Jotta organisaatio saisi kattavan käsityksen verkosta, sen on luotava suoraviivaisia verkkokaavioita jokaisesta loogisesti integroituneesta järjestelmästä. Kaavioista on käytävä ilmi tärkeimmät laitteet, verkkotyypit ja laitteiden yleiset sijainnit.

Organisaation on luotava turvalliset ja standardoidut kokoonpanot kaikkiin verkkokomponentteihin seuraavasti:

• toteuttamalla peruskonfiguraatio ja suojaustoimenpiteet, jotka ovat linjassa toimittajan ohjeiden, asiaankuuluvien standardien ja alan parhaiden käytäntöjen kanssa.
• Määritellään menettelyt, joilla rajoitetaan, lukitaan tai lopetetaan automaattisesti järjestelmä- ja etäkäyttöistunnot, kun ne ovat olleet tietyn ajan käyttämättä.
• Varmistetaan, että kaikissa verkkopalvelusopimuksissa, riippumatta siitä, ovatko ne konsernin sisäisten ICT-palvelujen tarjoajien vai kolmansien osapuolten toimittajien hoitamia, määritellään selkeästi ICT- ja tietoturvavaatimukset, palvelutasot ja johdon odotukset.

Organisaation on otettava käyttöön ja ylläpidettävä valvontaa verkon rajojen turvaamiseksi ja palomuurin hallinnan hallitsemiseksi.

Tähän sisältyy:

• sisäisten verkkojen ja ulkoisten yhteyksien (mukaan lukien internet) välisen liikenteen turvaaminen.
• roolien ja vastuualueiden selkeä määrittely palomuurisääntöjen ja yhteyssuodattimien määrittelyä, käyttöönottoa, hyväksymistä, muuttamista ja tarkistamista varten.
• verkkoarkkitehtuurin ja turvallisuussuunnittelun vuosittainen tarkistaminen (mikroyritysten osalta säännölliset tarkistukset) haavoittuvuuksien tunnistamiseksi.
• Toteutetaan toimenpiteitä aliverkkojen tai komponenttien eristämiseksi väliaikaisesti, jos se on tarpeen uhkien torjumiseksi.

Varmistetaan turvallinen verkkoarkkitehtuuri ja -hallinta ottamalla käyttöön pääsynvalvontajärjestelmät, jotka havaitsevat ja estävät luvattomia laitteita tai järjestelmiä liittymästä rahoituslaitoksen verkkoon.

Verkkoyhteydet on salattava kaikissa ympäristöissä, olivatpa ne sitten yrityksen, julkisia, kotimaisia, kolmannen osapuolen tai langattomia, asianmukaisia protokollia käyttäen. Tämä olisi sovitettava yhteen tietoluokituksen ja tieto- ja viestintätekniikan riskinarviointien tulosten kanssa.

Lisäksi verkko on suunniteltava siten, että se täyttää finanssiyksikön tieto- ja viestintätekniset tietoturvavaatimukset ja noudattaa johtavia käytäntöjä, joilla turvataan luottamuksellisuus, eheys ja saatavuus.

Organisaation on varmistettava tieto- ja viestintäteknisten järjestelmien ja verkkojen erottelu ja segmentointi seuraavin perustein:

• tuettujen toimintojen kriittisyys
• omaisuuden luokittelu
• Kyseessä olevan ICT-omaisuuden yleinen riskiprofiili

Organisaation olisi myös dokumentoitava verkkoyhteydet ja tietovirrat sekä käytettävä erillistä ja erityistä verkkoa tieto- ja viestintäteknisen omaisuuden hallinnointiin.

Organisaatiolla olisi oltava käytössä toimenpiteitä, joilla taataan tarkka ja nopea tiedonsiirto ilman häiriöitä ja viiveitä.

Compile and maintain a comprehensive inventory of all telecommunication services and network systems.

For each item, conduct a risk assessment to determine its criticality based on dependencies, user base (e.g., emergency services, government agencies, critical business functions), and the potential impact of its disruption. This documentation is the foundational evidence for all prioritization decisions.

Organisaatio parantaa verkon tietoturvaa ottamalla käyttöön 802.1X-verkon pääsynvalvonnan, jolla laitteet todennetaan RADIUS-palvelimen kautta, käyttämällä varmenteita vankkaan todennukseen ja integroimalla se käyttäjähakemistoihin johdonmukaisten käyttöoikeuskäytäntöjen luomiseksi. Se tarjoaa verkon segmentoinnin vieraille ja IoT-laitteille ja varmistaa, että NAC-käytännöt ja -ohjelmistot päivitetään säännöllisesti.

Organisaatio parantaa verkon tietoturvaa ottamalla käyttöön 802.1X-verkon pääsynvalvonnan, jolla laitteet todennetaan RADIUS-palvelimen kautta. Organisaatio käyttää varmenteita vankkaan todennukseen ja integroi pääsynvalvonnan käyttäjähakemistoihin johdonmukaisten käyttöoikeuskäytäntöjen luomiseksi. Organisaatio tarjoaa verkon segmentoinnin vieraille ja IoT-laitteille sekä varmistaa, että NAC-käytännöt ja -ohjelmistot päivitetään säännöllisesti.

