Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

9.3 (MIL1)
C2M2

Cybersecurity Capability Maturity Model (C2M2)

9.3 (MIL2)
C2M2

Cybersecurity Capability Maturity Model (C2M2)

Muita saman teeman digiturvatehtäviä

Ohjeistukset henkilöstölle mobiililaitteiden käyttöön liittyen

Critical
High
Normal
Low

Mobiililaitteiden käyttöä varten on luotu omat ohjeistukset henkilöstölle. Ohjeissa käsitellään:

  • rajoituksia ohjelmistojen asentamiselle sekä eri palvelujen käyttämiselle organisaation laitteilla
  • toimintatapoja uusien laitteiden rekisteröintiin
  • vaatimuksia laitteiden fyysisestä suojaamisesta ja päivitysten asentamisesta
  • pääsynhallintaa koskevia vaatimukset
  • organisaation tietojen suojausta salauksen, haittaohjelmasuojauksen sekä varmuuskopioinnin avulla
  • organisaation mahdollisuuksia etähallita laitetta
11.2.6: Security of equipment and assets off-premises
ISO 27001
6.2.1: Mobile device policy
ISO 27001
10.1.1: Policy on the use of cryptographic controls
ISO 27001
11.2.8: Unattended user equipment
ISO 27001
12.6.2: Restrictions on software installation
ISO 27001

Prosessi mobiililaitteiden katoamisen tai varastamisen varalle

Critical
High
Normal
Low

Mobiililaitteiden varkautta tai katoamista varten on laadittu menettelytavat.

Käyttäjää voidaan velvoittaa:

  • vaihtamaan verkon käyttötunnukset
  • ilmoittamaan IT-osastolle tilanteesta (ja tarvittaessa poliisille tai mobiililiittymän tarjoajalle)
  • vaihtamaan muita tarvittavia käyttötunnuksia, jotka ovat voineet vaarantua

Organisaation prosessiin laitteen kadotessa voi sisältyä mm. laitteen tyhjentäminen (vähintään organisaation sisällön) etänä.

6.2.1: Mobile device policy
ISO 27001
8.1: Käyttäjien päätelaitteet
ISO 27001

Kannettavien tietokoneiden turvallinen hävittäminen

Critical
High
Normal
Low

Organisaatio on määritellyt toimintatavat, joiden mukaisesti toimien tarpeettomaksi jääneet kannettavat tietokoneet hävitetään turvallisesti.

8.3.2: Disposal of media
ISO 27001
11.2.7: Secure disposal or re-use of equipment
ISO 27001
PR.DS-3: Asset management
NIST
TEK-21: Sähköisessä muodossa olevien tietojen tuhoaminen
Julkri
7.10: Tallennusvälineet
ISO 27001

Mobiililaitteiden turvallisuuskäytännöt ja niiden valvonta

Critical
High
Normal
Low

Mobiilaitteiden hallintajärjestelmässä määriteltävien turvallisuuskäytäntöjen avulla pyritään suojaamaan organisaation dataa. Pienentääksesi riskejä laitteiden häviämisen hetkellä, voit esimerkiksi määrittää, että laite lukitaan 5 minuutin passiivisuuden jälkeen tai että laite pyyhitään täysin 3 epäonnistuneen kirjautumisyrityksen jälkeen.

Uusia käytäntöjä voi olla järkevää ensin testata pienellä käyttäjäryhmällä. Käytännöt vaativat myös valvontaa. Käytännöille voi aluksi valita asetuksen, jossa pääkäyttäjää tiedotetaan käytännön vastaisista asetuksista, mutta käyttöä ei täysin estetä.

6.2.1: Mobile device policy
ISO 27001
8.1: Käyttäjien päätelaitteet
ISO 27001

Mobiililaitteiden hallintajärjestelmän käyttö

Critical
High
Normal
Low

Mobiililaitteiden hallintajärjestelmä (Mobile Device Management, MDM) auttaa turvaamaan ja hallinnoimaan henkilöstön mobiililaitteita, olivatpa ne iPhoneja, iPadeja, Android-laitteita tai Windows-laitteita. Microsoft 365 -tilaus sisältää mobiililaitteiden hallinnan perusteet.

Mobiilaitteiden hallintajärjestelmällä voidaan määrittää laitteiden turvallisuuskäytäntöjä, pyyhkiä laita etänä ja saada tarkkaa raportointia laitteiden käytöstä.

6.2.1: Mobile device policy
ISO 27001
8.1: Käyttäjien päätelaitteet
ISO 27001

Päätelaitteiden PIN-suojaus ja automaattinen lukitus

Critical
High
Normal
Low

Laitteet olisi suojattava siten, ettei niihin tallennettua tai niissä käsiteltävää tietoa kyetä käyttämään tai paljastamaan luvattomasti. Laitteiden pakollinen suojaaminen esim. 5-numeroisella PIN-koodilla ennen jokaista käyttökertaa sekä laitteiden automaattinen lukittuminen esim. 5 minuutin käyttämättömyyden jälkeen voivat auttaa.

11.2.9: Clear desk and clear screen policy
ISO 27001
7.7: Puhdas työpöytä ja puhdas näyttö
ISO 27001

Päätelaitteiden tietoturvanhallintajärjestelmän käyttö (Endpoint security management system)

Critical
High
Normal
Low

Päätelaitteiden tietoturvanhallintajärjestelmän avulla voidaan vaatia päätelaitteilta haluttuja kriteerejä, ennen kuin niille sallitaan yhteys verkon resursseihin. Päätelaitteet voivat olla kannettavia tietokoneita, älypuhelimia, tabletteja tai alakohtaista erikoislaitteistoa.

