Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

13.1.3
ISO 27017

ISO 27017

PR.AC-5
NIST

NIST Cybersecurity Framework

Muita saman teeman digiturvatehtäviä

Hallintayhteyksien turvallisuus

Critical
High
Normal
Low

Hallintapääsy tapahtuu rajattujen, hallittujen ja valvottujen pisteiden kautta.

Hallintayhteyksien suojauksessa huomioidaan, miltä osin hallintayhteyden kautta pystytään vaarantamaan salassa pidettävät tiedot. Useimmat hallintayhteystavat mahdollistavat pääsyn salassa pidettävään tietoon joko suoraan (esim. tietokantaylläpito pääsee yleensä tarvittaessa tietokannan sisältöön) tai epäsuoraan (esim. verkkolaiteylläpito pystyy yleensä muuttamaan tietojärjestelmää suojaavia palomuurisääntöjä), mikä tekee näistä erityisen houkuttelevan kohteen myös pahantahtoisille toimijoille.

Kun hallintayhteys mahdollistaa suoran tai epäsuoran pääsyn salassa pidettävään tietoon, tulisi hallintayhteys ja siihen käytettävät päätelaitteet rajata lähtökohtaisesti samalle suojaustasolle kuin tietojenkäsittely-ympäristökin. Laitteilla tarkoitetaan tässä järjestelmiä, joihin pitäisi olla hallintaoikeudet vain ylläpitäjillä tai vastaavilla. Tällaisia ovat tyypillisesti esimerkiksi palomuurit, reitittimet, kytkimet, langattomat tukiasemat, palvelimet, työasemat, ILO-hallintaliittymät ja Blade-runkojen hallintaliittymät.

I04: Hallintayhteydet
Katakri
TEK-04: Hallintayhteydet
Julkri
I-04: TIETOJENKÄSITTELY-YMPÄRISTÖJEN SUOJATTU YHTEENLIITTÄMINEN – HALLINTAYHTEYDET
Katakri 2020

Suodatus- ja valvontajärjestelmien hallinnointi

Critical
High
Normal
Low

Liikenteen suodatus- ja valvontajärjestelmiä ovat esimerkiksi palomuurit, reitittimet, tunkeutumisia havaitsevat tai estävät järjestelmät (IDS/IPS) sekä vastaavia toiminnallisuuksia sisältävät verkkolaitteet/palvelimet/sovellukset.

Suodatuksen ja valvonnan toiminnan varmistamiseksi:

  • Järjestelmille on nimetty omistaja, joka huolehtii järjestelmän tarkoituksenmukaisesta toiminnasta huolehditaan koko tietojenkäsittely-ympäristön elinkaaren ajan
  • Liikennettä suodattavien tai valvovien järjestelmien asetusten lisääminen, muuttaminen ja poistaminen on vastuutettu järjestelmän omistajalle
  • Verkon ja siihen liittyvien suodatus- ja valvontajärjestelmien dokumentaatiota ylläpidetään sen elinkaaren aikana erottamattomana osana muutosten ja asetusten hallintaprosessia
  • Järjestelmien asetukset ja haluttu toiminta tarkastetaan määräajoin tietojenkäsittely-ympäristön toiminnan ja huollon aikana sekä poikkeuksellisten tilanteiden ilmetessä
I03: Suodatus- ja valvontajärjestelmien hallinnointi
Katakri
TEK-03: Suodatus- ja valvontajärjestelmien hallinnointi
Julkri
TEK-03.2: Suodatus- ja valvontajärjestelmien hallinnointi - dokumentointi
Julkri
TEK-03.3: Suodatus- ja valvontajärjestelmien hallinnointi - tarkastukset
Julkri
TEK-03.1: Suodatus- ja valvontajärjestelmien hallinnointi - vastuutus ja organisointi
Julkri

Tietoliikenneverkon vyöhykkeistäminen ja suodatuskäytännöt suojaustason sisällä

Critical
High
Normal
Low

Tietoliikenneverkon vyöhykkeistäminen ja suodatussäännöstöt on toteutettava monitasoisen suojaamisen periaatteen mukaisesti.

Tietoliikenneverkon jakaminen ko. turvallisuusluokan sisällä erillisille verkkoalueille (vyöhykkeet ja segmentit) voi tarkoittaa esimerkiksi tietojen suojaamisen näkökulmasta tarkoituksenmukaista työasema- ja palvelinerottelua, kattaen myös mahdolliset hankekohtaiset erottelutarpeet.

Vaatimus voidaan täyttää alla mainituilla toimenpiteillä:

  • Tietoliikenneverkko on jaettu ko. turvallisuusluokan sisällä erillisiin verkko-alueisiin (vyöhykkeet, segmentit).
  • Verkkoalueiden välistä liikennettä rajoitetaan ja ympäristöön sisäänpäin tulevaan liikenteeseen noudatetaan default-deny sääntöä.
  • Tietojenkäsittely-ympäristössä on varauduttu yleisiin verkkohyökkäyksiin.
I02: Verkon vyöhykkeistäminen ja suodatussäännöstöt
Katakri
TEK-02: Tietoliikenne-verkon vyöhykkeistäminen
Julkri
ARCHITECTURE-2: Implement Network Protections as an Element of the Cybersecurity Architecture
C2M2: MIL1
I-02: VÄHIMPIEN OIKEUKSIEN PERIAATE - TIETOLIIKENNE-VERKON VYÖHYKKEISTÄMINEN JA SUODATUSSÄÄNNÖSTÖT KO. TURVALLISUUSLUOKAN SISÄLLÄ
Katakri 2020
PR.AC-5: Network integrity (network segregation, network segmentation… ) is protected.
CyFun