Organisaatio vahvistaa verkon tietoturvaa ottamalla käyttöön palomuureja segmenttien välille, määrittämällä pääsynvalvontaluetteloita (ACL) liikenteen säätelemiseksi ja ottamalla käyttöön parhaita segmentointikäytäntöjä arkojen järjestelmien eristämiseksi. Tunkeutumisenestojärjestelmiä (IPS) käytetään estämään haitallista liikennettä reaaliajassa.

Organisaatio parantaa verkkoturvallisuutta arvioimalla ja valitsemalla sopivan verkon tunkeutumisen havaitsemisjärjestelmän (NIDS) tai vastaavat pilviratkaisut. Organisaatio sijoittaa sensorit strategisesti, määrittää valvonta- ja hälytysjärjestelmät sekä varmistaa säännölliset päivitykset ja ylläpitämisen. Pilviympäristöissä organisaatio hyödyntää CSP:n tarjoamia tietoturvapalveluja, joissa on NIDS-toiminto.

Organisaatio suojaa langattomat yhteydet suojaamalla verkon vahvoilla salausavaimilla ja käyttämällä WPA2 Enterprise -protokollan kaltaisia protokollia, joilla varmistetaan salattu liikenne verkon reitittimille.

Turvallisessa pääsynvalvonnassa vaaditaan 802.1X:ää käyttävien päätelaitteiden tekninen tunnistaminen ennen verkkoon pääsyä, mikä estää luvattomat yhteydet, ellei niitä ole fyysisesti rajoitettu.

Turvallista konfigurointia varten on määritelty vakiomallit, jotka ylläpitävät suojausominaisuuksia, kuten pääsynvalvontaa, koko laitteen ja verkon elinkaaren ajan ja tukevat siten 802.1X:n ja WPA2 Enterprisen kaltaisten turvallisten protokollien käyttöönottoa.

Verkon todennuksen, valtuutuksen ja kirjanpidon (AAA) keskittämiseksi organisaatio ottaa käyttöön keskitettyjä todennustilejä käyttäen alustoja, kuten Googlea tai Microsoft 365:tä, käyttöoikeuksien hallinnan tehostamiseksi ja turvallisuuden parantamiseksi.

Tietojärjestelmien ja -palveluiden käyttäjien käyttöoikeuksista pidetään keskitettyä rekisteriä tehokkaiden hallinta- ja tarkastusprosessien helpottamiseksi.

Organisaatio määrittelee menettelyt tunnistus- ja käyttöoikeustapojen hallintaa varten koko niiden elinkaaren ajan, jolloin varmistetaan tunnistautumistunnusten johdonmukainen ja turvallinen käsittely keskitetyn AAA-hallinnan tukemiseksi.

Arkkitehtuurikaavioiden ja verkkojärjestelmädokumentaation laatimiseksi ja ylläpitämiseksi organisaatio ryhtyy esimerkiksi ylläpitämään kattavaa luetteloa tietojärjestelmistä.

Organisaatio nimeää omistajat, jotka ovat vastuussa asiaan liittyvän dokumentaation ja turvatoimien loppuunsaattamisesta, ja varmistaa, että sitä tarkistetaan ja päivitetään säännöllisesti.

Tietojärjestelmien välisten rajapintojen ja yhteyksien dokumentointia ylläpidetään huolellisesti ja tarkistetaan mahdollisten muutosten integroimiseksi.

Sähköpostin ja latausten skannausprotokollat on määritetty käyttämään haittaohjelmien tunnistusohjelmia, jotka tarkistavat kaikki sähköpostin liitetiedostot ja lataukset uhkien varalta ja estävät samalla tietyt tarpeettomiksi tai riskialttiiksi katsotut tiedostotyypit.

Suodatus- ja valvontajärjestelmiä, kuten palomuureja ja tunkeutumisen havaitsemisjärjestelmiä, käytetään suodattamaan tietyt tiedostotyypit sähköpostiviemäriin ja estämään niiden lähettäminen.

Toimenpiteitä, joilla pyritään estämään luottamuksellisten tietojen lataaminen ulkoisista verkoista, voidaan mukauttaa estämään tiettyjen tiedostotyyppien vastaanottaminen sähköpostitse.

Organisaatio käyttää luokkapohjaista ja mainepohjaista suodatusta tunnistamaan ja estämään pääsyn ei-toivotuille verkkosivustoille hyödyntäen sekä tunnettuja haitallisia sivustoja että sisältöluokkia selauskäytäntöjen noudattamisen varmistamiseksi.

Mustalistoja, jotka on johdettu haittaohjelmien suojausohjelmistojen kielletyistä listoista, käytetään estämään aktiivisesti yhteydet tiettyihin haitallisiin verkkotunnuksiin.

Suodatus- ja seurantajärjestelmien säännölliset päivitykset ja hallinta varmistavat, että URL-suodattimet pysyvät ajan tasalla.

