Organisaatio parantaa verkon tietoturvaa ottamalla käyttöön 802.1X-verkon pääsynvalvonnan, jolla laitteet todennetaan RADIUS-palvelimen kautta, käyttämällä varmenteita vankkaan todennukseen ja integroimalla se käyttäjähakemistoihin johdonmukaisten käyttöoikeuskäytäntöjen luomiseksi. Se tarjoaa verkon segmentoinnin vieraille ja IoT-laitteille ja varmistaa, että NAC-käytännöt ja -ohjelmistot päivitetään säännöllisesti.
Organisaatio parantaa verkon tietoturvaa ottamalla käyttöön 802.1X-verkon pääsynvalvonnan, jolla laitteet todennetaan RADIUS-palvelimen kautta. Organisaatio käyttää varmenteita vankkaan todennukseen ja integroi pääsynvalvonnan käyttäjähakemistoihin johdonmukaisten käyttöoikeuskäytäntöjen luomiseksi. Organisaatio tarjoaa verkon segmentoinnin vieraille ja IoT-laitteille sekä varmistaa, että NAC-käytännöt ja -ohjelmistot päivitetään säännöllisesti.
Organisaatio vahvistaa verkon tietoturvaa ottamalla käyttöön palomuureja segmenttien välille, määrittämällä pääsynvalvontaluetteloita (ACL) liikenteen säätelemiseksi ja ottamalla käyttöön parhaita segmentointikäytäntöjä arkojen järjestelmien eristämiseksi. Tunkeutumisenestojärjestelmiä (IPS) käytetään estämään haitallista liikennettä reaaliajassa.
Organisaatio parantaa verkkoturvallisuutta arvioimalla ja valitsemalla sopivan verkon tunkeutumisen havaitsemisjärjestelmän (NIDS) tai vastaavat pilviratkaisut. Organisaatio sijoittaa sensorit strategisesti, määrittää valvonta- ja hälytysjärjestelmät sekä varmistaa säännölliset päivitykset ja ylläpitämisen. Pilviympäristöissä organisaatio hyödyntää CSP:n tarjoamia tietoturvapalveluja, joissa on NIDS-toiminto.
Organisaatio suojaa langattomat yhteydet suojaamalla verkon vahvoilla salausavaimilla ja käyttämällä WPA2 Enterprise -protokollan kaltaisia protokollia, joilla varmistetaan salattu liikenne verkon reitittimille.
Turvallisessa pääsynvalvonnassa vaaditaan 802.1X:ää käyttävien päätelaitteiden tekninen tunnistaminen ennen verkkoon pääsyä, mikä estää luvattomat yhteydet, ellei niitä ole fyysisesti rajoitettu.
Turvallista konfigurointia varten on määritelty vakiomallit, jotka ylläpitävät suojausominaisuuksia, kuten pääsynvalvontaa, koko laitteen ja verkon elinkaaren ajan ja tukevat siten 802.1X:n ja WPA2 Enterprisen kaltaisten turvallisten protokollien käyttöönottoa.
Verkon todennuksen, valtuutuksen ja kirjanpidon (AAA) keskittämiseksi organisaatio ottaa käyttöön keskitettyjä todennustilejä käyttäen alustoja, kuten Googlea tai Microsoft 365:tä, käyttöoikeuksien hallinnan tehostamiseksi ja turvallisuuden parantamiseksi.
Tietojärjestelmien ja -palveluiden käyttäjien käyttöoikeuksista pidetään keskitettyä rekisteriä tehokkaiden hallinta- ja tarkastusprosessien helpottamiseksi.
Organisaatio määrittelee menettelyt tunnistus- ja käyttöoikeustapojen hallintaa varten koko niiden elinkaaren ajan, jolloin varmistetaan tunnistautumistunnusten johdonmukainen ja turvallinen käsittely keskitetyn AAA-hallinnan tukemiseksi.
Arkkitehtuurikaavioiden ja verkkojärjestelmädokumentaation laatimiseksi ja ylläpitämiseksi organisaatio ryhtyy esimerkiksi ylläpitämään kattavaa luetteloa tietojärjestelmistä.