Verkon rakenteellinen turvallisuus (TL III-II)

Critical
High
Normal
Low

Käsiteltäessä viranomaisen suojaustason III tai II salassapidettävää tietoa, toteutetaan tietojenkäsittely-ympäristön verkolle seuraavat toimenpiteet:

  • Tietojenkäsittely-ympäristö on erotettu muista ympäristöistä
  • Hallitun fyysisen turva-alueen ulkopuolelle menevä liikenne salataan viranomaisen ko. suojaustasolle hyväksymällä salausratkaisulla
  • Tietojenkäsittely-ympäristön kytkeminen muiden suojaustasojen ympäristöihin edellyttää viranomaisen ko. suojaustasolle hyväksymän yhdyskäytäväratkaisun käyttöä
I01: Verkon rakenteellinen turvallisuus
Katakri
I-01: TIETOJENKÄSITTELY-YMPÄRISTÖJEN SUOJATTU YHTEENLIITTÄMINEN – VERKON RAKENTEELLINEN TURVALLISUUS
Katakri 2020

Verkon rakenteellinen turvallisuus (TL IV)

Critical
High
Normal
Low

Käsiteltäessä viranomaisen suojaustason IV salassapidettävää tietoa, toteutetaan tietojenkäsittely-ympäristön verkolle seuraavat toimenpiteet:

  • Tietojenkäsittely-ympäristö erotetaan muista ympäristöistä
  • Kytkettäessä tietojenkäsittely-ympäristö muiden suojaustasojen ympäristöihin käytetään vähintään palomuuriratkaisua
  • Hallitun fyysisen turva-alueen ulkopuolelle menevä liikenne salataan viranomaisen ko. suojaustasolle hyväksymällä salausratkaisulla
I01: Verkon rakenteellinen turvallisuus
Katakri
I-01: TIETOJENKÄSITTELY-YMPÄRISTÖJEN SUOJATTU YHTEENLIITTÄMINEN – VERKON RAKENTEELLINEN TURVALLISUUS
Katakri 2020

Järjestelmäkovennuksen varmistaminen

Critical
High
Normal
Low

Järjestelmillä tarkoitetaan tässä palvelimia, työasemia, verkon aktiivilaitteita (palomuurit, reitittimet, kytkimet, langattomat tukiasemat jne.) ja vastaavia. Koventamisella puolestaan tarkoitetaan järjestelmän asetusten muuttamista siten, että järjestelmän haavoittuvuuspinta-alaa saadaan pienennettyä.

Organisaatio on määritellyt toimintatavat, joiden avulla:

  • Käyttöön otetaan vain käyttövaatimusten ja tietojen käsittelyn kannalta olennaiset toiminnot, laitteet ja palvelut. Ylimääräiset poistetaan myös BIOS-tasolla.
  • Käytössä on menettelytapa, jolla järjestelmät asennetaan järjestelmällisesti siten, että lopputuloksena on kovennettu asennus.
  • Kovennettu asennus sisältää vain sellaiset komponentit ja palvelut, sekä käyttäjien ja prosessien oikeudet, jotka ovat välttämättömiä toimintavaatimusten täyttämiseksi ja turvallisuuden varmistamiseksi.
  • Ohjelmistot, kuten käyttöjärjestelmät, sovellukset ja laiteohjelmistot, asetetaan keräämään tarvittavaa lokitietoa väärinkäytösten havaitsemiseksi.
  • Tietojärjestelmän käynnistäminen tuntemattomalta (muulta kuin ensisijaiseksi määritellyltä) laitteelta on estetty.
  • Ohjelmistot (esim. laiteohjelmistot, sovellukset) pidetään ajantasaisina .
  • Kohteen yhteydet, mukaan lukien hallintayhteydet, ovat rajattuja, kovennettuja, käyttäjätunnistettuja sekä aikarajoitettuja (istunnon aikakatkaisu).
I08: Järjestelmäkovennus
Katakri
TEK-10: Järjestelmäkovennus
Julkri
TEK-10.2: Järjestelmäkovennus - kovennusten varmistaminen koko elinkaaren ajan
Julkri
PR.PT-3: The principle of least functionality is incorporated by configuring systems to provide only essential capabilities.
CyFun

Päätelaitteiden tekninen tunnistaminen ennen verkkoon pääsyä (ST III-II)

Critical
High
Normal
Low

Päätelaitteet tunnistetaan teknisesti (laitetunnistus, 802.1X, tai vastaava menettely) ennen pääsyn sallimista verkkoon tai palveluun, ellei verkkoon kytkeytymistä ole fyysisen turvallisuuden menetelmin rajattu suppeaksi (esim. palvelimen sijoittaminen lukittuun laitekaappiin teknisesti suojatun viranomaisen ko. suojaustasolle hyväksymän turva-alueen sisällä).

I07: Tietojenkäsittely-ympäristön toimijoiden tunnistaminen
Katakri

Verkkolaitteiden vastuun määrittäminen

Critical
High
Normal
Low

Eri verkkolaitteille on määritetty omistajat, joiden vastuulla on varmistaa, että verkoissa käsiteltävät tiedot ja niihin liittyvät palvelut on suojattu luvattomalta pääsyltä. Vastuu verkkolaitteista on tarvittaessa erotettava muista liittyvistä vastuista.

