Tietoturva verkkotunnusten välitystoiminnassa
Tietoturva verkkotunnusten välitystoiminnassa .fi uudistuu 2016 Tietoturva verkkotunnusten välitystoiminnassa Ei yksityiskohtaisia ohjeita Asian Vakavuuden Parantunut tiedostaminen tiedostaminen tietoturva EPP:n käyttäjille tiukemmat ja tarkemmat vaatimukset [Esittäjän nimi, titteli] [Pvm] | 2 Asian Vakavuuden Parantunut tiedostaminen tiedostaminen tietoturva 14 § Tietoturvallisuuden huomioiminen 15 § Riskien hallinta 16 § Tietoaineistot 17 § Tietoturvan valvonta 18 § Tietoturvaa häiritsevien tai uhkaavien tilanteiden hallinta 19 § Muutosten hallinta 21 § Ilmoitusvelvollisuus häiriöstä 20 § Katakri EPP-rajapinnan käyttäjille [Juhani Juselius, päällikkö [Pvm] | 3 Asian Vakavuuden Parantunut tiedostaminen tiedostaminen tietoturva 14 § Tietoturvallisuuden huomioiminen » » » » Kaikissa palvelun elinkaaren vaiheissa Hallittu huomioiminen Dokumentoidut prosessit Osa-alueet: Hallinnollinen tietoturva Henkilöstöturvallisuus Laitteisto-, ohjelmisto- ja tietoliikenneturvallisuus Tietoaineisto- ja käyttöturvallisuus Fyysinen turvallisuus [Juhani Juselius, päällikkö [Pvm] | 4 Asian Vakavuuden Parantunut tiedostaminen tiedostaminen tietoturva 15 § Riskien hallinta » Tietoisuus riskeistä, niiden vaikutuksista ja olemassa olevien hallintakeinojen riittävyys » Standardeja useita, mutta oma menetelmäkin käy: Riskit tunnistettava Hyväksyttävä riskitaso määritettävä Keinot määritettävä tälle tasolle pääsemiseksi Arviointi säännöllistä » Dokumentoitava [Juhani Juselius, päällikkö [Pvm] | 5 Asian Vakavuuden Parantunut tiedostaminen tiedostaminen tietoturva 16 § Tietoaineistot » Tiedot vain käyttöoikeuden omaaville saatavissa » Tietoluokat määriteltävä (esim. julkinen, vain käyttäjälle, vain ylläpitäjälle) » Ohjeet käsittelylle » Dokumentoitava [Juhani Juselius, päällikkö [Pvm] | 6 Asian Vakavuuden Parantunut tiedostaminen tiedostaminen tietoturva 17 § Tietoturvan valvonta » Välittäjällä velvollisuus huolehtia tietoturvasta ja havaita merkittävät tapahtumat » -> hallintajärjestelmä » Oma-aloitteinen ja ripeä toiminta tärkeää » Dokumentoitava [Juhani Juselius, päällikkö [Pvm] | 7 Asian Vakavuuden Parantunut tiedostaminen tiedostaminen tietoturva 18 § Tietoturvaa häiritsevien tai uhkaavien tilanteiden hallinta » Häiriötilanteeseen varauduttava Menettelyohjeet (mitä tehdään) Hallinnolliset ohjeet (kuka tekee) Yhteystiedot » Dokumentoitava [Juhani Juselius, päällikkö [Pvm] | 8 Asian Vakavuuden Parantunut tiedostaminen tiedostaminen tietoturva 19 § Muutosten hallinta » Kaikki tekniset muutokset vähimmän haitan periaatteella tunnusten välittämiselle » Varattava riittävästi aikaa hallitulle muutokselle » Prosessit dokumentoitava [Juhani Juselius, päällikkö [Pvm] | 9 Asian Vakavuuden Parantunut tiedostaminen tiedostaminen tietoturva 21 § Ilmoitusvelvollisuus häiriöstä » Merkittävistä tietoturvan häiriötilanteista annettava ilmoitus 24h sisällä Arvioitava tietojen luotettavuutta, eheyttä ja saatavuutta Pitkäkestoisuus, toistuvuus tai tahallisuus » Vapaaehtoinen ilmoitus suositeltava vähäisemmistäkin tapahtumista » Ensisijaisesti sähköpostitse: [email protected] » Tarvittaessa myös puhelimitse » Ilmoitusta voi täydentää 3vrk ajan [Juhani Juselius, päällikkö [Pvm] | 10 Asian Vakavuuden Parantunut tiedostaminen tiedostaminen tietoturva 21 § Ilmoitusvelvollisuus häiriöstä » Ilmoitettavat tiedot: Välittäjän yhteystiedot Tapahtuman ja havaitsemisen ajankohta Tapahtumatyyppi Kohteen ja toimenpiteiden kuvaus Vaikutukset käyttäjiin [Juhani Juselius, päällikkö [Pvm] | 11 Asian Vakavuuden Parantunut tiedostaminen tiedostaminen tietoturva 20 § Katakri EPP-rajapinnan käyttäjille » Välittäjän täytettävä teknisen tietoturvallisuuden osaalueen tietoliikenneturvallisuutta ja tietojärjestelmäturvallisuutta koskeva osa (I1-I14) » Koskee vain välitystoimintaa ja ST IV-tasoa » Voimassaoleva versio löytyy Puolustusministeriön sivuilta defmin.fi [Juhani Juselius, päällikkö [Pvm] | 12 Asian Vakavuuden Parantunut tiedostaminen