Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

Katakri

Katakri - Tietoturvan auditointityökalu viranomaisille

11.1.4
ISO 27001

ISO 27001:2013

11.2.2
ISO 27001

ISO 27001:2013

7.11
ISO 27001

ISO 27001:2022

7.5
ISO 27001

ISO 27001:2022

8.14
ISO 27001

ISO 27001:2022

F08
Katakri

Katakri - Tietoturvan auditointityökalu viranomaisille

PR.IP-5
NIST

NIST Cybersecurity Framework

VAR-08
Julkri

Julkisen hallinnon tietoturvakriteeristö

Muita saman teeman digiturvatehtäviä

Muun suojattavan omaisuuden dokumentointi

Critical
High
Normal
Low

Organisaation on luetteloitava kaikki oleellinen suojattava omaisuus määrittääkseen omistajuuksia sekä varmistaakseen, että tietoturvallisuuden toimenpiteet kattavat kaikki tarvittavat kohteet.

Iso osa suojattavasta omaisuudesta (mm. tieto, tietojärjestelmät, henkilöstö / yksiköt sekä kumppanit) käsitellään muiden tehtävien kautta. Organisaation tulee lisäksi listata muu oleellinen suojattava omaisuus, joka voi oman toiminnan luonteesta riippuen olla mm. laitteistoa (palvelimet, verkkolaitteet, työasemat, tulostimet) tai infrastruktuuria (kiinteistöt, sähköntuotto, ilmastointi).

8.1.1: Inventory of assets
ISO 27001
8.1.2: Ownership of assets
ISO 27001
ID.AM-1: Physical device inventory
NIST
ID.AM-2: Software and app inventory
NIST
HAL-04: Suojattavat kohteet
Julkri

Laitteiston turvallinen ja harkittu sijoittaminen

Critical
High
Normal
Low

Esimerkiksi tietojenkäsittelyyn käytettävät, sekä muut tärkeät laitteistot, olisi asetettava tiloihin turvallisesti ja harkitusti. Sijoittelun avulla tulee rajoittaa luvatonta pääsyä laitteille.

Toiminnan jatkuvuuden hallinta
Katakri
F08: Toiminnan jatkuvuuden varmistaminen
Katakri
11.1.3: Securing offices, rooms and facilities
ISO 27001
11.2.1: Equipment siting and protection
ISO 27001
11.1.4: Protecting against external and environmental threats
ISO 27001

Laitteiston asiallisen huollon varmistaminen

Critical
High
Normal
Low

Laitteistoja olisi huollettava toimittajan suosittelemin aikavälein sekä toimittajan antamia määrittelyjä noudattaen.

11.2.4: Equipment maintenance
ISO 27001
F04: Kulkuoikeuksien hallinta
Katakri
PR.MA-1: Asset management and repair
NIST
7.13: Laitteiden huolto
ISO 27001

Peruspalvelujen testaus, vikasietoisuuden arviointi ja varmistus

Critical
High
Normal
Low

Peruspalvelujen (kuten sähkön, tietoliikenteen, vedenjakelun, viemäröinnin, lämmityksen, tuuletuksen ja ilmastoinnin) toimintaa seurataan, jotta voidaan varmistaa, että niiden kapasiteetti kattavan liiketoiminnan kasvun.

Toiminnan jatkuvuuden hallinta
Katakri
F08: Toiminnan jatkuvuuden varmistaminen
Katakri
11.2.2: Supporting utilities
ISO 27001
11.1.4: Protecting against external and environmental threats
ISO 27001
PR.IP-5: Physical operating environment
NIST

Datakeskukseen yhdistettävän laitteiston tunnistaminen

Critical
High
Normal
Low

Organisaation on käytettävä laitteiston yksilöllistä tunnistamista yhteyden vahvistamiskeinona.

Kun tarpeellista, organisaation tulisi käyttää sijaintitietoisia tekniikoita todennuksen eheyden vahvistamiseksi tunnettujen laitesijaintien perusteella.

Laitteistojen suojaus luvattomia laitteita vastaan (TL II)

Critical
High
Normal
Low

Laitteistot suojataan luvattomien laitteiden (näppäilynauhoittimet, langattomat lähettimet ml. mobiililaitteet ja vastaavat) liittämistä vastaan.

TEK-17.4: Muutoshallintamenettelyt - TL II
Julkri

Järjestelmien peruskokoonpano

Critical
High
Normal
Low

Organisaatiolla on ylläpidetty peruskokoonpanovaatimus tietotekniikkajärjestelmille ja teollisille ohjausjärjestelmille, jossa otetaan huomioon turvallisuusperiaatteet, esimerkiksi vähimmän toiminnallisuuden periaate (concept of least functionality).