13.1.1: Verkon hallinta
ISO27 Täysi
PR.AC-5: Network integrity
NIST
DE.CM-1: The network monitoring
NIST
8.20: Verkkoturvallisuus
ISO27k1 Täysi
DE.CM-1: The network is monitored to detect potential cybersecurity events.
CyFun

Langattoman verkon suojaaminen

Critical
High
Normal
Low

Langattoman verkon käyttö on suojattu riittävillä avaimilla ja yhteysliikenne verkon reitittimeen on salattu. Vieraskäyttöön tarkoitettu langaton verkko on eristetty yrityksen omasta sisäisestä verkosta.

I05: Langattomat verkot
Katakri
13.1.2: Verkkopalvelujen turvaaminen
ISO27 Täysi
PR.PT-4: Communications and control networks
NIST
TEK-05: Langaton tiedonsiirto
Julkri
8.21: Verkkopalvelujen turvaaminen
ISO27k1 Täysi

Verkon käyttöloki ja prosessi asiattoman verkkoliikenteen havaitsemiseen

Critical
High
Normal
Low

Verkon käytöstä syntyy asianmukaista lokia, jotta mahdollistetaan tietoturvallisuuden kannalta olennaisten toimenpiteiden havaitseminen.

Verkkoliikenteen normaali tila (liikennemäärät, protokollat ja yhteydet) on tiedossa. Poikkeamien havaitsemiseksi on olemassa menettely, jolla verkkoliikenteen normaaliin tilaan nähden eroavat tapahtumat (esimerkiksi poikkeavat yhteydet tai niiden yritykset) pyritään havaitsemaan.

I11: Poikkeamien havainnointikyky ja toipuminen
Katakri
12.4.1: Tapahtumien kirjaaminen
ISO27 Täysi
13.1.1: Verkon hallinta
ISO27 Täysi
PR.AC-3: Remote access management
NIST
PR.AC-5: Network integrity
NIST

Verkkoalueet ja verkon rakenteellisesti turvallinen suunnittelu

Critical
High
Normal
Low

Organisaation verkoille on määritelty omistaja. Omistaja vastaa verkon rakenteen suunnittelusta ja sen dokumentoinnista.

Verkon suunnittelussa käytetään tarpeen mukaan erillisiä verkkoalueita. Verkkoalueet voivat olla määritelty mm.:

  • luottamustason (esim. julkinen, työasemat, palvelin)
  • organisaatioyksiköiden (esim. HR, taloushallinto)
  • tai jonkin yhdistelmän mukaan (esim. palvelimen verkkoalue, joka on yhdistetty useisiin organisaatioyksiköihin)

Eriyttäminen voidaan toteuttaa joko fyysisesti erillisillä verkoilla tai loogisesti erillisillä verkoilla.

13.1.3: Ryhmien eriyttäminen verkossa
ISO27 Täysi
PR.AC-5: Network integrity
NIST
8.22: Verkkojen eriyttäminen
ISO27k1 Täysi
ARCHITECTURE-2: Implement Network Protections as an Element of the Cybersecurity Architecture
C2M2: MIL1
CC6.6: Logical access security measures against threats from sources outside system boundries
SOC 2

Palomuurisuojaus

Critical
High
Normal
Low

Palomuuri on ohjelmisto, joka hallinnoi yhteyksiä verkkojen (sisäiten tai ulkoisten) tai verkkosovellusten välillä. Palomuuri voidaan asettaa hyväksymään, estämään tai suodattamaan yhteksiä tiettyjen kriteerien perusteella.

Organisaation käyttämät tietojärjestelmät, niiden käyttöympäristöt sekä ulkoiset liityntäpisteet on suojattu joko tilallisella palomuurilla tai sovelluspalomuurilla.

6.6.3: Tekniset vaatimukset
Omavalvonta

Palomuurisääntöjen hallinta ja dokumentoiti

Critical
High
Normal
Low

Organisaatiolla on oltava seuraavat palomuurisäännöt asetettuna ja dokumentoituna:

  • Palomuuri oletuksena estää tulevat yhteydet
  • Palomuurisäännöt ovat hyväksytty ja dokumentoitu asianmukaisen tahon mukaan; toiminnan tarpeet sisäälytetään dokumentaatioon
  • Palomuuri poistaa sallivat säännöt pian sen jälkeen, kun niitä ei enään tarvita
FWL-02: Documenting and managing the firewall administration policies
Cyber Essentials
PR.AC-5: Network integrity (network segregation, network segmentation… ) is protected.
CyFun

Palomuurien ylläpidon käytännöt

Critical
High
Normal
Low

Organisaation on vaihdettava oletusalasana, jolla kirjaudutaan palomuurien hallintajärjestelmään, johonkin vaikeasti arvattavaan salasanaan. Vaihtoehtoisesti organisaatio voi estää etäyhteyden hallittaviin järjestelmiin.

Organisaation on estettävä pääsy palomuurien hallintajärjestelmään internetistä, ellei ole selkeätä, hyvin dokumentoitua ja liiketoiminnan kannalta pakottavaa syytä siihen. Tässä tilanteessa järjestelmä tulee olla suojattu vähintään monivaiheisella tunnistautumisella - tai sallittujen IP-osoitteiden listaalla, jossa vain välttämättömät ja luotetut IP-osoitteet.

