Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

I-01
Katakri 2020

Katakri 2020

TEK-01.6
Julkri

Julkri: TL IV-I

Muita saman teeman digiturvatehtäviä

Hallintayhteyksien turvallisuus

Critical
High
Normal
Low

Hallintapääsy tapahtuu rajattujen, hallittujen ja valvottujen pisteiden kautta.

Hallintayhteyksien suojauksessa huomioidaan, miltä osin hallintayhteyden kautta pystytään vaarantamaan salassa pidettävät tiedot. Useimmat hallintayhteystavat mahdollistavat pääsyn salassa pidettävään tietoon joko suoraan (esim. tietokantaylläpito pääsee yleensä tarvittaessa tietokannan sisältöön) tai epäsuoraan (esim. verkkolaiteylläpito pystyy yleensä muuttamaan tietojärjestelmää suojaavia palomuurisääntöjä), mikä tekee näistä erityisen houkuttelevan kohteen myös pahantahtoisille toimijoille.

Kun hallintayhteys mahdollistaa suoran tai epäsuoran pääsyn salassa pidettävään tietoon, tulisi hallintayhteys ja siihen käytettävät päätelaitteet rajata lähtökohtaisesti samalle suojaustasolle kuin tietojenkäsittely-ympäristökin. Laitteilla tarkoitetaan tässä järjestelmiä, joihin pitäisi olla hallintaoikeudet vain ylläpitäjillä tai vastaavilla. Tällaisia ovat tyypillisesti esimerkiksi palomuurit, reitittimet, kytkimet, langattomat tukiasemat, palvelimet, työasemat, ILO-hallintaliittymät ja Blade-runkojen hallintaliittymät.

I04: Hallintayhteydet
Katakri
TEK-04: Hallintayhteydet
Julkri
I-04: TIETOJENKÄSITTELY-YMPÄRISTÖJEN SUOJATTU YHTEENLIITTÄMINEN – HALLINTAYHTEYDET
Katakri 2020

Suodatus- ja valvontajärjestelmien hallinnointi

Critical
High
Normal
Low

Liikenteen suodatus- ja valvontajärjestelmiä ovat esimerkiksi palomuurit, reitittimet, tunkeutumisia havaitsevat tai estävät järjestelmät (IDS/IPS) sekä vastaavia toiminnallisuuksia sisältävät verkkolaitteet/palvelimet/sovellukset.

Suodatuksen ja valvonnan toiminnan varmistamiseksi:

  • Järjestelmille on nimetty omistaja, joka huolehtii järjestelmän tarkoituksenmukaisesta toiminnasta huolehditaan koko tietojenkäsittely-ympäristön elinkaaren ajan
  • Liikennettä suodattavien tai valvovien järjestelmien asetusten lisääminen, muuttaminen ja poistaminen on vastuutettu järjestelmän omistajalle
  • Verkon ja siihen liittyvien suodatus- ja valvontajärjestelmien dokumentaatiota ylläpidetään sen elinkaaren aikana erottamattomana osana muutosten ja asetusten hallintaprosessia
  • Järjestelmien asetukset ja haluttu toiminta tarkastetaan määräajoin tietojenkäsittely-ympäristön toiminnan ja huollon aikana sekä poikkeuksellisten tilanteiden ilmetessä
I03: Suodatus- ja valvontajärjestelmien hallinnointi
Katakri
TEK-03: Suodatus- ja valvontajärjestelmien hallinnointi
Julkri
TEK-03.1: Suodatus- ja valvontajärjestelmien hallinnointi - vastuutus ja organisointi
Julkri
TEK-03.2: Suodatus- ja valvontajärjestelmien hallinnointi - dokumentointi
Julkri
TEK-03.3: Suodatus- ja valvontajärjestelmien hallinnointi - tarkastukset
Julkri

Tietoliikenneverkon vyöhykkeistäminen ja suodatuskäytännöt suojaustason sisällä

Critical
High
Normal
Low

Tietoliikenneverkon vyöhykkeistäminen ja suodatussäännöstöt on toteutettava monitasoisen suojaamisen periaatteen mukaisesti.

Tietoliikenneverkon jakaminen ko. turvallisuusluokan sisällä erillisille verkkoalueille (vyöhykkeet ja segmentit) voi tarkoittaa esimerkiksi tietojen suojaamisen näkökulmasta tarkoituksenmukaista työasema- ja palvelinerottelua, kattaen myös mahdolliset hankekohtaiset erottelutarpeet.

Vaatimus voidaan täyttää alla mainituilla toimenpiteillä:

  • Tietoliikenneverkko on jaettu ko. turvallisuusluokan sisällä erillisiin verkko-alueisiin (vyöhykkeet, segmentit).
  • Verkkoalueiden välistä liikennettä rajoitetaan ja ympäristöön sisäänpäin tulevaan liikenteeseen noudatetaan default-deny sääntöä.
  • Tietojenkäsittely-ympäristössä on varauduttu yleisiin verkkohyökkäyksiin.
I02: Verkon vyöhykkeistäminen ja suodatussäännöstöt
Katakri
TEK-02: Tietoliikenne-verkon vyöhykkeistäminen
Julkri
ARCHITECTURE-2: Implement Network Protections as an Element of the Cybersecurity Architecture
C2M2: MIL1
I-02: VÄHIMPIEN OIKEUKSIEN PERIAATE - TIETOLIIKENNE-VERKON VYÖHYKKEISTÄMINEN JA SUODATUSSÄÄNNÖSTÖT KO. TURVALLISUUSLUOKAN SISÄLLÄ
Katakri 2020
PR.AC-5: Network integrity (network segregation, network segmentation… ) is protected.
CyFun

Verkon rakenteellinen turvallisuus (TL III-II)

Critical
High
Normal
Low

Käsiteltäessä viranomaisen suojaustason III tai II salassapidettävää tietoa, toteutetaan tietojenkäsittely-ympäristön verkolle seuraavat toimenpiteet:

