Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

1.3.1
TISAX

TISAX: Information security

21.2.i (assets)
NIS2

NIS2-direktiivi

25
Kokonaiskuva (DVV)

Digiturvan kokonaiskuvapalvelu (DVV)

3.1.3
TISAX

TISAX: Information security

5.2.7
TISAX

TISAX: Information security

5.9
ISO27k1 Täysi

ISO 27001 (2022): Täysi

8.1.1
ISO27 Täysi

ISO 27001 (2013): Täysi

8.1.2
ISO27 Täysi

ISO 27001 (2013): Täysi

8.20
ISO27k1 Täysi

ISO 27001 (2022): Täysi

9.12 §
KyberTL

Kyberturvallisuuslaki (NIS2)

9.5 §
KyberTL

Kyberturvallisuuslaki (NIS2)

ASSET-1
C2M2: MIL1

C2M2: MIL1

Article 8
DORA

Digital Operational Resilience Act (DORA)

CC6.1a
SOC 2

SOC 2 (järjestelmät ja organisaation hallintakeinot)

HAL-04
Julkri

Julkri: TL IV-I

HAL-04.1
Julkri

Julkri: TL IV-I

ID.AM-1
NIST

NIST Cybersecurity Framework

ID.AM-1
CyFun

CyberFundamentals (Belgia)

ID.AM-2
NIST

NIST Cybersecurity Framework

Muita saman teeman digiturvatehtäviä

Muun suojattavan omaisuuden dokumentointi

Critical
High
Normal
Low

Organisaation on lueteltava kaikki asiaankuuluvat suojatut omaisuuserät omistusoikeuden määrittämiseksi ja sen varmistamiseksi, että turvatoimenpiteet kattavat kaikki tarvittavat kohteet.

Suuri osa suojatusta omaisuudesta (mukaan lukien tietojoukot, tietojärjestelmät, henkilöstö/yksiköt ja kumppanit) käsitellään muiden tehtävien kautta. Lisäksi organisaation on lueteltava muut tärkeät omaisuuserät, joita voivat olla toiminnan luonteesta riippuen esimerkiksi laitteisto (palvelimet, verkkolaitteet, työasemat, tulostimet) tai infrastruktuuri (kiinteistöt, sähköntuotanto, ilmastointi). Lisäksi organisaation on varmistettava, että asiaankuuluvat ulkoiset laitteet dokumentoidaan.

8.1.1: Suojattavan omaisuuden luetteloiminen
ISO27 Täysi
8.1.2: Suojattavan omaisuuden omistajuus
ISO27 Täysi
ID.AM-1: Physical device inventory
NIST
ID.AM-2: Software and app inventory
NIST
HAL-04: Suojattavat kohteet
Julkri

Laitteiston turvallinen ja harkittu sijoittaminen

Critical
High
Normal
Low

Esimerkiksi tietojenkäsittelyyn käytettävät, sekä muut tärkeät laitteistot, olisi asetettava tiloihin turvallisesti ja harkitusti. Sijoittelun avulla tulee rajoittaa luvatonta pääsyä laitteille.

Toiminnan jatkuvuuden hallinta
Katakri
F08: Toiminnan jatkuvuuden varmistaminen
Katakri
11.1.3: Toimistojen, tilojen ja laitteistojen suojaus
ISO27 Täysi
11.2.1: Laitteiden sijoitus ja suojaus
ISO27 Täysi
11.1.4: Suojaus ulkoisia ja ympäristön aiheuttamia uhkia vastaan
ISO27 Täysi

Laitteiston asiallisen huollon varmistaminen

Critical
High
Normal
Low

Laitteistoja olisi huollettava toimittajan suosittelemin aikavälein sekä toimittajan antamia määrittelyjä noudattaen.

