Free ebook: NIS2 ready using ISO 27001 best practices
Download ebook

Learn more about the connected frameworks

9.2 (MIL2)
C2M2: MIL1

Implement Network Protections as an Element of the Cybersecurity Architecture

I-02
Katakri 2020

VÄHIMPIEN OIKEUKSIEN PERIAATE - TIETOLIIKENNE-VERKON VYÖHYKKEISTÄMINEN JA SUODATUSSÄÄNNÖSTÖT KO. TURVALLISUUSLUOKAN SISÄLLÄ

TEK-02.1
Julkri

Tietoliikenne-verkon vyöhykkeistäminen - vähimpien oikeuksien periaate

Other tasks from the same security theme

Configuration management and change log

Critical
High
Normal
Low

Current configurations of devices, data systems and networks are documented and a log is maintained of configuration changes.

Changes to configurations must be controlled and go through the change management procedure. Only authorized personnel are allowed to make changes to the configurations.

Configuration information may include e.g.:

  • property owner and contact point information
  • date of last configuration change
  • configuration model version
  • connections to other assets
8.9: Configuration management
ISO27k1 Full
CC7.1: Procedures for monitoring changes to configurations
SOC 2
1.2.4: Definition of responsibilities with service providers
TISAX
PR.IP-3: Configuration change control processes are in place.
CyFun
DE.CM-7: Monitoring for unauthorized personnel, connections, devices, and software is performed.
CyFun

Defining standard templates for secure configurations

Critical
High
Normal
Low

Organization must be able to monitor that devices, data systems and networks are maintained in accordance with the defined configurations (including security features) both during the implementation phase and throughout their entire life cycle.

For this, the organization has defined standard templates for secure configurations of devices, data systems and networks. When specifying standard templates, the following are taken into account:

  • publicly available guidelines (e.g. templates from suppliers and independent security organizations)
  • the level of protection required for different assets
  • fulfilling related information security requirements
  • feasibility and applicability of the configurations to the organization's operations

Standard templates should be checked regularly and updated when significant new threats or vulnerabilities need to be responded to or new software or hardware versions are released.

The following points should be taken into account when defining standard templates:

  • the number of root-level rights is minimized
  • unnecessary access rights are disabled
  • unnecessary functions and services are deactivated
  • access to powerful utilities and important settings is strictly controlled
  • the clocks are synchronized
  • the supplier's default passwords are changed immediately and the security-related settings are checked
  • timeout functions are used if necessary (e.g. automatic logout)
  • license requirements are met
8.9: Configuration management
ISO27k1 Full
ASSET-3: Manage IT and OT Asset Configuration
C2M2: MIL1
CC7.1: Procedures for monitoring changes to configurations
SOC 2
1.2.4: Definition of responsibilities with service providers
TISAX
5.3.2: Network device requirements
TISAX

Etäkäyttö turvallisuuden lisävaatimkset (TL III)

Critical
High
Normal
Low

Kansallisten turvallisuusluokan III sähköisten tietojen etäkäyttö (käsittely) ja säilytys on mahdollista kyseisen turvallisuusluokan mukaisessa päätelaitteessa turva-alueiden ulkopuolella edellyttäen, että

  • tiedot on suojattu ko. turvallisuusluokalle riittävän turvallisella salausratkaisulla, ja että
  • päätelaitteen tietoturvallisuudesta, erityisesti ko. turvallisuusluokalle edellytettävästä luottamuksellisuudesta ja eheydestä on huolehdittu riittävin menettelyin.
TEK-18.7: Etäkäyttö - TL III
Julkri
I-18: TURVALLISUUSLUOKITELTUJEN TIETOJEN VÄLITYS JA KÄSITTELY FYYSISESTI SUOJATTUJEN ALUEIDEN VÄLILLÄ - ETÄKÄYTTÖ JA ETÄHALLINTA
Katakri 2020

Laitetunnistus etäkäytön yhteydessä (TL III)

Critical
High
Normal
Low

Turvallisuusluokkien III ja II käsittely-ympäristöissä sekä muissa kriittisissä käsittely-ympäristöissä edellytetään käytön teknistä sitomista hyväksyttyyn etäkäyttölaitteistoon (esim. laitetunnistus).