PR.IP-1: A baseline configuration of information technology systems
NIST

Laitteiston eheyden varmistaminen

Critical
High
Normal
Low

Organisaation täytyy varmistaa sen laitteistokomponenttien eheys. Tämä voidaan toteuttaa:

  • Vaikeasti kopioitavilla aitouden todentavilla tarroilla
  • Kehittäjän toimittamilla todennettavilla sarjanumeroilla
  • Vaatimalla peukaoinninestoteknologioiden käyttöä
  • Laitteiston toimitukset sisältävät laitteisto- ja laiteohjelmistopäivitykset


PR.DS-8: Integrity checking (hardware)
NIST

Ylijännitesuojien ja keskeytymättömien virtalähteiden (UPS) käyttö

Critical
High
Normal
Low

Ylijännitesuojat estävät virtatason nousujen ja laskujen vahingoittamasta laitteita. Keskeytymättömät virtalähteet (UPS) puolestaan takaavat rajallisen ajan akkuvirtaa, jonka avulla voidaan työskennellä lyhyiden sähkökatkostenkin aikana. Kriittiset laitteet pidetään kiinni UPS:ssä.

11.2.2: Supporting utilities
ISO 27001
Toiminnan jatkuvuuden hallinta
Katakri
F08: Toiminnan jatkuvuuden varmistaminen
Katakri
PR.IP-5: Physical operating environment
NIST
7.11: Tukipalvelut
ISO 27001

Hälytysjärjestelmät laitteiston ympäristöolosuhteille

Critical
High
Normal
Low

Hälytysjärjestelmien avulla tarkkaillaan tärkeimpien ympäristöolosuhteiden (esim. lämpötila ja kosteus) tasoa, jotka voivat vaikuttaa haitallisesti tietojenkäsittelylaitteistojen toimintaan.

11.2.1: Equipment siting and protection
ISO 27001
11.2.2: Supporting utilities
ISO 27001
Toiminnan jatkuvuuden hallinta
Katakri
F08: Toiminnan jatkuvuuden varmistaminen
Katakri
PR.IP-5: Physical operating environment
NIST

Kaapelien suojaus

Critical
High
Normal
Low

Virta- ja tietoliikennekaaplien, jotka joko liikuttavat tietoa itsessään tai tukevat tiedonsiirtopalveluita, suojataan vahingolta, salakuuntelulta ja häirinnältä.

Kaapeloinnin turvallisuudessa olisi otettava huomioon mm. seuraavat seikat:

  • tietoliikennelinjojen olisi mahdollisuuksien mukaan oltava maanalaisia tai muuten riittävän suojattuja
  • sähkökaapelit olisi eristettävä tietoliikennekaapeleista, jotta vältytään häiriöiltä
  • panssarikaapeleiden, sähkömagneettisen suojauksen tai teknisen haravoinnin käyttö erittäin kriittisissä paikoissa
11.2.3: Cabling security
ISO 27001
ID.BE-4: Dependencies and critical functions
NIST
7.12: Kaapeloinnin turvallisuus
ISO 27001

Salamasuojaus

Critical
High
Normal
Low

Kaikkiin rakennuksiin ja kaikkiin saapuviin voimalinjoihin ja ulkoisiin viestintälinjoihin on asennettu salamasuojaus.

11.2.1: Equipment siting and protection
ISO 27001
7.8: Laitteiden sijoitus ja suojaus
ISO 27001

Sähkömagneettisen tietovuodon hallinta

Critical
High
Normal
Low

Sähköiset laitteet kuten kaapelit, näyttöpäätteet, kopiokoneet, tabletit ja älypuhelimet vuotavat sähkömagneettista säteilyä, josta on oikealla laitteistolla mahdollista selvittää alkuperäinen lähetetty tieto - vaikkapa syötetty käyttäjätunnus ja salasana.

Toimitilan rakenteissa olevat aukot (ikkunat, ovet, ilmastointi) suojataan, jotta ne eivät päästä säteilyä ulos. Lisäksi luottamuksellista tietoa käsittelevät laitteet sijoitetaan niin, että sähkömagneettisesta vuodosta johtuva tietovuotoriski pidetään mahdollisimman pienenä.

11.1.3: Securing offices, rooms and facilities
ISO 27001
11.2.1: Equipment siting and protection
ISO 27001
I14: Hajasäteily (TEMPEST)
Katakri
PR.DS-2: Data-in-transit
NIST
FYY-01.1: Fyysisen turvallisuuden riskien arviointi - TEMPEST - TL III
Julkri

Laitehuoltolokin ylläpito

Critical
High
Normal
Low

Laitteistolle tehdyt huollot kirjataan lokiin, joka sisältää tiedot mm.:

  • epäillyistä ja sattuneista vioista
  • ehkäisevistä ja korjaavista toimenpiteistä
  • laitteiden tarkistamisesta huollon jälkeen
11.2.4: Equipment maintenance
ISO 27001
PR.MA-1: Asset management and repair
NIST
7.13: Laitteiden huolto
ISO 27001