Viranomaisen on huolehdittava, että sen tietojärjestelmien käytöstä ja niistä tehtävistä tietojen luovutuksista kerätään tarpeelliset lokitiedot, jos tietojärjestelmän käyttö edellyttää tunnistautumista tai muuta kirjautumista. Lokitietojen käyttötarkoituksena on tietojärjestelmissä olevien tietojen käytön ja luovutuksen seuranta sekä tietojärjestelmän teknisten virheiden selvittäminen.

Digiturvamallissa tietojärjestelmän omistaja voi vastata tietojärjestelmän lokitietojen keräämisen tarkastamisesta. Organisaatio dokumentoi lokien sisällön tarkemmin niissä tietojärjestelmissä, joiden teknisestä ylläpidosta se vastaa itse. Muissa tietojärjestelmissä omistaja tarkistaa yhteistyössä järjestelmätoimittajan kanssa, että tarvittavat lokit kertyvät.

Järjestelmälokien kehityksen tulee pysyä järjestemän kehityksen mukana ja mahdollistaa esim. tarvittava häriötilanteiden selvitys. Kuvaamme tietojärjestelmälistauksen yhteydessä, minkä järjestelmien suhteen vastuu lokituksen toteutuksesta on itsellämme. Näiden järjestelmien suhteen dokumentoimme:

• mitä tietoja lokiin tallentuu
• kuinka pitkään lokin tiedot säilytetään

Lokeja suojataan luvattomilta muutoksilta ja häiriöiltä (esim. tietojen muokkaaminen tai säilytyskapasiteetin ylittyminen) mm. seuraavin toimintatavoin:

• Keskeiset tallenteet säilytetään vähintään 2-5 vuotta, ellei lainsäädäntö tai sopimukset edellytä pitempää säilytysaikaa.
• Lokitiedot varmuuskopioidaan säännöllisesti.
• Samalla turvallisuusalueella olevien olennaisten tietojenkäsittelyjärjestelmien kellot on synkronoitu sovitun ajanlähteen kanssa.
• Syntyneiden lokitietojen käytöstä ja käsittelystä muodostuu merkinnät.

Lokeja pyritään suojaamaan luvattomilta tietojen muutoksilta sekä toimintahäiriöiltä, joita ovat mm.:

• tallennettavien sanomatyyppien muutokset
• lokin tietojen muokkaaminen tai poistaminen
• lokin säilytyskapasiteetin ylittäminen, josta voi seurata tapahtumien ylikirjoittaminen tai jääminen kirjaamatta

Organisaation on oltava selvillä eri tietojärjestelmien käytöstä kertyvistä tapahtumalokeista, olipa lokien tuottaminen omalla tai järjestelmätoimittajan vastuulla. Lokeihin tallentuvat käyttäjien suorittamat toiminnot sekä tapahtuneet poikkeamat, virheet ja tietoturvatapahtumat.

Kertyvän lokin riittävyyttä on katselmoitava säännöllisesti. Lokin avulla pitäisi tarvittaessa pystyä selvittämään järjestelmään liittyvät häiriötilanteet ja niiden syy.

Valvomalla pilvipalveluissa jaettujen tietojen määrää voidaan pyrkiä havaitsemaan riskejä, jotka voivat johtaa tiedon luvattomaan paljastumiseen. Tiedostoihin liittyen voidaan esimerkiksi valvoa:

• Ketkä työntekijät jakavat eniten tiedostoja pilvipalveluissa?
• Kuinka usein DLP-käytännöt ovat antaneet hälytyksiä?
• Miten usein DLP-käytäntöjen antamia varoituksia on ohitettu?
• Paljonko tärkeitä tietoja on muissa pilvipalveluissa - DLP-valvonnan ulottumattomissa?

Usein turvallisuustyökalut tarjoavat tavan asettaa hälytyksiä (alert policies), kun organisaation ympäristössä tapahtuu jotain mahdollisesti vaarallista. Esim. Microsoft 365 -ympäristössä on sisäänrakennettuja hälytyskäytäntöjä, jotka pyrkivät varoittamaan pääkäyttäjäoikeuksien väärinkäytöstä, haittaohjelmista, mahdollisista sisäistä ja ulkoisista riskeistä sekä riskeistä tietoaineistojen turvallisuudelle.