TEK-18.6: Etäkäyttö - laitetunnistus - TL III
Julkri
I-18: TURVALLISUUSLUOKITELTUJEN TIETOJEN VÄLITYS JA KÄSITTELY FYYSISESTI SUOJATTUJEN ALUEIDEN VÄLILLÄ - ETÄKÄYTTÖ JA ETÄHALLINTA
Katakri 2020

Järjestelmäkovennus turvallisuusluokitelluissa ympäristöissä (TL III)

Critical
High
Normal
Low

Erityisesti korkeimpien turvallisuusluokkien ympäristöissä tarpeettomien komponenttien käytönesto on usein perusteltua toteuttaa fyysisesti kyseiset komponentit (esimerkiksi langattomat verkkokortit, kamerat, mikrofonit) laitteesta irrottaen. Tilanteissa, joissa kyseistä komponenttia ei voida fyysisesti irrottaa, korvaavana suojauksena voi joissain tapauksissa hyödyntää esimerkiksi kameroiden teippaamista sekä laitteiston ohjelmallista käytöstäpoistoa sekä käyttäjäasetus-, käyttöjärjestelmä- ja laiteohjelmistotasoilla. Joissain käyttöjärjestelmissä suojausta voidaan täydentää myös poistamalla kyseisen laitteen käyttöön liittyvät ohjelmisto-osiot (kernel module).

Turvallisuusluokkien III-II käsittely-ympäristöissä vaatimus tulee huomioida kovennusohjeiden mahdollisesti sisältämät tasot sekä useiden eri kovennusohjeiden, kuten esimerkiksi valmistajakohtaiset ohjeet, CIS Benchmark ja DISA STIG, hyödyntäminen kovennusten kattavuuden varmistamisessa

TEK-10.3: Järjestelmäkovennus - turvallisuusluokitellut ympäristöt - TL III
Julkri
I-08: VÄHIMMÄISTOIMINTOJEN JA VÄHIMPIEN OIKEUKSIEN PERIAATE – JÄRJESTELMÄKOVENNUS
Katakri 2020

Verkon rakenteellinen turvallisuus TL I -luokan ympäristöissä (TL I)

Critical
High
Normal
Low

Lähtökohtaisesti turvallisuusluokan I tietojenkäsittely-ympäristöt suositellaan pidettäväksi fyysisesti eriytettyinä kaikista muista ympäristöistä. Tyypillisenä toteutustapana on fyysisellä turva-alueella, hajasäteilysuojatussa tilassa tapahtuva kaikista muista ympäristöistä fyysisesti eriytetty tietojenkäsittely tähän tarkoitukseen varatulla päätelaitteella. Toteutustapana voi olla myös vastaavasti turva-alueella hajasäteilysuojattuun tilaan fyysisesti sijoitettu ja muista ympäristöistä fyysisesti eriytetty päätelaitteista, niitä yhdistävästä paikallisesta verkosta ja tähän tarkoitukseen varatusta erillistulostimesta koostuva tietojenkäsittely-ympäristö.

Tiedonsiirto fyysisesti eriytettyihin ympäristöihin tulee toteuttaa siten, että riski turvallisuusluokan I tiedon kulkeutumiseen matalamman turvallisuusluokan ympäristöön saatetaan mahdollisimman pieneksi.

TEK-01.7: Verkon rakenteellinen turvallisuus - käsittely - TL I
Julkri
I-01: TIETOJENKÄSITTELY-YMPÄRISTÖJEN SUOJATTU YHTEENLIITTÄMINEN – VERKON RAKENTEELLINEN TURVALLISUUS
Katakri 2020

Verkon rakenteellinen turvallisuus TL II -luokan ympäristöissä (TL II)

Critical
High
Normal
Low

Turvallisuusluokan II käsittely-ympäristöt ovat lähtökohtaisesti fyysisesti eristettyjä kokonaisuuksia.

Turvallisuusluokan ylittävä liikennöinti voidaan sallia vain datadiodien tai v astaavien OSI-mallin fyysisellä kerroksella toimivien yksisuuntaisten yhdyskäytäväratkaisujen kautta.

TEK-01.6: Verkon rakenteellinen turvallisuus - käsittely - TL II
Julkri
I-01: TIETOJENKÄSITTELY-YMPÄRISTÖJEN SUOJATTU YHTEENLIITTÄMINEN – VERKON RAKENTEELLINEN TURVALLISUUS
Katakri 2020

Tietojenkäsittely-ympäristöjen yhdistäminen yhdyskäytäväratkaisulla (TL III)

Critical
High
Normal
Low

Tietojenkäsittely-ympäristön kytkeminen muiden turvallisuusluokkien ympäristöihin edellyttää riittävän turvallisen yhdyskäytäväratkaisun käyttöä.