FWL-01: Firewall administration policies
Cyber Essentials
DE.CM-1: The network is monitored to detect potential cybersecurity events.
CyFun

Kohteiden etäylläpito

Critical
High
Normal
Low

Organisaation kohteiden etäylläpito ja korjaus on toteutettava niin, että se hyväksytään, lokitetaan ja suoritetaan tavalla, joka estää luvattoman pääsyn. Etäylläpidon suorittajalta täytyy vaatia monivaiheista tunnistautumista.

PR.MA-2: Asset remote management and repair
NIST
PR.MA-2: Remote maintenance of organizational assets is approved, logged, and performed in a manner that prevents unauthorized access.
CyFun

Konfiguraatioiden hallinta ja muutosloki

Critical
High
Normal
Low

Current configurations of devices, data systems and networks are documented and a log is maintained of configuration changes.

Changes to configurations must be controlled and go through the change management procedure. Only authorized personnel are allowed to make changes to the configurations.

Configuration information may include e.g.:

  • property owner and contact point information
  • date of last configuration change
  • configuration model version
  • connections to other assets
8.9: Konfiguraationhallinta
ISO27k1 Täysi
CC7.1: Procedures for monitoring changes to configurations
SOC 2
1.2.4: Definition of responsibilities with service providers
TISAX
PR.IP-3: Configuration change control processes are in place.
CyFun
DE.CM-7: Monitoring for unauthorized personnel, connections, devices, and software is performed.
CyFun

Vakiomallien määrittäminen turvallisille konfiguraatioille

Critical
High
Normal
Low

Organisaation tulee pystyä valvomaan, että laitteita, tietojärjestelmiä sekä verkkoja ylläpidetään määriteltyjen konfiguraatioiden (ml. turvallisuusominaisuudet) mukaisina sekä käyttöönottovaiheessa että koko elinkaarensa ajan.

Tätä varten organisaatio on määritellyt vakiomallit laitteiden, tietojärjestelmien sekä verkkojen turvallisille konfiguraatioille. Vakiomalleja määritettäessä huomioidaan:

  • julkisesti saatavilla olevia ohjeita (esim. mallit toimittajilta ja riippumattomilta turvallisuusorganisaatioilta)
  • eri omaisuudelta tarvittava suojataso
  • liittyvien tietoturvavaatiusten täyttäminen
  • konfiguraatioiden toteutettavuus ja soveltuvuus organisaation toimintaan

Vakiomallit tulee tarkistaa säännöllisesti ja päivittää, kun merkittäviin uusiin uhkiin tai haavoittuvuuksiin on reagoitava tai uusia ohjelmisto- tai laiteversioita julkaistaan.

Seuraavat seikat tulee ottaa huomioon vakiomalleja määriteltäessä:

  • pääkäyttäjätason oikeuksien määrä minimoidaan
  • tarpeettomat käyttöoikeudet poistetaan käytöstä
  • tarpeettomat toiminnot ja palvelut poistetaan käytöstä
  • pääsyä tehokkaisiin apuohjelmiin ja tärkeisiin asetuksiin valvotaan tarkasti
  • kellot synkronoidaan
  • toimittajan oletussalasanat muutetaan välittömästi ja turvallisuuteen liittyvät asetukset tarkistetaan
  • aikakatkaisutoimintoja käytetään tarvittaessa (esim. automaattinen uloskirjautuminen)
  • lisenssivaatimuksia noudatetaan
8.9: Konfiguraationhallinta
ISO27k1 Täysi
ASSET-3: Manage IT and OT Asset Configuration
C2M2: MIL1
CC7.1: Procedures for monitoring changes to configurations
SOC 2
1.2.4: Definition of responsibilities with service providers
TISAX
9.3 §: Tietojärjestelmien hankinta ja kehittäminen
KyberTL

Etäkäyttö turvallisuuden lisävaatimkset (TL III)

Critical
High
Normal
Low

Kansallisten turvallisuusluokan III sähköisten tietojen etäkäyttö (käsittely) ja säilytys on mahdollista kyseisen turvallisuusluokan mukaisessa päätelaitteessa turva-alueiden ulkopuolella edellyttäen, että

  • tiedot on suojattu ko. turvallisuusluokalle riittävän turvallisella salausratkaisulla, ja että
  • päätelaitteen tietoturvallisuudesta, erityisesti ko. turvallisuusluokalle edellytettävästä luottamuksellisuudesta ja eheydestä on huolehdittu riittävin menettelyin.
TEK-18.7: Etäkäyttö - TL III
Julkri
I-18: TURVALLISUUSLUOKITELTUJEN TIETOJEN VÄLITYS JA KÄSITTELY FYYSISESTI SUOJATTUJEN ALUEIDEN VÄLILLÄ - ETÄKÄYTTÖ JA ETÄHALLINTA
Katakri 2020

Laitetunnistus etäkäytön yhteydessä (TL III)

Critical
High
Normal
Low

Turvallisuusluokkien III ja II käsittely-ympäristöissä sekä muissa kriittisissä käsittely-ympäristöissä edellytetään käytön teknistä sitomista hyväksyttyyn etäkäyttölaitteistoon (esim. laitetunnistus).