  • Tietojenkäsittely-ympäristö on erotettu muista ympäristöistä
  • Hallitun fyysisen turva-alueen ulkopuolelle menevä liikenne salataan viranomaisen ko. suojaustasolle hyväksymällä salausratkaisulla
  • Tietojenkäsittely-ympäristön kytkeminen muiden suojaustasojen ympäristöihin edellyttää viranomaisen ko. suojaustasolle hyväksymän yhdyskäytäväratkaisun käyttöä
I01: Verkon rakenteellinen turvallisuus
Katakri
I-01: TIETOJENKÄSITTELY-YMPÄRISTÖJEN SUOJATTU YHTEENLIITTÄMINEN – VERKON RAKENTEELLINEN TURVALLISUUS
Katakri 2020

Verkon rakenteellinen turvallisuus (TL IV)

Critical
High
Normal
Low

Käsiteltäessä viranomaisen suojaustason IV salassapidettävää tietoa, toteutetaan tietojenkäsittely-ympäristön verkolle seuraavat toimenpiteet:

  • Tietojenkäsittely-ympäristö erotetaan muista ympäristöistä
  • Kytkettäessä tietojenkäsittely-ympäristö muiden suojaustasojen ympäristöihin käytetään vähintään palomuuriratkaisua
  • Hallitun fyysisen turva-alueen ulkopuolelle menevä liikenne salataan viranomaisen ko. suojaustasolle hyväksymällä salausratkaisulla
I01: Verkon rakenteellinen turvallisuus
Katakri
I-01: TIETOJENKÄSITTELY-YMPÄRISTÖJEN SUOJATTU YHTEENLIITTÄMINEN – VERKON RAKENTEELLINEN TURVALLISUUS
Katakri 2020

Järjestelmäkovennuksen varmistaminen

Critical
High
Normal
Low

Järjestelmillä tarkoitetaan tässä palvelimia, työasemia, verkon aktiivilaitteita (palomuurit, reitittimet, kytkimet, langattomat tukiasemat jne.) ja vastaavia. Koventamisella puolestaan tarkoitetaan järjestelmän asetusten muuttamista siten, että järjestelmän haavoittuvuuspinta-alaa saadaan pienennettyä.

Organisaatio on määritellyt toimintatavat, joiden avulla:

  • Käyttöön otetaan vain käyttövaatimusten ja tietojen käsittelyn kannalta olennaiset toiminnot, laitteet ja palvelut. Ylimääräiset poistetaan myös BIOS-tasolla.
  • Käytössä on menettelytapa, jolla järjestelmät asennetaan järjestelmällisesti siten, että lopputuloksena on kovennettu asennus.
  • Kovennettu asennus sisältää vain sellaiset komponentit ja palvelut, sekä käyttäjien ja prosessien oikeudet, jotka ovat välttämättömiä toimintavaatimusten täyttämiseksi ja turvallisuuden varmistamiseksi.
  • Ohjelmistot, kuten käyttöjärjestelmät, sovellukset ja laiteohjelmistot, asetetaan keräämään tarvittavaa lokitietoa väärinkäytösten havaitsemiseksi.
  • Tietojärjestelmän käynnistäminen tuntemattomalta (muulta kuin ensisijaiseksi määritellyltä) laitteelta on estetty.
  • Ohjelmistot (esim. laiteohjelmistot, sovellukset) pidetään ajantasaisina .
  • Kohteen yhteydet, mukaan lukien hallintayhteydet, ovat rajattuja, kovennettuja, käyttäjätunnistettuja sekä aikarajoitettuja (istunnon aikakatkaisu).
I08: Järjestelmäkovennus
Katakri
TEK-10: Järjestelmäkovennus
Julkri
TEK-10.2: Järjestelmäkovennus - kovennusten varmistaminen koko elinkaaren ajan
Julkri
PR.PT-3: The principle of least functionality is incorporated by configuring systems to provide only essential capabilities.
CyFun
2.2.1: Establish and maintain a comprehensive security architecture
NSM ICT-SP

Päätelaitteiden tekninen tunnistaminen ennen verkkoon pääsyä (ST III-II)

Critical
High
Normal
Low

Päätelaitteet tunnistetaan teknisesti (laitetunnistus, 802.1X, tai vastaava menettely) ennen pääsyn sallimista verkkoon tai palveluun, ellei verkkoon kytkeytymistä ole fyysisen turvallisuuden menetelmin rajattu suppeaksi (esim. palvelimen sijoittaminen lukittuun laitekaappiin teknisesti suojatun viranomaisen ko. suojaustasolle hyväksymän turva-alueen sisällä).

I07: Tietojenkäsittely-ympäristön toimijoiden tunnistaminen
Katakri

Verkkolaitteiden vastuun määrittäminen

Critical
High
Normal
Low

Eri verkkolaitteille on määritetty omistajat, joiden vastuulla on varmistaa, että verkoissa käsiteltävät tiedot ja niihin liittyvät palvelut on suojattu luvattomalta pääsyltä. Vastuu verkkolaitteista on tarvittaessa erotettava muista liittyvistä vastuista.

13.1.1: Verkon hallinta
ISO27 Täysi
PR.AC-5: Network integrity
NIST
DE.CM-1: The network monitoring
NIST
8.20: Verkkoturvallisuus
ISO27k1 Täysi
DE.CM-1: The network is monitored to detect potential cybersecurity events.
CyFun

Langattoman verkon suojaaminen

Critical
High
Normal
Low

Langattoman verkon käyttö on suojattu riittävillä avaimilla ja yhteysliikenne verkon reitittimeen on salattu. Vieraskäyttöön tarkoitettu langaton verkko on eristetty yrityksen omasta sisäisestä verkosta.

