Häiriöiden ilmoittamiseen ylläpidetään prosessia, joka auttaa henkilöstöä ilmoittamaan häiriöistä tehokkaasti ja johdonmukaisesti.

Häiriönä ilmoitettavia asioita ovat mm.:

• luvaton pääsy tietoihin / tiloihin
• tietoturvaohjeiden vastainen toiminta
• epäilty tietoturvaongelma (esim. tietojenkalastelu, haittaohjelmatartunta)
• tietojärjestelmän käyttökatko
• tietojen tuhoutuminen / muuttuminen vahingossa tai tahallaan
• kadonnut tai varastettu laite
• vaarantunut salasana
• kadonnut fyysinen tunniste (esim. avaimenperä, älykortti, älytarra)
• epäilty tietoturvaheikkous (esim. käytetyssä tietojärjestelmässä tai muissa toimintatavoissa)

Henkilöstön ohjeissa korostetaan velvollisuutta raportoida tietoturvahäiriöistä mahdollisimman pian sovitun prosessin mukaisesti. Ohjeistus kuvaa myös muun toiminnan häiriön tapauksessa (mm. virheilmoitusten ja muiden yksityiskohtien kirjaaminen ylös).

Järjestelmälokien kehityksen tulee pysyä järjestemän kehityksen mukana ja mahdollistaa esim. tarvittava häriötilanteiden selvitys. Kuvaamme tietojärjestelmälistauksen yhteydessä, minkä järjestelmien suhteen vastuu lokituksen toteutuksesta on itsellämme. Näiden järjestelmien suhteen dokumentoimme:

• mitä tietoja lokiin tallentuu
• kuinka pitkään lokin tiedot säilytetään

Organisaation on annettava yhteystiedot tarjottujen tuotteiden tai järjestelmien haavoittuvuuksien ilmoittamista varten. Yhteystietojen olisi sisällettävä viestintäväline, osoite haavoittuvuusilmoitusten lähettämistä varten tai molemmat.

Organisaatiolla on oltava menettely, jolla tapahtumalokit tarkastetaan sääntöjen rikkomisen ja muiden havaittavien ongelmien varalta lakisääteisten ja organisatoristen määräysten mukaisesti.

Organisaation on myös suojattava tapahtumalokien eheys (esim. erillisellä ympäristöllä).

Organisaation on määriteltävä, millaisia tietoturvatapahtumia se seuraa ja millä toimintatavoilla.

Tietoturvatapahtumia tulisi seurata useista eri lähteistä, joiden avulla tärkeä, reagointia vaativat mahdolliset häiriöt voidaan tunnistaa. Tietoa voidaan saada mm. suoraan hallintajärjestelmästä, ulkoisilta kumppaneilta tai organisaation laitteiden tuottamista lokeista.

Esimerkkejä seurattavista tietoturvatapahtumista voivat olla mm.:

1. Palvelimen hidas toiminta
2. Toistuvat kirjautumisvirheet
3. Tuntemattomat kirjautumisyritykset
4. Poikkeuksellinen verkkoliikenne
5. Tallennustilan loppuminen
6. Muutokset koodiprojekteissa
7. Konfiguraatiomuutokset palomuurilla
8. Käyttöoikeusmuutokset kriittisiin järjestelmiin / palvelimiin / tietokantoihin
9. Isot tietokantalataukset
10. Luvattomat ohjelmistoasennukset päätelaitteille
11. Liikenne haitalliseksi tiedetyistä IP-osoitteista

Organisaation on kuvattava verkon ja tietojärjestelmien käytön normaalitila, jota käytetään lähtökohtana poikkeavuuksien tunnistamisessa. 

Normaalitilaa määritettäessä on otettava huomioon seuraavat asiat:

• tietojärjestelmien käytön valvonta sekä normaali- että ruuhka-aikoina
• tavalliset käyttöajat, käyttöpaikat sekä käyttötiheys kunkin käyttäjän ja käyttäjäryhmän osalta

Valvontajärjestelmät on konfiguroitava normaalitilaa vasten, jotta voidaan tunnistaa poikkeava käyttäytyminen, kuten:

• järjestelmien tai prosessien suunnittelematon lopettaminen
• haittaohjelmiin tai haitallisiin IP-osoitteisiin tai verkkotunnuksiin liittyvä liikenne
• tunnetut hyökkäysominaisuudet (esim. palvelunesto tai buffer overflow)
• epätavallinen järjestelmäkäyttö (esim. näppäinpainallusten lokitus)
• pullonkaulat ja ylikuormitukset (esim. verkon jonot, latenssitasot)
• luvaton pääsy (todellinen tai yritys) järjestelmiin tai tietoihin
• tietojärjestelmien ja verkkojen luvaton skannaus
• onnistuneet ja epäonnistuneet yritykset käyttää suojattuja resursseja (esim. DNS-palvelimia, verkkoportaaleja ja tiedostojärjestelmiä)
• epätavallinen käyttäjien ja järjestelmän käyttäytyminen

Organisaation on oltava selvillä eri tietojärjestelmien käytöstä kertyvistä tapahtumalokeista, olipa lokien tuottaminen omalla tai järjestelmätoimittajan vastuulla. Lokeihin tallentuvat käyttäjien suorittamat toiminnot sekä tapahtuneet poikkeamat, virheet ja tietoturvatapahtumat.

Kertyvän lokin riittävyyttä on katselmoitava säännöllisesti. Lokin avulla pitäisi tarvittaessa pystyä selvittämään järjestelmään liittyvät häiriötilanteet ja niiden syy.

Lokeja pyritään suojaamaan luvattomilta tietojen muutoksilta sekä toimintahäiriöiltä, joita ovat mm.:

• tallennettavien sanomatyyppien muutokset
• lokin tietojen muokkaaminen tai poistaminen
• lokin säilytyskapasiteetin ylittäminen, josta voi seurata tapahtumien ylikirjoittaminen tai jääminen kirjaamatta