Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

11.2.9
ISO27 Täysi

ISO 27001 (2013): Täysi

6.6.4
Omavalvonta

Tietoturvan ja tietosuojan omavalvontasuunnitelma

7.7
ISO27k1 Täysi

ISO 27001 (2022): Täysi

SEC-06
Cyber Essentials

Cyber Essentials

Muita saman teeman digiturvatehtäviä

Ohjeistukset henkilöstölle mobiililaitteiden käyttöön liittyen

Critical
High
Normal
Low

Mobiililaitteiden käyttöä varten on luotu omat ohjeistukset henkilöstölle. Ohjeissa käsitellään:

  • rajoituksia ohjelmistojen asentamiselle sekä eri palvelujen käyttämiselle organisaation laitteilla
  • toimintatapoja uusien laitteiden rekisteröintiin
  • vaatimuksia laitteiden fyysisestä suojaamisesta ja päivitysten asentamisesta
  • pääsynhallintaa koskevia vaatimukset
  • organisaation tietojen suojausta salauksen, haittaohjelmasuojauksen sekä varmuuskopioinnin avulla
  • organisaation mahdollisuuksia etähallita laitetta
11.2.6: Toimitilojen ulkopuolelle vietyjen laitteiden ja suojattavan omaisuuden turvallisuus
ISO27 Täysi
6.2.1: Mobiililaitteita koskeva politiikka
ISO27 Täysi
10.1.1: Salauksen käytön periaatteet
ISO27 Täysi
11.2.8: Ilman valvontaa jäävät laitteet
ISO27 Täysi
12.6.2: Ohjelmien asentamisen rajoittaminen
ISO27 Täysi

Prosessi mobiililaitteiden katoamisen tai varastamisen varalle

Critical
High
Normal
Low

Mobiililaitteiden varkautta tai katoamista varten on laadittu menettelytavat.

Käyttäjää voidaan velvoittaa:

  • vaihtamaan verkon käyttötunnukset
  • ilmoittamaan IT-osastolle tilanteesta (ja tarvittaessa poliisille tai mobiililiittymän tarjoajalle)
  • vaihtamaan muita tarvittavia käyttötunnuksia, jotka ovat voineet vaarantua

Organisaation prosessiin laitteen kadotessa voi sisältyä mm. laitteen tyhjentäminen (vähintään organisaation sisällön) etänä.

6.2.1: Mobiililaitteita koskeva politiikka
ISO27 Täysi
6.6.4: Fyysisten tilojen, laitteiden ja tulosteiden turvallisuus
Omavalvonta
8.1: Käyttäjien päätelaitteet
ISO27k1 Täysi
CC6.7: Restriction and protection of information in transmission, movement or removal
SOC 2

Kannettavien tietokoneiden turvallinen hävittäminen

Critical
High
Normal
Low

Organisaatio on määritellyt toimintatavat, joiden mukaisesti toimien tarpeettomaksi jääneet kannettavat tietokoneet hävitetään turvallisesti.

8.3.2: Tietovälineiden hävittäminen
ISO27 Täysi
11.2.7: Laitteiden turvallinen käytöstä poistaminen ja kierrättäminen
ISO27 Täysi
PR.DS-3: Asset management
NIST
TEK-21: Sähköisessä muodossa olevien tietojen tuhoaminen
Julkri
7.10: Tallennusvälineet
ISO27k1 Täysi

Mobiililaitteiden turvallisuuskäytännöt ja niiden valvonta

Critical
High
Normal
Low

Mobiilaitteiden hallintajärjestelmässä määriteltävien turvallisuuskäytäntöjen avulla pyritään suojaamaan organisaation dataa. Pienentääksesi riskejä laitteiden häviämisen hetkellä, voit esimerkiksi määrittää, että laite lukitaan 5 minuutin passiivisuuden jälkeen tai että laite pyyhitään täysin 3 epäonnistuneen kirjautumisyrityksen jälkeen.

Uusia käytäntöjä voi olla järkevää ensin testata pienellä käyttäjäryhmällä. Käytännöt vaativat myös valvontaa. Käytännöille voi aluksi valita asetuksen, jossa pääkäyttäjää tiedotetaan käytännön vastaisista asetuksista, mutta käyttöä ei täysin estetä.