13.1.2: Verkkopalvelujen turvaaminen
ISO27 Täysi
I05: Langattomat verkot
Katakri
PR.PT-4: Communications and control networks
NIST
TEK-05: Langaton tiedonsiirto
Julkri
8.21: Verkkopalvelujen turvaaminen
ISO27k1 Täysi

Verkon käyttöloki ja prosessi asiattoman verkkoliikenteen havaitsemiseen

Critical
High
Normal
Low

Verkon käytöstä syntyy asianmukaista lokia, jotta mahdollistetaan tietoturvallisuuden kannalta olennaisten toimenpiteiden havaitseminen.

Verkkoliikenteen normaali tila (liikennemäärät, protokollat ja yhteydet) on tiedossa. Poikkeamien havaitsemiseksi on olemassa menettely, jolla verkkoliikenteen normaaliin tilaan nähden eroavat tapahtumat (esimerkiksi poikkeavat yhteydet tai niiden yritykset) pyritään havaitsemaan.

12.4.1: Tapahtumien kirjaaminen
ISO27 Täysi
13.1.1: Verkon hallinta
ISO27 Täysi
I11: Poikkeamien havainnointikyky ja toipuminen
Katakri
PR.AC-3: Remote access management
NIST
PR.AC-5: Network integrity
NIST

Verkkoalueet ja verkon rakenteellisesti turvallinen suunnittelu

Critical
High
Normal
Low

Organisaation verkoille on määritelty omistaja. Omistaja vastaa verkon rakenteen suunnittelusta ja sen dokumentoinnista.

Verkon suunnittelussa käytetään tarpeen mukaan erillisiä verkkoalueita. Verkkoalueet voivat olla määritelty mm.:

  • luottamustason (esim. julkinen, työasemat, palvelin)
  • organisaatioyksiköiden (esim. HR, taloushallinto)
  • tai jonkin yhdistelmän mukaan (esim. palvelimen verkkoalue, joka on yhdistetty useisiin organisaatioyksiköihin)

Eriyttäminen voidaan toteuttaa joko fyysisesti erillisillä verkoilla tai loogisesti erillisillä verkoilla.

13.1.3: Ryhmien eriyttäminen verkossa
ISO27 Täysi
PR.AC-5: Network integrity
NIST
8.22: Verkkojen eriyttäminen
ISO27k1 Täysi
ARCHITECTURE-2: Implement Network Protections as an Element of the Cybersecurity Architecture
C2M2: MIL1
CC6.6: Logical access security measures against threats from sources outside system boundries
SOC 2

Palomuurisuojaus

Critical
High
Normal
Low

Palomuuri on ohjelmisto, joka hallinnoi yhteyksiä verkkojen (sisäiten tai ulkoisten) tai verkkosovellusten välillä. Palomuuri voidaan asettaa hyväksymään, estämään tai suodattamaan yhteksiä tiettyjen kriteerien perusteella.

Organisaation käyttämät tietojärjestelmät, niiden käyttöympäristöt sekä ulkoiset liityntäpisteet on suojattu joko tilallisella palomuurilla tai sovelluspalomuurilla.

6.6.3: Tekniset vaatimukset
Omavalvonta

Palomuurisääntöjen hallinta ja dokumentoiti

Critical
High
Normal
Low

Organisaatiolla on oltava seuraavat palomuurisäännöt asetettuna ja dokumentoituna:

  • Palomuuri oletuksena estää tulevat yhteydet
  • Palomuurisäännöt ovat hyväksytty ja dokumentoitu asianmukaisen tahon mukaan; toiminnan tarpeet sisäälytetään dokumentaatioon
  • Palomuuri poistaa sallivat säännöt pian sen jälkeen, kun niitä ei enään tarvita
FWL-02: Documenting and managing the firewall administration policies
Cyber Essentials
PR.AC-5: Network integrity (network segregation, network segmentation… ) is protected.
CyFun
2.4.1: Establish access control on as many network ports as possible
NSM ICT-SP
2.4.4: Activate firewall on all clients and servers
NSM ICT-SP
2.5.1: Control data flow between network zones
NSM ICT-SP

Palomuurien ylläpidon käytännöt

Critical
High
Normal
Low

Organisaation on vaihdettava oletusalasana, jolla kirjaudutaan palomuurien hallintajärjestelmään, johonkin vaikeasti arvattavaan salasanaan. Vaihtoehtoisesti organisaatio voi estää etäyhteyden hallittaviin järjestelmiin.

Organisaation on estettävä pääsy palomuurien hallintajärjestelmään internetistä, ellei ole selkeätä, hyvin dokumentoitua ja liiketoiminnan kannalta pakottavaa syytä siihen. Tässä tilanteessa järjestelmä tulee olla suojattu vähintään monivaiheisella tunnistautumisella - tai sallittujen IP-osoitteiden listaalla, jossa vain välttämättömät ja luotetut IP-osoitteet.

FWL-01: Firewall administration policies
Cyber Essentials
DE.CM-1: The network is monitored to detect potential cybersecurity events.
CyFun

Kohteiden etäylläpito

Critical
High
Normal
Low

Organisaation kohteiden etäylläpito ja korjaus on toteutettava niin, että se hyväksytään, lokitetaan ja suoritetaan tavalla, joka estää luvattoman pääsyn. Etäylläpidon suorittajalta täytyy vaatia monivaiheista tunnistautumista.

PR.MA-2: Asset remote management and repair
NIST
PR.MA-2: Remote maintenance of organizational assets is approved, logged, and performed in a manner that prevents unauthorized access.
CyFun

Konfiguraatioiden hallinta ja muutosloki

Critical
High
Normal
Low

Laitteiden, tietojärjestelmien ja verkkojen nykyiset kokoonpanot dokumentoidaan ja kokoonpanomuutoksista pidetään kirjaa.