Organisaatio toteuttaa useita toimenpiteitä:

• Verkkolaitteiden konfigurointi käyttämään yrityksen valvomia DNS-palvelimia, joihin sovelletaan tiukkoja turvallisuuskäytäntöjä.
• käyttämällä tarvittaessa hyvämaineisia ulkoisia DNS-palveluntarjoajia, kuten Googlen julkista DNS:ää tai Cloudflaren DNS:ää.
• turvaominaisuuksien, kuten DNS over HTTPS:n tai TLS:n, hyödyntäminen.
• Varajärjestelmän luominen ensisijaisilla ja toissijaisilla DNS-asetuksilla katkeamattoman palvelun varmistamiseksi.

Organisaatio ottaa käyttöön ja hallinnoi palvelinten palomuureja sekä ottaa käyttöön virtuaalipalomuureja virtualisoiduissa ja pilviympäristöissä, joissa on keskitetyt hallintakonsolit yhtenäisen turvallisuuden varmistamiseksi.

Organisaatio ottaa käyttöön käyttöjärjestelmäpohjaiset palomuurit verkkoliikenteen suodatusta varten ja tarkastaa säännöt säännöllisesti.

Verkkoinfrastruktuurin turvaamiseksi organisaatio toteuttaa prosessin, johon sisältyy:

• dokumentoidut turvallista konfigurointia koskevat ohjeet verkkolaitteille
• peruskonfiguraatiomallit turvallisuuden standardoimiseksi
• säännölliset tarkistukset ja päivitykset, jotta konfiguraatiot pysyvät ajan tasalla uusien uhkien ja muutosten suhteen.

Organisaatio käyttää passiivista hakutyökalua, joka valvoo jatkuvasti verkkoliikennettä ja kirjaa reaaliaikaisia tietoja liitetyistä laitteista. Tietoja tarkastellaan viikoittain tieto-omaisuusluettelon päivittämiseksi, tieto-omaisuudenhallintajärjestelmän saumattomia päivityksiä varten. Hälytysmekanismit ilmoittavat uusista tai luvattomista laitteista nopeita turvatoimia varten.

Organisaation on varmistettava, että sen käyttämät hosting-järjestelmät ovat turvallisia, niitä ylläpidetään ja ne täyttävät vaaditut turvallisuusstandardit. Organisaation olisi joko itse ylläpidettävä järjestelmiä tai käytettävä sertifioituja palvelinkeskuksia/hosting-palveluja sen varmistamiseksi, että tietoturva voidaan tehokkaasti todentaa ja valvoa.

Käytettyjen tietokeskusten ja hosting-palvelujen turvallisuusvaatimusten on vastattava organisaation oman infrastruktuurin turvallisuusvaatimuksia. Esimerkiksi palvelinkonfiguraatioiden on oltava suojattuja, yhteyksien on oltava salattuja, liikennettä on valvottava ja käytettävän laitteiston on oltava ajan tasalla.

Kriittisimmät aliverkot on eristettävä fyysisesti. Lisäksi on harkittava, onko erityisen herkät aliverkot eristettävä fyysisesti.

Varmista, että konfiguraatioiden ylläpito, asennukset ja toiminnot tehdään turvallisesti. Tähän kuuluvat seuraavat asiat:

• Hallintatoimintojen suorittaminen luotetuissa kanavissa
• Harkitse luotetun TLS:n asentamista (mieluiten sisäisesti myönnetty) mahdollisimman moniin järjestelmänvalvojan käyttöliittymiin ja vältä järjestelmänvalvojan käyttöliittymien altistamista Internetille.
• Vähennä interaktiivisia kirjautumisia suoraan palvelimille

Block all direct traffic between clients. Applications requiring peer-to-peer should instead use a server service. Alternatively, reduce direct traffic between clients to an absolute minimum based on what is needed for work purposes.

Hallitse erityisesti paljastettujen palveluiden tietovirtaa. Paljastettuja palveluita, esimerkiksi verkkopalveluita ja sähköpostipalveluita, joissa on ulkoista sisältöä käyttäjille, on valvottava tiukasti.

Suojaa erityisen kriittiset palvelut omilla tietovirroillaan. Harkitse, mitkä palvelut ovat erityisen kriittisiä, esim. varmuuskopiointipalvelut, ja näille kriittisille palveluille on laadittava omat tietovirtasäännöt.

Organisaation on päätettävä, mitä ICT-järjestelmän osia sen on valvottava. Näitä voivat olla esimerkiksi

• Järjestelmän kriittisimmät osat tai osat, jotka sisältävät eniten luottamuksellista tietoa.
• Laitteiden käyttöjärjestelmät
• Sisäiset portit, joiden kautta tiedot kulkevat
• Sisäisten ja ulkoisten järjestelmien väliset yhdyskäytävät, esimerkiksi Internetiin.
• Tietojärjestelmissä olevat tietoturvatuotteet (esim. AVS, IDS, IPS, FW jne.).
• Varmuuskopiointi- ja palautusjärjestelmät

Ihannetapauksessa organisaatioin tietoturvaan liittyvä seuranta kattaisi mahdollisimman suuren osan ICT-järjestelmää. Tämä helpottaa luvattomien toimien, tietoturvaloukkausten ja tietoturvauhkien tunnistamista mahdollisimman varhaisessa vaiheessa.

