Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Verkkolaitteiden vastuun määrittäminen

Critical
High
Normal
Low

Eri verkkolaitteille on määritetty omistajat, joiden vastuulla on varmistaa, että verkoissa käsiteltävät tiedot ja niihin liittyvät palvelut on suojattu luvattomalta pääsyltä. Vastuu verkkolaitteista on tarvittaessa erotettava muista liittyvistä vastuista.

Liittyvät muut vaatimuskehikot ja vaatimukset:
13.1.1: Network controls
ISO 27001
PR.AC-5: Network integrity
NIST

Päätelaitteiden tietoturvanhallintajärjestelmän käyttö (Endpoint security management system)

Critical
High
Normal
Low

Päätelaitteiden tietoturvanhallintajärjestelmän avulla voidaan vaatia päätelaitteilta haluttuja kriteerejä, ennen kuin niille sallitaan yhteys verkon resursseihin. Päätelaitteet voivat olla kannettavia tietokoneita, älypuhelimia, tabletteja tai alakohtaista erikoislaitteistoa.

Kriteerejä verkkoresurssien käytölle voivat olla mm. hyväksytty käyttöjärjestelmä, VPN- ja antivirus-järjestelmät sekä näiden päivitysten ajantasaisuus.

Liittyvät muut vaatimuskehikot ja vaatimukset:
13.1.1: Network controls
ISO 27001
6.2.1: Mobile device policy
ISO 27001

Verkon käyttöloki ja prosessi asiattoman verkkoliikenteen havaitsemiseen

Critical
High
Normal
Low

Verkon käytöstä syntyy asianmukaista lokia, jotta mahdollistetaan tietoturvallisuuden kannalta olennaisten toimenpiteiden havaitseminen.

Verkkoliikenteen normaali tila (liikennemäärät, protokollat ja yhteydet) on tiedossa. Poikkeamien havaitsemiseksi on olemassa menettely, jolla verkkoliikenteen normaaliin tilaan nähden eroavat tapahtumat (esimerkiksi poikkeavat yhteydet tai niiden yritykset) pyritään havaitsemaan.

Liittyvät muut vaatimuskehikot ja vaatimukset:
I11: Poikkeamien havainnointikyky ja toipuminen
Katakri
12.4.1: Event logging
ISO 27001

Luottamuksellisia tietoja koskevien latausten estäminen ulkopuolisissa verkoissa

Critical
High
Normal
Low

Usein työntekijöiden halutaan pääsevän tietojärjestelmiin käsiksi mahdollisimman helposti - mistä ja milloin vain. Tietojen suojaamiseksi voidaan kuitenkin haluta estää tietojen paikallinen lataaminen itse ylläpidetyn verkon ulkopuolella, koska ei voida olla varmoja verkon turvallisuudesta.

Liittyvät muut vaatimuskehikot ja vaatimukset:
13.1.1: Network controls
ISO 27001
13.2.1: Information transfer policies and procedures
ISO 27001
No items found.