Konfiguraatioiden muutoksia on valvottava, ja ne on tehtävä muutostenhallintamenettelyn kautta. Vain valtuutettu henkilöstö saa tehdä muutoksia konfiguraatioihin.

Konfiguraatiotietoihin voi sisältyä esim. seuraavat tiedot:

  • kiinteistön omistajan ja yhteyshenkilön tiedot
  • viimeisimmän konfiguraatiomuutoksen päivämäärä
  • konfiguraatiomallin versio
  • yhteydet muihin omaisuuseriin
8.9: Konfiguraationhallinta
ISO27k1 Täysi
CC7.1: Procedures for monitoring changes to configurations
SOC 2
1.2.4: Definition of responsibilities with service providers
TISAX
PR.IP-3: Configuration change control processes are in place.
CyFun
DE.CM-7: Monitoring for unauthorized personnel, connections, devices, and software is performed.
CyFun

Vakiomallien määrittäminen turvallisille konfiguraatioille

Critical
High
Normal
Low

Organisaation tulee pystyä valvomaan, että laitteita, tietojärjestelmiä sekä verkkoja ylläpidetään määriteltyjen konfiguraatioiden (ml. turvallisuusominaisuudet) mukaisina sekä käyttöönottovaiheessa että koko elinkaarensa ajan.

Tätä varten organisaatio on määritellyt vakiomallit laitteiden, tietojärjestelmien sekä verkkojen turvallisille konfiguraatioille. Vakiomalleja määritettäessä huomioidaan:

  • julkisesti saatavilla olevia ohjeita (esim. mallit toimittajilta ja riippumattomilta turvallisuusorganisaatioilta)
  • eri omaisuudelta tarvittava suojataso
  • liittyvien tietoturvavaatiusten täyttäminen
  • konfiguraatioiden toteutettavuus ja soveltuvuus organisaation toimintaan

Vakiomallit tulee tarkistaa säännöllisesti ja päivittää, kun merkittäviin uusiin uhkiin tai haavoittuvuuksiin on reagoitava tai uusia ohjelmisto- tai laiteversioita julkaistaan.

Seuraavat seikat tulee ottaa huomioon vakiomalleja määriteltäessä:

  • pääkäyttäjätason oikeuksien määrä minimoidaan
  • tarpeettomat käyttöoikeudet poistetaan käytöstä
  • tarpeettomat toiminnot ja palvelut poistetaan käytöstä
  • pääsyä tehokkaisiin apuohjelmiin ja tärkeisiin asetuksiin valvotaan tarkasti
  • kellot synkronoidaan
  • toimittajan oletussalasanat muutetaan välittömästi ja turvallisuuteen liittyvät asetukset tarkistetaan
  • aikakatkaisutoimintoja käytetään tarvittaessa (esim. automaattinen uloskirjautuminen)
  • lisenssivaatimuksia noudatetaan
8.9: Konfiguraationhallinta
ISO27k1 Täysi
ASSET-3: Manage IT and OT Asset Configuration
C2M2: MIL1
CC7.1: Procedures for monitoring changes to configurations
SOC 2
1.2.4: Definition of responsibilities with service providers
TISAX
5.3.2: Network device requirements
TISAX

Etäkäyttö turvallisuuden lisävaatimkset (TL III)

Critical
High
Normal
Low

Kansallisten turvallisuusluokan III sähköisten tietojen etäkäyttö (käsittely) ja säilytys on mahdollista kyseisen turvallisuusluokan mukaisessa päätelaitteessa turva-alueiden ulkopuolella edellyttäen, että

  • tiedot on suojattu ko. turvallisuusluokalle riittävän turvallisella salausratkaisulla, ja että
  • päätelaitteen tietoturvallisuudesta, erityisesti ko. turvallisuusluokalle edellytettävästä luottamuksellisuudesta ja eheydestä on huolehdittu riittävin menettelyin.
TEK-18.7: Etäkäyttö - TL III
Julkri
I-18: TURVALLISUUSLUOKITELTUJEN TIETOJEN VÄLITYS JA KÄSITTELY FYYSISESTI SUOJATTUJEN ALUEIDEN VÄLILLÄ - ETÄKÄYTTÖ JA ETÄHALLINTA
Katakri 2020

Laitetunnistus etäkäytön yhteydessä (TL III)

Critical
High
Normal
Low

Turvallisuusluokkien III ja II käsittely-ympäristöissä sekä muissa kriittisissä käsittely-ympäristöissä edellytetään käytön teknistä sitomista hyväksyttyyn etäkäyttölaitteistoon (esim. laitetunnistus).

TEK-18.6: Etäkäyttö - laitetunnistus - TL III
Julkri
I-18: TURVALLISUUSLUOKITELTUJEN TIETOJEN VÄLITYS JA KÄSITTELY FYYSISESTI SUOJATTUJEN ALUEIDEN VÄLILLÄ - ETÄKÄYTTÖ JA ETÄHALLINTA
Katakri 2020

Järjestelmäkovennus turvallisuusluokitelluissa ympäristöissä (TL III)

Critical
High
Normal
Low

Erityisesti korkeimpien turvallisuusluokkien ympäristöissä tarpeettomien komponenttien käytönesto on usein perusteltua toteuttaa fyysisesti kyseiset komponentit (esimerkiksi langattomat verkkokortit, kamerat, mikrofonit) laitteesta irrottaen. Tilanteissa, joissa kyseistä komponenttia ei voida fyysisesti irrottaa, korvaavana suojauksena voi joissain tapauksissa hyödyntää esimerkiksi kameroiden teippaamista sekä laitteiston ohjelmallista käytöstäpoistoa sekä käyttäjäasetus-, käyttöjärjestelmä- ja laiteohjelmistotasoilla. Joissain käyttöjärjestelmissä suojausta voidaan täydentää myös poistamalla kyseisen laitteen käyttöön liittyvät ohjelmisto-osiot (kernel module).

