Tietoturva Nyt!
Kyberhygieniakäytännöt eli perustason tietoturvakäytännöt luovat perustan organisaation kyberturvallisuudelle. Jos kyberturvallisuus ei ole organisaatiolle vielä kovin tuttua, kyberhygieniakäytännöillä organisaatio pääsee alkuun kyberturvallisuudesta huolehtimisessa.
Traficom on laatinut suositusluonnoksen NIS-valvoville viranomaisille kyberturvallisuuden riskienhallinnan toimenpiteistä. Suositusluonnoksessa esitetään myös perustason tietoturvakäytännöt. Ehdotetut tietoturvakäytännöt on laadittu siten, että soveltuvat laajasti myös sellaisille toimijoille, jotka eivät kuulu NIS-sääntelyn soveltamisalaan. Perustason tietoturvakäytäntöjen avulla organisaatio voi huolehtia siitä, että tavanomaiset kybertapahtumat ovat hallittavissa. Suositusluonnoksen valmistelun tukena on käytetty yleisesti ja laajasti käytössä olevia suosituksia ja uhka-analyysejä.
Tietoturvakäytännöt sisältävät sekä hallinnollisia että teknisiä toimenpiteitä
Ehdotettuihin käytäntöihin on esitetty perustason teknisiä ja muita toimenpiteitä järjestelmien, ohjelmien ja palveluiden turvallisuuden varmistamiseksi.
Suositusluonnoksessa esitetyt perustason tietoturvakäytännöt ovat:
- Toimija on ohjeistanut perustason tietoturvakäytännöt henkilöstölle, alihankkijoille ja muille kumppaneille,
- Toimija on tunnistanut kriittisimmän omaisuutensa,
- Toimija on suojannut viestintäverkkonsa ja tietojärjestelmänsä,
- Toimija on erottanut kriittiset ja haavoittuvat viestintäverkot ja tietojärjestelmät muista ympäristöistä,
- Toimija on suojannut viestintäverkkonsa ja tietojärjestelmänsä haitallisia ja luvattomia ohjelmistoja vastaan,
- Toimija on järjestänyt tunnistautumisen sisäisiin ja ulkoisiin palveluihinsa ja laitteisiinsa turvallisesti,
- Toimija on erottanut järjestelmiensä pääkäyttäjätunnukset ja korotettujen oikeuksien tunnukset muista tunnuksista,
- Toimija on varmistanut, että sen luottamuksellista tietoa käsitellään turvallisesti,
- Toimija on huolehtinut, että sen järjestelmiä päivitetään säännöllisesti ja kriittiset päivitykset asennetaan viivytyksettä,
- Toimija on huolehtinut, että sen palvelut ja laitteet on turvallisesti konfiguroitu,
- Toimija on huolehtinut, että sen kriittiset palvelut ja tieto-omaisuus on varmuuskopioitu,
- Toimija on varautunut, miten sen toiminta voidaan ylläpitää vakavissa poikkeamissa ja
- Toimijalla on käytössään kriittisten toimintojen tapahtumakirjaus.
Täydennä perustason tietoturvakäytäntöjä riskiarvion perusteella
Perustason tietoturvakäytäntöjä on esitetty yhtenä toimenpidekokonaisuutena kyberturvallisuuden riskienhallintaan toiminnan turvallisuuden sekä tietoliikenne-, laitteisto-, ohjelmisto- ja tietoaineistoturvallisuuden varmistamiseksi. NIS2-soveltamisalaan kuuluvan organisaation tulisi toteuttaa tarpeelliset perustason toimenpiteet ja varmistaa että organisaatio ja sen yhteistyökumppanit noudattavat niitä. Toimenpiteiden taso tulisi mitoittaa riittäväksi toimintojen kriittisyyteen perustuen.
NIS2-sääntelyn soveltamisalaan kuuluu paljon erilaisia organisaatioita, minkä vuoksi toimenpiteisiin on pyritty keräämään vain keskeiset toimet kyberturvallisuuden varmistamiseksi. Ehdotetut käytännöt sopivat erityisen hyvin pienemmille toimijoille ja sellaisille, joiden toiminta on vähemmän riippuvainen viestintäverkoista ja tietojärjestelmistä. Muita hyviä perustason tietoturvakäytäntöjä voisivat olla esimerkiksi järjestelmien turvallisuustestaaminen säännöllisesti ja toimitusketjujen kyberturvallisuusriskin arviointi.
Lue lisää
Käy tutustumassa suositusluonnokseen kyberturvallisuuden riskienhallinnan toimenpiteistä ja siinä esitettyihin perustason tietoturvakäytäntöihin täällä. Suositusluonnosta on mahdollista lausua 31.5. asti.
Mitä muuta NIS2-vaatimuksiin sisältyy? Verkkosivuiltamme löytyy kootusti tietoa NIS2-direktiivistä ja sen velvoitteista.
Kybermittarista apua tietoturvatoimenpiteiden toteuttamiseen
Suositusluonnos sisältää viittaukset myös Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen tarjoamaan Kybermittariin, joka on mittaristo kyberturvallisuuden kypsyystason toistuvaan arviointiin, kehittämiseen ja raportointiin. Kybermittari voi toimia työkaluna perustason tietoturvakäytäntöjen toteuttamisessa organisaatioissa.
Kybermittari on myös täysin muokattavissa organisaation omiin tarpeisiin. Siinä voidaan huomioida esimerkiksi toimialakohtaiset erityispiirteet ja uhkaprofiili, jotka vaikuttavat tarvittaviin kyvykkyyksiin suojautua kyberuhilta ja turvata toiminnan jatkuvuus.
Pysy kuulolla
Julkaisemme alkukesän aikana lisää NIS2-direktiiviin liittyviä uutisia. Käsittelemme niissä muun muassa kyberturvallisuusriskejä sekä hankinnan ja toimitusketjujen turvallisuutta.