Luo IoT-laitteiden käyttöönottoa koskeva suunnitelma, joka sisältää turvallisuusnäkökohdat ja riskinarvioinnit. Tähän sisältyy esimerkiksi laitteen käyttämän pilviympäristön arviointi.

Eristä IoT-laitteet erillisille verkkoalueille ja pohdi niiden sijaintia laitteiden luvattoman fyysisen käytön kannalta.

Organisaation on toteutettava toimenpiteitä, joilla organisaation kriittiset järjestelmät suojataan palvelunestohyökkäyksiltä (Denial-of-Service) tai ainakin rajoitetaan niiden vaikutusta. Esimerkkejä keinoista:

• Järjestelmien nykyisten haavoittuvuuksien tarkistaminen
• DoS-iskujen torjuntaratkaisujen, kuten palomuurien, tunkeutumisen havaitsemisjärjestelmien ja liikenteen suodatuksen, käyttöönotto.
• pilvipohjaisten DoS-suojauspalvelujen käyttö
• Nopeuden rajoittamisen määrittäminen ja liikennemallien seuranta poikkeamien varalta.
• Reagointisuunnitelman laatiminen DoS-hyökkäyksiin reagoimiseksi nopeasti ja niiden vaikutusten lieventämiseksi.

Organisaatio ottaa käyttöönsä todennettuja välityspalvelimia hallitsemaan ja suojaamaan organisaation kriittisten järjestelmien ja ulkoisten verkkojen välistä tietoliikennettä. Tarkastele nykyistä verkkoarkkitehtuuria, tunnista viestintäkanavat, jotka yhdistävät kriittiset järjestelmät ulkoisiin yksiköihin, ja ota käyttöön välityspalvelimet, jos se on mahdollista. Liikenteen suojaamisessa tulisi käyttää turvallisia todennusprotokollia.

Verkkojen erottelua käytetään jakamaan verkot pienempiin osiin (kutsutaan aliverkoiksi tai segmenteiksi). Päätarkoituksena on saavuttaa pienimmän oikeuden periaate rajoittamalla pääsyä esim. käyttäjälle tai mille tahansa tietylle laitteelle.

Pilvipalveluita tarjoaessaan organisaation tulee ottaa käyttöön verkkoyhteyksien erottelu, jotta:

• Asiakkaat ovat erillään useita asiakkaita sisältävässä ympäristöissä
• Erota vahvasti palveluntarjoajan oma sisäinen hallintoympäristö ja asiakkaiden pilvilaskentaympäristö

Organisaation tulee pystyä auttamaan asiakasta varmistamaan erottelun toteutus.

Organisaation on huolehdittava, että etäyhteyksien valvonta ja hallinta on automatisoitu, etäyhteydet on suojattu salauksella niiden eheyden ja luotettavuuden varmistamiseksi ja etäyhteydet kulkevat vain hyväksyttyjen ja hallittujen NAC (Network access control) kautta.

Organisaation on myös mahdollistettava etäyhteyksien sulkeminen määritellyssä ajassa.

Normaali verkkoliikenne on kuvattu ja sen kuvausta ylläpidetään poikkeamien havaitsemiseksi. Kuvaus tulee päivittää kun:

• Organisaation määrittämän aikavälin välein
• Kun se on tarpeen organisaation määrittämien tilanteiden mukaan
• Kun järjestelmiin tulee muutoksia

Tietojenkäsittely-ympäristö on erotettu julkisista tietoverkoista ja muista heikomman turvallisuustason ympäristöistä riittävän turvallisella tavalla.

Tietojärjestelmien erottelu on eräs vaikuttavimmista tekijöistä salassa pidettävän tiedon suojaamisessa. Erottelun tavoitteena on rajata salassa pidettävän tiedon käsittely-ympäristö hallittavaksi kokonaisuudeksi, ja erityisesti pystyä rajaamaan salassa pidettävän tiedon käsittely vain riittävän turvallisiin ympäristöihin. Ympäristöjen erottelu voidaan toteuttaa esimerkiksi palomuuriratkaisun avulla.

Tietojenkäsittely-ympäristön kytkeminen muiden turvallisuustasojen ympäristöihin edellyttää vähintään palomuuriratkaisun käyttöä.

Turvallisuusluokittelemattoman salassa pidettävän tiedon sekä myös turvallisuusluokan IV tietojenkäsittely-ympäristön yhdistäminen eri turvallisuusluokan ympäristöihin voidaan toteuttaa palomuuriratkaisuilla ja rajaamalla riskialttiiden alemman turvallisuusluokan ympäristöä käyttävien palvelujen (web-selailu, Internetin kautta reitittyvä sähköposti, ja vastaavat) liikenne kulkemaan erillisten sisältöä suodattavien välityspalvelinten kautta.