TEK-18.6: Etäkäyttö - laitetunnistus - TL III
Julkri
I-18: TURVALLISUUSLUOKITELTUJEN TIETOJEN VÄLITYS JA KÄSITTELY FYYSISESTI SUOJATTUJEN ALUEIDEN VÄLILLÄ - ETÄKÄYTTÖ JA ETÄHALLINTA
Katakri 2020

Järjestelmäkovennus turvallisuusluokitelluissa ympäristöissä (TL III)

Critical
High
Normal
Low

Erityisesti korkeimpien turvallisuusluokkien ympäristöissä tarpeettomien komponenttien käytönesto on usein perusteltua toteuttaa fyysisesti kyseiset komponentit (esimerkiksi langattomat verkkokortit, kamerat, mikrofonit) laitteesta irrottaen. Tilanteissa, joissa kyseistä komponenttia ei voida fyysisesti irrottaa, korvaavana suojauksena voi joissain tapauksissa hyödyntää esimerkiksi kameroiden teippaamista sekä laitteiston ohjelmallista käytöstäpoistoa sekä käyttäjäasetus-, käyttöjärjestelmä- ja laiteohjelmistotasoilla. Joissain käyttöjärjestelmissä suojausta voidaan täydentää myös poistamalla kyseisen laitteen käyttöön liittyvät ohjelmisto-osiot (kernel module).

Turvallisuusluokkien III-II käsittely-ympäristöissä vaatimus tulee huomioida kovennusohjeiden mahdollisesti sisältämät tasot sekä useiden eri kovennusohjeiden, kuten esimerkiksi valmistajakohtaiset ohjeet, CIS Benchmark ja DISA STIG, hyödyntäminen kovennusten kattavuuden varmistamisessa

TEK-10.3: Järjestelmäkovennus - turvallisuusluokitellut ympäristöt - TL III
Julkri
I-08: VÄHIMMÄISTOIMINTOJEN JA VÄHIMPIEN OIKEUKSIEN PERIAATE – JÄRJESTELMÄKOVENNUS
Katakri 2020

Verkon rakenteellinen turvallisuus TL I -luokan ympäristöissä (TL I)

Critical
High
Normal
Low

Lähtökohtaisesti turvallisuusluokan I tietojenkäsittely-ympäristöt suositellaan pidettäväksi fyysisesti eriytettyinä kaikista muista ympäristöistä. Tyypillisenä toteutustapana on fyysisellä turva-alueella, hajasäteilysuojatussa tilassa tapahtuva kaikista muista ympäristöistä fyysisesti eriytetty tietojenkäsittely tähän tarkoitukseen varatulla päätelaitteella. Toteutustapana voi olla myös vastaavasti turva-alueella hajasäteilysuojattuun tilaan fyysisesti sijoitettu ja muista ympäristöistä fyysisesti eriytetty päätelaitteista, niitä yhdistävästä paikallisesta verkosta ja tähän tarkoitukseen varatusta erillistulostimesta koostuva tietojenkäsittely-ympäristö.

Tiedonsiirto fyysisesti eriytettyihin ympäristöihin tulee toteuttaa siten, että riski turvallisuusluokan I tiedon kulkeutumiseen matalamman turvallisuusluokan ympäristöön saatetaan mahdollisimman pieneksi.

TEK-01.7: Verkon rakenteellinen turvallisuus - käsittely - TL I
Julkri
I-01: TIETOJENKÄSITTELY-YMPÄRISTÖJEN SUOJATTU YHTEENLIITTÄMINEN – VERKON RAKENTEELLINEN TURVALLISUUS
Katakri 2020

Verkon rakenteellinen turvallisuus TL II -luokan ympäristöissä (TL II)

Critical
High
Normal
Low

Turvallisuusluokan II käsittely-ympäristöt ovat lähtökohtaisesti fyysisesti eristettyjä kokonaisuuksia.

Turvallisuusluokan ylittävä liikennöinti voidaan sallia vain datadiodien tai v astaavien OSI-mallin fyysisellä kerroksella toimivien yksisuuntaisten yhdyskäytäväratkaisujen kautta.

TEK-01.6: Verkon rakenteellinen turvallisuus - käsittely - TL II
Julkri
I-01: TIETOJENKÄSITTELY-YMPÄRISTÖJEN SUOJATTU YHTEENLIITTÄMINEN – VERKON RAKENTEELLINEN TURVALLISUUS
Katakri 2020

Tietojenkäsittely-ympäristöjen yhdistäminen yhdyskäytäväratkaisulla (TL III)

Critical
High
Normal
Low

Tietojenkäsittely-ympäristön kytkeminen muiden turvallisuusluokkien ympäristöihin edellyttää riittävän turvallisen yhdyskäytäväratkaisun käyttöä.

Tietojenkäsittely-ympäristöjen oletetaan lähtökohtaisesti olevan toisilleen ei-luotettuja myös tilanteissa, joissa yhdistetään eri organisaatioiden hallinnoimia tietojenkäsittely-ympäristöjä toisiinsa. Saman turvallisuusluokan käsittely-ympäristöjä voidaan liittää toisiinsa ko. turvallisuusluokalle riittävän turvallisen salausratkaisun avulla (esimerkiksi organisaation eri toimipisteiden ko. turvallisuusluokan käsittely-ympäristöjen yhteenliittäminen julkisen verkon ylitse).

TEK-01.5: Verkon rakenteellinen turvallisuus - yhdyskäytäväratkaisun käyttö - TL III
Julkri

Kasautumisvaikutuksen huomiointi tietojenkäsittely-ympäristön suojauksessa

Critical
High
Normal
Low

Kun kohteen keskeisen tietovarannon turvallisuusluokka tulkitaan kasautumisvaikutuksesta johtuen yksittäisten tietojen tasoa korkeammaksi, tulee tietovarannolle määritellyt suojausmenetelmät toteuttaa korkeamman tason vaatimusten mukaisesti.