Turvallisuusluokkien III-II käsittely-ympäristöissä vaatimus tulee huomioida kovennusohjeiden mahdollisesti sisältämät tasot sekä useiden eri kovennusohjeiden, kuten esimerkiksi valmistajakohtaiset ohjeet, CIS Benchmark ja DISA STIG, hyödyntäminen kovennusten kattavuuden varmistamisessa

TEK-10.3: Järjestelmäkovennus - turvallisuusluokitellut ympäristöt - TL III
Julkri
I-08: VÄHIMMÄISTOIMINTOJEN JA VÄHIMPIEN OIKEUKSIEN PERIAATE – JÄRJESTELMÄKOVENNUS
Katakri 2020

Verkon rakenteellinen turvallisuus TL I -luokan ympäristöissä (TL I)

Critical
High
Normal
Low

Lähtökohtaisesti turvallisuusluokan I tietojenkäsittely-ympäristöt suositellaan pidettäväksi fyysisesti eriytettyinä kaikista muista ympäristöistä. Tyypillisenä toteutustapana on fyysisellä turva-alueella, hajasäteilysuojatussa tilassa tapahtuva kaikista muista ympäristöistä fyysisesti eriytetty tietojenkäsittely tähän tarkoitukseen varatulla päätelaitteella. Toteutustapana voi olla myös vastaavasti turva-alueella hajasäteilysuojattuun tilaan fyysisesti sijoitettu ja muista ympäristöistä fyysisesti eriytetty päätelaitteista, niitä yhdistävästä paikallisesta verkosta ja tähän tarkoitukseen varatusta erillistulostimesta koostuva tietojenkäsittely-ympäristö.

Tiedonsiirto fyysisesti eriytettyihin ympäristöihin tulee toteuttaa siten, että riski turvallisuusluokan I tiedon kulkeutumiseen matalamman turvallisuusluokan ympäristöön saatetaan mahdollisimman pieneksi.

TEK-01.7: Verkon rakenteellinen turvallisuus - käsittely - TL I
Julkri
I-01: TIETOJENKÄSITTELY-YMPÄRISTÖJEN SUOJATTU YHTEENLIITTÄMINEN – VERKON RAKENTEELLINEN TURVALLISUUS
Katakri 2020

Verkon rakenteellinen turvallisuus TL II -luokan ympäristöissä (TL II)

Critical
High
Normal
Low

Turvallisuusluokan II käsittely-ympäristöt ovat lähtökohtaisesti fyysisesti eristettyjä kokonaisuuksia.

Turvallisuusluokan ylittävä liikennöinti voidaan sallia vain datadiodien tai v astaavien OSI-mallin fyysisellä kerroksella toimivien yksisuuntaisten yhdyskäytäväratkaisujen kautta.

TEK-01.6: Verkon rakenteellinen turvallisuus - käsittely - TL II
Julkri
I-01: TIETOJENKÄSITTELY-YMPÄRISTÖJEN SUOJATTU YHTEENLIITTÄMINEN – VERKON RAKENTEELLINEN TURVALLISUUS
Katakri 2020

Tietojenkäsittely-ympäristöjen yhdistäminen yhdyskäytäväratkaisulla (TL III)

Critical
High
Normal
Low

Tietojenkäsittely-ympäristön kytkeminen muiden turvallisuusluokkien ympäristöihin edellyttää riittävän turvallisen yhdyskäytäväratkaisun käyttöä.

Tietojenkäsittely-ympäristöjen oletetaan lähtökohtaisesti olevan toisilleen ei-luotettuja myös tilanteissa, joissa yhdistetään eri organisaatioiden hallinnoimia tietojenkäsittely-ympäristöjä toisiinsa. Saman turvallisuusluokan käsittely-ympäristöjä voidaan liittää toisiinsa ko. turvallisuusluokalle riittävän turvallisen salausratkaisun avulla (esimerkiksi organisaation eri toimipisteiden ko. turvallisuusluokan käsittely-ympäristöjen yhteenliittäminen julkisen verkon ylitse).

TEK-01.5: Verkon rakenteellinen turvallisuus - yhdyskäytäväratkaisun käyttö - TL III
Julkri

Kasautumisvaikutuksen huomiointi tietojenkäsittely-ympäristön suojauksessa

Critical
High
Normal
Low

Kun kohteen keskeisen tietovarannon turvallisuusluokka tulkitaan kasautumisvaikutuksesta johtuen yksittäisten tietojen tasoa korkeammaksi, tulee tietovarannolle määritellyt suojausmenetelmät toteuttaa korkeamman tason vaatimusten mukaisesti.

Määritellyillä suojausmenetelmillä tarkoitetaan menetelmiä, joilla rajataan pääsy vain tehtävässä tarvittavaan yksittäiseen tai suppeaan osaan tietosisällöstä ja havaitaan yritykset päästä valtuuttamattomasti käsiksi laajempaan osaan tietosisällöstä.

TEK-06: Kasautumisvaikutus
Julkri

Vähimpien oikeuksien periaate verkkojen vyöhykkeistämisessä

Critical
High
Normal
Low

Tietoliikenneverkon vyöhykkeistäminen ja suodatussäännöstöt on toteutettava vähimpien oikeuksien periaatteen mukaisesti ko. turvaluokan sisällä.

Turvallisuusluokkien IV-II käsittely-ympäristöissä vaatimus voidaan täyttää siten, että toteutetaan aiemmin mainittujen toimenpiteiden lisäksi:

4) Verkko-alueiden välistä liikennettä valvotaan ja rajoitetaan siten, että vain erikseen hyväksytty, toiminnalle välttämätön liikennöinti sallitaan (default-deny).

