Seuraava webinaari
"
Digiturvamallin pääkäyttäjäkoulutus
"
alkaa
00
pv
pv
00
h
h
00
min
päästä  
Digiturvamalli

Järjestelmäkovennuksen varmistaminen

Järjestelmillä tarkoitetaan tässä palvelimia, työasemia, verkon aktiivilaitteita (palomuurit, reitittimet, kyktimet, langattomat tukiasemat jne.) ja vastaavia. Koventamisella puolestaan tarkoitetaan järjestelmän asetusten muuttamista siten, että järjestelmän haavoittuvuuspinta-alaa saadaan pienennettyä.

Organisaatio on määritellyt toimintatavat, joiden avulla:

  • Käyttöön otetaan vain käyttövaatimusten ja tietojen käsittelyn kannalta olennaiset toiminnot, laitteet ja palvelut.
  • Käytössä on menettelytapa, jolla järjestelmät asennetaan järjestelmällisesti siten, että lopputuloksena on kovennettu asennus.
  • Kovennettu asennus sisältää vain sellaiset komponentit ja palvelut, sekä käyttäjien ja prosessien oikeudet, jotka ovat välttämättömiä toimintavaatimusten täyttämiseksi ja turvallisuuden varmistamiseksi. 

Tehtävään liittyvät Digiturvamallin ominaisuudet

Näytä vaatimustenmukaisuus raporttikirjaston avulla

Digiturvamalli sisältää raporttikirjaston, josta löytyvät omat raporttipohjat jokaiselle vaatimuskehikolle.

Olipa kuulijana oma johto, viranomainen, auditoija tai asiakas, saat tarvittavan raportin muodostettua yhdellä klikkauksella.

Lue lisää raportoinnista

Vastuuta tehtävät ja kuvaa oma toteutus

Tehtävälistat sisältävät digiturvan ydinasiat. Päätä, mitkä tehtävät teillä hoidetaan ja kuka vastaa. Näet vaaditut tehtävät suoraan valitun vaatimuskehikon perusteella, ja voit halutessasi täydentää listaa omilla.

Lue lisää tietoturvatehtävistä

Jakele ohjeet automaattisesti ja valvo lukemista

Kohdista ohjeet kaikilla tai vain relevanteille yksiköille. Saat ehdotuksia suoraan valitun vaatimuskehikon perusteella ja voit lisätä omat ohjeenne.

Työntekijöille ohjeet jaellaan Teams-botin kautta. Botti ei myöskään anna lukemisen unohtua.

Lue lisää tietoturvaohjeista

Dokumentoi esimerkkien ja älykkäiden pohjien avulla

Digiturvamalli sisältää älykkäät mallipohjat mm. järjestelmien, henkilötietojen ja riskien dokumentointiin. Et turhaan kirjoita tai piirrä, vaan klikkailet linkittäen tietoja, jolloin automaattinen raportointi mahdollistuu.

Lue lisää dokumentoinnista

Tehtävään liittyvät vaatimukset eri vaatimuskehikoista

Saman teeman muita tehtäviä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

Hallintayhteydet (ST IV-II)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Hallintayhteyksien suojauskessa huomioidaan, miltä osin hallintayhteyden kautta pystytään vaarantamaan salassa pidettävät tiedot. Useimmat hallintayhteystavat mahdollistavat pääsyn salassa pidettävään tietoon joko suoraan (esim. tietokantaylläpito pääsee yleensä tarvittaessa tietokannan sisältöön) tai epäsuoraan (esim. verkkolaiteylläpito pystyy yleensä muuttamaan tietojärjestelmää suojaavia palomuurisääntöjä).

Kun hallintayhteys mahdollistaa suoran tai epäsuoran pääsyn salassa pidettävään tietoon, tulisi hallintayhteys ja siihen käytettävät päätelaitteet rajata lähtökohtaisesti samalle suojaustasolle kuin tietojenkäsittely-ympäristökin. Laitteilla tarkoitetaan tässä järjestelmiä, joihin pitäisi olla hallintaoikeudet vain ylläpitäjillä tai vastaavilla. Tällaisia ovat tyypillisesti esimerkiksi palomuurit, reitittimet, kytkimet, langattomat tukiasemat, palvelimet, työasemat, ILO-hallintaliittymät ja Blade-runkojen hallintaliittymät.