tiedostaminen tietoturva 20 § Katakri EPP-rajapinnan käyttäjille (I01) » Tietojenkäsittely-ympäristö erotettava muista ympäristöistä vähintään palomuurilla » Fyysisen turva-alueen ulkopuolinen liikenne salattava viranomaisen hyväksymällä ratkaisulla [Juhani Juselius, päällikkö [Pvm] | 13 Asian Vakavuuden Parantunut tiedostaminen tiedostaminen tietoturva 20 § Katakri EPP-rajapinnan käyttäjille (I02) » Tietoliikenneverkko on vyöhykkeistetty » Liikenne vyöhykkeiden välillä ja ulospäin on toteutettu vähimpien oikeuksien periaatteella [Juhani Juselius, päällikkö [Pvm] | 14 Asian Vakavuuden Parantunut tiedostaminen tiedostaminen tietoturva 20 § Katakri EPP-rajapinnan käyttäjille (I03) » Liikennettä suodattavien ja valvovien järjestelmien käyttö on hallittua » Asetusten lisääminen, muuttaminen ja poistaminen on vastuutettu » Toimintakykyä testataan määräajoin » Dokumentaatio olemassa [Juhani Juselius, päällikkö [Pvm] | 15 Asian Vakavuuden Parantunut tiedostaminen tiedostaminen tietoturva 20 § Katakri EPP-rajapinnan käyttäjille (I04) » Hallintayhteydet: Käyttö- ja vähimpien oikeuksien mukaan Liikenne salattava mikäli julkisen internetin yli [Juhani Juselius, päällikkö [Pvm] | 16 Asian Vakavuuden Parantunut tiedostaminen tiedostaminen tietoturva 20 § Katakri EPP-rajapinnan käyttäjille (I05 ja I06) » Langattomia verkkoja kohdellaan julkisena internetinä » Käyttäjille ja automaattisille prosesseille vain välttämättömät oikeudet » Salassa pidettävien tietojen luvaton muuttaminen estetään käyttäjäoikeuksin ja teknisin rajoittein » Säännöllinen katselmointi [Juhani Juselius, päällikkö [Pvm] | 17 Asian Vakavuuden Parantunut tiedostaminen tiedostaminen tietoturva 20 § Katakri EPP-rajapinnan käyttäjille (I07) » Käyttäjät (ihmiset ja laitteet) tunnistettava luotettavasti Todentaminen toteutettava siten, että palvelunestohyökkäys ei mahdollistu [Juhani Juselius, päällikkö [Pvm] | 18 Asian Vakavuuden Parantunut tiedostaminen tiedostaminen tietoturva 20 § Katakri EPP-rajapinnan käyttäjille (I08) » » » » Ei turhia laitteita, ohjelmistoja tai prosesseja Oletussalasanat vaihdettu Aikakatkaisu hallintayhteyksiin Ohjelmistot konfiguroitu turvallisiksi Esikatselu, autorun, yms pois päältä [Juhani Juselius, päällikkö [Pvm] | 19 Asian Vakavuuden Parantunut tiedostaminen tiedostaminen tietoturva 20 § Katakri EPP-rajapinnan käyttäjille (I09) » Haittaohjelmat estettävä Torjuntaohjelmiston oltava asennettuna ja käynnissä Tuotettava hälytyksiä ja lokia Hälytyksiin reagoitava Tunnisteiden oltava ajantasalla Vähintään www- ja sähköpostiliikennettä suodatettava (omaa, ei asiakkaiden) [Juhani Juselius, päällikkö [Pvm] | 20 Asian Vakavuuden Parantunut tiedostaminen tiedostaminen tietoturva 20 § Katakri EPP-rajapinnan käyttäjille (I10) » Lokituksen oltava kattavaa Tietomurrot ja –yritykset voitava todentaa Säilytys vähintään 6kk (ellei laissa vaatimusta pidemmästä säilytysajasta) Lokitiedot suojattava [Juhani Juselius, päällikkö [Pvm] | 21 Asian Vakavuuden Parantunut tiedostaminen tiedostaminen tietoturva 20 § Katakri EPP-rajapinnan käyttäjille (I11) » Hyökkäyksen havaitseminen verkkoliikenteestä Verkkoliikenteen normaalitila tunnettava Poikkeamat pyrittävä havaitsemaan » Toipumissuunnitelma oltava [Juhani Juselius, päällikkö [Pvm] | 22 Asian Vakavuuden Parantunut tiedostaminen tiedostaminen tietoturva 20 § Katakri EPP-rajapinnan käyttäjille (I12) » Käytettävät salausratkaisut ovat viranomaisen hyväksymiä Kts. lista KATAKRIsta tai Tapauskohtainen hyväksyntä » Avainten-, salasanojen ja muiden kirjautumistietojen hallinnassa noudatetaan prosesseja [Juhani Juselius, päällikkö [Pvm] | 23 Asian Vakavuuden Parantunut tiedostaminen tiedostaminen tietoturva 20 § Katakri EPP-rajapinnan käyttäjille (I13) » Turvallisen ohjelmoinnin periaatteita noudatettava » Tarkistettava että integraatiot ja konfiguroinnit ovat asianmukaiset » Yleisesti tunnetut hyökkäystavat kestettävä » I14 TEMPEST: ei relevantti [Juhani Juselius, päällikkö [Pvm] | 24
© Copyright 2024