Organisaatio nimeää omistajat, jotka ovat vastuussa asiaan liittyvän dokumentaation ja turvatoimien loppuunsaattamisesta, ja varmistaa, että sitä tarkistetaan ja päivitetään säännöllisesti.
Tietojärjestelmien välisten rajapintojen ja yhteyksien dokumentointia ylläpidetään huolellisesti ja tarkistetaan mahdollisten muutosten integroimiseksi.
Sähköpostin ja latausten skannausprotokollat on määritetty käyttämään haittaohjelmien tunnistusohjelmia, jotka tarkistavat kaikki sähköpostin liitetiedostot ja lataukset uhkien varalta ja estävät samalla tietyt tarpeettomiksi tai riskialttiiksi katsotut tiedostotyypit.
Suodatus- ja valvontajärjestelmiä, kuten palomuureja ja tunkeutumisen havaitsemisjärjestelmiä, käytetään suodattamaan tietyt tiedostotyypit sähköpostiviemäriin ja estämään niiden lähettäminen.
Toimenpiteitä, joilla pyritään estämään luottamuksellisten tietojen lataaminen ulkoisista verkoista, voidaan mukauttaa estämään tiettyjen tiedostotyyppien vastaanottaminen sähköpostitse.
Organisaatio käyttää luokkapohjaista ja mainepohjaista suodatusta tunnistamaan ja estämään pääsyn ei-toivotuille verkkosivustoille hyödyntäen sekä tunnettuja haitallisia sivustoja että sisältöluokkia selauskäytäntöjen noudattamisen varmistamiseksi.
Mustalistoja, jotka on johdettu haittaohjelmien suojausohjelmistojen kielletyistä listoista, käytetään estämään aktiivisesti yhteydet tiettyihin haitallisiin verkkotunnuksiin.
Suodatus- ja seurantajärjestelmien säännölliset päivitykset ja hallinta varmistavat, että URL-suodattimet pysyvät ajan tasalla.
Organisaatio toteuttaa useita toimenpiteitä:
Organisaatio ottaa käyttöön ja hallinnoi palvelinten palomuureja sekä ottaa käyttöön virtuaalipalomuureja virtualisoiduissa ja pilviympäristöissä, joissa on keskitetyt hallintakonsolit yhtenäisen turvallisuuden varmistamiseksi.
Organisaatio ottaa käyttöön käyttöjärjestelmäpohjaiset palomuurit verkkoliikenteen suodatusta varten ja tarkastaa säännöt säännöllisesti.
Verkkoinfrastruktuurin turvaamiseksi organisaatio toteuttaa prosessin, johon sisältyy:
Organisaatio käyttää passiivista hakutyökalua, joka valvoo jatkuvasti verkkoliikennettä ja kirjaa reaaliaikaisia tietoja liitetyistä laitteista. Tietoja tarkastellaan viikoittain tieto-omaisuusluettelon päivittämiseksi, tieto-omaisuudenhallintajärjestelmän saumattomia päivityksiä varten. Hälytysmekanismit ilmoittavat uusista tai luvattomista laitteista nopeita turvatoimia varten.
Organisaation on varmistettava, että sen käyttämät hosting-järjestelmät ovat turvallisia, niitä ylläpidetään ja ne täyttävät vaaditut turvallisuusstandardit. Organisaation olisi joko itse ylläpidettävä järjestelmiä tai käytettävä sertifioituja palvelinkeskuksia/hosting-palveluja sen varmistamiseksi, että tietoturva voidaan tehokkaasti todentaa ja valvoa.
Käytettyjen tietokeskusten ja hosting-palvelujen turvallisuusvaatimusten on vastattava organisaation oman infrastruktuurin turvallisuusvaatimuksia. Esimerkiksi palvelinkonfiguraatioiden on oltava suojattuja, yhteyksien on oltava salattuja, liikennettä on valvottava ja käytettävän laitteiston on oltava ajan tasalla.
Kriittisimmät aliverkot on eristettävä fyysisesti. Lisäksi on harkittava, onko erityisen herkät aliverkot eristettävä fyysisesti.
Varmista, että konfiguraatioiden ylläpito, asennukset ja toiminnot tehdään turvallisesti. Tähän kuuluvat seuraavat asiat:
Block all direct traffic between clients. Applications requiring peer-to-peer should instead use a server service. Alternatively, reduce direct traffic between clients to an absolute minimum based on what is needed for work purposes.