6.2.1: Mobiililaitteita koskeva politiikka
ISO27 Täysi
8.1: Käyttäjien päätelaitteet
ISO27k1 Täysi
CC6.7: Restriction and protection of information in transmission, movement or removal
SOC 2
6.10: Työasemien, mobiililaitteiden ja käyttöympäristön tukipalveluiden hallinta
Tietoturvasuunnitelma
3.1.4: Management of IT and mobile data storage devices
TISAX

Mobiililaitteiden hallintajärjestelmän käyttö

Critical
High
Normal
Low

Mobiililaitteiden hallintajärjestelmä (Mobile Device Management, MDM) auttaa turvaamaan ja hallinnoimaan henkilöstön mobiililaitteita, olivatpa ne iPhoneja, iPadeja, Android-laitteita tai Windows-laitteita. Microsoft 365 -tilaus sisältää mobiililaitteiden hallinnan perusteet.

Mobiilaitteiden hallintajärjestelmällä voidaan määrittää laitteiden turvallisuuskäytäntöjä, pyyhkiä laita etänä ja saada tarkkaa raportointia laitteiden käytöstä.

6.2.1: Mobiililaitteita koskeva politiikka
ISO27 Täysi
8.1: Käyttäjien päätelaitteet
ISO27k1 Täysi
CC6.7: Restriction and protection of information in transmission, movement or removal
SOC 2
3.1.4: Management of IT and mobile data storage devices
TISAX
DE.CM-5: Unauthorized mobile code is detected.
CyFun

Päätelaitteiden PIN-suojaus ja automaattinen lukitus

Critical
High
Normal
Low

Laitteet olisi suojattava siten, ettei niihin tallennettua tai niissä käsiteltävää tietoa kyetä käyttämään tai paljastamaan luvattomasti. Laitteiden pakollinen suojaaminen esim. 5-numeroisella PIN-koodilla ennen jokaista käyttökertaa sekä laitteiden automaattinen lukittuminen esim. 5 minuutin käyttämättömyyden jälkeen voivat auttaa.

11.2.9: Puhtaan pöydän ja puhtaan näytön periaate
ISO27 Täysi
6.6.4: Fyysisten tilojen, laitteiden ja tulosteiden turvallisuus
Omavalvonta
7.7: Puhdas työpöytä ja puhdas näyttö
ISO27k1 Täysi
SEC-06: Reviewing password practices on password protected systems
Cyber Essentials

Päätelaitteiden tietoturvanhallintajärjestelmän käyttö (Endpoint security management system)

Critical
High
Normal
Low

Päätelaitteiden tietoturvanhallintajärjestelmän avulla voidaan vaatia päätelaitteilta haluttuja kriteerejä, ennen kuin niille sallitaan yhteys verkon resursseihin. Päätelaitteet voivat olla kannettavia tietokoneita, älypuhelimia, tabletteja tai alakohtaista erikoislaitteistoa.

Kriteerejä verkkoresurssien käytölle voivat olla mm. hyväksytty käyttöjärjestelmä, VPN- ja antivirus-järjestelmät sekä näiden päivitysten ajantasaisuus.

13.1.1: Verkon hallinta
ISO27 Täysi
6.2.1: Mobiililaitteita koskeva politiikka
ISO27 Täysi
PR.PT-4: Communications and control networks
NIST
HAL-19: Tietojen käsittely
Julkri
8.1: Käyttäjien päätelaitteet
ISO27k1 Täysi

Kolmansien osapuolten päätelaitteiden turvallisuuden valvonta

Critical
High
Normal
Low

Organisaatiolla on oltava määritellyt toimintatavat kolmansien osapuolten päätelaitteiden turvallisuuden valvomiseksi. Toimintavat voivat sisältää sekä teknistä että sopimuksellisia käytäntöjä.

Organisaation on yleisesti harkittava tilannetta huolellisesti, ennen kuin kolmansille osapuolille sekä heidän päätelaitteilleen annetaan pääsyä organisaation dataan.

Päätelaitteiden etäpyyhkimisen mahdollistaminen

Critical
High
Normal
Low

Organisaation on mahdollistettava etäpyyhkiminen kaikissa sen hallitsemissa mobiilipäätelaitteissa (esim. puhelimet, kannettavat, tabletit).

Etäpyyhkimisen avulla laitetta ja sen sisältämää tietoa voidaan suojata laitteen katoamis- tai varkaustapauksissa. Etäpyyhkimistä on kuitenkin käytettävä erittäin harkiten.

