Digiturvamalli.fi
Kokeile
Kirjaudu
Aiheet
Alkuun pääsy
ISO 27001
NIS2
Tiedonhallinta
Jatkuva parantaminen
Tiimin yhteistyö
Dokumentointi
Henkilöstön ohjeet
Raportointi
Tehtävien hallinta
Yhteisö
Asetukset & advanced
Kokeilu ja tilaus
Käyttäjähallinta
Tuotteen tietoturva
Vaatimuskehikkojen hallinta
Henkilöstöturvallisuus
Riskien hallinta
Sisäinen auditointi
Työskentely kumppanina
GDPR
Näytä kaikki aiheet
Webinaarit
ISO 27001: Rakenna digiturvasuunnitelma, joka täyttää standardin vaatimukset
Intro NIS2-direktiiviin, Kyberturvallisuuslakiin sekä Digiturvamalli-työkaluun
Näytä kaikki webinaarit
Videot
Automatisoi henkilöstön tietoturvaohjeistus Teamsissa
Digiturvamallin yleisesittely
Dokumentoi oma tietojenkäsittely-ympäristö yhteistyössä
GDPR & ISO 27701:n hyvät käytännöt
ISO 27001 ja henkilöstön osaaminen
ISO 27001 ja riskien hallinta
ISO 27001 ja sertifiointiauditoinnin avainasiat
ISO 27001:n yleisesittely
Luo tehokas tietoturvariskien hallinnan toimintamalli
NIS2:n yleisesittely
Oman ISMS:n jatkuva parantaminen
Paranna omaa tietoturvasuunnitelmaa jatkuvasti
Tiedonhallintamalli ja riskien hallinta
Tiedonhallintamalli ja tietoturvatoimenpiteet
Tiedonhallintamallin perusteet
Näytä kaikki videot
Ohjeet
Asennus ja integraatiot
Dokumentaatio
Kumppaneille
Käyttäjähallinta
Muut ominaisuudet
Ohjeiden hallinta
Pääkäyttäjälle
Raportointi
Tehtävien hallinta
Vaatimuskehikot
Näytä kaikki ohjeet
Blogit
DORA: Esittely, soveltamisala ja keskeiset vaatimukset
Cyberday mukana Cyber Security Nordicissa 2024!
Tietoturva toimitusketjujen riskienhallinnassa
Vaatimustenmukaisuudesta yhteistyöhön: Miten NIS2 kannustaa vahvempaan toimitusketjun tietoturvayhteistyöhön?
Agendium Oy on nyt Cyberday Oy!
Näytä kaikki blogit
Sisältökirjasto
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Unfortunately something went wrong. You can contact us at team@cyberday.ai.
Sisältökirjasto
C2M2: MIL1
ARCHITECTURE-3: Implement IT and OT Asset Security as an Element of the Cybersecurity Architecture
C2M2: MIL1
ARCHITECTURE-3

Implement IT and OT Asset Security as an Element of the Cybersecurity Architecture

MIL1 requirements
a. Logical and physical access controls are implemented to protect assets that are important to the delivery of the function, where feasible, at least in an ad hoc manner
b. Endpoint protections (such as secure configuration, security applications, and host monitoring) are implemented to protect assets that are important to the delivery of the function, where feasible, at least in an ad hoc manner

MIL2 requirements
c. The principle of least privilege (for example, limiting administrative access for users and service accounts) is enforced
d. The principle of least functionality (for example, limiting services, limiting applications, limiting ports, limiting connected devices) is enforced
e. Secure configurations are established and maintained as part of the asset deployment process where feasible
f. Security applications are required as an element of device configuration where feasible (for example, endpoint detection and response, host-based firewalls)
g. The use of removeable media is controlled (for example, limiting the use of USB devices, managing external hard drives)
h. Cybersecurity controls are implemented for all assets within the function either at the asset level or as compensating controls where asset-level controls are not feasible
i. Maintenance and capacity management activities are performed for all assets within the function
j. The physical operating environment is controlled to protect the operation of assets within the function
k. More rigorous cybersecurity controls are implemented for higher priority assets

