The financial entities referred to in Article 16(1) of Regulation (EU) 2022/2554 shall, as part of their systems, protocols, and tools, and for all ICT assets:
(a) monitor and manage the lifecycle of all ICT assets;
(b) monitor whether the ICT assets are supported by ICT third-party service providers of financial entities, where applicable;
(c) identify capacity requirements of their ICT assets and measures to maintain and improve the availability and efficiency of ICT systems and prevent ICT capacity shortages before they materialise;
(d) perform automated vulnerability scanning and assessments of ICT assets commensurate to their classification as referred to in Article 30(1) and to the overall risk profile of the ICT asset, and deploy patches to address identified vulnerabilities;
(e) manage the risks related to outdated, unsupported, or legacy ICT assets;
(f) log events related to logical and physical access control, ICT operations, including system and network traffic activities, and ICT change management;
(g) identify and implement measures to monitor and analyse information on anomalous activities and behaviour for critical or important ICT operations;
(h) implement measures to monitor relevant and up-to-date information about cyber threats;
(i) implement measures to identify possible information leakages, malicious code and other security threats, and publicly known vulnerabilities in software and hardware, and check for corresponding new security updates.
For the purposes of point (f), financial entities shall align the level of detail of the logs with their purpose and usage of the ICT asset producing those logs.
Valitaan ja asennetaan haittaohjelmien havaitsemis- ja korjausohjelmat keskitetysti ja päivitetään ne säännöllisesti tietokoneiden ja tietovälineiden ennaltaehkäisevää tai säännöllistä tutkimista varten.
Ohjelmien tulisi tarkastaa ainakin seuraavat asiat:
Organisaation on ylläpidettävä listaa käytetyistä tietojärjestelmistä sekä tietojärjestelmille nimetyistä omistajista. Omistaja vastaa järjestelmän tietojen täydentämisestä sekä mahdollisista muista tietoturvatoimenpiteistä, jotka liittyvät tiiviisti järjestelmään.
Järjestelmiin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:
Organisaatio toteuttaa uhkatiedustelua keräämällä tietoa toimintaansa liittyvistä tietoturvauhkista ja niiltä suojautumisesta. Tavoitteena on kasvattaa tietoisuutta uhkaympäristöstä, jotta omaa suojaustasoa voidaan paremmin arvioida ja riittävät hallintakeinot toteuttaa.
Uhkatiedustelutiedon keräämisessä on huomioitava kaikki kolme tasoa:
Uhkatiedusteluun liittyvien periaatteiden tulisi sisältää:
Vierailijat pääsevät turva-alueille ainoastaan luvan kanssa, asiallisesti tunnistettuina ja heidän pääsyoikeutensa on rajattu ainoastaan tarvittaviin tiloihin. Kaikki vierailut kirjataan vierailijalokiin. Lisäksi henkilöstöä on ohjeistettu turvalliseen toimintaan vierailuihin liittyen.
Viranomaisen on huolehdittava, että sen tietojärjestelmien käytöstä ja niistä tehtävistä tietojen luovutuksista kerätään tarpeelliset lokitiedot, jos tietojärjestelmän käyttö edellyttää tunnistautumista tai muuta kirjautumista. Lokitietojen käyttötarkoituksena on tietojärjestelmissä olevien tietojen käytön ja luovutuksen seuranta sekä tietojärjestelmän teknisten virheiden selvittäminen.
Digiturvamallissa tietojärjestelmän omistaja voi vastata tietojärjestelmän lokitietojen keräämisen tarkastamisesta. Organisaatio dokumentoi lokien sisällön tarkemmin niissä tietojärjestelmissä, joiden teknisestä ylläpidosta se vastaa itse. Muissa tietojärjestelmissä omistaja tarkistaa yhteistyössä järjestelmätoimittajan kanssa, että tarvittavat lokit kertyvät.