Tietojenkäsittely-ympäristöjen oletetaan lähtökohtaisesti olevan toisilleen ei-luotettuja myös tilanteissa, joissa yhdistetään eri organisaatioiden hallinnoimia tietojenkäsittely-ympäristöjä toisiinsa. Saman turvallisuusluokan käsittely-ympäristöjä voidaan liittää toisiinsa ko. turvallisuusluokalle riittävän turvallisen salausratkaisun avulla (esimerkiksi organisaation eri toimipisteiden ko. turvallisuusluokan käsittely-ympäristöjen yhteenliittäminen julkisen verkon ylitse).

TEK-01.5: Verkon rakenteellinen turvallisuus - yhdyskäytäväratkaisun käyttö - TL III
Julkri

Kasautumisvaikutuksen huomiointi tietojenkäsittely-ympäristön suojauksessa

Critical
High
Normal
Low

When, due to the accumulation effect, the security class of the target's central data store is interpreted as higher than the level of individual data, the security methods defined for the data store must be implemented in accordance with the requirements of the higher level.

TEK-06: Kasautumisvaikutus
Julkri

Vähimpien oikeuksien periaate verkkojen vyöhykkeistämisessä

Critical
High
Normal
Low

Tietoliikenneverkon vyöhykkeistäminen ja suodatussäännöstöt on toteutettava vähimpien oikeuksien periaatteen mukaisesti ko. turvaluokan sisällä.

Turvallisuusluokkien IV-II käsittely-ympäristöissä vaatimus voidaan täyttää siten, että toteutetaan aiemmin mainittujen toimenpiteiden lisäksi:

4) Verkko-alueiden välistä liikennettä valvotaan ja rajoitetaan siten, että vain erikseen hyväksytty, toiminnalle välttämätön liikennöinti sallitaan (default-deny).

TEK-02.1: Tietoliikenne-verkon vyöhykkeistäminen - vähimpien oikeuksien periaate
Julkri
I-02: VÄHIMPIEN OIKEUKSIEN PERIAATE - TIETOLIIKENNE-VERKON VYÖHYKKEISTÄMINEN JA SUODATUSSÄÄNNÖSTÖT KO. TURVALLISUUSLUOKAN SISÄLLÄ
Katakri 2020

Tietojenkäsittely-ympäristöjen erottelu

Critical
High
Normal
Low

Turvallisuusluokittelemattoman salassa pidettävän tiedon sekä myös turvallisuusluokan IV tietojenkäsittely-ympäristön yhdistäminen eri turvallisuusluokan ympäristöihin voidaan toteuttaa palomuuriratkaisuilla ja rajaamalla riskialttiiden alemman turvallisuusluokan ympäristöä käyttävien palvelujen (web-selailu, Internetin kautta reitittyvä sähköposti, ja vastaavat) liikenne kulkemaan erillisten sisältöä suodattavien välityspalvelinten kautta.

Turvallisuusluokittelemattoman salassa pidettävän sekä myös turvallisuusluokan IV käsittely-ympäristöjä on mahdollista kytkeä Internetiin ja muihin ei-luotettuihin verkkoihin, edellyttäen että kytkennän tuomia riskejä pystytään muilla suojauksilla pienentämään riittävästi. Internet-kytkentäisyyden tuomien riskien pienentäminen turvallisuusluokittelemattomalle salassa pidettävälle tiedolle sekä turvallisuusluokalle IV edellyttää erityisesti ohjelmistopäivityksistä huolehtimista, vähimpien oikeuksien periaatteen mukaisia käyttöoikeuksia, järjestelmäkovennuksia sekä kykyä poikkeamien havainnointiin ja korjaaviin toimiin.

Tyypillinen käyttötapa turvallisuusluokittelemattoman salassa pidettävän tai/ja turvallisuusluokan IV käsittely-ympäristölle on organisaation rajattu tietojenkäsittely-ympäristön osa, joka voi muodostua esimerkiksi päätelaitepalveluista, sovelluspalveluista, tietoliikennepalveluista sekä niiden suojaamiseen liittyvistä järjestelyistä.

TEK-01.3: Verkon rakenteellinen turvallisuus - käsittely-ympäristöjen erottaminen
Julkri

Tietojenkäsittely-ympäristöjen erottelu palomuurilla

Critical
High
Normal
Low

Tietojenkäsittely-ympäristön kytkeminen muiden turvallisuustasojen ympäristöihin edellyttää vähintään palomuuriratkaisun käyttöä.

TEK-01.2: Verkon rakenteellinen turvallisuus - palomuuri
Julkri

Structural security of the network

Critical
High
Normal
Low

The data processing environment is separated from public data networks and other environments with a lower security level in a sufficiently safe manner.

Separation of data systems is one of the most effective factors in protecting confidential information. The goal of separation is to delimit the processing environment of confidential information into a manageable entity, and in particular to be able to limit the processing of confidential information to sufficiently secure environments only. Separation of environments can be implemented, for example, with the help of a firewall solution.