7.9: Toimitilojen ulkopuolelle viedyn omaisuuden turvallisuus
ISO27k1 Täysi

Päätelaitteiden etäpaikantamisen mahdollistaminen

Critical
High
Normal
Low

Organisaation on mahdollistettava etäpaikantaminen kaikissa organisaation hallitsemissa mobiilipäätelaitteissa (esim. puhelimet, kannettavat, tabletit).

Etäpaikantamisen avulla laitetta ja sen sisältämää tietoa voidaan suojata laitteen katoamis- tai varkaustapauksissa.

Ohjelmistopalomuurin käyttö päätelaitteilla

Critical
High
Normal
Low

Organisaation kaikkien päätelaitteiden suojana tulisi olla oikein konfiguroitu ohjelmistopalomuuri, joka tarkkailee liikennettä, hyväksyy säännöt täyttävän liikenteen sekä toteuttaa käyttäjien valvontaa.

Palomuuri suojaa haittaohjelmilta ja hyökkäyksiltä, jotka tulevat organisaation verkon sisä- tai ulkopuolelta.

FWL-03: Host based firewall protection
Cyber Essentials
ARCHITECTURE-3: Implement IT and OT Asset Security as an Element of the Cybersecurity Architecture
C2M2: MIL1
DE.CM-1: The network is monitored to detect potential cybersecurity events.
CyFun

Prosessi päätelaitteiden yhteensopivuuden testaamiseen

Critical
High
Normal
Low

Huonosti konfiguroidut päätelaitteet aiheuttavat sekä resurssihukkaa mutta myös mahdollisia tietoturvaongelmia.

Organisaation on määriteltävä prosessi, jonka kautta pyritään havaitsemaan mahdolliset yhteensopivuusongelmat käytettyjen päätelaitteiden sekä käyttöjärjestelmien, tietojärjestelmien tai sovellusten välillä.

Päätelaitteilla sallittujen sovellusten listaus ja valvonta

Critical
High
Normal
Low

Organisaatiolla on oltava lista hyväksytyistä sovelluksista sekä sovellusten lähteistä, joita saa käyttää organisaation päätelaitteella.

Organisaation tulisi mahdollisuuksien mukaan toteuttaa sallittujen sovellusten valvonta automatisoidusti esimerkiksi mobiililaitteiden hallintajärjestelmässä määriteltyjen käytäntöjen kautta.

MWP-05: Whitelisting
Cyber Essentials
MWP: Application allow listing
Cyber Essentials
ARCHITECTURE-3: Implement IT and OT Asset Security as an Element of the Cybersecurity Architecture
C2M2: MIL1
DE.CM-3: Personnel activity is monitored to detect potential cybersecurity events.
CyFun
2.3.2: Configure clients so that only software known to the organisation is able to execute
NSM ICT-SP

Ohjelmistojen lisensointivaatimusten tunnistamismenettely

Critical
High
Normal
Low

Kaupallisesti lisensoidun ohjelmiston asentaminen voi aiheuttaa ohjelmiston käyttöoikeusehtojen rikkomisen. Organisaatiolla tulee olla menettely lisensointivaatimusten tunnistamiseksi ennen kuin se sallii lisensoidun ohjelmiston asentamisen.

Erityistä huomiota tulee kiinnittää tapauksiin, joissa tietojärjestelmä on joustava ja skaalautuva ja sitä voidaan käyttää useammilla järjestelmillä tai prosessoriytimillä kuin lisenssiehdot sallivat.

18.1: Lainsäädäntöön ja sopimuksiin sisältyvien vaatimusten noudattaminen
ISO 27017
18.1.2: Immateriaalioikeudet
ISO 27017
18.1.2: Immateriaalioikeudet
ISO27 Täysi
18: Vaatimustenmukaisuus
ISO 27017
5.32: Immateriaalioikeudet
ISO27k1 Täysi

Laitelistan ylläpito mobiilaitteiden hallintajärjestelmässä

Critical
High
Normal
Low

Laitteet on kirjattava mobiilailaitteiden hallintajärjestelmään, jotta laitteelle saadaan oma tunniste ja hallintaominaisuuksia voidaan käyttää. Uusien laitteiden hankinnan yhteydessä laitteet kirjataan aina mobiilaitteiden hallintajärjestelmään.

8.1.1: Suojattavan omaisuuden luetteloiminen
ISO27 Täysi
1.2.1: Establish a process to identify devices and software in use at the organisation
NSM ICT-SP
1.2.3: Identify devices in use at the organisation
NSM ICT-SP