Organisaation on tunnistettava tietoturvaan liittyvät tapahtumat tietojärjestelmissä sekä niiden toimintaan liittyvissä ympäristöissä. Näihin tapahtumiin liittyviin muutoksiin reagoimiseksi on luotava hälytyskäytännöt.

Hälytyskäytäntöjä on valvottava aktiivisesti ja niitä on muokattava kokemuksen perusteella.

Järjestelmälokit sisältävät usein runsaasti tietoa, josta suuri osa on tietoturvallisuuden tarkkailun kannalta epäolennaista. Jotta tietoturvallisuuden tarkkailun kannalta merkittävät tapahtumat saadaan tunnistettua, olisi harkittava tarkoituksenmukaisten sanomatyyppien automaattista kopiointia toiseen lokiin tai soveltuvien apuohjelmien tai tarkastustyökalujen käyttöä tiedostojen läpikäymisessä ja selvittämisessä.

Suojausjärjestelmissä (esim. palomuuri, haittaohjelmasuojaus) on usein mahdollisuus tallentaa lokia tapahtumista. Varmistakaa säännöllisin aikavälein, että kattavaa lokia kertyy ja pyrkikää tunnistamaan epäilyttävää toimintaa. Lokista on hyötyä myös häiriöiden tai loukkausten tutkinnassa.

Suojausjärjestelmät ovat niitä tietojärjestelmiä, jotka ovat käytössä suojatakseen meillä olevaa tietoa, ei niinkään sen käsittelemiseksi. 

Arvioimme säännöllisesti eri suojausjärjestelmien toimintaa ja tarvetta uusille järjestelmille.

Tarvittavaa henkilöstöä koulutetaan säännöllisesti valittujen suojausjärjestelmien käytöstä.

Organisaation toteutettava teknisiä toimintatapoja järjestelmävirheiden ja poikkeavuuksien tunnistamiseen ja raportointiin. Poikkeavuuksia ja virheitä voi esiintyä ohjelmistovirheiden, lokien tallennusvirheiden, lokien varmuuskopiointivirheiden tai muistitilan ylittymisen muodossa.

Organisaatiolla täytyy olla toimintatapoja, joilla voi huomata ja raportoida ajoissa kriittisten suojausjärjestelmien virheitä ja ongelmia. Näihin järjestelmiin kuuluu:

• palomuurit
• tunkeutumisen havaitsemis- ja tunkeutumisen estämisjärjestelmät (IDS- intrusion detection system, IPS- intrusion prevention system)
• Anti-virusohjelmat
• pääsynvalvonta ja tiedostojen eheyden valvontaohjelmat (FIM- file integrity monitoring).

Organisaation on toteutettava keinoja kolmansien osapuolten päätelaitteiden turvallisuuden valvomiseksi. Organisaation on huolellisesti harkittava ennen kuin antaa kolmansille osapuolille pääsyn organisaation dataan tai yhteyden luomisen. Organisaation on säännöllisesti tarkasteltava riskiä kolmannen osapuolen kanssa.

Organisaation kaikilla päätelaitteilla tulisi olla oikein asetettu palomuuri, joka tarkistaa liikenteen, hyväksyy sääntöjä ja suorittaa käyttäytymisen valvontaa. Näiden palomuurit suojaavat päätelaitetta haittaohjelmilta ja hyökkäyksiltä, jotka tulevat organisaation verkon sisä- tai ulkopuolelta.

Organisaation on määriteltävä menettely päätelaitteiden yhteensopivuuden, käyttöjärjestelmien ja sovellusten kanssa, varmistamiseksi. Menettelyn tulisi olla dokumentoitu testausprosessi, jossa yhteensopivuus varmistetaan. Väärin toimivat päätelaitteet eivät pelkästään vaikuta organisaation toimintaan, vaan lisäävät myös kyberhyökkäysvektoreita.

