Tavoitteet

  • Pääsy fyysiseen ja loogiseen omaisuuteen ja niihin liittyviin tiloihin on rajoitettu valtuutettuihin käyttäjiin, prosesseihin ja laitteisiin. Pääsyä hallitaan säännönmukaisesti perustuen arvioituihin luvattoman käytön riskeihin.


Toimenpiteet identiteetin- ja pääsynhallintaan:




Huom!


TASO 1 > TASO 2

Toimenpiteet on jaoteltu kahdelle tasolle siten, että perustason toimenpiteet toimivat pohjana edistyneemmän tason toimenpiteille.

TASO 1: Perustason kyvykkyydet

TASO 2: Edistyneemmät kyvykkyydet







S01: Käyttäjät, laitteet ja muut resurssit tunnistetaan TASO 1

1.

Määrittele käytännöt, joilla käyttäjät tunnistetaan:

  • Huomioi organisaation sisäverkon ulkopuolelta tapahtuva autentikointi esimerkiksi pakottamalla monivaiheinen tunnistautuminen (Multi-Factor Authentication, MFA).

2.

Määrittele käytännöt, joilla verkkoon kytketyt laitteet tunnistetaan ja samalla estetään tunnistamattomien laitteiden kytkentä.

Lisätietoja

Linkit johtavat ulkoisille sivustoille.

Oletetut tuotokset

  • Käyttövaltuuksien hallintaprosessi

  • Verkkoarkkitehtuuri

ESIMERKKI

Esimerkki: Käyttäjien ja päätelaitteiden tunnistaminen nollaluottamusmallin mukaisesti

  • Käyttäjät, identiteetit ja päätelaitteet tunnistetaan ennalta määritettyjä käytänteitä vasten.
  • Käytännöt voivat määrittää esimerkiksi sen, mistä sijainnista tai miltä laitteelta käyttäjä saa valtuutuksen ja vaaditaanko käyttäjältä monivaiheista tunnistautumist.
  • Valtuutus tarkastetaan määrätyin väliajoin tai jokaisen transaktion yhteydessä.
  • Valtuutus annetaan vain niille resursseille, joita on tarpeen käyttää.
  • Tunnistamista ja käyttäjän valtuutusta voidaan rikastaa erilaisilla syötteillä esimerkiksi tunnistamalla poikkeavuuksia käyttäjän toiminnassa.

Kuva Käyttäjien ja päätelaitteiden tunnistaminen nollaluottamusmallin mukaisesti havainnollistaa

(lightbulb) VINKKI

     NOLLALUOTTAMUSMALLISTA

  • Nollaluottamusmalli (Zero Trust) on yksi uusimmista digitaaliseen turvallisuuteen liittyvistä arkkitehtuurimalleista. Sen avulla pyritään kohentamaan useaan pilvipalveluun ja mahdollisiin omiin konesaleihin pirstoutuneen tietojenkäsittely-ympäristön käytön turvallisuutta. 
  • Nollaluottamusmallin perusajatus on, ettei yhteenkään käyttäjään, laitteeseen ja muuhun resurssiin luoteta, ellei toisin ole todistettu. Nollaluottamusmallin keskuisiä kyvykkyyksiä ovat nykyaikainen pääsynhallinta ja automaattinen identiteettien elinkaaren hallinta.











S02: Käyttövaltuuksia ja -oikeuksia myönnetään, hallitaan, katselmoidaan ja poistetaan valtuutetuille laitteille, käyttäjille ja prosesseille TASO 1

1.

Kuvaa roolipohjainen organisaation käyttövaltuuksien hallintaprosessi.

2.

Määrittele käyttövaltuuksien katselmointi osaksi digiturvallisuuden vuosikelloa, jotta varmistetaan käyttövaltuuksien ajantasaisuus.

3.

Varmista niiden kohteiden käyttövaltuushallinta, jotka eivät ole keskitetyn käyttövaltuushallinnan piirissä (esim. suoraan julkisesta verkosta käytettävät palvelut).

4.

Tutustu myös Tiedonhallintalautakunnan suositukseen tiettyjen tietoturvallisuussäännösten soveltamisesta (Kappale 13: Tietojärjestelmien käyttöoikeuksien hallinta).

Lisätietoja

Linkit johtavat ulkoisille sivustoille.

