Hallintapääsy tapahtuu rajattujen, hallittujen ja valvottujen pisteiden kautta.
Hallintayhteyksien suojauksessa huomioidaan, miltä osin hallintayhteyden kautta pystytään vaarantamaan salassa pidettävät tiedot. Useimmat hallintayhteystavat mahdollistavat pääsyn salassa pidettävään tietoon joko suoraan (esim. tietokantaylläpito pääsee yleensä tarvittaessa tietokannan sisältöön) tai epäsuoraan (esim. verkkolaiteylläpito pystyy yleensä muuttamaan tietojärjestelmää suojaavia palomuurisääntöjä), mikä tekee näistä erityisen houkuttelevan kohteen myös pahantahtoisille toimijoille.
Kun hallintayhteys mahdollistaa suoran tai epäsuoran pääsyn salassa pidettävään tietoon, tulisi hallintayhteys ja siihen käytettävät päätelaitteet rajata lähtökohtaisesti samalle suojaustasolle kuin tietojenkäsittely-ympäristökin. Laitteilla tarkoitetaan tässä järjestelmiä, joihin pitäisi olla hallintaoikeudet vain ylläpitäjillä tai vastaavilla. Tällaisia ovat tyypillisesti esimerkiksi palomuurit, reitittimet, kytkimet, langattomat tukiasemat, palvelimet, työasemat, ILO-hallintaliittymät ja Blade-runkojen hallintaliittymät.
Liikenteen suodatus- ja valvontajärjestelmiä ovat esimerkiksi palomuurit, reitittimet, tunkeutumisia havaitsevat tai estävät järjestelmät (IDS/IPS) sekä vastaavia toiminnallisuuksia sisältävät verkkolaitteet/palvelimet/sovellukset.
Suodatuksen ja valvonnan toiminnan varmistamiseksi:
Tietoliikenneverkon vyöhykkeistäminen ja suodatussäännöstöt on toteutettava monitasoisen suojaamisen periaatteen mukaisesti.
Tietoliikenneverkon jakaminen ko. turvallisuusluokan sisällä erillisille verkkoalueille (vyöhykkeet ja segmentit) voi tarkoittaa esimerkiksi tietojen suojaamisen näkökulmasta tarkoituksenmukaista työasema- ja palvelinerottelua, kattaen myös mahdolliset hankekohtaiset erottelutarpeet.
Vaatimus voidaan täyttää alla mainituilla toimenpiteillä:
Käsiteltäessä viranomaisen suojaustason III tai II salassapidettävää tietoa, toteutetaan tietojenkäsittely-ympäristön verkolle seuraavat toimenpiteet:
Käsiteltäessä viranomaisen suojaustason IV salassapidettävää tietoa, toteutetaan tietojenkäsittely-ympäristön verkolle seuraavat toimenpiteet:
Järjestelmillä tarkoitetaan tässä palvelimia, työasemia, verkon aktiivilaitteita (palomuurit, reitittimet, kytkimet, langattomat tukiasemat jne.) ja vastaavia. Koventamisella puolestaan tarkoitetaan järjestelmän asetusten muuttamista siten, että järjestelmän haavoittuvuuspinta-alaa saadaan pienennettyä.
Organisaatio on määritellyt toimintatavat, joiden avulla:
Päätelaitteet tunnistetaan teknisesti (laitetunnistus, 802.1X, tai vastaava menettely) ennen pääsyn sallimista verkkoon tai palveluun, ellei verkkoon kytkeytymistä ole fyysisen turvallisuuden menetelmin rajattu suppeaksi (esim. palvelimen sijoittaminen lukittuun laitekaappiin teknisesti suojatun viranomaisen ko. suojaustasolle hyväksymän turva-alueen sisällä).
Eri verkkolaitteille on määritetty omistajat, joiden vastuulla on varmistaa, että verkoissa käsiteltävät tiedot ja niihin liittyvät palvelut on suojattu luvattomalta pääsyltä. Vastuu verkkolaitteista on tarvittaessa erotettava muista liittyvistä vastuista.
Langattoman verkon käyttö on suojattu riittävillä avaimilla ja yhteysliikenne verkon reitittimeen on salattu. Vieraskäyttöön tarkoitettu langaton verkko on eristetty yrityksen omasta sisäisestä verkosta.
Verkon käytöstä syntyy asianmukaista lokia, jotta mahdollistetaan tietoturvallisuuden kannalta olennaisten toimenpiteiden havaitseminen.
Verkkoliikenteen normaali tila (liikennemäärät, protokollat ja yhteydet) on tiedossa. Poikkeamien havaitsemiseksi on olemassa menettely, jolla verkkoliikenteen normaaliin tilaan nähden eroavat tapahtumat (esimerkiksi poikkeavat yhteydet tai niiden yritykset) pyritään havaitsemaan.