Määritellyillä suojausmenetelmillä tarkoitetaan menetelmiä, joilla rajataan pääsy vain tehtävässä tarvittavaan yksittäiseen tai suppeaan osaan tietosisällöstä ja havaitaan yritykset päästä valtuuttamattomasti käsiksi laajempaan osaan tietosisällöstä.

TEK-06: Kasautumisvaikutus
Julkri

Vähimpien oikeuksien periaate verkkojen vyöhykkeistämisessä

Critical
High
Normal
Low

Tietoliikenneverkon vyöhykkeistäminen ja suodatussäännöstöt on toteutettava vähimpien oikeuksien periaatteen mukaisesti ko. turvaluokan sisällä.

Turvallisuusluokkien IV-II käsittely-ympäristöissä vaatimus voidaan täyttää siten, että toteutetaan aiemmin mainittujen toimenpiteiden lisäksi:

4) Verkko-alueiden välistä liikennettä valvotaan ja rajoitetaan siten, että vain erikseen hyväksytty, toiminnalle välttämätön liikennöinti sallitaan (default-deny).

TEK-02.1: Tietoliikenne-verkon vyöhykkeistäminen - vähimpien oikeuksien periaate
Julkri
I-02: VÄHIMPIEN OIKEUKSIEN PERIAATE - TIETOLIIKENNE-VERKON VYÖHYKKEISTÄMINEN JA SUODATUSSÄÄNNÖSTÖT KO. TURVALLISUUSLUOKAN SISÄLLÄ
Katakri 2020

Tietojenkäsittely-ympäristöjen erottelu

Critical
High
Normal
Low

Turvallisuusluokittelemattoman salassa pidettävän tiedon sekä myös turvallisuusluokan IV tietojenkäsittely-ympäristön yhdistäminen eri turvallisuusluokan ympäristöihin voidaan toteuttaa palomuuriratkaisuilla ja rajaamalla riskialttiiden alemman turvallisuusluokan ympäristöä käyttävien palvelujen (web-selailu, Internetin kautta reitittyvä sähköposti, ja vastaavat) liikenne kulkemaan erillisten sisältöä suodattavien välityspalvelinten kautta.

Turvallisuusluokittelemattoman salassa pidettävän sekä myös turvallisuusluokan IV käsittely-ympäristöjä on mahdollista kytkeä Internetiin ja muihin ei-luotettuihin verkkoihin, edellyttäen että kytkennän tuomia riskejä pystytään muilla suojauksilla pienentämään riittävästi. Internet-kytkentäisyyden tuomien riskien pienentäminen turvallisuusluokittelemattomalle salassa pidettävälle tiedolle sekä turvallisuusluokalle IV edellyttää erityisesti ohjelmistopäivityksistä huolehtimista, vähimpien oikeuksien periaatteen mukaisia käyttöoikeuksia, järjestelmäkovennuksia sekä kykyä poikkeamien havainnointiin ja korjaaviin toimiin.

Tyypillinen käyttötapa turvallisuusluokittelemattoman salassa pidettävän tai/ja turvallisuusluokan IV käsittely-ympäristölle on organisaation rajattu tietojenkäsittely-ympäristön osa, joka voi muodostua esimerkiksi päätelaitepalveluista, sovelluspalveluista, tietoliikennepalveluista sekä niiden suojaamiseen liittyvistä järjestelyistä.

TEK-01.3: Verkon rakenteellinen turvallisuus - käsittely-ympäristöjen erottaminen
Julkri

Tietojenkäsittely-ympäristöjen erottelu palomuurilla

Critical
High
Normal
Low

Tietojenkäsittely-ympäristön kytkeminen muiden turvallisuustasojen ympäristöihin edellyttää vähintään palomuuriratkaisun käyttöä.

TEK-01.2: Verkon rakenteellinen turvallisuus - palomuuri
Julkri

Verkon rakenteellinen turvallisuus

Critical
High
Normal
Low

Tietojenkäsittely-ympäristö on erotettu julkisista tietoverkoista ja muista heikomman turvallisuustason ympäristöistä riittävän turvallisella tavalla.

Tietojärjestelmien erottelu on eräs vaikuttavimmista tekijöistä salassa pidettävän tiedon suojaamisessa. Erottelun tavoitteena on rajata salassa pidettävän tiedon käsittely-ympäristö hallittavaksi kokonaisuudeksi, ja erityisesti pystyä rajaamaan salassa pidettävän tiedon käsittely vain riittävän turvallisiin ympäristöihin. Ympäristöjen erottelu voidaan toteuttaa esimerkiksi palomuuriratkaisun avulla.

TEK-01: Verkon rakenteellinen turvallisuus
Julkri
ARCHITECTURE-2: Implement Network Protections as an Element of the Cybersecurity Architecture
C2M2: MIL1
PR.AC-5: Network integrity (network segregation, network segmentation… ) is protected.
CyFun

Normaalin verkkoliikenteen kuvaus

Critical
High
Normal
Low

Normaali verkkoliikenne on kuvattu ja sen kuvausta ylläpidetään poikkeamien havaitsemiseksi. Kuvaus tulee päivittää kun:

  • Organisaation määrittämän aikavälin välein
  • Kun se on tarpeen organisaation määrittämien tilanteiden mukaan
  • Kun järjestelmiin tulee muutoksia
DE.AE-1: Baseline of network operations
NIST
DE.AE-1: A baseline of network operations and expected data flows for users and systems is established and managed.
CyFun

Etäyhteyksien hallinta

Critical
High
Normal
Low

Organisaation on huolehdittava, että etäyhteyksien valvonta ja hallinta on automatisoitu, etäyhteydet on suojattu salauksella niiden eheyden ja luotettavuuden varmistamiseksi ja etäyhteydet kulkevat vain hyväksyttyjen ja hallittujen NAC (Network access control) kautta.