Oletetut tuotokset

  • Käyttövaltuuksien hallintaprosessi

  • Keskitetty käyttövaltuushallinta

ESIMERKKI

Esimerkki: Käyttövaltuuksien hallintaprosessista

Käyttövaltuuksien hallintaprosessista kuvan löydät linkistä Kuntaliitto - Kuntasektorin käyttövaltuushallinnan viitearkkitehtuuri

Lähde: Kuntaliitto - Kuntasektorin käyttövaltuushallinnan viitearkkitehtuuri

(lightbulb) VINKKI

     KÄYTTÄJÄTILEISTÄ

  • Organisaation tulisi pitää ajantasaista luetteloa kaikista organisaation hallinnoimmista käyttäjätileistä. Luettelossa tulisi olla sekä käyttäjä- että korotettujen oikeuksien tilit ja sen tulisi sisältää käyttöoikeuden haltijan nimi, käyttäjätunnus, tunnuksen myöntö- ja viimeinen voimassaolopäivämäärä ja osasto. Käyttövaltuudet tulisi tarkastaa säännöllisesti digitaalisen turvallisuuden vuosikellon mukaisesti ja käyttämättömät käyttäjätilit tulisi poistaa käytöstä tietyn käyttämättömyysajan jälkeen. 
  • Laitteiden ja ohjelmistojen mahdolliset esikonfiguroidut oletustilit, kuten pääkäyttäjä-, järjestelmävalvoja- ja vastaavat tilit tarkastaa ja poistaa käytöstä).
  • Käyttövaltuuksien hallinnassa kannattaa hyödyntää automaatiota, esimerkiksi keskittämällä pääsyoikeudet SSO-palvelun (Single Sign-On) avulla.











S03: Fyysistä pääsyä suojattaviin kohteisiin hallitaan ja suojataan TASO 1

1.

Tunnista toiminnan kannalta kriittiset fyysiset suojattavat kohteet (kts. myös Organisaatio on tunnistanut fyysisen tietojenkäsittely-ympäristönsä).

2.

Määritä turva-alueet ja niiden suojauskontrollit, kuten kulunvalvonta.

3.

Luo turva-alueita koskeva toimintaohjeistus ja jalkauta se henkilökunnalle ja tarvittaville sidosryhmille.

4.

Katselmoi fyysisen turvallisuuden kumppaneiden palvelutaso ja turvallisuuspoikkeamat säännöllisesti fyysisen turvallisuuden parantamiseksi.

5.

Testaa kontrollien toimivuus säännöllisesti esimerkiksi Red Teaming –harjoituksella.

Lisätietoja

  • Tiedonhallintalaki 906/2019: 15§

  • NIST CSF PR.AC-2 (englanniksi)

  • ISO/IEC 27001:2022 A.7.1, A.7.2, A.7.3, A.7.4, A.7.5, A.7.6, A.7.8, A.7.9, A.7.12, A.7.14

  • JulKri FYY-01, FYY-02, FYY-03, FYY-04, FYY-05, FYY-06, FYY-07, HAL-19, TEK-01, TEK-04, TEK-05, TEK-09, TEK-10, TEK-14, TEK-15, TEK-16, TEK-17, TEK-18 

  • Katakri 2020 I-08, I-14, I-17, I-18, I-21, F-03, F-04, F-05, F-06

  • PiTuKri FT-02, IP-03, JT-02, JT-05, SA-02, SI-02

  • VAHTI 2/2013

Linkit johtavat ulkoisille sivustoille.

Oletetut tuotokset

  • Pääsyoikeusluettelo
  • Dokumentoidut turva-alueet
  • Dokumentoidut fyysisen turvallisuuden toimintaohjeet
  • Kumppaneiden palvelutaso- ja poikkeamaraportit

ESIMERKKI

Esimerkki: Toimitilojen vyöhykkeistämisestä turvatasojen mukaisesti

Toimitilojen vyöhykkeistämisestä turvatasojen mukaisesti kuvan löydät linkistä Senaatti-kiinteistöt


Lähde: Senaatti-kiinteistöt










S04: Etäkäyttöä hallitaan TASO 1

1.

Luo organisaation etäkäyttöpolitiikka ja -ohjeistus.

2.

Määrittele etäkäyttöön liittyvät pääsynhallinta- ja valvontamenettelyt:

  • Varmista, että etäkäytössä käytetään monivaiheista tunnistautumista.

3.

Määrittele etäkäyttösäännöt eri verkkosegmenteille.

4.

Testaa ja katselmoi etäkäyttöön liittyvät politiikat, ohjeet ja menettelyt säännöllisesti.

5.

Katso lokitietojen keräämisestä lisätietoja Tiedonhallintalautakunnan suosituksesta tiettyjen tietoturvallisuussäännösten soveltamisesta (Kappale 14: Lokitietojen kerääminen).