F04: Kulkuoikeuksien hallinta
Katakri
11.2.4: Laitteiden huolto
ISO27 Täysi
PR.MA-1: Asset management and repair
NIST
7.13: Laitteiden huolto
ISO27k1 Täysi
A1.2: Recovery of infrastructure according to objectives
SOC 2

Peruspalvelujen testaus, vikasietoisuuden arviointi ja varmistus

Critical
High
Normal
Low

Peruspalvelujen (kuten sähkön, tietoliikenteen, vedenjakelun, viemäröinnin, lämmityksen, tuuletuksen ja ilmastoinnin) toimintaa seurataan, jotta voidaan varmistaa, että niiden kapasiteetti kattavan liiketoiminnan kasvun.

Toiminnan jatkuvuuden hallinta
Katakri
F08: Toiminnan jatkuvuuden varmistaminen
Katakri
11.2.2: Peruspalvelut
ISO27 Täysi
11.1.4: Suojaus ulkoisia ja ympäristön aiheuttamia uhkia vastaan
ISO27 Täysi
PR.IP-5: Physical operating environment
NIST

Datakeskukseen yhdistettävän laitteiston tunnistaminen

Critical
High
Normal
Low

Organisaation on käytettävä laitteiston yksilöllistä tunnistamista yhteyden vahvistamiskeinona.

Kun tarpeellista, organisaation tulisi käyttää sijaintitietoisia tekniikoita todennuksen eheyden vahvistamiseksi tunnettujen laitesijaintien perusteella.

Laitteistojen suojaus luvattomia laitteita vastaan (TL II)

Critical
High
Normal
Low

Laitteistot suojataan luvattomien laitteiden (näppäilynauhoittimet, langattomat lähettimet ml. mobiililaitteet ja vastaavat) liittämistä vastaan.

TEK-17.4: Muutoshallintamenettelyt - TL II
Julkri
I-16: TURVALLISUUSLUOKITELLUN TIEDON KÄSITTELYYN LIITTYVÄN TIETOJENKÄSITTELY-YMPÄRISTÖN SUOJAUS KOKO ELINKAAREN AJAN – MUUTOSHALLINTAMENETTELYT
Katakri 2020

Järjestelmien peruskokoonpano

Critical
High
Normal
Low

Organisaatiolla on ylläpidetty peruskokoonpanovaatimus tietotekniikkajärjestelmille ja teollisille ohjausjärjestelmille, jossa otetaan huomioon turvallisuusperiaatteet, esimerkiksi vähimmän toiminnallisuuden periaate (concept of least functionality).

PR.IP-1: A baseline configuration of information technology systems
NIST
PR.IP-1: A baseline configuration of information technology/industrial control systems is created and maintained incorporating security principles.
CyFun

Laitteiston eheyden varmistaminen

Critical
High
Normal
Low

Organisaation täytyy varmistaa sen laitteistokomponenttien eheys. Tämä voidaan toteuttaa:

  • Vaikeasti kopioitavilla aitouden todentavilla tarroilla
  • Kehittäjän toimittamilla todennettavilla sarjanumeroilla
  • Vaatimalla peukaoinninestoteknologioiden käyttöä
  • Laitteiston toimitukset sisältävät laitteisto- ja laiteohjelmistopäivitykset


PR.DS-8: Integrity checking (hardware)
NIST
PR.DS-8: Integrity checking mechanisms are used to verify hardware integrity.
CyFun

Varmuuskopiolaitteiden asennus ja resursointi

Critical
High
Normal
Low

Organisaation on asennettava ja ylläpidettävä ICT-ympäristöönsä redundantteja laitteita, joilla voidaan riittävän hvyin varmistaa liiketoiminnan tarpeet. Laitteet tulee asentaa siten, että niillä on tarvittavat resurssit, ominaisuudet ja toiminnot tarvittavien toimintojen suorittamiseen.