Turvallisuusluokittelemattoman salassa pidettävän sekä myös turvallisuusluokan IV käsittely-ympäristöjä on mahdollista kytkeä Internetiin ja muihin ei-luotettuihin verkkoihin, edellyttäen että kytkennän tuomia riskejä pystytään muilla suojauksilla pienentämään riittävästi. Internet-kytkentäisyyden tuomien riskien pienentäminen turvallisuusluokittelemattomalle salassa pidettävälle tiedolle sekä turvallisuusluokalle IV edellyttää erityisesti ohjelmistopäivityksistä huolehtimista, vähimpien oikeuksien periaatteen mukaisia käyttöoikeuksia, järjestelmäkovennuksia sekä kykyä poikkeamien havainnointiin ja korjaaviin toimiin.

Tyypillinen käyttötapa turvallisuusluokittelemattoman salassa pidettävän tai/ja turvallisuusluokan IV käsittely-ympäristölle on organisaation rajattu tietojenkäsittely-ympäristön osa, joka voi muodostua esimerkiksi päätelaitepalveluista, sovelluspalveluista, tietoliikennepalveluista sekä niiden suojaamiseen liittyvistä järjestelyistä.

Communication network segmentation and filtering rules shall be implemented in accordance with the principle of minimum access rights in the relevant security class.

In processing environments of security classes IV to II, the requirement may be met by implementing the following measures in addition to those mentioned above:

4) Monitor and restrict data flows between network zones, allowing only pre-approved, operationally essential data exchanges (default-deny)

Kun kohteen keskeisen tietovarannon turvallisuusluokka tulkitaan kasautumisvaikutuksesta johtuen yksittäisten tietojen tasoa korkeammaksi, tulee tietovarannolle määritellyt suojausmenetelmät toteuttaa korkeamman tason vaatimusten mukaisesti.

Määritellyillä suojausmenetelmillä tarkoitetaan menetelmiä, joilla rajataan pääsy vain tehtävässä tarvittavaan yksittäiseen tai suppeaan osaan tietosisällöstä ja havaitaan yritykset päästä valtuuttamattomasti käsiksi laajempaan osaan tietosisällöstä.

Tietojenkäsittely-ympäristön kytkeminen muiden turvallisuusluokkien ympäristöihin edellyttää riittävän turvallisen yhdyskäytäväratkaisun käyttöä.

Tietojenkäsittely-ympäristöjen oletetaan lähtökohtaisesti olevan toisilleen ei-luotettuja myös tilanteissa, joissa yhdistetään eri organisaatioiden hallinnoimia tietojenkäsittely-ympäristöjä toisiinsa. Saman turvallisuusluokan käsittely-ympäristöjä voidaan liittää toisiinsa ko. turvallisuusluokalle riittävän turvallisen salausratkaisun avulla (esimerkiksi organisaation eri toimipisteiden ko. turvallisuusluokan käsittely-ympäristöjen yhteenliittäminen julkisen verkon ylitse).

Information processing environments of classification level II are, as a rule, physically isolated entities.

Traffic exceeding the classification level may only be permitted through data diodes or equivalent one-way gateway solutions operating at the physical layer of the OSI model.

As a rule, information processing environments of classification level I are recommended to be kept physically separated from all other environments. A typical implementation is an information processing environment physically separated from all other environments, located within a controlled physical security area in a shielded room, and operated with a dedicated terminal device reserved for this purpose. Another possible implementation is an environment located in a shielded room within a security area, consisting of physically separated terminal devices, a local network connecting them, and a dedicated printer reserved for this purpose.

Data transfer to physically separated environments must be implemented in such a way that the risk of classification level I information being transferred into lower classification level environments is minimized.

Especially in environments of the highest classification levels, it is often justified to physically disable unnecessary components by removing them from the device (for example, wireless network cards, cameras, microphones). In cases where the component cannot be physically removed, alternative protections may include taping over cameras and disabling the component at user setting, operating system, and firmware levels. In some operating systems, protection can also be enhanced by removing the software components (kernel modules) associated with the device.

In processing environments of classification levels III-II, the requirement must take into account the possible levels included in hardening guidelines, as well as the use of multiple different hardening guidelines—such as vendor-specific instructions, CIS Benchmarks, and DISA STIG to ensure comprehensive coverage of hardening measures.

In processing environments of classification levels III and II, as well as in other critical processing environments, usage must be technically bound to approved remote access equipment (e. g. device identification).

Remote access (processing) and storage of national classification level III electronic information outside security areas is permitted using a terminal device approved for the relevant classification level, provided that:

• the information is protected with an encryption solution sufficiently secure for the relevant classification level, and
• the information security of the terminal device, particularly the confidentiality and integrity required for the classification level, is ensured with adequate procedures.

Organisaation tulee pystyä valvomaan, että laitteita, tietojärjestelmiä sekä verkkoja ylläpidetään määriteltyjen konfiguraatioiden (ml. turvallisuusominaisuudet) mukaisina sekä käyttöönottovaiheessa että koko elinkaarensa ajan.