Organisaation on myös mahdollistettava etäyhteyksien sulkeminen määritellyssä ajassa.

PR.AC-3: Remote access management
NIST
I-18: TURVALLISUUSLUOKITELTUJEN TIETOJEN VÄLITYS JA KÄSITTELY FYYSISESTI SUOJATTUJEN ALUEIDEN VÄLILLÄ - ETÄKÄYTTÖ JA ETÄHALLINTA
Katakri 2020
5.1.2: Information transfer
TISAX
PR.MA-2: Remote maintenance of organizational assets is approved, logged, and performed in a manner that prevents unauthorized access.
CyFun
PR.AC-3: Remote access is managed.
CyFun

Verkon pääsytasojen eriyttäminen tarjottujen digipalvelujen näkökulmasta

Critical
High
Normal
Low

Verkkojen erottelua käytetään jakamaan verkot pienempiin osiin (kutsutaan aliverkoiksi tai segmenteiksi). Päätarkoituksena on saavuttaa pienimmän oikeuden periaate rajoittamalla pääsyä esim. käyttäjälle tai mille tahansa tietylle laitteelle.

Pilvipalveluita tarjoaessaan organisaation tulee ottaa käyttöön verkkoyhteyksien erottelu, jotta:

  • Asiakkaat ovat erillään useita asiakkaita sisältävässä ympäristöissä
  • Erota vahvasti palveluntarjoajan oma sisäinen hallintoympäristö ja asiakkaiden pilvilaskentaympäristö

Organisaation tulee pystyä auttamaan asiakasta varmistamaan erottelun toteutus.

13.1.3: Ryhmien eriyttäminen verkossa
ISO 27017
PR.AC-5: Network integrity
NIST

Todennettujen välityspalvelimien käyttöönotto kriittisissä järjestelmissä

Critical
High
Normal
Low

Organisaatio ottaa käyttöönsä todennettuja välityspalvelimia hallitsemaan ja suojaamaan organisaation kriittisten järjestelmien ja ulkoisten verkkojen välistä tietoliikennettä. Tarkastele nykyistä verkkoarkkitehtuuria, tunnista viestintäkanavat, jotka yhdistävät kriittiset järjestelmät ulkoisiin yksiköihin, ja ota käyttöön välityspalvelimet, jos se on mahdollista. Liikenteen suojaamisessa tulisi käyttää turvallisia todennusprotokollia.

PR.AC-5: Network integrity (network segregation, network segmentation… ) is protected.
CyFun

Kriittisten järjestelmien suojaaminen palvelunestohyökkäyksiltä (DoS)

Critical
High
Normal
Low

Organisaation on toteutettava toimenpiteitä, joilla organisaation kriittiset järjestelmät suojataan palvelunestohyökkäyksiltä (Denial-of-Service) tai ainakin rajoitetaan niiden vaikutusta. Esimerkkejä keinoista:

  • Järjestelmien nykyisten haavoittuvuuksien tarkistaminen
  • DoS-iskujen torjuntaratkaisujen, kuten palomuurien, tunkeutumisen havaitsemisjärjestelmien ja liikenteen suodatuksen, käyttöönotto.
  • pilvipohjaisten DoS-suojauspalvelujen käyttö
  • Nopeuden rajoittamisen määrittäminen ja liikennemallien seuranta poikkeamien varalta.
  • Reagointisuunnitelman laatiminen DoS-hyökkäyksiin reagoimiseksi nopeasti ja niiden vaikutusten lieventämiseksi.
PR.DS-4: Adequate capacity to ensure availability is maintained.
CyFun

Secure deployment of IoT devices

Critical
High
Normal
Low

Create a plan for deploying IoT devices to include security aspects with risk assesments. This includes, for example, assessment of the cloud the device connects to.

Isolate the IoT devices in separate network zones and consider their location with regard to unauthorised physical access to the devices.

Päätä, mitä ICT-järjestelmän osia valvotaan

Critical
High
Normal
Low

Organisaation on päätettävä, mitä ICT-järjestelmän osia sen on valvottava. Näitä voivat olla esimerkiksi

  • Järjestelmän kriittisimmät osat tai osat, jotka sisältävät eniten luottamuksellista tietoa.
  • Laitteiden käyttöjärjestelmät
  • Sisäiset portit, joiden kautta tiedot kulkevat
  • Sisäisten ja ulkoisten järjestelmien väliset yhdyskäytävät, esimerkiksi Internetiin.
  • Tietojärjestelmissä olevat tietoturvatuotteet (esim. AVS, IDS, IPS, FW jne.).
  • Varmuuskopiointi- ja palautusjärjestelmät

Ihannetapauksessa organisaatioin tietoturvaan liittyvä seuranta kattaisi mahdollisimman suuren osan ICT-järjestelmää. Tämä helpottaa luvattomien toimien, tietoturvaloukkausten ja tietoturvauhkien tunnistamista mahdollisimman varhaisessa vaiheessa.

Protect critical services with their own data flow

Critical
High
Normal
Low

Protect particularly critical services with their own data flow. Consider which services are particularly critical, e.g., backup services and those critical services should have their own rules for data flow.