Organisaation verkoille on määritelty omistaja. Omistaja vastaa verkon rakenteen suunnittelusta ja sen dokumentoinnista.
Verkon suunnittelussa käytetään tarpeen mukaan erillisiä verkkoalueita. Verkkoalueet voivat olla määritelty mm.:
Eriyttäminen voidaan toteuttaa joko fyysisesti erillisillä verkoilla tai loogisesti erillisillä verkoilla.
Palomuuri on ohjelmisto, joka hallinnoi yhteyksiä verkkojen (sisäiten tai ulkoisten) tai verkkosovellusten välillä. Palomuuri voidaan asettaa hyväksymään, estämään tai suodattamaan yhteksiä tiettyjen kriteerien perusteella.
Organisaation käyttämät tietojärjestelmät, niiden käyttöympäristöt sekä ulkoiset liityntäpisteet on suojattu joko tilallisella palomuurilla tai sovelluspalomuurilla.
Organisaatiolla on oltava seuraavat palomuurisäännöt asetettuna ja dokumentoituna:
Organisaation on vaihdettava oletusalasana, jolla kirjaudutaan palomuurien hallintajärjestelmään, johonkin vaikeasti arvattavaan salasanaan. Vaihtoehtoisesti organisaatio voi estää etäyhteyden hallittaviin järjestelmiin.
Organisaation on estettävä pääsy palomuurien hallintajärjestelmään internetistä, ellei ole selkeätä, hyvin dokumentoitua ja liiketoiminnan kannalta pakottavaa syytä siihen. Tässä tilanteessa järjestelmä tulee olla suojattu vähintään monivaiheisella tunnistautumisella - tai sallittujen IP-osoitteiden listaalla, jossa vain välttämättömät ja luotetut IP-osoitteet.
Organisaation kohteiden etäylläpito ja korjaus on toteutettava niin, että se hyväksytään, lokitetaan ja suoritetaan tavalla, joka estää luvattoman pääsyn. Etäylläpidon suorittajalta täytyy vaatia monivaiheista tunnistautumista.
Current configurations of devices, data systems and networks are documented and a log is maintained of configuration changes.
Changes to configurations must be controlled and go through the change management procedure. Only authorized personnel are allowed to make changes to the configurations.
Configuration information may include e.g.:
Organisaation tulee pystyä valvomaan, että laitteita, tietojärjestelmiä sekä verkkoja ylläpidetään määriteltyjen konfiguraatioiden (ml. turvallisuusominaisuudet) mukaisina sekä käyttöönottovaiheessa että koko elinkaarensa ajan.
Tätä varten organisaatio on määritellyt vakiomallit laitteiden, tietojärjestelmien sekä verkkojen turvallisille konfiguraatioille. Vakiomalleja määritettäessä huomioidaan:
Vakiomallit tulee tarkistaa säännöllisesti ja päivittää, kun merkittäviin uusiin uhkiin tai haavoittuvuuksiin on reagoitava tai uusia ohjelmisto- tai laiteversioita julkaistaan.
Seuraavat seikat tulee ottaa huomioon vakiomalleja määriteltäessä:
Kansallisten turvallisuusluokan III sähköisten tietojen etäkäyttö (käsittely) ja säilytys on mahdollista kyseisen turvallisuusluokan mukaisessa päätelaitteessa turva-alueiden ulkopuolella edellyttäen, että
Turvallisuusluokkien III ja II käsittely-ympäristöissä sekä muissa kriittisissä käsittely-ympäristöissä edellytetään käytön teknistä sitomista hyväksyttyyn etäkäyttölaitteistoon (esim. laitetunnistus).
Erityisesti korkeimpien turvallisuusluokkien ympäristöissä tarpeettomien komponenttien käytönesto on usein perusteltua toteuttaa fyysisesti kyseiset komponentit (esimerkiksi langattomat verkkokortit, kamerat, mikrofonit) laitteesta irrottaen. Tilanteissa, joissa kyseistä komponenttia ei voida fyysisesti irrottaa, korvaavana suojauksena voi joissain tapauksissa hyödyntää esimerkiksi kameroiden teippaamista sekä laitteiston ohjelmallista käytöstäpoistoa sekä käyttäjäasetus-, käyttöjärjestelmä- ja laiteohjelmistotasoilla. Joissain käyttöjärjestelmissä suojausta voidaan täydentää myös poistamalla kyseisen laitteen käyttöön liittyvät ohjelmisto-osiot (kernel module).
