Firewalls shall be installed and operated on the network boundaries and completed with firewall protection on the endpoints.
Guidance
- Endpoints include desktops, laptops, servers...
- Consider, where feasible, including smart phones and other networked devices when installing and
operating firewalls.
- Consider limiting the number of interconnection gateways to the Internet.
The organization shall monitor and identify unauthorized use of its business-critical systems
through the detection of unauthorized local connections, network connections and remote connections.
Guidance
- Monitoring of network communications should happen at the external boundary of the
organization's business critical systems and at key internal boundaries within the systems.
- When hosting internet facing applications the implementation of a web application firewall (WAF)
should be considered.
The organization shall conduct ongoing security status monitoring of its network to detect
defined information/cybersecurity events and indicators of potential information/cybersecurity events.
Guidance
Security status monitoring should include:
- The generation of system alerts when indications of compromise or potential compromise occur.
- Detection and reporting of atypical usage of organization's critical systems.
- The establishment of audit records for defined information/cybersecurity events.
- Boosting system monitoring activity whenever there is an indication of increased risk.
- Physical environment, personnel, and service provider.
The physical environment of the facility shall be monitored for potential
information/cybersecurity events.
Eri verkkolaitteille on määritetty omistajat, joiden vastuulla on varmistaa, että verkoissa käsiteltävät tiedot ja niihin liittyvät palvelut on suojattu luvattomalta pääsyltä. Vastuu verkkolaitteista on tarvittaessa erotettava muista liittyvistä vastuista.
Kriittisten verkkopalvelujen tarvitsemat turvajärjestelyt, kuten turvallisuusominaisuudet, palvelutasot ja hallintavaatimukset, on huolellisesti määritelty ennakkoon. Verkkopalveluja ovat mm. liitännät, verkot ja verkon turvallisuusratkaisut (esim. palomuurit).
Verkkopalvelujen turvallisuusominaisuudet voivat olla mm. seuraavanlaisia:
Verkon käytöstä syntyy asianmukaista lokia, jotta mahdollistetaan tietoturvallisuuden kannalta olennaisten toimenpiteiden havaitseminen.
Verkkoliikenteen normaali tila (liikennemäärät, protokollat ja yhteydet) on tiedossa. Poikkeamien havaitsemiseksi on olemassa menettely, jolla verkkoliikenteen normaaliin tilaan nähden eroavat tapahtumat (esimerkiksi poikkeavat yhteydet tai niiden yritykset) pyritään havaitsemaan.
Organisaation kaikkien päätelaitteiden suojana tulisi olla oikein konfiguroitu ohjelmistopalomuuri, joka tarkkailee liikennettä, hyväksyy säännöt täyttävän liikenteen sekä toteuttaa käyttäjien valvontaa.
Palomuuri suojaa haittaohjelmilta ja hyökkäyksiltä, jotka tulevat organisaation verkon sisä- tai ulkopuolelta.
Organisaation on vaihdettava oletusalasana, jolla kirjaudutaan palomuurien hallintajärjestelmään, johonkin vaikeasti arvattavaan salasanaan. Vaihtoehtoisesti organisaatio voi estää etäyhteyden hallittaviin järjestelmiin.
Organisaation on estettävä pääsy palomuurien hallintajärjestelmään internetistä, ellei ole selkeätä, hyvin dokumentoitua ja liiketoiminnan kannalta pakottavaa syytä siihen. Tässä tilanteessa järjestelmä tulee olla suojattu vähintään monivaiheisella tunnistautumisella - tai sallittujen IP-osoitteiden listaalla, jossa vain välttämättömät ja luotetut IP-osoitteet.
Pääsyä kriittisiä järjestelmiä sisältäviin rakennuksiin tulee valvoa jatkuvasti luvattoman pääsyn tai epäilyttävän toiminnan havaitsemiseksi. Valvontakäytännöissä tulisi huomioida seuraavat asiat:
Valvontajärjestelmiin liittyvien tietojen tulee olla luottamuksellisia, koska tietojen paljastaminen voi helpottaa havaitsemattomia murtoja. Valvontajärjestelmät itsessään tulee myös suojata asiallisesti, jottei tallenteisiin tai järjestelmän tilaan pääse vaikuttamaan luvatta.
Organisaation tietojärjestelmiä ja verkkoa on valvottava poikkeavan käytön havaitsemiksi. Kun poikkeavaa käyttöä havaitaan, organisaation on ryhdyttävä tarvittaviin toimenpiteisiin arvioidakseen tietoturvahäiriön mahdollisuuden.
Valvonnassa tulisi hyödyntää työkaluja, jotka mahdollistavat reaaliaikaisen tai säännöllisen valvonnan organisaation tarvetason huomioiden. Valvontakäytännöillä tulisi pystyä hallitsemaan suuria määriä dataa, mukautumaan muuttuvaan uhkaympäristöön sekä lähettää tarvittaessa hälytyksiä välittömästi.
Seuraavien lähteiden sisällyttämistä valvontajärjestelmään on harkittava:
Organisaation on myös luotava toimintatavat "false positive" tulosten tunnistamiseksi ja korjaamiseksi, mukaan lukien valvontaohjelmiston virittäminen tarkempaa poikkeavuuksien tunnistamista varten.
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
