden varmistamiseksi.

3.2.6: Prevent manipulation of monitoring-data
NSM ICT-SP