Päätelaitteiden tietoturvanhallintajärjestelmän käyttö (Endpoint security management system)

Critical
High
Normal
Low

Päätelaitteiden tietoturvanhallintajärjestelmän avulla voidaan vaatia päätelaitteilta haluttuja kriteerejä, ennen kuin niille sallitaan yhteys verkon resursseihin. Päätelaitteet voivat olla kannettavia tietokoneita, älypuhelimia, tabletteja tai alakohtaista erikoislaitteistoa.

Kriteerejä verkkoresurssien käytölle voivat olla mm. hyväksytty käyttöjärjestelmä, VPN- ja antivirus-järjestelmät sekä näiden päivitysten ajantasaisuus.

Liittyvät muut vaatimuskehikot ja vaatimukset:
6.2.1: Mobile device policy
ISO 27001
13.1.1: Network controls
ISO 27001

Ohjelmistopalomuurin käyttö päätelaitteilla

Critical
High
Normal
Low

Organisaation kaikkien päätelaitteiden suojana tulisi olla oikein konfiguroitu ohjelmistopalomuuri, joka tarkkailee liikennettä, hyväksyy säännöt täyttävän liikenteen sekä toteuttaa käyttäjien valvontaa.

Palomuuri suojaa haittaohjelmilta ja hyökkäyksiltä, jotka tulevat organisaation verkon sisä- tai ulkopuolelta.

Liittyvät muut vaatimuskehikot ja vaatimukset:
9.3 (MIL1): Implement IT and OT Asset Security as an Element of the Cybersecurity Architecture
C2M2

Päätelaitteilla sallittujen sovellusten listaus ja valvonta

Critical
High
Normal
Low

Organisaatiolla on oltava lista hyväksytyistä sovelluksista sekä sovellusten lähteistä, joita saa käyttää organisaation päätelaitteella.

Organisaation tulisi mahdollisuuksien mukaan toteuttaa sallittujen sovellusten valvonta automatisoidusti esimerkiksi mobiililaitteiden hallintajärjestelmässä määriteltyjen käytäntöjen kautta.

Liittyvät muut vaatimuskehikot ja vaatimukset:
9.3 (MIL1): Implement IT and OT Asset Security as an Element of the Cybersecurity Architecture
C2M2

Fyysisen pääsyn jatkuva valvonta kriittisiin tiloihin

Critical
High
Normal
Low

Pääsyä kriittisiä järjestelmiä sisältäviin rakennuksiin tulee valvoa jatkuvasti luvattoman pääsyn tai epäilyttävän toiminnan havaitsemiseksi. Valvontakäytännöissä tulisi huomioida seuraavat asiat:

  • tunkeutumishälytyksen aiheuttavat kosketus-, ääni- tai liiketunnistimet
  • ulko-ovien ja ikkunoiden peitto tunnistimia käyttämällä
  • henkilöstöttömien sekä muuten tärkeiden (mm. palvelin- tai viestintäteknologia) tilojen valvonta 
  • hälytysjärjestelmien säännöllinen testaus

Valvontajärjestelmiin liittyvien tietojen tulee olla luottamuksellisia, koska tietojen paljastaminen voi helpottaa havaitsemattomia murtoja. Valvontajärjestelmät itsessään tulee myös suojata asiallisesti, jottei tallenteisiin tai järjestelmän tilaan pääse vaikuttamaan luvatta.

Liittyvät muut vaatimuskehikot ja vaatimukset:
7.4: Fyysisen turvallisuuden valvonta
ISO 27001
9.3 (MIL1): Implement IT and OT Asset Security as an Element of the Cybersecurity Architecture
C2M2

Strategia kyberturvallisuusarkkitehtuurille

Critical
High
Normal
Low

Organisaatiolla on oltava strategia kyberturvallisuusarkkitehtuurin kehittämiselle ja ylläpidolle.

Strategian on sovittava yhteen organisaation kyberturvallisuusohjelman ja organisaation arkkitehtuurin kanssa.

Arkkitehtuuriin on sisällytettävä:

  • Tietoverkkojen turvallisuustoimet
  • Tieto-omaisuuden suojaaminen
  • Sovellusturvallisuus
  • Tietosuojan toteuttaminen
Liittyvät muut vaatimuskehikot ja vaatimukset:
9.1 (MIL1): Establish and Maintain Cybersecurity Architecture Strategy and Program
C2M2
9.2 (MIL1): Implement Network Protections as an Element of the Cybersecurity Architecture
C2M2
No items found.