MIL3 requirements
l. Configuration of and changes to firmware are controlled throughout the asset lifecycle
m. Controls (such as allowlists, blocklists, and configuration settings) are implemented to prevent the execution of unauthorized code

Aloita ilmainen kokeilu

Kuinka täyttää vaatimus

C2M2: MIL1

ARCHITECTURE-3: Implement IT and OT Asset Security as an Element of the Cybersecurity Architecture

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset

Päätelaitteiden tietoturvanhallintajärjestelmän käyttö (Endpoint security management system)

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Etätyö ja mobiililaitteet
Mobiililaitteiden hallinta
14
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
13.1.1: Verkon hallinta
ISO27 Täysi
6.2.1: Mobiililaitteita koskeva politiikka
ISO27 Täysi
PR.PT-4: Communications and control networks
NIST
HAL-19: Tietojen käsittely
Julkri
8.1: Käyttäjien päätelaitteet
ISO27k1 Täysi
1. Tehtävän vaatimuskuvaus

Päätelaitteiden tietoturvanhallintajärjestelmän avulla voidaan vaatia päätelaitteilta haluttuja kriteerejä, ennen kuin niille sallitaan yhteys verkon resursseihin. Päätelaitteet voivat olla kannettavia tietokoneita, älypuhelimia, tabletteja tai alakohtaista erikoislaitteistoa.

Kriteerejä verkkoresurssien käytölle voivat olla mm. hyväksytty käyttöjärjestelmä, VPN- ja antivirus-järjestelmät sekä näiden päivitysten ajantasaisuus.

Ohjelmistopalomuurin käyttö päätelaitteilla

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Etätyö ja mobiililaitteet
Mobiililaitteiden hallinta
5
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
FWL-03: Host based firewall protection
Cyber Essentials
ARCHITECTURE-3: Implement IT and OT Asset Security as an Element of the Cybersecurity Architecture
C2M2: MIL1
DE.CM-1: The network is monitored to detect potential cybersecurity events.
CyFun
1. Tehtävän vaatimuskuvaus

Organisaation kaikkien päätelaitteiden suojana tulisi olla oikein konfiguroitu ohjelmistopalomuuri, joka tarkkailee liikennettä, hyväksyy säännöt täyttävän liikenteen sekä toteuttaa käyttäjien valvontaa.

Palomuuri suojaa haittaohjelmilta ja hyökkäyksiltä, jotka tulevat organisaation verkon sisä- tai ulkopuolelta.

Päätelaitteilla sallittujen sovellusten listaus ja valvonta

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Etätyö ja mobiililaitteet
Mobiililaitteiden hallinta
6
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
MWP-05: Whitelisting
Cyber Essentials
MWP: Application allow listing
Cyber Essentials
ARCHITECTURE-3: Implement IT and OT Asset Security as an Element of the Cybersecurity Architecture
C2M2: MIL1
DE.CM-3: Personnel activity is monitored to detect potential cybersecurity events.
CyFun
2.3.2: Configure clients so that only software known to the organisation is able to execute
NSM ICT-SP
1. Tehtävän vaatimuskuvaus

Organisaatiolla on oltava lista hyväksytyistä sovelluksista sekä sovellusten lähteistä, joita saa käyttää organisaation päätelaitteella.

Organisaation tulisi mahdollisuuksien mukaan toteuttaa sallittujen sovellusten valvonta automatisoidusti esimerkiksi mobiililaitteiden hallintajärjestelmässä määriteltyjen käytäntöjen kautta.

Fyysisen pääsyn jatkuva valvonta kriittisiin tiloihin

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Fyysinen turvallisuus
Kiinteistöjen turvallisuus
9
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
7.4: Fyysisen turvallisuuden valvonta
ISO27k1 Täysi
ARCHITECTURE-3: Implement IT and OT Asset Security as an Element of the Cybersecurity Architecture
C2M2: MIL1
I-17: TURVALLISUUSLUOKITELTUJEN SÄHKÖISESSÄ MUODOSSA OLEVIEN TIETOJEN KÄSITTELY FYYSISESTI SUOJATTUJEN ALUEIDEN SISÄLLÄ - FYYSINEN TURVALLISUUS
Katakri 2020
Article 9b: Prevention
DORA
DE.CM-1: The network is monitored to detect potential cybersecurity events.
CyFun
1. Tehtävän vaatimuskuvaus