Hallitse erityisesti paljastettujen palveluiden tietovirtaa. Paljastettuja palveluita, esimerkiksi verkkopalveluita ja sähköpostipalveluita, joissa on ulkoista sisältöä käyttäjille, on valvottava tiukasti.
Suojaa erityisen kriittiset palvelut omilla tietovirroillaan. Harkitse, mitkä palvelut ovat erityisen kriittisiä, esim. varmuuskopiointipalvelut, ja näille kriittisille palveluille on laadittava omat tietovirtasäännöt.
Organisaation on päätettävä, mitä ICT-järjestelmän osia sen on valvottava. Näitä voivat olla esimerkiksi
Ihannetapauksessa organisaatioin tietoturvaan liittyvä seuranta kattaisi mahdollisimman suuren osan ICT-järjestelmää. Tämä helpottaa luvattomien toimien, tietoturvaloukkausten ja tietoturvauhkien tunnistamista mahdollisimman varhaisessa vaiheessa.
Luo IoT-laitteiden käyttöönottoa koskeva suunnitelma, joka sisältää turvallisuusnäkökohdat ja riskinarvioinnit. Tähän sisältyy esimerkiksi laitteen käyttämän pilviympäristön arviointi.
Eristä IoT-laitteet erillisille verkkoalueille ja pohdi niiden sijaintia laitteiden luvattoman fyysisen käytön kannalta.
Organisaation on toteutettava toimenpiteitä, joilla organisaation kriittiset järjestelmät suojataan palvelunestohyökkäyksiltä (Denial-of-Service) tai ainakin rajoitetaan niiden vaikutusta. Esimerkkejä keinoista:
Organisaatio ottaa käyttöönsä todennettuja välityspalvelimia hallitsemaan ja suojaamaan organisaation kriittisten järjestelmien ja ulkoisten verkkojen välistä tietoliikennettä. Tarkastele nykyistä verkkoarkkitehtuuria, tunnista viestintäkanavat, jotka yhdistävät kriittiset järjestelmät ulkoisiin yksiköihin, ja ota käyttöön välityspalvelimet, jos se on mahdollista. Liikenteen suojaamisessa tulisi käyttää turvallisia todennusprotokollia.
Verkkojen erottelua käytetään jakamaan verkot pienempiin osiin (kutsutaan aliverkoiksi tai segmenteiksi). Päätarkoituksena on saavuttaa pienimmän oikeuden periaate rajoittamalla pääsyä esim. käyttäjälle tai mille tahansa tietylle laitteelle.
Pilvipalveluita tarjoaessaan organisaation tulee ottaa käyttöön verkkoyhteyksien erottelu, jotta:
Organisaation tulee pystyä auttamaan asiakasta varmistamaan erottelun toteutus.
Organisaation on huolehdittava, että etäyhteyksien valvonta ja hallinta on automatisoitu, etäyhteydet on suojattu salauksella niiden eheyden ja luotettavuuden varmistamiseksi ja etäyhteydet kulkevat vain hyväksyttyjen ja hallittujen NAC (Network access control) kautta.
Organisaation on myös mahdollistettava etäyhteyksien sulkeminen määritellyssä ajassa.
Normaali verkkoliikenne on kuvattu ja sen kuvausta ylläpidetään poikkeamien havaitsemiseksi. Kuvaus tulee päivittää kun:
Tietojenkäsittely-ympäristö on erotettu julkisista tietoverkoista ja muista heikomman turvallisuustason ympäristöistä riittävän turvallisella tavalla.
Tietojärjestelmien erottelu on eräs vaikuttavimmista tekijöistä salassa pidettävän tiedon suojaamisessa. Erottelun tavoitteena on rajata salassa pidettävän tiedon käsittely-ympäristö hallittavaksi kokonaisuudeksi, ja erityisesti pystyä rajaamaan salassa pidettävän tiedon käsittely vain riittävän turvallisiin ympäristöihin. Ympäristöjen erottelu voidaan toteuttaa esimerkiksi palomuuriratkaisun avulla.
Tietojenkäsittely-ympäristön kytkeminen muiden turvallisuustasojen ympäristöihin edellyttää vähintään palomuuriratkaisun käyttöä.