Organisaatiolla täytyy olla lista hyväksytyistä palveluista, sovelluksista ja sovelluksien lähteestä, joita saa käyttää päätelaitteella, jolla päästään käsiksi tai tallennetaan organisaation hallitsemaa dataa. Organisaation tulisi organisaation laajuisesti panna täytäntöön politiikat, hallituille päätelaitteille, yhden tai useamman keskitetyn hallintatyökalun kautta.

Organisaation on toteutettava teknisiä toimintatapoja päivityksien tunnistamiseen sovelluksille, jotka käyttävät kolmannen osapuolen tai avoimien lähteiden kirjastoja. Tunnistaminen täytyy tehdä organisaation haavoittuvuuksien hallintapolitiikkojen mukaan.

Organisaation on toteutettava toimintoja haavoittuvuuksia havaitsevien suojausjärjestelmien päivittämiseen vähintään viikottain.

Poikkeavuuksista tulee ilmoittaa relevanteille osapuolille seuraavien toimintojen kehittämiseksi:

• auditointi
• turvallisuuden arviointi
• teknisten haavoittuvuuksien tunnistaminen ja seuranta

Organisaation on kuvattava verkon ja tietojärjestelmien käytön normaalitila, jota käytetään lähtökohtana poikkeavuuksien tunnistamisessa. 

Normaalitilaa määritettäessä on otettava huomioon seuraavat asiat:

• tietojärjestelmien käytön valvonta sekä normaali- että ruuhka-aikoina
• tavalliset käyttöajat, käyttöpaikat sekä käyttötiheys kunkin käyttäjän ja käyttäjäryhmän osalta

Valvontajärjestelmät on konfiguroitava normaalitilaa vasten, jotta voidaan tunnistaa poikkeava käyttäytyminen, kuten:

• järjestelmien tai prosessien suunnittelematon lopettaminen
• haittaohjelmiin tai haitallisiin IP-osoitteisiin tai verkkotunnuksiin liittyvä liikenne
• tunnetut hyökkäysominaisuudet (esim. palvelunesto tai buffer overflow)
• epätavallinen järjestelmäkäyttö (esim. näppäinpainallusten lokitus)
• pullonkaulat ja ylikuormitukset (esim. verkon jonot, latenssitasot)
• luvaton pääsy (todellinen tai yritys) järjestelmiin tai tietoihin
• tietojärjestelmien ja verkkojen luvaton skannaus
• onnistuneet ja epäonnistuneet yritykset käyttää suojattuja resursseja (esim. DNS-palvelimia, verkkoportaaleja ja tiedostojärjestelmiä)
• epätavallinen käyttäjien ja järjestelmän käyttäytyminen

Organisaation tietojärjestelmiä ja verkkoa on valvottava poikkeavan käytön havaitsemiksi. Kun poikkeavaa käyttöä havaitaan, organisaation on ryhdyttävä tarvittaviin toimenpiteisiin arvioidakseen tietoturvahäiriön mahdollisuuden.

Valvonnassa tulisi hyödyntää työkaluja, jotka mahdollistavat reaaliaikaisen tai säännöllisen valvonnan organisaation tarvetason huomioiden. Valvontakäytännöillä tulisi pystyä hallitsemaan suuria määriä dataa, mukautumaan muuttuvaan uhkaympäristöön sekä lähettää tarvittaessa hälytyksiä välittömästi.

Seuraavien lähteiden sisällyttämistä valvontajärjestelmään on harkittava:

• lähtevä ja saapuva verkko- ja tietojärjestelmäliikenne
• pääsy kriittisiin tietojärjestelmiin, palvelimiin, verkkolaitteisiin ja itse valvontajärjestelmään
• kriittiset järjestelmä- ja verkkomääritystiedostot
• lokit suojaustyökaluista (esim. virustorjunta, IDS, IPS, verkkosuodattimet, palomuurit)
• verkon ja tietojärjestelmien käyttöön liittyvät tapahtumalokit
• suoritettavan koodin tarkistukset
• resurssien käyttö (esim. CPU, kiintolevyt, muisti, kaistanleveys) ja niiden suorituskyky

Organisaation on myös luotava toimintatavat "false positive" tulosten tunnistamiseksi ja korjaamiseksi, mukaan lukien valvontaohjelmiston virittäminen tarkempaa poikkeavuuksien tunnistamista varten.