Lisätietoja

  • NIST CSF PR.AC-3 (englanniksi)

  • CIS CSC 4, 6, 12 (englanniksi)

  • ISO/IEC 27001:2022 A.6.7, A.7.9, A.8.20

  • JulKri HAL-13, TEK-01, TEK-02, TEK-04, TEK-05, TEK-07, TEK-10, TEK-14, TEK-16, TEK-17, TEK-18

  • Katakri 2020 I-01, I-02, I-04, I-05, I-08, I-11, I-15, I-18

  • PiTuKri IP-03, JT-02, JT-05, SA-01, SA-02, SA-03, TJ-05, TT-01, TT-02

  • VAHTI 3/2009

Linkit johtavat ulkoisille sivustoille.

Oletetut tuotokset

  • Verkkoarkkitehtuuri

  • Etäkäyttöpolitiikka ja -ohjeistus

(lightbulb) VINKKI

     ETÄKÄYTÖSTÄ

  • Organisaation tulisi varmistua, että sillä on mahdollisuus tuhota etänä tiedot organisaation hallinnoimista kannettavista loppukäyttäjälaitteista tarvittaessa, kuten esimerkiksi kadonneista tai varastetuista laitteista tai kun henkilö ei enää ole organisaation palveluksessa. 
  • Organisaation tulisi myös varmistaa, ettei organisaation tietojenkäsittely-ympäristön käyttö ole mahdollista ilman riskienarvionnin perusteella toteutettuja tietoturvakontrolleja. Tällaisia tietoturvakontrolleja ovat esimerkiksi monivaiheisen tunnistuksen (Multi-Factor Authentication, MFA) edellyttäminen ja VPN- (Virtual Private Network) ja todennuspalvelujen käyttö ennen kuin pääsyoikeus organisaation resursseihin myönnetään.
  • Etäkäytön tulisi asettaa myös vaatimuksia etäyhteyden ottaville laitteille. Pääsyoikeuden myönnön perusteena voi olla esimerkiksi asennettu ajantasainen haittaohjelmasuojaus, laitekokoonpanon yhteensopivuus organisaation vaatiman tietoturvakonfiguraation kanssa sekä käyttöjärjestelmän ja sovellusten ajantasaisuuden varmistaminen.












S05: Identiteetti todennetaan ja sidotaan käyttäjätunnuksiin TASO 1

1.

Varmista, että jokainen myönnetty käyttäjätunnus on sidottu yhteen identiteettiiin.

2.

Varmista, ettei organisaatiossa ole käytössä yhteiskäyttötunnuksia.

3.

Varmista, että kumppaneiden pääsyoikeudet on myös sidottu identiteettiin, esim. henkilökohtaiset ylläpitotunnukset ohjelmistotoimittajien edustajille.

4.

Katso myös Tiedonhallintalautakunnan suositus tiettyjen tietoturvallisuussäännösten soveltamisesta (Kappale 13: Tietojärjestelmien käyttöoikeuksien hallinta).

Lisätietoja

Linkit johtavat ulkoisille sivustoille.

Oletetut tuotokset

  • Käyttövaltuuksien hallintaprosessi

  • Kuvaus rooleista ja niiden käyttövaltuuksista

ESIMERKKI

Esimerkki: Organisaatiokortti

Esimerkki Organisaatiokortista

Organisaatiokortti on organisaatioiden työntekijöille tarkoitettu varmennekortti. Organisaatiokorttia on mahdollista käyttää esimerkiksi:

  • Julkishallinnon sähköisiin asiointipalveluihin kirjautumisessa
  • Organisaation omiin tietojärjestelmiin kirjautumisessa
  • Työasemalle kirjautumisessa
  • Sähköisen allekirjoituksen tekemisessä
  • Sähköpostin salaamisessa ja allekirjoituksessa
  • Toimitilojen kulkutunnisteena.

Lähde: Digi- ja väestötietovirasto, organisaatiokortit

(lightbulb) VINKKI

      KUMPPANITUNNUKSISTA

  • Organisaation tulisi ylläpitää ajantasaista luetteloa organisaation tietojenkäsittely-ympäristöön pääsyn oikeuttavista kumppanitunnuksista, kuten ohjelmistotoimittajien ylläpitotunnuksista. Kumppanitunnusten käytöstä poistossa tulisi huomioida muun muassa käyttäjätilien turvallinen käytöstä poisto, käyttäjätunnukseen liittyvien tietovirtojen lopettaminen ja organisaation tietojen turvallinen hävittäminen kumppaneiden järjestelmistä. 











