Katakri

Tietoliikenneturvallisuus

Teema-alueen vaatimukset

Teeman tehtävien osa-alueet

No items found.
Katakri5: Tekninen tietoturvallisuus5Tekninen tietoturvallisuus

Tietoliikenneturvallisuus

Vaatimuskategoriaan liittyvät vaatimukset

Esimerkkejä vaatimuksiin liittyvistä tehtävistä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

Hallintayhteydet (ST IV-II)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Hallintayhteyksien suojauskessa huomioidaan, miltä osin hallintayhteyden kautta pystytään vaarantamaan salassa pidettävät tiedot. Useimmat hallintayhteystavat mahdollistavat pääsyn salassa pidettävään tietoon joko suoraan (esim. tietokantaylläpito pääsee yleensä tarvittaessa tietokannan sisältöön) tai epäsuoraan (esim. verkkolaiteylläpito pystyy yleensä muuttamaan tietojärjestelmää suojaavia palomuurisääntöjä).

Kun hallintayhteys mahdollistaa suoran tai epäsuoran pääsyn salassa pidettävään tietoon, tulisi hallintayhteys ja siihen käytettävät päätelaitteet rajata lähtökohtaisesti samalle suojaustasolle kuin tietojenkäsittely-ympäristökin. Laitteilla tarkoitetaan tässä järjestelmiä, joihin pitäisi olla hallintaoikeudet vain ylläpitäjillä tai vastaavilla. Tällaisia ovat tyypillisesti esimerkiksi palomuurit, reitittimet, kytkimet, langattomat tukiasemat, palvelimet, työasemat, ILO-hallintaliittymät ja Blade-runkojen hallintaliittymät.

Hallintayhteyksien suojaamiseksi:

  • Tietojenkäsittely-ympäristöön ei ole yhteenliitäntää hallintayhteyksille muiden suojaustasojen ympäristöistä ilman viranomaisen ko. suojaustasoille hyväksymää yhdyskäytäväratkaisua
  • Ko. suojaustason hallintatyöasema kytketään laitteeseen vain viranomaisen ko. suojaustasolle hyväksymän salausratkaisun kautta tilanteissa, joissa hallintaliikenne kulkee matalamman suojaustason ympäristön kautta
  • Tilanteissa, joissa hallintaliikenne kulkee ko. suojaustason sisällä
  • a) ko. suojaustason hallintatyöasema kytketään laitteeseen/liittymään fyysisesti (esim. konsolikaapeli), tai
  • b) ko. suojaustason hallintayhteyden liikennekanava on muuten luotettavasti fyysisesti suojattu (esim. teknisesti suojatun turva-alueen sisäiset kaapeloinnit), tai
  • c) ko. suojaustason hallintatyöasema kytketään laitteeseen/liittymään matalamman tason salauksella (esim. SSH, HTTPS, SCP) suojatulla yhteydellä
  • Laitteisiin/liittymiin sallitaan hallintayhteydenotot vähimpien oikeuksien periaatteen mukaisesti vain hyväksytyistä lähteistä

Suodatus- ja valvontajärjestelmien hallinnointi (ST IV-II)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Liikenteen suodatus- ja valvontajärjestelmiä ovat esimerkiksi palomuurit, reitittimet, tunkeutumisia havaitsevat tai estävät järjestelmät (IDS/IPS) sekä vastaavia toiminnallisuuksia sisältävät verkkolaitteet/palvelimet/sovellukset.

Suodatuksen ja valvonnan toiminnan varmistamiseksi:

  • Järjestelmille on nimetty omistaja, joka huolehtii järjestelmän tarkoituksenmukaisesta toiminnasta huolehditaan koko tietojenkäsittely-ympäristön elinkaaren ajan
  • Liikennettä suodattavien tai valvovien järjestelmien asetusten lisääminen, muuttaminen ja poistaminen on vastuutettu järjestelmän omistajalle
  • Verkon ja siihen liittyvien suodatus- ja valvontajärjestelmien dokumentaatiota ylläpidetään sen elinkaaren aikana erottamattomana osana muutosten ja asetusten hallintaprosessia
  • Järjestelmien asetukset ja haluttu toiminta tarkastetaan määräajoin tietojenkäsittely-ympäristön toiminnan ja huollon aikana sekä poikkeuksellisten tilanteiden ilmetessä

Tietoliikenneverkon vyöhykkeistäminen ja suodatuskäytännöt suojaustason sisällä (ST IV-II)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Seuraavilla hallintakeinoilla pyritään varmistamaan, että verkoissa käsiteltävät tiedot ja niihin liittyvät palvelut on suojattu luvattomalta pääsyltä:

  • Tietoliikenneverkko on jaettu ko. suojaustason sisällä erillisiin verkko-alueisiin (vyöhykkeet, segmentit)
  • Verkko-alueiden välistä liikennettä valvotaan ja rajoitetaan siten, että vain erikseen hyväksytty, toiminnalle välttämätön liikennöinti sallitaan (default-deny)
  • Tietojenkäsittely-ympäristössä on varauduttu yleisiin verkkohyökkäyksiin

Verkon jakaminen suojaustason sisällä erillisiin verkko-alueisiin voidaan toteuttaa esim. hankekohtaisena työasema- ja palvelinerotteluna. Yleisiin verkkohyökkäyksiin varautumiseen sisältyy esimerkiksi vain tarpeellisten toiminnallisuuksien pitäminen päällä. 

Verkon rakenteellinen turvallisuus (ST III-II)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Käsiteltäessä viranomaisen suojaustason III tai II salassapidettävää tietoa, toteutetaan tietojenkäsittely-ympäristön verkolle seuraavat toimenpiteet:

  • Tietojenkäsittely-ympäristö on erotettu muista ympäristöistä
  • Hallitun fyysisen turva-alueen ulkopuolelle menevä liikenne salataan viranomaisen ko. suojaustasolle hyväksymällä salausratkaisulla
  • Tietojenkäsittely-ympäristön kytkeminen muiden suojaustasojen ympäristöihin edellyttää viranomaisen ko. suojaustasolle hyväksymän yhdyskäytäväratkaisun käyttöä

Verkon rakenteellinen turvallisuus (ST IV)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Käsiteltäessä viranomaisen suojaustason IV salassapidettävää tietoa, toteutetaan tietojenkäsittely-ympäristön verkolle seuraavat toimenpiteet:

  • Tietojenkäsittely-ympäristö erotetaan muista ympäristöistä
  • Kytkettäessä tietojenkäsittely-ympäristö muiden suojaustasojen ympäristöihin käytetään vähintään palomuuriratkaisua
  • Hallitun fyysisen turva-alueen ulkopuolelle menevä liikenne salataan viranomaisen ko. suojaustasolle hyväksymällä salausratkaisulla

Langattoman verkon suojaaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Langattoman verkon käyttö on suojattu riittävillä avaimilla ja yhteysliikenne verkon reitittimeen on salattu. Vieraskäyttöön tarkoitettu langaton verkko on eristetty yrityksen omasta sisäisestä verkosta.

Tietoliikenneturvallisuus

Tämän vaatimuksen toteuttamiseen liittyvät tehtävät

Alla näet tehtäviä, joiden avulla Digiturvamallissa tämän vaatimuksen toteutusta vastuutetaan ja jalkautetaan. Klikkaa itsesi tehtävän sivulle lukeaksesi toteutuksesta tarkemmin.

Oletko valmis aloittamaan?

Aloita kokeilu tai varaa demo.