Paljastettujen palvelujen tietovirran hallinta

Critical
High
Normal
Low

Hallitse erityisesti paljastettujen palveluiden tietovirtaa. Paljastettuja palveluita, esimerkiksi verkkopalveluita ja sähköpostipalveluita, joissa on ulkoista sisältöä käyttäjille, on valvottava tiukasti.

Isolate vulnerable and low-trust equipment

Critical
High
Normal
Low

Isolate vulnerable and low-trust equipment, e.g., outdated applications, old servers with unsupported OS and printers with poor security configuration and a lack of security updates.

Estä kaikki suora liikenne asiakasohjelmien välillä

Critical
High
Normal
Low

Block all direct traffic between clients. Applications requiring peer-to-peer should instead use a server service. Alternatively, reduce direct traffic between clients to an absolute minimum based on what is needed for work purposes.

Ensure that maintenance of configurations, installations and operations are done securely

Critical
High
Normal
Low

Ensure that maintenance of configurations, installations and operations are done securely. This includes the following:

  • Perform management operations in trusted channels
  • Consider installing trusted TLS (ideally issued internally) in as many administrator interfaces as possible and avoid exposing administrator interfaces to internet.
  • Reduce interactive log-ins directly on servers


Physically isolate the most critical subnets

Critical
High
Normal
Low

The most critical subnets must be physically isolated. Also, it should be considered whether to physically isolate particularly sensitive subnets.

Konfiguraatioiden valvonta

Critical
High
Normal
Low

Configurations should be monitored with comprehensive system management tools (e.g. maintenance utilities, remote support, enterprise management tools, backup and recovery software) and reviewed regularly to assess settings, password strengths, and operations performed. Actual configurations can be compared to defined target models. Any discrepancies must be dealt with either automatically or by manual processing.

Any unauthorized changes must be corrected and cause investigated and reported.

8.9: Konfiguraationhallinta
ISO27k1 Täysi
1.2.4: Definition of responsibilities with service providers
TISAX
DE.CM-7: Monitoring for unauthorized personnel, connections, devices, and software is performed.
CyFun

Järjestelmien koventaminen käytössä olevien palveluiden minimoinnilla

Critical
High
Normal
Low

Järjestelmissä otetaan käyttöön vain toimintavaatimusten täyttämiseksi ja turvallisuuden varmistamiseksi välttämättömät komponentit, palvelut sekä käyttäjien ja prosessien oikeudet.

TEK-10.1: Järjestelmäkovennus - käytössä olevien palveluiden minimointi
Julkri
I-08: VÄHIMMÄISTOIMINTOJEN JA VÄHIMPIEN OIKEUKSIEN PERIAATE – JÄRJESTELMÄKOVENNUS
Katakri 2020

Yksityiskohtaiset menettelyt verkkojen hallintaa, valvontaa ja segmentointia varten

Critical
High
Normal
Low

Organisaation on kehitettävä ja dokumentoitava selkeät menettelyt verkkojen hallintaa ja valvontaa varten sekä varmistettava johdonmukaisuus kaikissa verkkotoiminnoissa.

Organisaation tulisi ottaa huomioon seuraavat näkökulmat verkon segmentoinnissa:

  • Rajoitusten asettaminen tietojärjestelmien liittämiselle verkkoon riskinarviointien perusteella.
  • Tietoturvatekniikoiden toteutus, jotka täyttävät organisaation erityiset tietoturvavaatimukset.
  • Varmistetaan, että suorituskyky, luottamus, saatavuus, turvallisuus ja suojaus asetetaan etusijalle kaikissa verkonhallintaa koskevissa päätöksissä.
  • Määritellään strategiat vaikutusten rajoittamiseksi, jos tietojärjestelmät ovat vaarassa, ja keskitytään nopeaan torjuntaan.
  • Integroidaan mekanismeja mahdollisten hyökkäysten ja hyökkääjien lateraalisen liikkumisen havaitsemiseksi verkon eri segmenttien välillä.
  • Eri käyttötarkoituksia (esim. testaus/kehitys, toimisto, valmistus) palvelevien verkkojen erottaminen toisistaan ristikkäisten verkkoriskien estämiseksi.
  • Puututaan lisääntyneeseen riskiin, joka aiheutuu Internetin kautta saatavilla olevista verkkopalveluista, erityisesti ulkoisiin palveluihin suuntautuvista palveluista.
  • Käytetään teknologiakohtaisia erotteluvaihtoehtoja, kun ulkoiset IT-palvelut ovat käytössä riskien vähentämiseksi.
  • Varmistetaan omien verkkojen ja asiakasverkkojen riittävä erottelu asiakkaan vaatimusten mukaisesti.
  • Toteutetaan toimenpiteitä tietojen katoamisen tai vuotamisen havaitsemiseksi ja estämiseksi sekä varmistetaan arkaluonteisten tietojen suojaus.
5.2.7: Network management
TISAX

Verkkojen redundanssiratkaisut

Critical
High
Normal
Low

Organisaation olisi varmistettava, että sen verkossa on riittävästi redundanssia. Seuraavat näkökohdat olisi otettava huomioon:

  • Useita Internet-palveluntarjoajia (ISP)
  • tarpeettomat verkkoyhteydet
  • Redundantit verkkolaitteet (useita kytkimiä, reitittimiä ja muita laitteita sekä verkon kuormituksen tasaajien käyttö).
  • Virran katkeamattomuus (UPS)
5.3.2: Network device requirements
TISAX