Turvallisuusluokittelemattoman salassa pidettävän tiedon sekä myös turvallisuusluokan IV tietojenkäsittely-ympäristön yhdistäminen eri turvallisuusluokan ympäristöihin voidaan toteuttaa palomuuriratkaisuilla ja rajaamalla riskialttiiden alemman turvallisuusluokan ympäristöä käyttävien palvelujen (web-selailu, Internetin kautta reitittyvä sähköposti, ja vastaavat) liikenne kulkemaan erillisten sisältöä suodattavien välityspalvelinten kautta.
Turvallisuusluokittelemattoman salassa pidettävän sekä myös turvallisuusluokan IV käsittely-ympäristöjä on mahdollista kytkeä Internetiin ja muihin ei-luotettuihin verkkoihin, edellyttäen että kytkennän tuomia riskejä pystytään muilla suojauksilla pienentämään riittävästi. Internet-kytkentäisyyden tuomien riskien pienentäminen turvallisuusluokittelemattomalle salassa pidettävälle tiedolle sekä turvallisuusluokalle IV edellyttää erityisesti ohjelmistopäivityksistä huolehtimista, vähimpien oikeuksien periaatteen mukaisia käyttöoikeuksia, järjestelmäkovennuksia sekä kykyä poikkeamien havainnointiin ja korjaaviin toimiin.
Tyypillinen käyttötapa turvallisuusluokittelemattoman salassa pidettävän tai/ja turvallisuusluokan IV käsittely-ympäristölle on organisaation rajattu tietojenkäsittely-ympäristön osa, joka voi muodostua esimerkiksi päätelaitepalveluista, sovelluspalveluista, tietoliikennepalveluista sekä niiden suojaamiseen liittyvistä järjestelyistä.
Tietoliikenneverkon vyöhykkeistäminen ja suodatussäännöstöt on toteutettava vähimpien oikeuksien periaatteen mukaisesti ko. turvaluokan sisällä.
Turvallisuusluokkien IV-II käsittely-ympäristöissä vaatimus voidaan täyttää siten, että toteutetaan aiemmin mainittujen toimenpiteiden lisäksi:
4) Verkko-alueiden välistä liikennettä valvotaan ja rajoitetaan siten, että vain erikseen hyväksytty, toiminnalle välttämätön liikennöinti sallitaan (default-deny).
Kun kohteen keskeisen tietovarannon turvallisuusluokka tulkitaan kasautumisvaikutuksesta johtuen yksittäisten tietojen tasoa korkeammaksi, tulee tietovarannolle määritellyt suojausmenetelmät toteuttaa korkeamman tason vaatimusten mukaisesti.
Määritellyillä suojausmenetelmillä tarkoitetaan menetelmiä, joilla rajataan pääsy vain tehtävässä tarvittavaan yksittäiseen tai suppeaan osaan tietosisällöstä ja havaitaan yritykset päästä valtuuttamattomasti käsiksi laajempaan osaan tietosisällöstä.
Tietojenkäsittely-ympäristön kytkeminen muiden turvallisuusluokkien ympäristöihin edellyttää riittävän turvallisen yhdyskäytäväratkaisun käyttöä.
Tietojenkäsittely-ympäristöjen oletetaan lähtökohtaisesti olevan toisilleen ei-luotettuja myös tilanteissa, joissa yhdistetään eri organisaatioiden hallinnoimia tietojenkäsittely-ympäristöjä toisiinsa. Saman turvallisuusluokan käsittely-ympäristöjä voidaan liittää toisiinsa ko. turvallisuusluokalle riittävän turvallisen salausratkaisun avulla (esimerkiksi organisaation eri toimipisteiden ko. turvallisuusluokan käsittely-ympäristöjen yhteenliittäminen julkisen verkon ylitse).
Turvallisuusluokan II käsittely-ympäristöt ovat lähtökohtaisesti fyysisesti eristettyjä kokonaisuuksia.
Turvallisuusluokan ylittävä liikennöinti voidaan sallia vain datadiodien tai v astaavien OSI-mallin fyysisellä kerroksella toimivien yksisuuntaisten yhdyskäytäväratkaisujen kautta.