TEK-02.1: Tietoliikenne-verkon vyöhykkeistäminen - vähimpien oikeuksien periaate
Julkri
I-02: VÄHIMPIEN OIKEUKSIEN PERIAATE - TIETOLIIKENNE-VERKON VYÖHYKKEISTÄMINEN JA SUODATUSSÄÄNNÖSTÖT KO. TURVALLISUUSLUOKAN SISÄLLÄ
Katakri 2020

Tietojenkäsittely-ympäristöjen erottelu

Critical
High
Normal
Low

Turvallisuusluokittelemattoman salassa pidettävän tiedon sekä myös turvallisuusluokan IV tietojenkäsittely-ympäristön yhdistäminen eri turvallisuusluokan ympäristöihin voidaan toteuttaa palomuuriratkaisuilla ja rajaamalla riskialttiiden alemman turvallisuusluokan ympäristöä käyttävien palvelujen (web-selailu, Internetin kautta reitittyvä sähköposti, ja vastaavat) liikenne kulkemaan erillisten sisältöä suodattavien välityspalvelinten kautta.

Turvallisuusluokittelemattoman salassa pidettävän sekä myös turvallisuusluokan IV käsittely-ympäristöjä on mahdollista kytkeä Internetiin ja muihin ei-luotettuihin verkkoihin, edellyttäen että kytkennän tuomia riskejä pystytään muilla suojauksilla pienentämään riittävästi. Internet-kytkentäisyyden tuomien riskien pienentäminen turvallisuusluokittelemattomalle salassa pidettävälle tiedolle sekä turvallisuusluokalle IV edellyttää erityisesti ohjelmistopäivityksistä huolehtimista, vähimpien oikeuksien periaatteen mukaisia käyttöoikeuksia, järjestelmäkovennuksia sekä kykyä poikkeamien havainnointiin ja korjaaviin toimiin.

Tyypillinen käyttötapa turvallisuusluokittelemattoman salassa pidettävän tai/ja turvallisuusluokan IV käsittely-ympäristölle on organisaation rajattu tietojenkäsittely-ympäristön osa, joka voi muodostua esimerkiksi päätelaitepalveluista, sovelluspalveluista, tietoliikennepalveluista sekä niiden suojaamiseen liittyvistä järjestelyistä.

TEK-01.3: Verkon rakenteellinen turvallisuus - käsittely-ympäristöjen erottaminen
Julkri

Tietojenkäsittely-ympäristöjen erottelu palomuurilla

Critical
High
Normal
Low

Tietojenkäsittely-ympäristön kytkeminen muiden turvallisuustasojen ympäristöihin edellyttää vähintään palomuuriratkaisun käyttöä.

TEK-01.2: Verkon rakenteellinen turvallisuus - palomuuri
Julkri

Verkon rakenteellinen turvallisuus

Critical
High
Normal
Low

Tietojenkäsittely-ympäristö on erotettu julkisista tietoverkoista ja muista heikomman turvallisuustason ympäristöistä riittävän turvallisella tavalla.

Tietojärjestelmien erottelu on eräs vaikuttavimmista tekijöistä salassa pidettävän tiedon suojaamisessa. Erottelun tavoitteena on rajata salassa pidettävän tiedon käsittely-ympäristö hallittavaksi kokonaisuudeksi, ja erityisesti pystyä rajaamaan salassa pidettävän tiedon käsittely vain riittävän turvallisiin ympäristöihin. Ympäristöjen erottelu voidaan toteuttaa esimerkiksi palomuuriratkaisun avulla.

TEK-01: Verkon rakenteellinen turvallisuus
Julkri
ARCHITECTURE-2: Implement Network Protections as an Element of the Cybersecurity Architecture
C2M2: MIL1
PR.AC-5: Network integrity (network segregation, network segmentation… ) is protected.
CyFun
2.2.3: Segment the organisation’s network in accordance with its risk profile
NSM ICT-SP
2.3.10: Reduce the risk posed by IoT devices
NSM ICT-SP

Normaalin verkkoliikenteen kuvaus

Critical
High
Normal
Low

Normaali verkkoliikenne on kuvattu ja sen kuvausta ylläpidetään poikkeamien havaitsemiseksi. Kuvaus tulee päivittää kun:

  • Organisaation määrittämän aikavälin välein
  • Kun se on tarpeen organisaation määrittämien tilanteiden mukaan
  • Kun järjestelmiin tulee muutoksia
DE.AE-1: Baseline of network operations
NIST
DE.AE-1: A baseline of network operations and expected data flows for users and systems is established and managed.
CyFun

Etäyhteyksien hallinta

Critical
High
Normal
Low

Organisaation on huolehdittava, että etäyhteyksien valvonta ja hallinta on automatisoitu, etäyhteydet on suojattu salauksella niiden eheyden ja luotettavuuden varmistamiseksi ja etäyhteydet kulkevat vain hyväksyttyjen ja hallittujen NAC (Network access control) kautta.

Organisaation on myös mahdollistettava etäyhteyksien sulkeminen määritellyssä ajassa.

PR.AC-3: Remote access management
NIST
I-18: TURVALLISUUSLUOKITELTUJEN TIETOJEN VÄLITYS JA KÄSITTELY FYYSISESTI SUOJATTUJEN ALUEIDEN VÄLILLÄ - ETÄKÄYTTÖ JA ETÄHALLINTA
Katakri 2020
5.1.2: Information transfer
TISAX
PR.AC-3: Remote access is managed.
CyFun
PR.MA-2: Remote maintenance of organizational assets is approved, logged, and performed in a manner that prevents unauthorized access.
CyFun

Verkon pääsytasojen eriyttäminen tarjottujen digipalvelujen näkökulmasta

Critical
High
Normal
Low

Verkkojen erottelua käytetään jakamaan verkot pienempiin osiin (kutsutaan aliverkoiksi tai segmenteiksi). Päätarkoituksena on saavuttaa pienimmän oikeuden periaate rajoittamalla pääsyä esim. käyttäjälle tai mille tahansa tietylle laitteelle.