TEK-01: Verkon rakenteellinen turvallisuus
Julkri
ARCHITECTURE-2: Implement Network Protections as an Element of the Cybersecurity Architecture
C2M2: MIL1
PR.AC-5: Network integrity (network segregation, network segmentation… ) is protected.
CyFun
2.2.3: Segment the organisation’s network in accordance with its risk profile
NSM ICT-SP
2.3.10: Reduce the risk posed by IoT devices
NSM ICT-SP

Remote maintenance of assets

Critical
High
Normal
Low

Remote maintenance and repair of an organization's assets must be performed so that it is approved, logged, and performed in a manner that prevents unauthorized access. The person conducting the remote maintenance and repair must be required to perform multi-step authentication.

PR.MA-2: Asset remote management and repair
NIST
PR.MA-2: Remote maintenance of organizational assets is approved, logged, and performed in a manner that prevents unauthorized access.
CyFun

Baseline for normal network traffic

Critical
High
Normal
Low

Normal network traffic is described and the description maintained to detect anomalies. The description should be updated:

  • At intervals specified by the organization
  • When necessary according to the situations defined by the organization
  • When there are changes to the systems
DE.AE-1: Baseline of network operations
NIST
DE.AE-1: A baseline of network operations and expected data flows for users and systems is established and managed.
CyFun

Remote connection management

Critical
High
Normal
Low

The organization shall ensure that the monitoring and management of remote connections is automated, that remote connections are encrypted to ensure their integrity and reliability, and that remote connections pass only through approved and managed Network Access Control (NAC).

The organization must also make possible for the remote connections to be closed within a specified time.

PR.AC-3: Remote access management
NIST
I-18: TURVALLISUUSLUOKITELTUJEN TIETOJEN VÄLITYS JA KÄSITTELY FYYSISESTI SUOJATTUJEN ALUEIDEN VÄLILLÄ - ETÄKÄYTTÖ JA ETÄHALLINTA
Katakri 2020
5.1.2: Information transfer
TISAX
PR.AC-3: Remote access is managed.
CyFun
PR.MA-2: Remote maintenance of organizational assets is approved, logged, and performed in a manner that prevents unauthorized access.
CyFun

Segregation of network access related to offered cloud services

Critical
High
Normal
Low

Network segregation is used to divide networks into smaller parts (called subnetworks or segments). The main purpose is to achieve least privilege principles by limiting the access e.g. a user or any particular device can have.

When offering cloud services, the organisation should implement network access segregation to:

  • Strongly separate tenants in multi-tenant environments
  • Strongly separate provider’s own internal administration environment and customers cloud computing environment

Organisation should be able to help the customer to verify the segregation implementation.

PR.AC-5: Network integrity
NIST
13.1.3: Segregation in networks
ISO 27017
2.2.3: Segment the organisation’s network in accordance with its risk profile
NSM ICT-SP

Documenting and managing the firewall administration policies

Critical
High
Normal
Low

The organisation must have the following firewall rules configured and documented:

  • Firewall will by default block inbound connections
  • Firewall rules are accepted and documented by appropriate and authorized individual; the business need must be included in the documentation
  • Permissive firewall rules must be removed or disabled quickly when no longer needed
FWL-02: Documenting and managing the firewall administration policies
Cyber Essentials
PR.AC-5: Network integrity (network segregation, network segmentation… ) is protected.
CyFun
2.4.1: Establish access control on as many network ports as possible
NSM ICT-SP
2.4.4: Activate firewall on all clients and servers
NSM ICT-SP
2.5.1: Control data flow between network zones
NSM ICT-SP

Firewall administration policies

Critical
High
Normal
Low

The organisation must change the default password, which is used to login into firewall management interface, to something not easily guessed. Alternatively, organisation can block remote access to the management interface.

The organisation must not allow remote access if it is not properly and clearly documented and needed for business operations. In this case the system must be protected with multi factor authentication or with whitelisting only the necessary IP-addresses.

FWL-01: Firewall administration policies
Cyber Essentials
DE.CM-1: The network is monitored to detect potential cybersecurity events.
CyFun

Palomuurisuojaus

Critical
High
Normal
Low

Palomuuri on ohjelmisto, joka hallinnoi yhteyksiä verkkojen (sisäiten tai ulkoisten) tai verkkosovellusten välillä. Palomuuri voidaan asettaa hyväksymään, estämään tai suodattamaan yhteksiä tiettyjen kriteerien perusteella.

Organisaation käyttämät tietojärjestelmät, niiden käyttöympäristöt sekä ulkoiset liityntäpisteet on suojattu joko tilallisella palomuurilla tai sovelluspalomuurilla.