Tätä varten organisaatio on määritellyt vakiomallit laitteiden, tietojärjestelmien sekä verkkojen turvallisille konfiguraatioille. Vakiomalleja määritettäessä huomioidaan:

• julkisesti saatavilla olevia ohjeita (esim. mallit toimittajilta ja riippumattomilta turvallisuusorganisaatioilta)
• eri omaisuudelta tarvittava suojataso
• liittyvien tietoturvavaatiusten täyttäminen
• konfiguraatioiden toteutettavuus ja soveltuvuus organisaation toimintaan

Vakiomallit tulee tarkistaa säännöllisesti ja päivittää, kun merkittäviin uusiin uhkiin tai haavoittuvuuksiin on reagoitava tai uusia ohjelmisto- tai laiteversioita julkaistaan.

Seuraavat seikat tulee ottaa huomioon vakiomalleja määriteltäessä:

• pääkäyttäjätason oikeuksien määrä minimoidaan
• tarpeettomat käyttöoikeudet poistetaan käytöstä
• tarpeettomat toiminnot ja palvelut poistetaan käytöstä
• pääsyä tehokkaisiin apuohjelmiin ja tärkeisiin asetuksiin valvotaan tarkasti
• kellot synkronoidaan
• toimittajan oletussalasanat muutetaan välittömästi ja turvallisuuteen liittyvät asetukset tarkistetaan
• aikakatkaisutoimintoja käytetään tarvittaessa (esim. automaattinen uloskirjautuminen)
• lisenssivaatimuksia noudatetaan

Laitteiden, tietojärjestelmien ja verkkojen nykyiset kokoonpanot dokumentoidaan ja kokoonpanomuutoksista pidetään kirjaa.

Konfiguraatioiden muutoksia on valvottava, ja ne on tehtävä muutostenhallintamenettelyn kautta. Vain valtuutettu henkilöstö saa tehdä muutoksia konfiguraatioihin.

Konfiguraatiotietoihin voi sisältyä esim. seuraavat tiedot:

• kiinteistön omistajan ja yhteyshenkilön tiedot
• viimeisimmän konfiguraatiomuutoksen päivämäärä
• konfiguraatiomallin versio
• yhteydet muihin omaisuuseriin

Organisaation kohteiden etäylläpito ja korjaus on toteutettava niin, että se hyväksytään, lokitetaan ja suoritetaan tavalla, joka estää luvattoman pääsyn. Etäylläpidon suorittajalta täytyy vaatia monivaiheista tunnistautumista.

Organisaation on vaihdettava oletusalasana, jolla kirjaudutaan palomuurien hallintajärjestelmään, johonkin vaikeasti arvattavaan salasanaan. Vaihtoehtoisesti organisaatio voi estää etäyhteyden hallittaviin järjestelmiin.

Organisaation on estettävä pääsy palomuurien hallintajärjestelmään internetistä, ellei ole selkeätä, hyvin dokumentoitua ja liiketoiminnan kannalta pakottavaa syytä siihen. Tässä tilanteessa järjestelmä tulee olla suojattu vähintään monivaiheisella tunnistautumisella - tai sallittujen IP-osoitteiden listaalla, jossa vain välttämättömät ja luotetut IP-osoitteet.

Organisaatiolla on oltava seuraavat palomuurisäännöt asetettuna ja dokumentoituna:

• Palomuuri oletuksena estää tulevat yhteydet
• Palomuurisäännöt ovat hyväksytty ja dokumentoitu asianmukaisen tahon mukaan; toiminnan tarpeet sisäälytetään dokumentaatioon
• Palomuuri poistaa sallivat säännöt pian sen jälkeen, kun niitä ei enään tarvita

Palomuuri on ohjelmisto, joka hallinnoi yhteyksiä verkkojen (sisäiten tai ulkoisten) tai verkkosovellusten välillä. Palomuuri voidaan asettaa hyväksymään, estämään tai suodattamaan yhteksiä tiettyjen kriteerien perusteella.

Organisaation käyttämät tietojärjestelmät, niiden käyttöympäristöt sekä ulkoiset liityntäpisteet on suojattu joko tilallisella palomuurilla tai sovelluspalomuurilla.

Organisaation verkoille on määritelty omistaja. Omistaja vastaa verkon rakenteen suunnittelusta ja sen dokumentoinnista.

Verkon suunnittelussa käytetään tarpeen mukaan erillisiä verkkoalueita. Verkkoalueet voivat olla määritelty mm.:

• luottamustason (esim. julkinen, työasemat, palvelin)
• organisaatioyksiköiden (esim. HR, taloushallinto)
• tai jonkin yhdistelmän mukaan (esim. palvelimen verkkoalue, joka on yhdistetty useisiin organisaatioyksiköihin)

Eriyttäminen voidaan toteuttaa joko fyysisesti erillisillä verkoilla tai loogisesti erillisillä verkoilla.

Verkon käytöstä syntyy asianmukaista lokia, jotta mahdollistetaan tietoturvallisuuden kannalta olennaisten toimenpiteiden havaitseminen.

Verkkoliikenteen normaali tila (liikennemäärät, protokollat ja yhteydet) on tiedossa. Poikkeamien havaitsemiseksi on olemassa menettely, jolla verkkoliikenteen normaaliin tilaan nähden eroavat tapahtumat (esimerkiksi poikkeavat yhteydet tai niiden yritykset) pyritään havaitsemaan.