Pilvipalveluita tarjoaessaan organisaation tulee ottaa käyttöön verkkoyhteyksien erottelu, jotta:

  • Asiakkaat ovat erillään useita asiakkaita sisältävässä ympäristöissä
  • Erota vahvasti palveluntarjoajan oma sisäinen hallintoympäristö ja asiakkaiden pilvilaskentaympäristö

Organisaation tulee pystyä auttamaan asiakasta varmistamaan erottelun toteutus.

PR.AC-5: Network integrity
NIST
13.1.3: Ryhmien eriyttäminen verkossa
ISO 27017
2.2.3: Segment the organisation’s network in accordance with its risk profile
NSM ICT-SP

Todennettujen välityspalvelimien käyttöönotto kriittisissä järjestelmissä

Critical
High
Normal
Low

Organisaatio ottaa käyttöönsä todennettuja välityspalvelimia hallitsemaan ja suojaamaan organisaation kriittisten järjestelmien ja ulkoisten verkkojen välistä tietoliikennettä. Tarkastele nykyistä verkkoarkkitehtuuria, tunnista viestintäkanavat, jotka yhdistävät kriittiset järjestelmät ulkoisiin yksiköihin, ja ota käyttöön välityspalvelimet, jos se on mahdollista. Liikenteen suojaamisessa tulisi käyttää turvallisia todennusprotokollia.

PR.AC-5: Network integrity (network segregation, network segmentation… ) is protected.
CyFun

Kriittisten järjestelmien suojaaminen palvelunestohyökkäyksiltä (DoS)

Critical
High
Normal
Low

Organisaation on toteutettava toimenpiteitä, joilla organisaation kriittiset järjestelmät suojataan palvelunestohyökkäyksiltä (Denial-of-Service) tai ainakin rajoitetaan niiden vaikutusta. Esimerkkejä keinoista:

  • Järjestelmien nykyisten haavoittuvuuksien tarkistaminen
  • DoS-iskujen torjuntaratkaisujen, kuten palomuurien, tunkeutumisen havaitsemisjärjestelmien ja liikenteen suodatuksen, käyttöönotto.
  • pilvipohjaisten DoS-suojauspalvelujen käyttö
  • Nopeuden rajoittamisen määrittäminen ja liikennemallien seuranta poikkeamien varalta.
  • Reagointisuunnitelman laatiminen DoS-hyökkäyksiin reagoimiseksi nopeasti ja niiden vaikutusten lieventämiseksi.
PR.DS-4: Adequate capacity to ensure availability is maintained.
CyFun

IoT-laitteiden turvallinen käyttöönotto

Critical
High
Normal
Low

Luo IoT-laitteiden käyttöönottoa koskeva suunnitelma, joka sisältää turvallisuusnäkökohdat ja riskinarvioinnit. Tähän sisältyy esimerkiksi laitteen käyttämän pilviympäristön arviointi.

Eristä IoT-laitteet erillisille verkkoalueille ja pohdi niiden sijaintia laitteiden luvattoman fyysisen käytön kannalta.

2.3.10: Reduce the risk posed by IoT devices
NSM ICT-SP

ICT-järjestelmän osien valvonta

Critical
High
Normal
Low

Organisaation on päätettävä, mitä ICT-järjestelmän osia sen on valvottava. Näitä voivat olla esimerkiksi

  • Järjestelmän kriittisimmät osat tai osat, jotka sisältävät eniten luottamuksellista tietoa.
  • Laitteiden käyttöjärjestelmät
  • Sisäiset portit, joiden kautta tiedot kulkevat
  • Sisäisten ja ulkoisten järjestelmien väliset yhdyskäytävät, esimerkiksi Internetiin.
  • Tietojärjestelmissä olevat tietoturvatuotteet (esim. AVS, IDS, IPS, FW jne.).
  • Varmuuskopiointi- ja palautusjärjestelmät

Ihannetapauksessa organisaatioin tietoturvaan liittyvä seuranta kattaisi mahdollisimman suuren osan ICT-järjestelmää. Tämä helpottaa luvattomien toimien, tietoturvaloukkausten ja tietoturvauhkien tunnistamista mahdollisimman varhaisessa vaiheessa.

3.2.3: Decide which parts of the ICT system to monitor
NSM ICT-SP

Suojaa kriittiset palvelut omilla tietovirroillaan

Critical
High
Normal
Low

Suojaa erityisen kriittiset palvelut omilla tietovirroillaan. Harkitse, mitkä palvelut ovat erityisen kriittisiä, esim. varmuuskopiointipalvelut, ja näille kriittisille palveluille on laadittava omat tietovirtasäännöt.

2.5.6: Protect particularly critical services with their own data flow
NSM ICT-SP

Paljastettujen palvelujen tietovirran hallinta

Critical
High
Normal
Low

Hallitse erityisesti paljastettujen palveluiden tietovirtaa. Paljastettuja palveluita, esimerkiksi verkkopalveluita ja sähköpostipalveluita, joissa on ulkoista sisältöä käyttäjille, on valvottava tiukasti.

2.5.5: Control the data flow of especially exposed services
NSM ICT-SP

Estä kaikki suora liikenne asiakasohjelmien välillä

Critical
High
Normal
Low

Block all direct traffic between clients. Applications requiring peer-to-peer should instead use a server service. Alternatively, reduce direct traffic between clients to an absolute minimum based on what is needed for work purposes.