Turvallisuusluokkien III-II käsittely-ympäristöissä vaatimus tulee huomioida kovennusohjeiden mahdollisesti sisältämät tasot sekä useiden eri kovennusohjeiden, kuten esimerkiksi valmistajakohtaiset ohjeet, CIS Benchmark ja DISA STIG, hyödyntäminen kovennusten kattavuuden varmistamisessa
Lähtökohtaisesti turvallisuusluokan I tietojenkäsittely-ympäristöt suositellaan pidettäväksi fyysisesti eriytettyinä kaikista muista ympäristöistä. Tyypillisenä toteutustapana on fyysisellä turva-alueella, hajasäteilysuojatussa tilassa tapahtuva kaikista muista ympäristöistä fyysisesti eriytetty tietojenkäsittely tähän tarkoitukseen varatulla päätelaitteella. Toteutustapana voi olla myös vastaavasti turva-alueella hajasäteilysuojattuun tilaan fyysisesti sijoitettu ja muista ympäristöistä fyysisesti eriytetty päätelaitteista, niitä yhdistävästä paikallisesta verkosta ja tähän tarkoitukseen varatusta erillistulostimesta koostuva tietojenkäsittely-ympäristö.
Tiedonsiirto fyysisesti eriytettyihin ympäristöihin tulee toteuttaa siten, että riski turvallisuusluokan I tiedon kulkeutumiseen matalamman turvallisuusluokan ympäristöön saatetaan mahdollisimman pieneksi.
Turvallisuusluokan II käsittely-ympäristöt ovat lähtökohtaisesti fyysisesti eristettyjä kokonaisuuksia.
Turvallisuusluokan ylittävä liikennöinti voidaan sallia vain datadiodien tai v astaavien OSI-mallin fyysisellä kerroksella toimivien yksisuuntaisten yhdyskäytäväratkaisujen kautta.
Tietojenkäsittely-ympäristön kytkeminen muiden turvallisuusluokkien ympäristöihin edellyttää riittävän turvallisen yhdyskäytäväratkaisun käyttöä.
Tietojenkäsittely-ympäristöjen oletetaan lähtökohtaisesti olevan toisilleen ei-luotettuja myös tilanteissa, joissa yhdistetään eri organisaatioiden hallinnoimia tietojenkäsittely-ympäristöjä toisiinsa. Saman turvallisuusluokan käsittely-ympäristöjä voidaan liittää toisiinsa ko. turvallisuusluokalle riittävän turvallisen salausratkaisun avulla (esimerkiksi organisaation eri toimipisteiden ko. turvallisuusluokan käsittely-ympäristöjen yhteenliittäminen julkisen verkon ylitse).
Kun kohteen keskeisen tietovarannon turvallisuusluokka tulkitaan kasautumisvaikutuksesta johtuen yksittäisten tietojen tasoa korkeammaksi, tulee tietovarannolle määritellyt suojausmenetelmät toteuttaa korkeamman tason vaatimusten mukaisesti.
Määritellyillä suojausmenetelmillä tarkoitetaan menetelmiä, joilla rajataan pääsy vain tehtävässä tarvittavaan yksittäiseen tai suppeaan osaan tietosisällöstä ja havaitaan yritykset päästä valtuuttamattomasti käsiksi laajempaan osaan tietosisällöstä.
Tietoliikenneverkon vyöhykkeistäminen ja suodatussäännöstöt on toteutettava vähimpien oikeuksien periaatteen mukaisesti ko. turvaluokan sisällä.
Turvallisuusluokkien IV-II käsittely-ympäristöissä vaatimus voidaan täyttää siten, että toteutetaan aiemmin mainittujen toimenpiteiden lisäksi:
4) Verkko-alueiden välistä liikennettä valvotaan ja rajoitetaan siten, että vain erikseen hyväksytty, toiminnalle välttämätön liikennöinti sallitaan (default-deny).
Turvallisuusluokittelemattoman salassa pidettävän tiedon sekä myös turvallisuusluokan IV tietojenkäsittely-ympäristön yhdistäminen eri turvallisuusluokan ympäristöihin voidaan toteuttaa palomuuriratkaisuilla ja rajaamalla riskialttiiden alemman turvallisuusluokan ympäristöä käyttävien palvelujen (web-selailu, Internetin kautta reitittyvä sähköposti, ja vastaavat) liikenne kulkemaan erillisten sisältöä suodattavien välityspalvelinten kautta.