Langattoman verkon käyttö on suojattu riittävillä avaimilla ja yhteysliikenne verkon reitittimeen on salattu. Vieraskäyttöön tarkoitettu langaton verkko on eristetty yrityksen omasta sisäisestä verkosta.

Eri verkkolaitteille on määritetty omistajat, joiden vastuulla on varmistaa, että verkoissa käsiteltävät tiedot ja niihin liittyvät palvelut on suojattu luvattomalta pääsyltä. Vastuu verkkolaitteista on tarvittaessa erotettava muista liittyvistä vastuista.

Päätelaitteet tunnistetaan teknisesti (laitetunnistus, 802.1X, tai vastaava menettely) ennen pääsyn sallimista verkkoon tai palveluun, ellei verkkoon kytkeytymistä ole fyysisen turvallisuuden menetelmin rajattu suppeaksi (esim. palvelimen sijoittaminen lukittuun laitekaappiin teknisesti suojatun viranomaisen ko. suojaustasolle hyväksymän turva-alueen sisällä).

Järjestelmillä tarkoitetaan tässä palvelimia, työasemia, verkon aktiivilaitteita (palomuurit, reitittimet, kytkimet, langattomat tukiasemat jne.) ja vastaavia. Koventamisella puolestaan tarkoitetaan järjestelmän asetusten muuttamista siten, että järjestelmän haavoittuvuuspinta-alaa saadaan pienennettyä.

Organisaatio on määritellyt toimintatavat, joiden avulla:

• Käyttöön otetaan vain käyttövaatimusten ja tietojen käsittelyn kannalta olennaiset toiminnot, laitteet ja palvelut. Ylimääräiset poistetaan myös BIOS-tasolla.
• Käytössä on menettelytapa, jolla järjestelmät asennetaan järjestelmällisesti siten, että lopputuloksena on kovennettu asennus.
• Kovennettu asennus sisältää vain sellaiset komponentit ja palvelut, sekä käyttäjien ja prosessien oikeudet, jotka ovat välttämättömiä toimintavaatimusten täyttämiseksi ja turvallisuuden varmistamiseksi.
• Ohjelmistot, kuten käyttöjärjestelmät, sovellukset ja laiteohjelmistot, asetetaan keräämään tarvittavaa lokitietoa väärinkäytösten havaitsemiseksi.
• Tietojärjestelmän käynnistäminen tuntemattomalta (muulta kuin ensisijaiseksi määritellyltä) laitteelta on estetty.
• Ohjelmistot (esim. laiteohjelmistot, sovellukset) pidetään ajantasaisina .
• Kohteen yhteydet, mukaan lukien hallintayhteydet, ovat rajattuja, kovennettuja, käyttäjätunnistettuja sekä aikarajoitettuja (istunnon aikakatkaisu).

Käsiteltäessä viranomaisen suojaustason IV salassapidettävää tietoa, toteutetaan tietojenkäsittely-ympäristön verkolle seuraavat toimenpiteet:

• Tietojenkäsittely-ympäristö erotetaan muista ympäristöistä
• Kytkettäessä tietojenkäsittely-ympäristö muiden suojaustasojen ympäristöihin käytetään vähintään palomuuriratkaisua
• Hallitun fyysisen turva-alueen ulkopuolelle menevä liikenne salataan viranomaisen ko. suojaustasolle hyväksymällä salausratkaisulla

Käsiteltäessä viranomaisen suojaustason III tai II salassapidettävää tietoa, toteutetaan tietojenkäsittely-ympäristön verkolle seuraavat toimenpiteet:

• Tietojenkäsittely-ympäristö on erotettu muista ympäristöistä
• Hallitun fyysisen turva-alueen ulkopuolelle menevä liikenne salataan viranomaisen ko. suojaustasolle hyväksymällä salausratkaisulla
• Tietojenkäsittely-ympäristön kytkeminen muiden suojaustasojen ympäristöihin edellyttää viranomaisen ko. suojaustasolle hyväksymän yhdyskäytäväratkaisun käyttöä

The zoning and filtering provisions of the communication network shall be implemented in accordance with the principle of multi-level protection.

The division of the communication network within a given security class into separate network areas (zones and segments) may mean, for example, appropriate workstation and server separation from a data protection point of view, also covering possible project-specific separation needs.

The requirement can be met by the following measures:

• The communication network is divided into separate network areas (zones, segments) within the security class.
• Traffic between the network areas is restricted and traffic entering the environment is subject to the default-deny rule.
• The data processing environment is prepared for common network attacks.

Liikenteen suodatus- ja valvontajärjestelmiä ovat esimerkiksi palomuurit, reitittimet, tunkeutumisia havaitsevat tai estävät järjestelmät (IDS/IPS) sekä vastaavia toiminnallisuuksia sisältävät verkkolaitteet/palvelimet/sovellukset.