2.5.3: Block all direct traffic between clients
NSM ICT-SP

Konfiguraatioiden ylläpidon, asennuksien ja operaatioiden turvallisuus

Critical
High
Normal
Low

Varmista, että konfiguraatioiden ylläpito, asennukset ja toiminnot tehdään turvallisesti. Tähän kuuluvat seuraavat asiat:

  • Hallintatoimintojen suorittaminen luotetuissa kanavissa
  • Harkitse luotetun TLS:n asentamista (mieluiten sisäisesti myönnetty) mahdollisimman moniin järjestelmänvalvojan käyttöliittymiin ja vältä järjestelmänvalvojan käyttöliittymien altistamista Internetille.
  • Vähennä interaktiivisia kirjautumisia suoraan palvelimille


2.3.6: Ensure that maintenance of all configurations, installations and operations are done securely
NSM ICT-SP

Eristä kriittisimmät aliverkot fyysisesti

Critical
High
Normal
Low

Kriittisimmät aliverkot on eristettävä fyysisesti. Lisäksi on harkittava, onko erityisen herkät aliverkot eristettävä fyysisesti.

2.2.4: Physically isolate the most critical subnets
NSM ICT-SP

Konfiguraatioiden valvonta

Critical
High
Normal
Low

Konfiguraatioita olisi valvottava kattavilla järjestelmänhallintatyökaluilla (esim. ylläpito-apuohjelmat, etätuki, yrityksen hallintatyökalut, varmuuskopiointi- ja palautusohjelmistot), ja ne olisi tarkistettava säännöllisesti asetusten, salasanojen vahvuuden ja suoritettujen toimintojen arvioimiseksi. Todellisia kokoonpanoja voidaan verrata määriteltyihin tavoitemalleihin. Mahdolliset poikkeamat on käsiteltävä joko automaattisesti tai manuaalisesti.

Kaikki luvattomat muutokset on korjattava ja niiden syyt on selvitettävä ja niistä on ilmoitettava.

8.9: Konfiguraationhallinta
ISO27k1 Täysi
1.2.4: Definition of responsibilities with service providers
TISAX
DE.CM-7: Monitoring for unauthorized personnel, connections, devices, and software is performed.
CyFun
2.3.4: Establish and maintain standard security configurations
NSM ICT-SP
2.3.5: Verify that activated security configurations comply with the organisation’s approved security configurations
NSM ICT-SP

Järjestelmien koventaminen käytössä olevien palveluiden minimoinnilla

Critical
High
Normal
Low

Järjestelmissä otetaan käyttöön vain toimintavaatimusten täyttämiseksi ja turvallisuuden varmistamiseksi välttämättömät komponentit, palvelut sekä käyttäjien ja prosessien oikeudet.

TEK-10.1: Järjestelmäkovennus - käytössä olevien palveluiden minimointi
Julkri
I-08: VÄHIMMÄISTOIMINTOJEN JA VÄHIMPIEN OIKEUKSIEN PERIAATE – JÄRJESTELMÄKOVENNUS
Katakri 2020

Yksityiskohtaiset menettelyt verkkojen hallintaa, valvontaa ja segmentointia varten

Critical
High
Normal
Low

Organisaation on kehitettävä ja dokumentoitava selkeät menettelyt verkkojen hallintaa ja valvontaa varten sekä varmistettava johdonmukaisuus kaikissa verkkotoiminnoissa.

Organisaation tulisi ottaa huomioon seuraavat näkökulmat verkon segmentoinnissa:

  • Rajoitusten asettaminen tietojärjestelmien liittämiselle verkkoon riskinarviointien perusteella.
  • Tietoturvatekniikoiden toteutus, jotka täyttävät organisaation erityiset tietoturvavaatimukset.
  • Varmistetaan, että suorituskyky, luottamus, saatavuus, turvallisuus ja suojaus asetetaan etusijalle kaikissa verkonhallintaa koskevissa päätöksissä.
  • Määritellään strategiat vaikutusten rajoittamiseksi, jos tietojärjestelmät ovat vaarassa, ja keskitytään nopeaan torjuntaan.
  • Integroidaan mekanismeja mahdollisten hyökkäysten ja hyökkääjien lateraalisen liikkumisen havaitsemiseksi verkon eri segmenttien välillä.
  • Eri käyttötarkoituksia (esim. testaus/kehitys, toimisto, valmistus) palvelevien verkkojen erottaminen toisistaan ristikkäisten verkkoriskien estämiseksi.
  • Puututaan lisääntyneeseen riskiin, joka aiheutuu Internetin kautta saatavilla olevista verkkopalveluista, erityisesti ulkoisiin palveluihin suuntautuvista palveluista.
  • Käytetään teknologiakohtaisia erotteluvaihtoehtoja, kun ulkoiset IT-palvelut ovat käytössä riskien vähentämiseksi.
  • Varmistetaan omien verkkojen ja asiakasverkkojen riittävä erottelu asiakkaan vaatimusten mukaisesti.
  • Toteutetaan toimenpiteitä tietojen katoamisen tai vuotamisen havaitsemiseksi ja estämiseksi sekä varmistetaan arkaluonteisten tietojen suojaus.
5.2.7: Network management
TISAX

Verkkojen redundanssiratkaisut

Critical
High
Normal
Low

Organisaation olisi varmistettava, että sen verkossa on riittävästi redundanssia. Seuraavat näkökohdat olisi otettava huomioon:

  • Useita Internet-palveluntarjoajia (ISP)
  • tarpeettomat verkkoyhteydet
  • Redundantit verkkolaitteet (useita kytkimiä, reitittimiä ja muita laitteita sekä verkon kuormituksen tasaajien käyttö).
  • Virran katkeamattomuus (UPS)
5.3.2: Network device requirements
TISAX

Eristä haavoittuvat ja alhaisen luoton laitteet

Critical
High
Normal
Low

Eristä haavoittuvat ja alhaisen luoton laitteet, esimerkiksi vanhentuneet sovellukset, vanhat palvelimet, joiden käyttöjärjestelmä ei ole tuettu, ja tulostimet, joiden tietoturva-asetukset ovat huonot ja joista puuttuvat tietoturvapäivitykset.

2.5.4: Isolate vulnerable and low-trust equipment
NSM ICT-SP