Hallintayhteyksien suojaamiseksi:

  • Tietojenkäsittely-ympäristöön ei ole yhteenliitäntää hallintayhteyksille muiden suojaustasojen ympäristöistä ilman viranomaisen ko. suojaustasoille hyväksymää yhdyskäytäväratkaisua
  • Ko. suojaustason hallintatyöasema kytketään laitteeseen vain viranomaisen ko. suojaustasolle hyväksymän salausratkaisun kautta tilanteissa, joissa hallintaliikenne kulkee matalamman suojaustason ympäristön kautta
  • Tilanteissa, joissa hallintaliikenne kulkee ko. suojaustason sisällä
  • a) ko. suojaustason hallintatyöasema kytketään laitteeseen/liittymään fyysisesti (esim. konsolikaapeli), tai
  • b) ko. suojaustason hallintayhteyden liikennekanava on muuten luotettavasti fyysisesti suojattu (esim. teknisesti suojatun turva-alueen sisäiset kaapeloinnit), tai
  • c) ko. suojaustason hallintatyöasema kytketään laitteeseen/liittymään matalamman tason salauksella (esim. SSH, HTTPS, SCP) suojatulla yhteydellä
  • Laitteisiin/liittymiin sallitaan hallintayhteydenotot vähimpien oikeuksien periaatteen mukaisesti vain hyväksytyistä lähteistä

Suodatus- ja valvontajärjestelmien hallinnointi (ST IV-II)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Liikenteen suodatus- ja valvontajärjestelmiä ovat esimerkiksi palomuurit, reitittimet, tunkeutumisia havaitsevat tai estävät järjestelmät (IDS/IPS) sekä vastaavia toiminnallisuuksia sisältävät verkkolaitteet/palvelimet/sovellukset.

Suodatuksen ja valvonnan toiminnan varmistamiseksi:

  • Järjestelmille on nimetty omistaja, joka huolehtii järjestelmän tarkoituksenmukaisesta toiminnasta huolehditaan koko tietojenkäsittely-ympäristön elinkaaren ajan
  • Liikennettä suodattavien tai valvovien järjestelmien asetusten lisääminen, muuttaminen ja poistaminen on vastuutettu järjestelmän omistajalle
  • Verkon ja siihen liittyvien suodatus- ja valvontajärjestelmien dokumentaatiota ylläpidetään sen elinkaaren aikana erottamattomana osana muutosten ja asetusten hallintaprosessia
  • Järjestelmien asetukset ja haluttu toiminta tarkastetaan määräajoin tietojenkäsittely-ympäristön toiminnan ja huollon aikana sekä poikkeuksellisten tilanteiden ilmetessä

Tietoliikenneverkon vyöhykkeistäminen ja suodatuskäytännöt suojaustason sisällä (ST IV-II)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Seuraavilla hallintakeinoilla pyritään varmistamaan, että verkoissa käsiteltävät tiedot ja niihin liittyvät palvelut on suojattu luvattomalta pääsyltä:

  • Tietoliikenneverkko on jaettu ko. suojaustason sisällä erillisiin verkko-alueisiin (vyöhykkeet, segmentit)
  • Verkko-alueiden välistä liikennettä valvotaan ja rajoitetaan siten, että vain erikseen hyväksytty, toiminnalle välttämätön liikennöinti sallitaan (default-deny)
  • Tietojenkäsittely-ympäristössä on varauduttu yleisiin verkkohyökkäyksiin

Verkon jakaminen suojaustason sisällä erillisiin verkko-alueisiin voidaan toteuttaa esim. hankekohtaisena työasema- ja palvelinerotteluna. Yleisiin verkkohyökkäyksiin varautumiseen sisältyy esimerkiksi vain tarpeellisten toiminnallisuuksien pitäminen päällä. 