Kaikki ulkopuolelta hankitut tuotteet ja palvelut olisi tarkistettava säännöllisesti sen varalta, että ohjelmistoja ja laitteistoja varten tarvitaan korjauksia tai päivityksiä.
Nämä korjaukset tulisi hankkia vain luotetuilta toimittajilta, ja olisi varmistettava, että ylläpidon suorittaa vain hyväksytty toimittajan henkilökunta ja että luvattomat muutokset kielletään.
Näiden tuotteiden ja palveluiden alkuperä, aitous ja eheys on myös vahvistettava ja vaadittava organisaation politiikkojen mukaisesti ja säilytettävä koskemattomana.
Kaikista tietoturvaongelmista tai korjaustarpeista on ilmoitettava viipymättä johtajille ja asianomaisille osapuolille.
Arvioidessaan kriittisiä toimintoja tukeviin ICT-palveluihin liittyviä riskejä tulee ottaa huomioon:
Mitä tulee alihankintaan:
Viranomaisen on varmistettava tietojärjestelmien saatavuus koko niiden elinkaaren ajan. Tämän vuoksi eri tietojärjestelmien saatavuusvaatimukset (etenkin pisin aika, jonka järjestelmä voi olla pois käytöstä, palautusaikatavoite sekä palautuspistetavoite).
Saatavuusvaatimusten toteutuksen tulee huomioida tietojärjestelmältä edellytettävä kuormituksen kesto, vikasietoisuus ja palautumisaika.
Lisäksi tarve saatavuutta suojaaville menettelyille on tunnistettu ja menettelyt on toteutettu kriittisille järjestelmille järjestelmäkohtaisesti räätälöidyillä suojauksilla. Suojauksiin voi sisältyä esimerkiksi keskeisten verkkoyhteyksien, laitteistojen ja sovellusten ajoympäristöjen kahdentamiset.
Organisaatio seuraa tiedotteita käytössä olevien tietojärjestelmien teknisistä haavoittuvuuksista. Kun relevantteja teknisiä haavoittuvuuksia havaitaan, organisaatio ryhtyy toimiin suunnitellun toimintamallin mukaisesti.
Pääsyä kriittisiä järjestelmiä sisältäviin rakennuksiin tulee valvoa jatkuvasti luvattoman pääsyn tai epäilyttävän toiminnan havaitsemiseksi. Valvontakäytännöissä tulisi huomioida seuraavat asiat:
Valvontajärjestelmiin liittyvien tietojen tulee olla luottamuksellisia, koska tietojen paljastaminen voi helpottaa havaitsemattomia murtoja. Valvontajärjestelmät itsessään tulee myös suojata asiallisesti, jottei tallenteisiin tai järjestelmän tilaan pääse vaikuttamaan luvatta.
Organisaatio toteuttaa uhkatiedustelua analysoimalla ja hyödyntämällä kerättyä tietoa toimintaansa liittyvistä tietoturvauhkista ja niiltä suojautumisesta.
Kerätyn uhkatiedustelutiedon analysoinnissa ja hyödyntämisessä on huomioitava seuraavat asiat:
Laitteiden, tietojärjestelmien ja verkkojen nykyiset kokoonpanot dokumentoidaan ja kokoonpanomuutoksista pidetään kirjaa.
Konfiguraatioiden muutoksia on valvottava, ja ne on tehtävä muutostenhallintamenettelyn kautta. Vain valtuutettu henkilöstö saa tehdä muutoksia konfiguraatioihin.
Konfiguraatiotietoihin voi sisältyä esim. seuraavat tiedot:
Organisaation on sallittava ainoastaan ennalta hyväksytyn henkilöstön pääsy turva-alueille.
Kaikkien sisään- ja ulosmenopisteiden on oltava oletuksellisesti estettyjä, dokumentoituja sekä valvottuja pääsynhallintajärjestelmien toimesta.
Kaikesta kulusta turva-alueille on kerryttävä lokia ja organisaation on määriteltävä, kuinka pitkään lokeja säilytetään.