Kriteerejä verkkoresurssien käytölle voivat olla mm. hyväksytty käyttöjärjestelmä, VPN- ja antivirus-järjestelmät sekä näiden päivitysten ajantasaisuus.

13.1.1: Network controls
ISO 27001
6.2.1: Mobile device policy
ISO 27001
PR.PT-4: Communications and control networks
NIST
HAL-19: Tietojen käsittely
Julkri
8.1: Käyttäjien päätelaitteet
ISO 27001

Kolmansien osapuolten päätelaitteiden turvallisuuden valvonta

Critical
High
Normal
Low

Organisaatiolla on oltava määritellyt toimintatavat kolmansien osapuolten päätelaitteiden turvallisuuden valvomiseksi. Toimintavat voivat sisältää sekä teknistä että sopimuksellisia käytäntöjä.

Organisaation on yleisesti harkittava tilannetta huolellisesti, ennen kuin kolmansille osapuolille sekä heidän päätelaitteilleen annetaan pääsyä organisaation dataan.

Päätelaitteiden etäpyyhkimisen mahdollistaminen

Critical
High
Normal
Low

Organisaation on mahdollistettava etäpyyhkiminen kaikissa sen hallitsemissa mobiilipäätelaitteissa (esim. puhelimet, kannettavat, tabletit).

Etäpyyhkimisen avulla laitetta ja sen sisältämää tietoa voidaan suojata laitteen katoamis- tai varkaustapauksissa. Etäpyyhkimistä on kuitenkin käytettävä erittäin harkiten.

7.9: Toimitilojen ulkopuolelle viedyn omaisuuden turvallisuus
ISO 27001

Päätelaitteiden etäpaikantamisen mahdollistaminen

Critical
High
Normal
Low

Organisaation on mahdollistettava etäpaikantaminen kaikissa organisaation hallitsemissa mobiilipäätelaitteissa (esim. puhelimet, kannettavat, tabletit).

Etäpaikantamisen avulla laitetta ja sen sisältämää tietoa voidaan suojata laitteen katoamis- tai varkaustapauksissa.

Ohjelmistopalomuurin käyttö päätelaitteilla

Critical
High
Normal
Low

Organisaation kaikkien päätelaitteiden suojana tulisi olla oikein konfiguroitu ohjelmistopalomuuri, joka tarkkailee liikennettä, hyväksyy säännöt täyttävän liikenteen sekä toteuttaa käyttäjien valvontaa.

Palomuuri suojaa haittaohjelmilta ja hyökkäyksiltä, jotka tulevat organisaation verkon sisä- tai ulkopuolelta.

9.3 (MIL1): Implement IT and OT Asset Security as an Element of the Cybersecurity Architecture
C2M2

Prosessi päätelaitteiden yhteensopivuuden testaamiseen

Critical
High
Normal
Low

Huonosti konfiguroidut päätelaitteet aiheuttavat sekä resurssihukkaa mutta myös mahdollisia tietoturvaongelmia.

Organisaation on määriteltävä prosessi, jonka kautta pyritään havaitsemaan mahdolliset yhteensopivuusongelmat käytettyjen päätelaitteiden sekä käyttöjärjestelmien, tietojärjestelmien tai sovellusten välillä.

Päätelaitteilla sallittujen sovellusten listaus ja valvonta

Critical
High
Normal
Low

Organisaatiolla on oltava lista hyväksytyistä sovelluksista sekä sovellusten lähteistä, joita saa käyttää organisaation päätelaitteella.

Organisaation tulisi mahdollisuuksien mukaan toteuttaa sallittujen sovellusten valvonta automatisoidusti esimerkiksi mobiililaitteiden hallintajärjestelmässä määriteltyjen käytäntöjen kautta.

9.3 (MIL1): Implement IT and OT Asset Security as an Element of the Cybersecurity Architecture
C2M2

Ohjelmistojen lisensointivaatimusten tunnistamismenettely

Critical
High
Normal
Low

Kaupallisesti lisensoidun ohjelmiston asentaminen voi aiheuttaa ohjelmiston käyttöoikeusehtojen rikkomisen. Organisaatiolla tulee olla menettely lisensointivaatimusten tunnistamiseksi ennen kuin se sallii lisensoidun ohjelmiston asentamisen.

Erityistä huomiota tulee kiinnittää tapauksiin, joissa tietojärjestelmä on joustava ja skaalautuva ja sitä voidaan käyttää useammilla järjestelmillä tai prosessoriytimillä kuin lisenssiehdot sallivat.

18.1: Lainsäädäntöön ja sopimuksiin sisältyvien vaatimusten noudattaminen
ISO 27017
18.1.2: Immateriaalioikeudet
ISO 27017
18.1.2: Intellectual property rights
ISO 27001
18: Vaatimustenmukaisuus
ISO 27017
5.32: Immateriaalioikeudet
ISO 27001

Laitelistan ylläpito mobiilaitteiden hallintajärjestelmässä

Critical
High
Normal
Low

Laitteet on kirjattava mobiilailaitteiden hallintajärjestelmään, jotta laitteelle saadaan oma tunniste ja hallintaominaisuuksia voidaan käyttää. Uusien laitteiden hankinnan yhteydessä laitteet kirjataan aina mobiilaitteiden hallintajärjestelmään.

8.1.1: Inventory of assets
ISO 27001