Verkon rakenteellinen turvallisuus (ST III-II)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Käsiteltäessä viranomaisen suojaustason III tai II salassapidettävää tietoa, toteutetaan tietojenkäsittely-ympäristön verkolle seuraavat toimenpiteet:

  • Tietojenkäsittely-ympäristö on erotettu muista ympäristöistä
  • Hallitun fyysisen turva-alueen ulkopuolelle menevä liikenne salataan viranomaisen ko. suojaustasolle hyväksymällä salausratkaisulla
  • Tietojenkäsittely-ympäristön kytkeminen muiden suojaustasojen ympäristöihin edellyttää viranomaisen ko. suojaustasolle hyväksymän yhdyskäytäväratkaisun käyttöä

Verkon rakenteellinen turvallisuus (ST IV)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Käsiteltäessä viranomaisen suojaustason IV salassapidettävää tietoa, toteutetaan tietojenkäsittely-ympäristön verkolle seuraavat toimenpiteet:

  • Tietojenkäsittely-ympäristö erotetaan muista ympäristöistä
  • Kytkettäessä tietojenkäsittely-ympäristö muiden suojaustasojen ympäristöihin käytetään vähintään palomuuriratkaisua
  • Hallitun fyysisen turva-alueen ulkopuolelle menevä liikenne salataan viranomaisen ko. suojaustasolle hyväksymällä salausratkaisulla

Päätelaitteiden tekninen tunnistaminen ennen verkkoon pääsyä (ST III-II)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Päätelaitteet tunnistetaan teknisesti (laitetunnistus, 802.1X, tai vastaava menettely) ennen pääsyn sallimista verkkoon tai palveluun, ellei verkkoon kytkeytymistä ole fyysisen turvallisuuden menetelmin rajattu suppeaksi (esim. palvelimen sijoittaminen lukittuun laitekaappiin teknisesti suojatun viranomaisen ko. suojaustasolle hyväksymän turva-alueen sisällä).

Verkkolaitteiden vastuun määrittäminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Eri verkkolaitteille on määritetty omistajat, joiden vastuulla on varmistaa, että verkoissa käsiteltävät tiedot ja niihin liittyvät palvelut on suojattu luvattomalta pääsyltä. Vastuu verkkolaitteista on tarvittaessa erotettava muista liittyvistä vastuista.

Langattoman verkon suojaaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Langattoman verkon käyttö on suojattu riittävillä avaimilla ja yhteysliikenne verkon reitittimeen on salattu. Vieraskäyttöön tarkoitettu langaton verkko on eristetty yrityksen omasta sisäisestä verkosta.

Verkon käyttöloki ja prosessi asiattoman verkkoliikenteen havaitsemiseen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Verkon käytöstä syntyy asianmukaista lokia, jotta mahdollistetaan tietoturvallisuuden kannalta olennaisten toimenpiteiden havaitseminen.

Verkkoliikenteen normaali tila (liikennemäärät, protokollat ja yhteydet) on tiedossa. Poikkeamien havaitsemiseksi on olemassa menettely, jolla verkkoliikenteen normaaliin tilaan nähden eroavat tapahtumat (esimerkiksi poikkeavat yhteydet tai niiden yritykset) pyritään havaitsemaan.

Verkkoalueet ja verkon rakenteellisesti turvallinen suunnittelu

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation verkoille on määritelty omistaja. Omistaja vastaa verkon rakenteen suunnittelusta ja sen dokumentoinnista.

Verkon suunnittelussa käytetään tarpeen mukaan erillisiä verkkoalueita. Verkkoalueet voivat olla määritelty mm.:

  • luottamustason (esim. julkinen, työasemat, palvelin)
  • organisaatioyksiköiden (esim. HR, taloushallinto)
  • tai jonkin yhdistelmän mukaan (esim. palvelimen verkkoalue, joka on yhdistetty useisiin organisaatioyksiköihin)

Eriyttäminen voidaan toteuttaa joko fyysisesti erillisillä verkoilla tai loogisesti erillisillä verkoilla.

Palomuurisuojaus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Palomuuri on ohjelmisto, joka hallinnoi yhteyksiä verkkojen (sisäiten tai ulkoisten) tai verkkosovellusten välillä. Palomuuri voidaan asettaa hyväksymään, estämään tai suodattamaan yhteksiä tiettyjen kriteerien perusteella.

Organisaation käyttämät tietojärjestelmät, niiden käyttöympäristöt sekä ulkoiset liityntäpisteet on suojattu joko tilallisella palomuurilla tai sovelluspalomuurilla.

Oletko valmis aloittamaan?

Aloita kokeilu tai varaa demo.