Data, system and network security

Valitaan ja asennetaan haittaohjelmien havaitsemis- ja korjausohjelmat keskitetysti ja päivitetään ne säännöllisesti tietokoneiden ja tietovälineiden ennaltaehkäisevää tai säännöllistä tutkimista varten.

Ohjelmien tulisi tarkastaa ainakin seuraavat asiat:

• verkon tai tallennusvälineen kautta saapuneet tiedostot tarkistetaan haittaohjelmien varalta ennen käyttöä
• sähköpostiliitteet ja ladatut tiedostot tarkistetaan haittaohjelmien varalta ennen käyttöä
• verkkosivustot tarkistetaan haittaohjelmien varalta

Organisaatio suojaa julkisten tai yksityisten verkkojen kautta siirrettyjä tietoja kolmansien osapuolten lukemiselta tai manipuloinnilta:

• tunnistanut ja dokumentoinut tiedonsiirtoon käytettävät verkkopalvelut.
• Määrittänyt verkkopalvelujen käyttöä koskevat käytännöt ja menettelyt luokitusvaatimusten mukaisesti.
• Toteuttanut toimenpiteitä, joilla suojataan tosiasiallisesti siirrettyjä tietoja luvattomalta käytöltä.

Kyberrikolliset voivat hyödyntää konfigurointivirheitä tai teknisiä haavoittuvuuksia sovelluksissa, palomuureissa tai verkoissa päästäkseen käsiksi tietoihimme.

Organisaation on käytettävä defense-in-depth -tekniikoita verkkohyökkäyksiltä suojautumiseen, niiden havaitsemiseen sekä niihin vastaamiseen. Tekniikoiden pitäisi soveltua niin fyysisten, loogisten kuin hallinnollisten kontrollien valvontaan.

Kannettavat tietokoneet on suojattu full-disk -salauksella.

The organization should have measures to ensure that teleworking and use of private endpoint devices are secured enough to not cause an impact to the organizations critical activities.

The organization must have process to securely delete data that in longer needs either on premises or data that is stored externally.

There also must be a secure process to dispose and decommission data storage devices, on-premises or external, that contain confidential information.

Implementing data deletion policies and using certified data erasure tools can enhance data security and compliance.

Pääsynvalvonnan toteuttaminen palveluihin käyttäjien ja laitteiden tuntemuksen perusteella.

Esimerkiksi, jos käyttäjä kirjautuu sisään hallitsemattomalla laitteella (organisaatio luottaa käyttäjään, mutta ei hallitse laitetta), hän saa pääsyn harvempiin palveluihin kuin jos käyttäjä kirjautuisi sisään organisaation hallinnoimalla laitteella (organisaatio tuntee sekä käyttäjän että laitteen).

Organisaatiolla on oltava toimenpiteitä, joilla varmistetaan oikea tiedonsiirto ja osoitteet.

Sähköisessä tiedonvaihdossa on käytettävä siirrettävien tietojen luokitteluun soveltuvaa sisältö- tai siirtosalausta.

Organisaation on otettava käyttöön käytäntöjä ja menettelytapoja, jotta palveluista ulos tuleva tieto on kokonaista ja oikea-aikaista. Menettelytavoissa on otettava huomioon:

• Ulos tulevan tiedon suojaaminen, säilytettäessä tai siirrettäessä, varkaudelta, tuhoutumiselta, muokkaamiselta tai muulta tiedon eheyteen vaikuttavalta tapahtumalta
• Ulos tuleva tieto jaetaan vain tarkoitetuille kohteille
• Ulos tulevan tiedon lokitus

Siirrettävä data täytyy suojata käyttämällä kryptografisia menetelmiä. Siirrettävän datan luottamuksellisuuden ja eheyden suojaaminen koskee sisäisiä ja ulkoisia verkko sekä kaikkia järjestelmiä, jotka voivat siirtää tietoa. Näitä ovat esimerkiksi:

• Palvelimet
• Tietokoneet
• Mobiililaitteet
• Tulostimet

Siirrettävä data voidaan suojata fyysisin tai loogisin keinoin.

• Fyysinen suojaus saadaan suojatusta jakelujärjestelmästä esimerkiksi valokuitulinjasta, jossa on riittävä suojaus estämään esimerkiksi sähkömagneettista vuotoa ja kontrollit estämään sen luvaton käyttö.
• Looginen suojaus saavutetaan tietoliikenteen vahvalla salaamisella.

Sopivien laitteiden ja säilytystilojen järjestäminen etätyötä varten, jos henkilökohtaisten laitteiden käyttö organisaation valvonnan ulkopuolella ei ole sallittua.

Jos käytetään henkilökohtaisia laitteita, organisaation olisi käytettävä erillisiä profiileja (esim. Apple® Configuration Profile tai AndroidTM Work Profile), jotta työtiedot ja -sovellukset voidaan erottaa henkilökohtaisista tiedoista ja sovelluksista.

Päätelaitteiden tietoturvanhallintajärjestelmän avulla voidaan vaatia päätelaitteilta haluttuja kriteerejä, ennen kuin niille sallitaan yhteys verkon resursseihin. Päätelaitteet voivat olla kannettavia tietokoneita, älypuhelimia, tabletteja tai alakohtaista erikoislaitteistoa.

Kriteerejä verkkoresurssien käytölle voivat olla mm. hyväksytty käyttöjärjestelmä, VPN- ja antivirus-järjestelmät sekä näiden päivitysten ajantasaisuus.

Luottamuksellisen tiedon varastoimista siirrettävissä tietovälineissä pyritään välttämään. Kun siirrettäviä tietovälineitä käytetään luottamuksellisen tiedon siirtämiseen, käytetään asiallista suojausta (esim. koko levyn salausta pre-boot autentikoinnilla).

Työkäyttöön tarkoitetuiksi älypuhelimiksi ja tableteiksi valitaan laitteita, jotka tukevat full-device -salausta ja salaukset asetetaan päälle.

Tehdessään etätyötä työntekijän on noudatettava seuraavia asioita:

• etätyötä saa suoritettaa vain tiloissa, joissa salakuuntelu ja salakatselu ei ole mahdollista
• etätyöstä tulee olla sovittu ennalta (esim. kertaluonteisesti tai työsopimuksessa joustavan työn järjestelyllä) tai etätyön tulee olla työnantajan pyytämää
• työntekijän tulee huolehtia vaaditut suojaukset etätyössä tehtäviin laitteisiin (esim. varmuuskopiointi, haittaohjelmasuojaus, palomuuri, salaus, päivitykset)

Organisaatio pitää kirjaa tietojärjestelmän liittymistä muihin tietojärjestelmiin sekä liittymissä käytettävistä tiedonsiirtotavoista.

Dokumentaatio liittymien suhteen on katselmoitava säännöllisesti sekä järjestelmiin tehtävien muutosten jälkeen.

DLP-järjestelmällä pyritään estämään sensitiivisten tietojen häviämistä tai vuotamista. Järjestelmän avulla voidaan estää ei-haluttuja toimia valvomalla, havaitsemalla ja estämällä sensitiivisen datan käsittely ilman haluttujen ehtojen täyttymistä. Estämistä voidaan tehdä käytön aikana (in-use, päätelaitteiden toimenpiteet), liikkeessä (in-transit, verkkoliikenne) tai tallennuspaikoissa (at-rest).