Organisaation on kehitettävä prosessi teknisten haavoittuvuuksien käsittelyn automatisoinnille.
Tietojärjestelmien toiminta voi olla riippuvaista tietyistä avainresursseista, kuten palvelinkapasiteetista, tallennustilasta, tietojenkäsittelykapasiteetista, valvontakapasiteetista tai tietyistä avainhenkilöistä.
Etenkin osalla näistä resursseista voi tietyissä tilanitessa olla pitkät toimitusajat tai korkeat kustannukset, jolloin tuleviin kapasiteettiongelmiin niiden kanssa on kiinnitettävä erityistä huomiota.
Tarkkailemme tärkeimpien järjestelmäresurssien käyttöä ja tunnistamme suuntaukset, turvallisuutta mahdollisesti uhkaavat pullonkaulat ja riippuvuudet tärkeistä henkilöistä.
Organisaatio tekee säännöllisesti haavoittuvuusskannausta, jossa etsitään tietokoneista, työasemista, mobiililaitteista, verkoista tai sovelluksista tunnettuja haavoittuvuuksia. Skannausta on tärkeää tehdä myös merkittävien muutosten jälkeen.
On huomioitava, että haavoittuvaa lähdekoodia voi löytyä niin käyttöjärjestelmäohjelmistoista, palvelinsovelluksista, loppukäyttäjäsovelluksista, kuin esimerkiksi laiteohjelmistotason (firmware) sovelluksista sekä ajureista, BIOS:ista ja erillisistä hallintaliittymistä (esim. iLo, iDrac). Ohjelmistovirheiden lisäksi haavoittuvuuksia aiheutuu konfiguraatiovirheistä ja vanhoista käytänteistä, esimerkiksi vanhentuneiden salausalgoritmien käytöstä.
Riittämätön muutosten hallinta on yleinen syy tietojenkäsittelypalvelujen toiminta- ja turvallisuushäiriöille.
Organisaation on dokumentoitava muutostenhallintaprosessi, jota on noudatettava aina tehtäessä merkittäviä tietoturvallisuuten vaikuttavia muutoksia itse kehitettyihin digipalveluihin tai muihin tietojenkäsittelypalveluihin. Prosessi sisältää vaatimukset mm. seuraaville asioille:
Kriittisiä liiketoimintaprosesseja tukevien järjestelmien ohjelmistot ja aineistosisältö katselmoidaan säännöllisesti haittaohjelmien paikallistamiseksi. Kaikki luvattomat tiedostot ja muutokset tutkitaan muodollisesti.
Organisaatioilla olisi oltava selkeä suunnitelma, jossa esitetään yksityiskohtaisesti, miten käytöstä poistamista hallitaan. Suunnitelmaan olisi sisällyttävä esimerkiksi prosessit ja se, miten uuteen tuotteeseen siirtyminen hoidetaan.
Jos ICT-tuotteessa ei ole viimeisimpiä turvatoimintoja ja -protokollia, sitä ei pitäisi käyttää ja se on poistettava käytöstä asteittain.
Vaiheittainen käytöstä poistaminen olisi suunniteltava etukäteen, ennen kuin palveluntarjoaja lopettaa tuotetuen, jotta voidaan varmistaa uusimpien tietoturvatoimintojen ja -protokollien käyttö. Esimerkiksi joissakin vanhemmissa sovelluksissa saattaa olla uusimmat turvatoiminnot, mutta ne eivät toimi hyvin uudempien hyökkäysten esto työkalujen kanssa. Tässä tilanteessa olisi tehtävä poikkeuksia, jotta suojausta ei poistettaisi kokonaan käytöstä, mutta on tärkeää muistaa, että käytöstä poistamisprosessi on todennäköisesti ajankohtainen lähitulevaisuudessa.
Vaiheittaisen poistamisen jälkeen on tärkeää arvioida prosesseja ja dokumentoida niistä opitut asiat tulevaisuutta varten.
Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.
.png)
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