6.6.3: Tekniset vaatimukset
Self-monitoring

Hallintayhteyksien turvallisuus

Critical
High
Normal
Low

Hallintapääsy tapahtuu rajattujen, hallittujen ja valvottujen pisteiden kautta.

Hallintayhteyksien suojauksessa huomioidaan, miltä osin hallintayhteyden kautta pystytään vaarantamaan salassa pidettävät tiedot. Useimmat hallintayhteystavat mahdollistavat pääsyn salassa pidettävään tietoon joko suoraan (esim. tietokantaylläpito pääsee yleensä tarvittaessa tietokannan sisältöön) tai epäsuoraan (esim. verkkolaiteylläpito pystyy yleensä muuttamaan tietojärjestelmää suojaavia palomuurisääntöjä), mikä tekee näistä erityisen houkuttelevan kohteen myös pahantahtoisille toimijoille.

Kun hallintayhteys mahdollistaa suoran tai epäsuoran pääsyn salassa pidettävään tietoon, tulisi hallintayhteys ja siihen käytettävät päätelaitteet rajata lähtökohtaisesti samalle suojaustasolle kuin tietojenkäsittely-ympäristökin. Laitteilla tarkoitetaan tässä järjestelmiä, joihin pitäisi olla hallintaoikeudet vain ylläpitäjillä tai vastaavilla. Tällaisia ovat tyypillisesti esimerkiksi palomuurit, reitittimet, kytkimet, langattomat tukiasemat, palvelimet, työasemat, ILO-hallintaliittymät ja Blade-runkojen hallintaliittymät.

I04: Hallintayhteydet
Katakri
TEK-04: Hallintayhteydet
Julkri
I-04: TIETOJENKÄSITTELY-YMPÄRISTÖJEN SUOJATTU YHTEENLIITTÄMINEN – HALLINTAYHTEYDET
Katakri 2020

Management of filtering and monitoring systems

Critical
High
Normal
Low

Examples of traffic filtering and monitoring systems are firewalls, routers, intrusion detection or prevention systems (IDS / IPS) and network devices / servers / applications with similar functionalities.

To ensure the functionality of filtering and monitoring:

  • An owner has been appointed for the systems, who takes care of the proper operation of the system throughout the life cycle of the data processing environment
  • It is the responsibility of the system owner to add, change, and delete settings for systems that filter or control traffic
  • Documentation of the network and associated filtering and control systems is maintained throughout its lifecycle as an integral part of the change and settings management process
  • The settings and desired operation of the systems are checked periodically during the operation and maintenance of the data processing environment and in the event of exceptional situations
I03: Suodatus- ja valvontajärjestelmien hallinnointi
Katakri
TEK-03: Suodatus- ja valvontajärjestelmien hallinnointi
Julkri
TEK-03.1: Suodatus- ja valvontajärjestelmien hallinnointi - vastuutus ja organisointi
Julkri
TEK-03.2: Suodatus- ja valvontajärjestelmien hallinnointi - dokumentointi
Julkri
TEK-03.3: Suodatus- ja valvontajärjestelmien hallinnointi - tarkastukset
Julkri

Network segmentation and filtering practices within the classification level

Critical
High
Normal
Low

Tietoliikenneverkon vyöhykkeistäminen ja suodatussäännöstöt on toteutettava monitasoisen suojaamisen periaatteen mukaisesti.

Tietoliikenneverkon jakaminen ko. turvallisuusluokan sisällä erillisille verkkoalueille (vyöhykkeet ja segmentit) voi tarkoittaa esimerkiksi tietojen suojaamisen näkökulmasta tarkoituksenmukaista työasema- ja palvelinerottelua, kattaen myös mahdolliset hankekohtaiset erottelutarpeet.

Vaatimus voidaan täyttää alla mainituilla toimenpiteillä:

  • Tietoliikenneverkko on jaettu ko. turvallisuusluokan sisällä erillisiin verkko-alueisiin (vyöhykkeet, segmentit).
  • Verkkoalueiden välistä liikennettä rajoitetaan ja ympäristöön sisäänpäin tulevaan liikenteeseen noudatetaan default-deny sääntöä.
  • Tietojenkäsittely-ympäristössä on varauduttu yleisiin verkkohyökkäyksiin.
I02: Verkon vyöhykkeistäminen ja suodatussäännöstöt
Katakri
TEK-02: Tietoliikenne-verkon vyöhykkeistäminen
Julkri
ARCHITECTURE-2: Implement Network Protections as an Element of the Cybersecurity Architecture
C2M2: MIL1
I-02: VÄHIMPIEN OIKEUKSIEN PERIAATE - TIETOLIIKENNE-VERKON VYÖHYKKEISTÄMINEN JA SUODATUSSÄÄNNÖSTÖT KO. TURVALLISUUSLUOKAN SISÄLLÄ
Katakri 2020
PR.AC-5: Network integrity (network segregation, network segmentation… ) is protected.
CyFun

Verkon rakenteellinen turvallisuus (TL III-II)

Critical
High
Normal
Low

Käsiteltäessä viranomaisen suojaustason III tai II salassapidettävää tietoa, toteutetaan tietojenkäsittely-ympäristön verkolle seuraavat toimenpiteet:

  • Tietojenkäsittely-ympäristö on erotettu muista ympäristöistä
  • Hallitun fyysisen turva-alueen ulkopuolelle menevä liikenne salataan viranomaisen ko. suojaustasolle hyväksymällä salausratkaisulla
  • Tietojenkäsittely-ympäristön kytkeminen muiden suojaustasojen ympäristöihin edellyttää viranomaisen ko. suojaustasolle hyväksymän yhdyskäytäväratkaisun käyttöä
I01: Verkon rakenteellinen turvallisuus
Katakri
I-01: TIETOJENKÄSITTELY-YMPÄRISTÖJEN SUOJATTU YHTEENLIITTÄMINEN – VERKON RAKENTEELLINEN TURVALLISUUS
Katakri 2020

Verkon rakenteellinen turvallisuus (TL IV)

Critical
High
Normal
Low

Käsiteltäessä viranomaisen suojaustason IV salassapidettävää tietoa, toteutetaan tietojenkäsittely-ympäristön verkolle seuraavat toimenpiteet:

  • Tietojenkäsittely-ympäristö erotetaan muista ympäristöistä
  • Kytkettäessä tietojenkäsittely-ympäristö muiden suojaustasojen ympäristöihin käytetään vähintään palomuuriratkaisua
  • Hallitun fyysisen turva-alueen ulkopuolelle menevä liikenne salataan viranomaisen ko. suojaustasolle hyväksymällä salausratkaisulla
I01: Verkon rakenteellinen turvallisuus
Katakri
I-01: TIETOJENKÄSITTELY-YMPÄRISTÖJEN SUOJATTU YHTEENLIITTÄMINEN – VERKON RAKENTEELLINEN TURVALLISUUS
Katakri 2020

Ensuring system hardening

Critical
High
Normal
Low

Systems here mean servers, workstations, active network devices (firewalls, routers, switches, wireless base stations, etc.) and the like. Hardening, on the other hand, means changing the system's settings in such a way that the system's vulnerability area can be reduced.

Organization has defined operating processes through which:

  • Only essential features, devices and services (in terms of usage and data processing requirements) are put into use. Redundancies are also removed at the BIOS level.
  • There is a procedure in which systems are systematically installed so that the end result is a hardened installation.
  • A hardened installation contains only such components and services, and users and processes rights that are necessary to meet operational requirements and ensure security.
  • Software such as operating systems, applications, and firmware are set to collect the necessary log information to detect abuse.
  • Starting the data system from an unknown (other than defined as primary) is blocked from the device.
  • Software (e.g. firmware, applications) is kept up-to-date.
  • Connections to the target, including management connections, are limited, hardened, user-identified and time-limited (session timeout).< /li>
I08: Järjestelmäkovennus
Katakri
TEK-10: Järjestelmäkovennus
Julkri
TEK-10.2: Järjestelmäkovennus - kovennusten varmistaminen koko elinkaaren ajan
Julkri
PR.PT-3: The principle of least functionality is incorporated by configuring systems to provide only essential capabilities.
CyFun
2.2.1: Establish and maintain a comprehensive security architecture
NSM ICT-SP

Päätelaitteiden tekninen tunnistaminen ennen verkkoon pääsyä (ST III-II)

Critical
High
Normal
Low

Päätelaitteet tunnistetaan teknisesti (laitetunnistus, 802.1X, tai vastaava menettely) ennen pääsyn sallimista verkkoon tai palveluun, ellei verkkoon kytkeytymistä ole fyysisen turvallisuuden menetelmin rajattu suppeaksi (esim. palvelimen sijoittaminen lukittuun laitekaappiin teknisesti suojatun viranomaisen ko. suojaustasolle hyväksymän turva-alueen sisällä).

I07: Tietojenkäsittely-ympäristön toimijoiden tunnistaminen
Katakri

Determining the responsibility of network devices

Critical
High
Normal
Low

Owners have been assigned to various network devices, who are responsible for ensuring that the information processed on the networks and related services are protected from unauthorized access. Where appropriate, liability for network equipment must be separated from other related responsibilities.

13.1.1: Network controls
ISO27 Full
PR.AC-5: Network integrity
NIST
DE.CM-1: The network monitoring
NIST
8.20: Networks security
ISO27k1 Full
DE.CM-1: The network is monitored to detect potential cybersecurity events.
CyFun

Protection of wireless connections

Critical
High
Normal
Low

The use of the wireless network is secured with sufficient keys and the connection traffic to the network router is encrypted. The wireless network for guest use is isolated from the company's own internal network.

13.1.2: Security of network services
ISO27 Full
I05: Langattomat verkot
Katakri
PR.PT-4: Communications and control networks
NIST
TEK-05: Langaton tiedonsiirto
Julkri
8.21: Security of network services
ISO27k1 Full

Network usage log and process for detecting inappropriate network traffic

Critical
High
Normal
Low

An appropriate log is generated from the use of the network to enable the detection of actions relevant to cyber security.

The normal state of network traffic (traffic volumes, protocols, and connections) is known. In order to detect anomalies, there is a procedure for detecting events that are different from the normal state of network traffic (for example, anomalous connections or their attempts).

12.4.1: Event logging
ISO27 Full
13.1.1: Network controls
ISO27 Full
I11: Poikkeamien havainnointikyky ja toipuminen
Katakri
PR.AC-3: Remote access management
NIST
PR.AC-5: Network integrity
NIST

Network areas and structurally secure network design

Critical
High
Normal
Low

An owner is defined for an organization's networks. The owner is responsible for planning the structure of the network and documenting it.

Separate network areas are used in network design as needed. Domain areas can be defined by e.g.:

  • trust level (eg public, workstations, server)
  • organizational units (eg HR, financial management)
  • or by some combination (for example, a server domain that is connected to multiple organizational units)

Separation can be implemented either with physically separate networks or with logically separate networks.

13.1.3: Segregation in networks
ISO27 Full
PR.AC-5: Network integrity
NIST
8.22: Segregation of networks
ISO27k1 Full
ARCHITECTURE-2: Implement Network Protections as an Element of the Cybersecurity Architecture
C2M2: MIL1
CC6.6: Logical access security measures against threats from sources outside system boundries
SOC 2

Authenticated proxy servers for critical systems

Critical
High
Normal
Low

The organization deploys authenticated proxy servers to manage and secure communication traffic between the organization’s critical systems and external networks. Review existing network architecture, identify communication channels that connect critical systems to external entities, and implement proxy servers where feasible. Secure authentication protocols should be used to secure the traffic.

PR.AC-5: Network integrity (network segregation, network segmentation… ) is protected.
CyFun

Protection of critical systems from Denial-of-Service (DoS) attacks

Critical
High
Normal
Low

The organization should Implement measures to secure the organization’s critical systems from Denial-of-Service (DoS) attacks, or at least limit their impact. These could include:

  • Reviewing current system vulnerabilities
  • Deploying DoS mitigation solutions such as firewalls, intrusion detection systems, and traffic filtering
  • Using cloud-based DoS protection services
  • Configuring rate limiting and monitoring traffic patterns for anomalies
  • Developing a response plan to quickly react to and mitigate the effects of DoS attacks.
PR.DS-4: Adequate capacity to ensure availability is maintained.
CyFun

Secure deployment of IoT devices

Critical
High
Normal
Low

Create a plan for deploying IoT devices to include security aspects with risk assesments. This includes, for example, assessment of the cloud the device connects to.

Isolate the IoT devices in separate network zones and consider their location with regard to unauthorised physical access to the devices.

2.3.10: Reduce the risk posed by IoT devices
NSM ICT-SP

Deciding which parts of the ICT system to monitor

Critical
High
Normal
Low

The organization must decide which parts of the ICT system it needs to monitor. These could include, for example:

  • The most critical parts of the system or the parts which contain the most confidential information
  • Operating systems on devices
  • Internal gateways where data flows through
  • Gateways between internal and external systems, e.g. to the internet
  • Security products (e.g., AVS, IDS, IPS, FW etc.) in the information systems
  • Systems for backup and restore

Ideally, organizations security-related monitoring should cover as much of the ICT system as possible. That makes it easier to identify unauthorized actions, security breaches and security threats as early as possible.

3.2.3: Decide which parts of the ICT system to monitor
NSM ICT-SP

Protect critical services with their own data flow

Critical
High
Normal
Low

Protect particularly critical services with their own data flow. Consider which services are particularly critical, e.g., backup services and those critical services should have their own rules for data flow.

2.5.6: Protect particularly critical services with their own data flow
NSM ICT-SP

Control the data flow of exposed services

Critical
High
Normal
Low

Control the data flow of especially exposed services. Exposed services, e.g., web and email with external content for users should be subject to strict controls.

2.5.5: Control the data flow of especially exposed services
NSM ICT-SP

Block all direct traffic between clients

Critical
High
Normal
Low

Block all direct traffic between clients. Applications requiring peer-to-peer should instead use a server service. Alternatively, reduce direct traffic between clients to an absolute minimum based on what is needed for work purposes.

2.5.3: Block all direct traffic between clients
NSM ICT-SP

Ensure that maintenance of configurations, installations and operations are done securely

Critical
High
Normal
Low

Ensure that maintenance of configurations, installations and operations are done securely. This includes the following:

  • Perform management operations in trusted channels
  • Consider installing trusted TLS (ideally issued internally) in as many administrator interfaces as possible and avoid exposing administrator interfaces to internet.
  • Reduce interactive log-ins directly on servers


2.3.6: Ensure that maintenance of all configurations, installations and operations are done securely
NSM ICT-SP

Physically isolate the most critical subnets

Critical
High
Normal
Low

The most critical subnets must be physically isolated. Also, it should be considered whether to physically isolate particularly sensitive subnets.

2.2.4: Physically isolate the most critical subnets
NSM ICT-SP

Monitoring configurations

Critical
High
Normal
Low

Configurations should be monitored with comprehensive system management tools (e.g. maintenance utilities, remote support, enterprise management tools, backup and recovery software) and reviewed regularly to assess settings, password strengths, and operations performed. Actual configurations can be compared to defined target models. Any discrepancies must be dealt with either automatically or by manual processing.

Any unauthorized changes must be corrected and cause investigated and reported.

8.9: Configuration management
ISO27k1 Full
1.2.4: Definition of responsibilities with service providers
TISAX
DE.CM-7: Monitoring for unauthorized personnel, connections, devices, and software is performed.
CyFun
2.3.4: Establish and maintain standard security configurations
NSM ICT-SP
2.3.5: Verify that activated security configurations comply with the organisation’s approved security configurations
NSM ICT-SP

Järjestelmien koventaminen käytössä olevien palveluiden minimoinnilla

Critical
High
Normal
Low

Järjestelmissä otetaan käyttöön vain toimintavaatimusten täyttämiseksi ja turvallisuuden varmistamiseksi välttämättömät komponentit, palvelut sekä käyttäjien ja prosessien oikeudet.

TEK-10.1: Järjestelmäkovennus - käytössä olevien palveluiden minimointi
Julkri
I-08: VÄHIMMÄISTOIMINTOJEN JA VÄHIMPIEN OIKEUKSIEN PERIAATE – JÄRJESTELMÄKOVENNUS
Katakri 2020

Detailed procedures for the management, control and segmentation of networks

Critical
High
Normal
Low

The organisation should develop and document clear procedures for the management and control of networks, ensuring consistency across all network operations.

Organisation should consider the following aspects during network segmentation:

  • Establish limitations for connecting IT systems to the network based on risk assessments
  • Implement security technologies that meet the specific security requirements of the organization
  • Ensure performance, trust, availability, security, and safety are prioritized in all network management decisions
  • Define strategies for limiting the impact in case of compromised IT systems, focusing on rapid containment
  • Integrate mechanisms for the detection of potential attacks and the lateral movement of attackers across network segments
  • Enforce separation of networks with different operational purposes (e.g., test/development, office, manufacturing) to prevent cross-network risks
  • Address the increased risk due to network services accessible via the internet, especially for external-facing services
  • Use technology-specific separation options when engaging with external IT services to mitigate risks
  • Ensure adequate separation between own networks and customer networks, aligning with customer requirements.
  • Establish measures for the detection and prevention of data loss or leakage, ensuring the protection of sensitive information
5.2.7: Network management
TISAX

Redundancy solutions for networks

Critical
High
Normal
Low

The organisation should ensure its networds has sufficient redundancy. The following aspects should be considered:

  • Multiple Internet Service Providers (ISP)
  • Redundant network links
  • Redundant network devices (multiple switchers, routers and other devices and use of network load balancers)
  • Power redundancy (UPS)
5.3.2: Network device requirements
TISAX

Isolate vulnerable and low-trust equipment

Critical
High
Normal
Low

Isolate vulnerable and low-trust equipment, e.g., outdated applications, old servers with unsupported OS and printers with poor security configuration and a lack of security updates.

2.5.4: Isolate vulnerable and low-trust equipment
NSM ICT-SP