Poikkeamien havainnointikyky ja toipuminen

Kaikki tietoturvahäiriöt käsitellään johdonmukaisesti, jotta tietoturvaa voidaan parantaa tapahtuneen perusteella.

Häiriöiden käsittelyprosessissa:

• vahvistetaan raportoitu häiriö (tai todetaan tarpeettomaksi kirjata ylös)
• dokumentoidaan häiriön tyyppi ja syy
• dokumentoidaan häiriöön liittyneet riskit
• käsitellään riskit, mikäli häiriön perusteella niiden käsittelyä täytyy päivittää
• määritellään ja dokumentoidaan toimenpiteet riskien pienentämiseksi tai päätös niiden hyväksymisestä
• määritellään tahot, joille on tärkeää tiedottaa käsittelyn tuloksista (myös organisaation ulkopuoliset)
• määritetään tarve häiriön jälkianalyysille

Häiriöiden ilmoittamiseen ylläpidetään prosessia, joka auttaa henkilöstöä ilmoittamaan häiriöistä tehokkaasti ja johdonmukaisesti.

Häiriönä ilmoitettavia asioita ovat mm.:

• luvaton pääsy tietoihin / tiloihin
• tietoturvaohjeiden vastainen toiminta
• epäilty tietoturvaongelma (esim. tietojenkalastelu, haittaohjelmatartunta)
• tietojärjestelmän käyttökatko
• tietojen tuhoutuminen / muuttuminen vahingossa tai tahallaan
• kadonnut tai varastettu laite
• vaarantunut salasana
• kadonnut fyysinen tunniste (esim. avaimenperä, älykortti, älytarra)
• epäilty tietoturvaheikkous (esim. käytetyssä tietojärjestelmässä tai muissa toimintatavoissa)

Henkilöstön ohjeissa korostetaan velvollisuutta raportoida tietoturvahäiriöistä mahdollisimman pian sovitun prosessin mukaisesti. Ohjeistus kuvaa myös muun toiminnan häiriön tapauksessa (mm. virheilmoitusten ja muiden yksityiskohtien kirjaaminen ylös).

Verkon käytöstä syntyy asianmukaista lokia, jotta mahdollistetaan tietoturvallisuuden kannalta olennaisten toimenpiteiden havaitseminen.

Verkkoliikenteen normaali tila (liikennemäärät, protokollat ja yhteydet) on tiedossa. Poikkeamien havaitsemiseksi on olemassa menettely, jolla verkkoliikenteen normaaliin tilaan nähden eroavat tapahtumat (esimerkiksi poikkeavat yhteydet tai niiden yritykset) pyritään havaitsemaan.

Havaitsemisprosesseja ja menettelyjä ylläpidetään ja testataan, jotta varmistetaan tietoisuus poikkeavista tapahtumista. Havaitsemistoimien täytyy sopia kaikkiin asiaan liittyviin vaatimuksiin.

Organisaation on määriteltävä, millaisia tietoturvatapahtumia se seuraa ja millä toimintatavoilla.

Tietoturvatapahtumia tulisi seurata useista eri lähteistä, joiden avulla tärkeä, reagointia vaativat mahdolliset häiriöt voidaan tunnistaa. Tietoa voidaan saada mm. suoraan hallintajärjestelmästä, ulkoisilta kumppaneilta tai organisaation laitteiden tuottamista lokeista.

Esimerkkejä seurattavista tietoturvatapahtumista voivat olla mm.:

1. Palvelimen hidas toiminta
2. Toistuvat kirjautumisvirheet
3. Tuntemattomat kirjautumisyritykset
4. Poikkeuksellinen verkkoliikenne
5. Tallennustilan loppuminen
6. Muutokset koodiprojekteissa
7. Konfiguraatiomuutokset palomuurilla
8. Käyttöoikeusmuutokset kriittisiin järjestelmiin / palvelimiin / tietokantoihin
9. Isot tietokantalataukset
10. Luvattomat ohjelmistoasennukset päätelaitteille
11. Liikenne haitalliseksi tiedetyistä IP-osoitteista