Pääsyä kriittisiä järjestelmiä sisältäviin rakennuksiin tulee valvoa jatkuvasti luvattoman pääsyn tai epäilyttävän toiminnan havaitsemiseksi. Valvontakäytännöissä tulisi huomioida seuraavat asiat:

  • tunkeutumishälytyksen aiheuttavat kosketus-, ääni- tai liiketunnistimet
  • ulko-ovien ja ikkunoiden peitto tunnistimia käyttämällä
  • henkilöstöttömien sekä muuten tärkeiden (mm. palvelin- tai viestintäteknologia) tilojen valvonta 
  • hälytysjärjestelmien säännöllinen testaus

Valvontajärjestelmiin liittyvien tietojen tulee olla luottamuksellisia, koska tietojen paljastaminen voi helpottaa havaitsemattomia murtoja. Valvontajärjestelmät itsessään tulee myös suojata asiallisesti, jottei tallenteisiin tai järjestelmän tilaan pääse vaikuttamaan luvatta.

Strategia kyberturvallisuusarkkitehtuurille

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
5
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
ARCHITECTURE-1: Establish and Maintain Cybersecurity Architecture Strategy and Program
C2M2: MIL1
ARCHITECTURE-3: Implement IT and OT Asset Security as an Element of the Cybersecurity Architecture
C2M2: MIL1
ARCHITECTURE-4: Implement Software Security as an Element of the Cybersecurity Architecture
C2M2: MIL1
ARCHITECTURE-2: Implement Network Protections as an Element of the Cybersecurity Architecture
C2M2: MIL1
ARCHITECTURE-5: Implement Data Security as an Element of the Cybersecurity Architecture
C2M2: MIL1
1. Tehtävän vaatimuskuvaus

Organisaatiolla on oltava strategia kyberturvallisuusarkkitehtuurin kehittämiselle ja ylläpidolle.

Strategian on sovittava yhteen organisaation kyberturvallisuusohjelman ja organisaation arkkitehtuurin kanssa.

Arkkitehtuuriin on sisällytettävä:

  • Tietoverkkojen turvallisuustoimet
  • Tieto-omaisuuden suojaaminen
  • Sovellusturvallisuus
  • Tietosuojan toteuttaminen
No items found.

Liity Akatemian postituslistalle tänään

Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.

Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.

Tutustu tiimiimme

Tiimillämme on vankka osaaminen tietourvasta, ohjelmistokehityksestä, tietosuojasta sekä compliancesta.

Lähde mukaan kumppaniksi? 

Kumppanoidumme mielellään muiden alan osaajien kanssa. Varaa palaveri, niin keskustellaan asiasta lisää.
Aiheet
Työskentely kumppanina
Dokumentointi
Tiimin yhteistyö
Asetukset & advanced
Yhteisö
Näytä kaikki
Webinarit
Intro NIS2-direktiiviin, Kyberturvallisuuslakiin sekä Digiturvamalli-työkaluun
ISO 27001: Rakenna digiturvasuunnitelma, joka täyttää standardin vaatimukset
Näytä kaikki
Videot
Luo tehokas tietoturvariskien hallinnan toimintamalli
NIS2:n yleisesittely
Automatisoi henkilöstön tietoturvaohjeistus Teamsissa
GDPR & ISO 27701:n hyvät käytännöt
Oman ISMS:n jatkuva parantaminen
Näytä kaikki
Ohjeet
Dokumentaatio
Vaatimuskehikot
Tehtävien hallinta
Asennus ja integraatiot
Kumppaneille
Näytä kaikki
Blogit
DORA: Esittely, soveltamisala ja keskeiset vaatimukset
Cyberday mukana Cyber Security Nordicissa 2024!
Vaatimustenmukaisuudesta yhteistyöhön: Miten NIS2 kannustaa vahvempaan toimitusketjun tietoturvayhteistyöhön?
Agendium Oy on nyt Cyberday Oy!
10 vaatimustenmukaisuuden sudenkuoppaa ja miten välttää niitä
Näytä kaikki
Sisältökirjasto
Avaa sisältökirjastoLabs
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.