S06: Digitaalinen turvallisuus huomioidaan henkilöstöhallintaprosesseissa TASO 1

1.

Varmista, että henkilöstöhallintaprosessit kattavat kaikki organisaation käyttövaltuudet (esim. Active Directory:n (AD) ulkopuoliset käyttövaltuudet).

2.

Varmista, että henkilöstöhallintaprosesseissa on otettu huomioon käyttöoikeuksien poisto työ- tai sopimussuhteen päättyessä.

3.

Määrittele roolit ja tehtävät, joille suoritetaan taustatarkistus.

4.

Ota digitaalisen turvallisuuden vaatimukset huomioon työ- ja kumppanisopimuksissa.

5.

Määrittele muodollinen kurinpitoprosessi tietoturvarikkomusten käsittelyyn.

Lisätietoja

Linkit johtavat ulkoisille sivustoille.

Oletetut tuotokset

  • Henkilöstöhallinnan prosessit

(lightbulb) VINKKI

     HENKILÖSTÖHALLINNOSTA JA KÄYTTÄJÄTUNNUKSISTA

  • Henkilöstöhallintoprosessissa kannattaa hyödyntää automatisoitua prosessia, jolla käyttövaltuudet myönnetään organisaation tietojenkäsittely-ympäristöön uuden työntekijän aloittaessa tai käyttäjän roolin vaihtuessa. Samaa automatisoitua prosessia tulisi hyödyntää myös käyttövaltuuksien poistamiseksi välittömästi käyttäjän lopettaessa tai käyttäjän roolin vaihtuessa. Käyttäjätilien poistaminen käytöstä tilien poistamisen asemesta voi olla tarpeen käyttäjän toimenpiteiden jäljitettävyyden (audit trail) varmistamiseksi. 








S07: Käyttövaltuuksia ja -oikeuksia hallinnoidaan vähimmäisoikeuksien ja työtehtävien eriyttämisen periaatteilla TASO 1

1.

Määrittele käyttöoikeudet roolipohjaisesti siten, että rooleille on määritelty roolin tarvitsevat vähimmäisoikeudet.

2.

Määrittele käyttäjien käyttöoikeudet roolien kautta.

3.

Tunnista vaaralliset työyhdistelmät.

4.

Kontrolloi vaarallisia työyhdistelmiä eriyttämällä työtehtävät ja mikäli se ei ole mahdollista, niin luo korjaava kontrolli (esim. kahden silmäparin periaate).

5.

Katso myös Tiedonhallintalautakunnan suositus tiettyjen tietoturvallisuussäännösten soveltamisesta (Kappale 3: Luotettavuuden varmistaminen ja Kappale 13: Tietojärjestelmien käyttöoikeuksien hallinta).

Lisätietoja

Linkit johtavat ulkoisille sivustoille.

Oletetut tuotokset

  • Käyttövaltuuksien hallintaprosessi

  • Kuvaus rooleista ja niiden käyttövaltuuksista

  • Luettelo vaarallisista työyhdistelmistä

ESIMERKKI

Esimerkki: Vähimmäisoikeuksien periaatteesta (englanniksi) 

Vähimmäisoikeuksien periaatteesta (englanniksi) kuvan löydät linkistä Principle of least privilege CERT NZ

Lähde: Principle of least privilege | CERT NZ

(lightbulb) VINKKI

     ROOLIPOHJAISUUDESTA

  • Organisaation tulisi toteuttaa käyttövaltuushallinta roolipohjaisesti (Role-Based Access Control, RBAC) siten, että käyttövaltuudet myönnetään rooleille ja henkilöille määritetään roolit, joita he tarvitsevat työtehtäviensä suorittamiseksi. Rooleille tulisi määritellä vähimmäisoikeudet, joilla roolin mukaiset työtehtävät voidaan hoitaa.  
  • Organisaation tulisi rajoittaa korotettujen oikeuksien tilien käyttöä siten, että niitä myönnetään ainoastaan tietyille ylläpito- ja järjestelmänvalvojarooleille. Yleiset tietojenkäsittelytoiminnot, kuten internetselailu, sähköposti ja perusohjelmistojen käyttö suoritetaan käyttäjämn ensisijaiselta, ei-korotettuja oikeuksia sisältävällä, käyttäjätilillä.








  • No labels

Voit antaa sivustoon liittyvää palautetta lähettämällä sähköpostia osoitteeseen digiturva@dvv.fi.