Article 12: Backup policies and procedures, restoration and recovery procedures and methods
DORA

Omaisuuden katoamisen, väärinkäytön, vahingoittumisen ja varkauden käsittely

Critical
High
Normal
Low

Organisaation olisi määriteltävä käytännöt, prosessit tai tekniset toimenpiteet organisaation omaisuuden katoamisen, väärinkäytön, vahingoittamisen ja varkauksien varalta. Näihin kuuluu esimerkiksi seuraavat:

  • Raportointiprosessi
  • Ohjeet ja käsikirjat
  • Omaisuuden ja inventaarion seuranta
  • Vakuutus
  • Säännölliset tarkastukset
  • Kulunvalvonta
  • Laitteiden koventaminen
  • Koulutus- ja tiedotusohjelmat
  • Mobiililaitteiden hallinta
  • Tietojen salaus ja suojaus
  • Fyysinen turvallisuus
PR.DS-3: Assets are formally managed throughout removal, transfers, and disposition.
CyFun

Organisaation järjestelmien huoltotyökalujen ja siirrettävien laitteiden turvallinen käyttö

Critical
High
Normal
Low

Organisaatio ottaa käyttöön tiukat valvontatoimet huoltotyökalujen ja kannettavien tallennuslaitteiden käytölle organisaation OT/ICS-ympäristöissä ja valvoo niiden käyttöä. Esimerkkejä toimista:

  • Huoltotyökalujen, kuten diagnostisten testilaitteiden, pakettinuusijoiden ja kannettavien tietokoneiden, hyväksymis- ja valvontaprosessien käyttöönotto.
  • Varmistetaan, että kaikki huoltovälineet ja kannettavat laitteet tarkastetaan laitokseen tullessa ja suojataan haittaohjelmien torjuntaratkaisuilla ennen niiden käyttöä kriittisissä järjestelmissä.
  • Kriittisiä järjestelmätietoja sisältävät laitteet on suojattava ja niiden luvaton poistaminen on estettävä.
PR.MA-1: Maintenance and repair of organizational assets are performed and logged, with approved and controlled tools.
CyFun

Kytkimien fyysinen turvallisuus

Critical
High
Normal
Low

Tunnista fyysinen pääsy kytkimiin. On tärkeää varmistaa, että kytkimet on suojattu asianmukaisesti ja että asiattomat osapuolet eivät pääse niihin käsiksi.

Regular updating and maintenance of hardware

Critical
High
Normal
Low

Organization ensures that all organizational hardware is regularly reviewed for security capabilities and for the need of acquiring patches, updates and or upgrades. Ensure secure handling of hardware during maintenance by restricting access to authorized personnel and implementing controls that prevent tampering or unauthorized access.

In addition plans are defined and implemented for hardware end-of-life, including maintenance support and obsolescence management, ensuring that the outdated hardware does not introduce security risks.

Process for reviewing and approving hardware before deployment

Critical
High
Normal
Low

The organization has a process to review and approve hardware before installation or use. The process includes at least:

  • Verify authenticity: Confirm the authenticity of the hardware, ensuring it comes from trusted and reputable vendors.
  • Assess conformance: Ensure the hardware meets the organization's security standards and technical requirements for use in the specific environment.
  • Check for firmware integrity: Ensure that the hardware’s firmware is genuine, up-to-date, and free from unauthorized modifications.

This process should include special-purpose hardware, such as diagnostic or maintenance tools ensuring they meet security and operational requirements.

Ylijännitesuojien ja keskeytymättömien virtalähteiden (UPS) käyttö

Critical
High
Normal
Low

Ylijännitesuojat estävät virtatason nousujen ja laskujen vahingoittamasta laitteita. Keskeytymättömät virtalähteet (UPS) puolestaan takaavat rajallisen ajan akkuvirtaa, jonka avulla voidaan työskennellä lyhyiden sähkökatkostenkin aikana. Kriittiset laitteet pidetään kiinni UPS:ssä.

Toiminnan jatkuvuuden hallinta
Katakri
F08: Toiminnan jatkuvuuden varmistaminen
Katakri
11.2.2: Peruspalvelut
ISO27 Täysi
PR.IP-5: Physical operating environment
NIST
7.11: Tukipalvelut
ISO27k1 Täysi

Hälytysjärjestelmät laitteiston ympäristöolosuhteille

Critical
High
Normal
Low

Hälytysjärjestelmät valvovat keskeisten ympäristöolosuhteiden (esim. lämpötila ja kosteus) tasoa, jotka voivat vaikuttaa haitallisesti tietojenkäsittelylaitteiden toimintaan. Ympäristössä tulisi olla myös toimiva palohälytysjärjestelmä.