Lähtökohtaisesti turvallisuusluokan I tietojenkäsittely-ympäristöt suositellaan pidettäväksi fyysisesti eriytettyinä kaikista muista ympäristöistä. Tyypillisenä toteutustapana on fyysisellä turva-alueella, hajasäteilysuojatussa tilassa tapahtuva kaikista muista ympäristöistä fyysisesti eriytetty tietojenkäsittely tähän tarkoitukseen varatulla päätelaitteella. Toteutustapana voi olla myös vastaavasti turva-alueella hajasäteilysuojattuun tilaan fyysisesti sijoitettu ja muista ympäristöistä fyysisesti eriytetty päätelaitteista, niitä yhdistävästä paikallisesta verkosta ja tähän tarkoitukseen varatusta erillistulostimesta koostuva tietojenkäsittely-ympäristö.
Tiedonsiirto fyysisesti eriytettyihin ympäristöihin tulee toteuttaa siten, että riski turvallisuusluokan I tiedon kulkeutumiseen matalamman turvallisuusluokan ympäristöön saatetaan mahdollisimman pieneksi.
Erityisesti korkeimpien turvallisuusluokkien ympäristöissä tarpeettomien komponenttien käytönesto on usein perusteltua toteuttaa fyysisesti kyseiset komponentit (esimerkiksi langattomat verkkokortit, kamerat, mikrofonit) laitteesta irrottaen. Tilanteissa, joissa kyseistä komponenttia ei voida fyysisesti irrottaa, korvaavana suojauksena voi joissain tapauksissa hyödyntää esimerkiksi kameroiden teippaamista sekä laitteiston ohjelmallista käytöstäpoistoa sekä käyttäjäasetus-, käyttöjärjestelmä- ja laiteohjelmistotasoilla. Joissain käyttöjärjestelmissä suojausta voidaan täydentää myös poistamalla kyseisen laitteen käyttöön liittyvät ohjelmisto-osiot (kernel module).
Turvallisuusluokkien III-II käsittely-ympäristöissä vaatimus tulee huomioida kovennusohjeiden mahdollisesti sisältämät tasot sekä useiden eri kovennusohjeiden, kuten esimerkiksi valmistajakohtaiset ohjeet, CIS Benchmark ja DISA STIG, hyödyntäminen kovennusten kattavuuden varmistamisessa
Turvallisuusluokkien III ja II käsittely-ympäristöissä sekä muissa kriittisissä käsittely-ympäristöissä edellytetään käytön teknistä sitomista hyväksyttyyn etäkäyttölaitteistoon (esim. laitetunnistus).
Kansallisten turvallisuusluokan III sähköisten tietojen etäkäyttö (käsittely) ja säilytys on mahdollista kyseisen turvallisuusluokan mukaisessa päätelaitteessa turva-alueiden ulkopuolella edellyttäen, että
Organisaation tulee pystyä valvomaan, että laitteita, tietojärjestelmiä sekä verkkoja ylläpidetään määriteltyjen konfiguraatioiden (ml. turvallisuusominaisuudet) mukaisina sekä käyttöönottovaiheessa että koko elinkaarensa ajan.
Tätä varten organisaatio on määritellyt vakiomallit laitteiden, tietojärjestelmien sekä verkkojen turvallisille konfiguraatioille. Vakiomalleja määritettäessä huomioidaan:
Vakiomallit tulee tarkistaa säännöllisesti ja päivittää, kun merkittäviin uusiin uhkiin tai haavoittuvuuksiin on reagoitava tai uusia ohjelmisto- tai laiteversioita julkaistaan.
Seuraavat seikat tulee ottaa huomioon vakiomalleja määriteltäessä:
Laitteiden, tietojärjestelmien ja verkkojen nykyiset kokoonpanot dokumentoidaan ja kokoonpanomuutoksista pidetään kirjaa.
Konfiguraatioiden muutoksia on valvottava, ja ne on tehtävä muutostenhallintamenettelyn kautta. Vain valtuutettu henkilöstö saa tehdä muutoksia konfiguraatioihin.
Konfiguraatiotietoihin voi sisältyä esim. seuraavat tiedot:
Organisaation kohteiden etäylläpito ja korjaus on toteutettava niin, että se hyväksytään, lokitetaan ja suoritetaan tavalla, joka estää luvattoman pääsyn. Etäylläpidon suorittajalta täytyy vaatia monivaiheista tunnistautumista.