Suodatuksen ja valvonnan toiminnan varmistamiseksi:

• Järjestelmille on nimetty omistaja, joka huolehtii järjestelmän tarkoituksenmukaisesta toiminnasta huolehditaan koko tietojenkäsittely-ympäristön elinkaaren ajan
• Liikennettä suodattavien tai valvovien järjestelmien asetusten lisääminen, muuttaminen ja poistaminen on vastuutettu järjestelmän omistajalle
• Verkon ja siihen liittyvien suodatus- ja valvontajärjestelmien dokumentaatiota ylläpidetään sen elinkaaren aikana erottamattomana osana muutosten ja asetusten hallintaprosessia
• Järjestelmien asetukset ja haluttu toiminta tarkastetaan määräajoin tietojenkäsittely-ympäristön toiminnan ja huollon aikana sekä poikkeuksellisten tilanteiden ilmetessä

Administrative access must take place through restricted, managed, and monitored points.

The protection of administrative connections must take into account the extent to which confidential information could be compromised through such connections. Most forms of administrative access allow entry to confidential information either directly (e. g. database administration typically has access to database content when needed) or indirectly (e. g. network device administration can usually alter firewall rules that protect information systems). This makes administrative connections a particularly attractive target for malicious actors.

When an administrative connection provides direct or indirect access to confidential information, the connection and the terminal devices used for it should, as a rule, be restricted to the same classification level as the information processing environment itself. The devices in question are systems for which administrative rights should only be available to administrators or equivalent personnel. Typical examples include firewalls, routers, switches, wireless access points, servers, workstations, ILO management interfaces, and Blade chassis management interfaces.

Eristä haavoittuvat ja alhaisen luoton laitteet, esimerkiksi vanhentuneet sovellukset, vanhat palvelimet, joiden käyttöjärjestelmä ei ole tuettu, ja tulostimet, joiden tietoturva-asetukset ovat huonot ja joista puuttuvat tietoturvapäivitykset.

Organisaation olisi varmistettava, että sen verkossa on riittävästi redundanssia. Seuraavat näkökohdat olisi otettava huomioon:

• Useita Internet-palveluntarjoajia (ISP)
• tarpeettomat verkkoyhteydet
• Redundantit verkkolaitteet (useita kytkimiä, reitittimiä ja muita laitteita sekä verkon kuormituksen tasaajien käyttö).
• Virran katkeamattomuus (UPS)

Organisaation on kehitettävä ja dokumentoitava selkeät menettelyt verkkojen hallintaa ja valvontaa varten sekä varmistettava johdonmukaisuus kaikissa verkkotoiminnoissa.

Organisaation tulisi ottaa huomioon seuraavat näkökulmat verkon segmentoinnissa:

• Rajoitusten asettaminen tietojärjestelmien liittämiselle verkkoon riskinarviointien perusteella.
• Tietoturvatekniikoiden toteutus, jotka täyttävät organisaation erityiset tietoturvavaatimukset.
• Varmistetaan, että suorituskyky, luottamus, saatavuus, turvallisuus ja suojaus asetetaan etusijalle kaikissa verkonhallintaa koskevissa päätöksissä.
• Määritellään strategiat vaikutusten rajoittamiseksi, jos tietojärjestelmät ovat vaarassa, ja keskitytään nopeaan torjuntaan.
• Integroidaan mekanismeja mahdollisten hyökkäysten ja hyökkääjien lateraalisen liikkumisen havaitsemiseksi verkon eri segmenttien välillä.
• Eri käyttötarkoituksia (esim. testaus/kehitys, toimisto, valmistus) palvelevien verkkojen erottaminen toisistaan ristikkäisten verkkoriskien estämiseksi.
• Puututaan lisääntyneeseen riskiin, joka aiheutuu Internetin kautta saatavilla olevista verkkopalveluista, erityisesti ulkoisiin palveluihin suuntautuvista palveluista.
• Käytetään teknologiakohtaisia erotteluvaihtoehtoja, kun ulkoiset IT-palvelut ovat käytössä riskien vähentämiseksi.
• Varmistetaan omien verkkojen ja asiakasverkkojen riittävä erottelu asiakkaan vaatimusten mukaisesti.
• Toteutetaan toimenpiteitä tietojen katoamisen tai vuotamisen havaitsemiseksi ja estämiseksi sekä varmistetaan arkaluonteisten tietojen suojaus.

Only those components, services, and user and process privileges that are necessary to meet operational requirements and ensure security are enabled in the systems.

Konfiguraatioita olisi valvottava kattavilla järjestelmänhallintatyökaluilla (esim. ylläpito-apuohjelmat, etätuki, yrityksen hallintatyökalut, varmuuskopiointi- ja palautusohjelmistot), ja ne olisi tarkistettava säännöllisesti asetusten, salasanojen vahvuuden ja suoritettujen toimintojen arvioimiseksi. Todellisia kokoonpanoja voidaan verrata määriteltyihin tavoitemalleihin. Mahdolliset poikkeamat on käsiteltävä joko automaattisesti tai manuaalisesti.

Kaikki luvattomat muutokset on korjattava ja niiden syyt on selvitettävä ja niistä on ilmoitettava.