Toiminnan jatkuvuuden hallinta
Katakri
F08: Toiminnan jatkuvuuden varmistaminen
Katakri
11.2.1: Laitteiden sijoitus ja suojaus
ISO27 Täysi
11.2.2: Peruspalvelut
ISO27 Täysi
PR.IP-5: Physical operating environment
NIST

Kaapelien suojaus

Critical
High
Normal
Low

Virta- ja tietoliikennekaaplien, jotka joko liikuttavat tietoa itsessään tai tukevat tiedonsiirtopalveluita, suojataan vahingolta, salakuuntelulta ja häirinnältä.

Kaapeloinnin turvallisuudessa olisi otettava huomioon mm. seuraavat seikat:

  • tietoliikennelinjojen olisi mahdollisuuksien mukaan oltava maanalaisia tai muuten riittävän suojattuja
  • sähkökaapelit olisi eristettävä tietoliikennekaapeleista, jotta vältytään häiriöiltä
  • panssarikaapeleiden, sähkömagneettisen suojauksen tai teknisen haravoinnin käyttö erittäin kriittisissä paikoissa
11.2.3: Kaapeloinnin turvallisuus
ISO27 Täysi
ID.BE-4: Dependencies and critical functions
NIST
7.12: Kaapeloinnin turvallisuus
ISO27k1 Täysi

Salamasuojaus

Critical
High
Normal
Low

Kaikkiin rakennuksiin ja kaikkiin saapuviin voimalinjoihin ja ulkoisiin viestintälinjoihin on asennettu salamasuojaus.

11.2.1: Laitteiden sijoitus ja suojaus
ISO27 Täysi
7.8: Laitteiden sijoitus ja suojaus
ISO27k1 Täysi

Sähkömagneettisen tietovuodon hallinta

Critical
High
Normal
Low

Sähköiset laitteet kuten kaapelit, näyttöpäätteet, kopiokoneet, tabletit ja älypuhelimet vuotavat sähkömagneettista säteilyä, josta on oikealla laitteistolla mahdollista selvittää alkuperäinen lähetetty tieto - vaikkapa syötetty käyttäjätunnus ja salasana.

Toimitilan rakenteissa olevat aukot (ikkunat, ovet, ilmastointi) suojataan, jotta ne eivät päästä säteilyä ulos. Lisäksi luottamuksellista tietoa käsittelevät laitteet sijoitetaan niin, että sähkömagneettisesta vuodosta johtuva tietovuotoriski pidetään mahdollisimman pienenä.

I14: Hajasäteily (TEMPEST)
Katakri
11.1.3: Toimistojen, tilojen ja laitteistojen suojaus
ISO27 Täysi
11.2.1: Laitteiden sijoitus ja suojaus
ISO27 Täysi
PR.DS-2: Data-in-transit
NIST
FYY-01.1: Fyysisen turvallisuuden riskien arviointi - TEMPEST - TL III
Julkri

Laitehuoltolokin ylläpito

Critical
High
Normal
Low

Laitteistolle tehdyt huollot kirjataan lokiin, joka sisältää tiedot mm.:

  • epäillyistä ja sattuneista vioista
  • ehkäisevistä ja korjaavista toimenpiteistä
  • laitteiden tarkistamisesta huollon jälkeen
11.2.4: Laitteiden huolto
ISO27 Täysi
PR.MA-1: Asset management and repair
NIST
7.13: Laitteiden huolto
ISO27k1 Täysi
A1.2: Recovery of infrastructure according to objectives
SOC 2
PR.MA-1: Maintenance and repair of organizational assets are performed and logged, with approved and controlled tools.
CyFun