Organisaation on vaihdettava oletusalasana, jolla kirjaudutaan palomuurien hallintajärjestelmään, johonkin vaikeasti arvattavaan salasanaan. Vaihtoehtoisesti organisaatio voi estää etäyhteyden hallittaviin järjestelmiin.
Organisaation on estettävä pääsy palomuurien hallintajärjestelmään internetistä, ellei ole selkeätä, hyvin dokumentoitua ja liiketoiminnan kannalta pakottavaa syytä siihen. Tässä tilanteessa järjestelmä tulee olla suojattu vähintään monivaiheisella tunnistautumisella - tai sallittujen IP-osoitteiden listaalla, jossa vain välttämättömät ja luotetut IP-osoitteet.
Organisaatiolla on oltava seuraavat palomuurisäännöt asetettuna ja dokumentoituna:
Palomuuri on ohjelmisto, joka hallinnoi yhteyksiä verkkojen (sisäiten tai ulkoisten) tai verkkosovellusten välillä. Palomuuri voidaan asettaa hyväksymään, estämään tai suodattamaan yhteksiä tiettyjen kriteerien perusteella.
Organisaation käyttämät tietojärjestelmät, niiden käyttöympäristöt sekä ulkoiset liityntäpisteet on suojattu joko tilallisella palomuurilla tai sovelluspalomuurilla.
Organisaation verkoille on määritelty omistaja. Omistaja vastaa verkon rakenteen suunnittelusta ja sen dokumentoinnista.
Verkon suunnittelussa käytetään tarpeen mukaan erillisiä verkkoalueita. Verkkoalueet voivat olla määritelty mm.:
Eriyttäminen voidaan toteuttaa joko fyysisesti erillisillä verkoilla tai loogisesti erillisillä verkoilla.
Verkon käytöstä syntyy asianmukaista lokia, jotta mahdollistetaan tietoturvallisuuden kannalta olennaisten toimenpiteiden havaitseminen.
Verkkoliikenteen normaali tila (liikennemäärät, protokollat ja yhteydet) on tiedossa. Poikkeamien havaitsemiseksi on olemassa menettely, jolla verkkoliikenteen normaaliin tilaan nähden eroavat tapahtumat (esimerkiksi poikkeavat yhteydet tai niiden yritykset) pyritään havaitsemaan.
Langattoman verkon käyttö on suojattu riittävillä avaimilla ja yhteysliikenne verkon reitittimeen on salattu. Vieraskäyttöön tarkoitettu langaton verkko on eristetty yrityksen omasta sisäisestä verkosta.
Eri verkkolaitteille on määritetty omistajat, joiden vastuulla on varmistaa, että verkoissa käsiteltävät tiedot ja niihin liittyvät palvelut on suojattu luvattomalta pääsyltä. Vastuu verkkolaitteista on tarvittaessa erotettava muista liittyvistä vastuista.
Päätelaitteet tunnistetaan teknisesti (laitetunnistus, 802.1X, tai vastaava menettely) ennen pääsyn sallimista verkkoon tai palveluun, ellei verkkoon kytkeytymistä ole fyysisen turvallisuuden menetelmin rajattu suppeaksi (esim. palvelimen sijoittaminen lukittuun laitekaappiin teknisesti suojatun viranomaisen ko. suojaustasolle hyväksymän turva-alueen sisällä).
Järjestelmillä tarkoitetaan tässä palvelimia, työasemia, verkon aktiivilaitteita (palomuurit, reitittimet, kytkimet, langattomat tukiasemat jne.) ja vastaavia. Koventamisella puolestaan tarkoitetaan järjestelmän asetusten muuttamista siten, että järjestelmän haavoittuvuuspinta-alaa saadaan pienennettyä.
Organisaatio on määritellyt toimintatavat, joiden avulla:
Käsiteltäessä viranomaisen suojaustason IV salassapidettävää tietoa, toteutetaan tietojenkäsittely-ympäristön verkolle seuraavat toimenpiteet:
Käsiteltäessä viranomaisen suojaustason III tai II salassapidettävää tietoa, toteutetaan tietojenkäsittely-ympäristön verkolle seuraavat toimenpiteet:
Tietoliikenneverkon vyöhykkeistäminen ja suodatussäännöstöt on toteutettava monitasoisen suojaamisen periaatteen mukaisesti.