Turvallisuusluokittelemattoman salassa pidettävän sekä myös turvallisuusluokan IV käsittely-ympäristöjä on mahdollista kytkeä Internetiin ja muihin ei-luotettuihin verkkoihin, edellyttäen että kytkennän tuomia riskejä pystytään muilla suojauksilla pienentämään riittävästi. Internet-kytkentäisyyden tuomien riskien pienentäminen turvallisuusluokittelemattomalle salassa pidettävälle tiedolle sekä turvallisuusluokalle IV edellyttää erityisesti ohjelmistopäivityksistä huolehtimista, vähimpien oikeuksien periaatteen mukaisia käyttöoikeuksia, järjestelmäkovennuksia sekä kykyä poikkeamien havainnointiin ja korjaaviin toimiin.
Tyypillinen käyttötapa turvallisuusluokittelemattoman salassa pidettävän tai/ja turvallisuusluokan IV käsittely-ympäristölle on organisaation rajattu tietojenkäsittely-ympäristön osa, joka voi muodostua esimerkiksi päätelaitepalveluista, sovelluspalveluista, tietoliikennepalveluista sekä niiden suojaamiseen liittyvistä järjestelyistä.
Tietojenkäsittely-ympäristön kytkeminen muiden turvallisuustasojen ympäristöihin edellyttää vähintään palomuuriratkaisun käyttöä.
Tietojenkäsittely-ympäristö on erotettu julkisista tietoverkoista ja muista heikomman turvallisuustason ympäristöistä riittävän turvallisella tavalla.
Tietojärjestelmien erottelu on eräs vaikuttavimmista tekijöistä salassa pidettävän tiedon suojaamisessa. Erottelun tavoitteena on rajata salassa pidettävän tiedon käsittely-ympäristö hallittavaksi kokonaisuudeksi, ja erityisesti pystyä rajaamaan salassa pidettävän tiedon käsittely vain riittävän turvallisiin ympäristöihin. Ympäristöjen erottelu voidaan toteuttaa esimerkiksi palomuuriratkaisun avulla.
Normaali verkkoliikenne on kuvattu ja sen kuvausta ylläpidetään poikkeamien havaitsemiseksi. Kuvaus tulee päivittää kun:
Organisaation on huolehdittava, että etäyhteyksien valvonta ja hallinta on automatisoitu, etäyhteydet on suojattu salauksella niiden eheyden ja luotettavuuden varmistamiseksi ja etäyhteydet kulkevat vain hyväksyttyjen ja hallittujen NAC (Network access control) kautta.
Organisaation on myös mahdollistettava etäyhteyksien sulkeminen määritellyssä ajassa.
Verkkojen erottelua käytetään jakamaan verkot pienempiin osiin (kutsutaan aliverkoiksi tai segmenteiksi). Päätarkoituksena on saavuttaa pienimmän oikeuden periaate rajoittamalla pääsyä esim. käyttäjälle tai mille tahansa tietylle laitteelle.
Pilvipalveluita tarjoaessaan organisaation tulee ottaa käyttöön verkkoyhteyksien erottelu, jotta:
Organisaation tulee pystyä auttamaan asiakasta varmistamaan erottelun toteutus.
Organisaatio ottaa käyttöönsä todennettuja välityspalvelimia hallitsemaan ja suojaamaan organisaation kriittisten järjestelmien ja ulkoisten verkkojen välistä tietoliikennettä. Tarkastele nykyistä verkkoarkkitehtuuria, tunnista viestintäkanavat, jotka yhdistävät kriittiset järjestelmät ulkoisiin yksiköihin, ja ota käyttöön välityspalvelimet, jos se on mahdollista. Liikenteen suojaamisessa tulisi käyttää turvallisia todennusprotokollia.
Organisaation on toteutettava toimenpiteitä, joilla organisaation kriittiset järjestelmät suojataan palvelunestohyökkäyksiltä (Denial-of-Service) tai ainakin rajoitetaan niiden vaikutusta. Esimerkkejä keinoista:
Configurations should be monitored with comprehensive system management tools (e.g. maintenance utilities, remote support, enterprise management tools, backup and recovery software) and reviewed regularly to assess settings, password strengths, and operations performed. Actual configurations can be compared to defined target models. Any discrepancies must be dealt with either automatically or by manual processing.
Any unauthorized changes must be corrected and cause investigated and reported.
Järjestelmissä otetaan käyttöön vain toimintavaatimusten täyttämiseksi ja turvallisuuden varmistamiseksi välttämättömät komponentit, palvelut sekä käyttäjien ja prosessien oikeudet.
Organisaation on kehitettävä ja dokumentoitava selkeät menettelyt verkkojen hallintaa ja valvontaa varten sekä varmistettava johdonmukaisuus kaikissa verkkotoiminnoissa.
Organisaation tulisi ottaa huomioon seuraavat näkökulmat verkon segmentoinnissa:
Organisaation olisi varmistettava, että sen verkossa on riittävästi redundanssia. Seuraavat näkökohdat olisi otettava huomioon: