Tietoturva verkkotunnusten välitystoiminnassa

Tietoturva
verkkotunnusten
välitystoiminnassa
.fi uudistuu 2016
Tietoturva verkkotunnusten
välitystoiminnassa
Ei yksityiskohtaisia ohjeita
Asian
Vakavuuden
Parantunut
tiedostaminen
tiedostaminen
tietoturva
EPP:n käyttäjille tiukemmat ja tarkemmat
vaatimukset
[Esittäjän nimi, titteli]
[Pvm] |
2
Asian
Vakavuuden
Parantunut
tiedostaminen
tiedostaminen
tietoturva
14 § Tietoturvallisuuden huomioiminen
15 § Riskien hallinta
16 § Tietoaineistot
17 § Tietoturvan valvonta
18 § Tietoturvaa häiritsevien tai uhkaavien
tilanteiden hallinta
19 § Muutosten hallinta
21 § Ilmoitusvelvollisuus häiriöstä
20 § Katakri EPP-rajapinnan käyttäjille
[Juhani Juselius, päällikkö
[Pvm] |
3
Asian
Vakavuuden
Parantunut
tiedostaminen
tiedostaminen
tietoturva
14 § Tietoturvallisuuden huomioiminen
»
»
»
»
Kaikissa palvelun elinkaaren vaiheissa
Hallittu huomioiminen
Dokumentoidut prosessit
Osa-alueet:
Hallinnollinen tietoturva
Henkilöstöturvallisuus
Laitteisto-, ohjelmisto- ja tietoliikenneturvallisuus
Tietoaineisto- ja käyttöturvallisuus
Fyysinen turvallisuus
[Juhani Juselius, päällikkö
[Pvm] |
4
Asian
Vakavuuden
Parantunut
tiedostaminen
tiedostaminen
tietoturva
15 § Riskien hallinta
» Tietoisuus riskeistä, niiden vaikutuksista ja olemassa
olevien hallintakeinojen riittävyys
» Standardeja useita, mutta oma menetelmäkin käy:
Riskit tunnistettava
Hyväksyttävä riskitaso määritettävä
Keinot määritettävä tälle tasolle pääsemiseksi
Arviointi säännöllistä
» Dokumentoitava
[Juhani Juselius, päällikkö
[Pvm] |
5
Asian
Vakavuuden
Parantunut
tiedostaminen
tiedostaminen
tietoturva
16 § Tietoaineistot
» Tiedot vain käyttöoikeuden omaaville saatavissa
» Tietoluokat määriteltävä (esim. julkinen, vain
käyttäjälle, vain ylläpitäjälle)
» Ohjeet käsittelylle
» Dokumentoitava
[Juhani Juselius, päällikkö
[Pvm] |
6
Asian
Vakavuuden
Parantunut
tiedostaminen
tiedostaminen
tietoturva
17 § Tietoturvan valvonta
» Välittäjällä velvollisuus huolehtia tietoturvasta ja
havaita merkittävät tapahtumat
» -> hallintajärjestelmä
» Oma-aloitteinen ja ripeä toiminta tärkeää
» Dokumentoitava
[Juhani Juselius, päällikkö
[Pvm] |
7
Asian
Vakavuuden
Parantunut
tiedostaminen
tiedostaminen
tietoturva
18 § Tietoturvaa häiritsevien tai uhkaavien
tilanteiden hallinta
» Häiriötilanteeseen varauduttava
Menettelyohjeet (mitä tehdään)
Hallinnolliset ohjeet (kuka tekee)
Yhteystiedot
» Dokumentoitava
[Juhani Juselius, päällikkö
[Pvm] |
8
Asian
Vakavuuden
Parantunut
tiedostaminen
tiedostaminen
tietoturva
19 § Muutosten hallinta
» Kaikki tekniset muutokset vähimmän haitan
periaatteella tunnusten välittämiselle
» Varattava riittävästi aikaa hallitulle muutokselle
» Prosessit dokumentoitava
[Juhani Juselius, päällikkö
[Pvm] |
9
Asian
Vakavuuden
Parantunut
tiedostaminen
tiedostaminen
tietoturva
21 § Ilmoitusvelvollisuus häiriöstä
» Merkittävistä tietoturvan häiriötilanteista annettava
ilmoitus 24h sisällä
Arvioitava tietojen luotettavuutta, eheyttä ja saatavuutta
Pitkäkestoisuus, toistuvuus tai tahallisuus
» Vapaaehtoinen ilmoitus suositeltava vähäisemmistäkin
tapahtumista
» Ensisijaisesti sähköpostitse: fi-domain-hairio@ficora.fi
» Tarvittaessa myös puhelimitse
» Ilmoitusta voi täydentää 3vrk ajan
[Juhani Juselius, päällikkö
[Pvm] | 10
Asian
Vakavuuden
Parantunut
tiedostaminen
tiedostaminen
tietoturva
21 § Ilmoitusvelvollisuus häiriöstä
» Ilmoitettavat tiedot:
Välittäjän yhteystiedot
Tapahtuman ja havaitsemisen ajankohta
Tapahtumatyyppi
Kohteen ja toimenpiteiden kuvaus
Vaikutukset käyttäjiin
[Juhani Juselius, päällikkö
[Pvm] | 11
Asian
Vakavuuden
Parantunut
tiedostaminen
tiedostaminen
tietoturva
20 § Katakri EPP-rajapinnan käyttäjille
» Välittäjän täytettävä teknisen tietoturvallisuuden osaalueen tietoliikenneturvallisuutta ja
tietojärjestelmäturvallisuutta koskeva osa (I1-I14)
» Koskee vain välitystoimintaa ja ST IV-tasoa
» Voimassaoleva versio
löytyy Puolustusministeriön
sivuilta defmin.fi
[Juhani Juselius, päällikkö
[Pvm] | 12
Asian
Vakavuuden
Parantunut
tiedostaminen
tiedostaminen
tietoturva
20 § Katakri EPP-rajapinnan käyttäjille (I01)
» Tietojenkäsittely-ympäristö erotettava muista
ympäristöistä vähintään palomuurilla
» Fyysisen turva-alueen ulkopuolinen liikenne salattava
viranomaisen hyväksymällä ratkaisulla
[Juhani Juselius, päällikkö
[Pvm] | 13
Asian
Vakavuuden
Parantunut
tiedostaminen
tiedostaminen
tietoturva
20 § Katakri EPP-rajapinnan käyttäjille (I02)
» Tietoliikenneverkko on vyöhykkeistetty
» Liikenne vyöhykkeiden välillä ja ulospäin on toteutettu
vähimpien oikeuksien periaatteella
[Juhani Juselius, päällikkö
[Pvm] | 14
Asian
Vakavuuden
Parantunut
tiedostaminen
tiedostaminen
tietoturva
20 § Katakri EPP-rajapinnan käyttäjille (I03)
» Liikennettä suodattavien ja valvovien järjestelmien
käyttö on hallittua
» Asetusten lisääminen, muuttaminen ja poistaminen on
vastuutettu
» Toimintakykyä testataan määräajoin
» Dokumentaatio olemassa
[Juhani Juselius, päällikkö
[Pvm] | 15
Asian
Vakavuuden
Parantunut
tiedostaminen
tiedostaminen
tietoturva
20 § Katakri EPP-rajapinnan käyttäjille (I04)
» Hallintayhteydet:
Käyttö- ja vähimpien oikeuksien mukaan
Liikenne salattava mikäli julkisen internetin yli
[Juhani Juselius, päällikkö
[Pvm] | 16
Asian
Vakavuuden
Parantunut
tiedostaminen
tiedostaminen
tietoturva
20 § Katakri EPP-rajapinnan käyttäjille (I05 ja
I06)
» Langattomia verkkoja kohdellaan julkisena internetinä
» Käyttäjille ja automaattisille prosesseille vain
välttämättömät oikeudet
» Salassa pidettävien tietojen luvaton muuttaminen
estetään käyttäjäoikeuksin ja teknisin rajoittein
» Säännöllinen katselmointi
[Juhani Juselius, päällikkö
[Pvm] | 17
Asian
Vakavuuden
Parantunut
tiedostaminen
tiedostaminen
tietoturva
20 § Katakri EPP-rajapinnan käyttäjille (I07)
» Käyttäjät (ihmiset ja laitteet) tunnistettava
luotettavasti
Todentaminen toteutettava siten, että
palvelunestohyökkäys ei mahdollistu
[Juhani Juselius, päällikkö
[Pvm] | 18
Asian
Vakavuuden
Parantunut
tiedostaminen
tiedostaminen
tietoturva
20 § Katakri EPP-rajapinnan käyttäjille (I08)
»
»
»
»
Ei turhia laitteita, ohjelmistoja tai prosesseja
Oletussalasanat vaihdettu
Aikakatkaisu hallintayhteyksiin
Ohjelmistot konfiguroitu turvallisiksi
Esikatselu, autorun, yms pois päältä
[Juhani Juselius, päällikkö
[Pvm] | 19
Asian
Vakavuuden
Parantunut
tiedostaminen
tiedostaminen
tietoturva
20 § Katakri EPP-rajapinnan käyttäjille (I09)
» Haittaohjelmat estettävä
Torjuntaohjelmiston oltava asennettuna ja käynnissä
Tuotettava hälytyksiä ja lokia
Hälytyksiin reagoitava
Tunnisteiden oltava ajantasalla
Vähintään www- ja sähköpostiliikennettä suodatettava (omaa,
ei asiakkaiden)
[Juhani Juselius, päällikkö
[Pvm] | 20
Asian
Vakavuuden
Parantunut
tiedostaminen
tiedostaminen
tietoturva
20 § Katakri EPP-rajapinnan käyttäjille (I10)
» Lokituksen oltava kattavaa
Tietomurrot ja –yritykset voitava todentaa
Säilytys vähintään 6kk (ellei laissa vaatimusta pidemmästä
säilytysajasta)
Lokitiedot suojattava
[Juhani Juselius, päällikkö
[Pvm] | 21
Asian
Vakavuuden
Parantunut
tiedostaminen
tiedostaminen
tietoturva
20 § Katakri EPP-rajapinnan käyttäjille (I11)
» Hyökkäyksen havaitseminen verkkoliikenteestä
Verkkoliikenteen normaalitila tunnettava
Poikkeamat pyrittävä havaitsemaan
» Toipumissuunnitelma oltava
[Juhani Juselius, päällikkö
[Pvm] | 22
Asian
Vakavuuden
Parantunut
tiedostaminen
tiedostaminen
tietoturva
20 § Katakri EPP-rajapinnan käyttäjille (I12)
» Käytettävät salausratkaisut ovat viranomaisen
hyväksymiä
Kts. lista KATAKRIsta tai
Tapauskohtainen hyväksyntä
» Avainten-, salasanojen ja muiden kirjautumistietojen
hallinnassa noudatetaan prosesseja
[Juhani Juselius, päällikkö
[Pvm] | 23
Asian
Vakavuuden
Parantunut
tiedostaminen
tiedostaminen
tietoturva
20 § Katakri EPP-rajapinnan käyttäjille (I13)
» Turvallisen ohjelmoinnin periaatteita noudatettava
» Tarkistettava että integraatiot ja konfiguroinnit ovat
asianmukaiset
» Yleisesti tunnetut hyökkäystavat kestettävä
» I14 TEMPEST: ei relevantti
[Juhani Juselius, päällikkö
[Pvm] | 24