Tietoliikenneverkon jakaminen ko. turvallisuusluokan sisällä erillisille verkkoalueille (vyöhykkeet ja segmentit) voi tarkoittaa esimerkiksi tietojen suojaamisen näkökulmasta tarkoituksenmukaista työasema- ja palvelinerottelua, kattaen myös mahdolliset hankekohtaiset erottelutarpeet.
Vaatimus voidaan täyttää alla mainituilla toimenpiteillä:
Liikenteen suodatus- ja valvontajärjestelmiä ovat esimerkiksi palomuurit, reitittimet, tunkeutumisia havaitsevat tai estävät järjestelmät (IDS/IPS) sekä vastaavia toiminnallisuuksia sisältävät verkkolaitteet/palvelimet/sovellukset.
Suodatuksen ja valvonnan toiminnan varmistamiseksi:
Hallintapääsy tapahtuu rajattujen, hallittujen ja valvottujen pisteiden kautta.
Hallintayhteyksien suojauksessa huomioidaan, miltä osin hallintayhteyden kautta pystytään vaarantamaan salassa pidettävät tiedot. Useimmat hallintayhteystavat mahdollistavat pääsyn salassa pidettävään tietoon joko suoraan (esim. tietokantaylläpito pääsee yleensä tarvittaessa tietokannan sisältöön) tai epäsuoraan (esim. verkkolaiteylläpito pystyy yleensä muuttamaan tietojärjestelmää suojaavia palomuurisääntöjä), mikä tekee näistä erityisen houkuttelevan kohteen myös pahantahtoisille toimijoille.
Kun hallintayhteys mahdollistaa suoran tai epäsuoran pääsyn salassa pidettävään tietoon, tulisi hallintayhteys ja siihen käytettävät päätelaitteet rajata lähtökohtaisesti samalle suojaustasolle kuin tietojenkäsittely-ympäristökin. Laitteilla tarkoitetaan tässä järjestelmiä, joihin pitäisi olla hallintaoikeudet vain ylläpitäjillä tai vastaavilla. Tällaisia ovat tyypillisesti esimerkiksi palomuurit, reitittimet, kytkimet, langattomat tukiasemat, palvelimet, työasemat, ILO-hallintaliittymät ja Blade-runkojen hallintaliittymät.
Eristä haavoittuvat ja alhaisen luoton laitteet, esimerkiksi vanhentuneet sovellukset, vanhat palvelimet, joiden käyttöjärjestelmä ei ole tuettu, ja tulostimet, joiden tietoturva-asetukset ovat huonot ja joista puuttuvat tietoturvapäivitykset.
Organisaation olisi varmistettava, että sen verkossa on riittävästi redundanssia. Seuraavat näkökohdat olisi otettava huomioon:
Organisaation on kehitettävä ja dokumentoitava selkeät menettelyt verkkojen hallintaa ja valvontaa varten sekä varmistettava johdonmukaisuus kaikissa verkkotoiminnoissa.
Organisaation tulisi ottaa huomioon seuraavat näkökulmat verkon segmentoinnissa:
Järjestelmissä otetaan käyttöön vain toimintavaatimusten täyttämiseksi ja turvallisuuden varmistamiseksi välttämättömät komponentit, palvelut sekä käyttäjien ja prosessien oikeudet.
Konfiguraatioita olisi valvottava kattavilla järjestelmänhallintatyökaluilla (esim. ylläpito-apuohjelmat, etätuki, yrityksen hallintatyökalut, varmuuskopiointi- ja palautusohjelmistot), ja ne olisi tarkistettava säännöllisesti asetusten, salasanojen vahvuuden ja suoritettujen toimintojen arvioimiseksi. Todellisia kokoonpanoja voidaan verrata määriteltyihin tavoitemalleihin. Mahdolliset poikkeamat on käsiteltävä joko automaattisesti tai manuaalisesti.
Kaikki luvattomat muutokset on korjattava ja niiden syyt on selvitettävä ja niistä on ilmoitettava.
Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.
.png)
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
