Verkkoturvallisuuspolitiikka

Verkkoturvallisuuspolitiikka (asiakirja P21) on laadittu luomaan tiukat hallintakeinot sekä sisäisiin että ulkoisiin organisaation verkkoihin ja tarjoamaan suoja luvattomalta pääsyltä, palvelun häiriöiltä, tiedon sieppaukselta ja väärinkäytöltä. Sen ensisijaisiin tavoitteisiin kuuluu tiedon luottamuksellisuuden, eheyden ja saatavuuden suojaaminen siirrossa ja levossa sekä tiivis linjaus keskeisten sääntely- ja standardivaatimusten kanssa, kuten ISO/IEC 27001:2022, GDPR:n artikla 32, NIS2-direktiivi, DORA ja COBIT 2019. Tämä vahva politiikka koskee maailmanlaajuisesti kaikkea verkko-infrastruktuuria, mukaan lukien fyysiset, virtuaaliset, pilvi- ja hybridiympäristöt. Se kattaa reitittimet, kytkimet, palomuurit, pilvipohjaiset verkot, VPN-järjestelmät sekä tukipalvelut, kuten DNS- ja välityspalvelimet. Sekä sisäinen henkilöstö että ulkoiset kolmannen osapuolen palveluntarjoajat, jotka ovat vuorovaikutuksessa näiden verkkojen kanssa, ovat sidottuja asetettuihin vaatimuksiin. Politiikan keskeisiä ominaisuuksia ovat pakollinen verkon segmentointi, nimenomaiset palomuurien konfiguraatioprotokollat, suojatun reitityksen standardit sekä verkkoaktiviteettien jatkuva keskitetty seuranta ja tarkastuslokitus. Hallintotapa on selkeästi jäsennelty ja velvoittaa roolit, kuten tietoturvajohtaja (CISO), verkkoturvallisuuspäällikkö, tietoturvaoperaatiokeskus (SOC), IT-toiminnot sekä kolmannen osapuolen toimittajat, noudattamaan määriteltyjä vastuita turvallisessa verkkosuunnittelussa, operatiivisessa valvonnassa, muutoksenhallinnassa ja tietoturvapoikkeamiin reagoinnissa. Politiikka asettaa odotukset paitsi rutiininomaiselle verkonhallinnalle myös poikkeusten käsittelylle, kuten legacy-järjestelmäriippuvuuksille, hallitun ja riskiperusteisen hyväksyntäprosessin kautta. Kaikki poikkeushyväksynnät rekisteröidään tietoturvallisuuden hallintajärjestelmään tiukalla 90 päivän katselmointisyklillä, jotta pitkäaikaisia haavoittuvuuksia ei jätetä huomiotta. Hyökkäyspintojen minimoimiseksi ja vaatimustenmukaisuusvelvoitteiden täyttämiseksi politiikka edellyttää, että kaikki reunaverkot suojataan seuraavan sukupolven palomuureilla, joissa on tilallinen tarkastus, sovellussuodatus ja tunkeutumisen estäminen. Sisäiset verkot on segmentoitava tuotanto-, kehitys-, käyttäjä- ja vierasalueisiin, ja palomuureja sekä virtuaalisia lähiverkkoja (VLAN) on käytettävä tiukkojen pääsynhallintakontrollien toteuttamiseksi. VPN- ja etäkäyttöratkaisujen on hyödynnettävä salausta ja monivaiheista todennusta, ja langattomien verkkojen on otettava käyttöön yritystason tietoturvaprotokollat sekä vierasverkon eriyttäminen. Pilvi- ja hybridiympäristöt eivät ole poikkeus: tietoturvaryhmäsäännöt, auditoidut VPN-linkit ja pilvinatiivit palomuuriasetukset on hallittava tiukasti. Seurannan ja havaitsemisen osalta vaatimuksiin kuuluvat jatkuva tarkastuslokitus keskitettyyn SIEM-järjestelmään, poikkeamien havaitseminen NDR:n avulla sekä määritetyt lokien säilytysajat. Säännölliset politiikkakatselmoinnit ja auditoinnit ovat pakollisia, ja ne käynnistyvät uusista uhista, verkkopohjaisista muutoksista, sääntelypäivityksistä tai auditointihavainnoista. Vaatimustenvastaisuus, mukaan lukien hallintakeinojen tahallinen kiertäminen, johtaa kurinpitotoimenpiteisiin, sopimussanktioihin tai ilmoitettaviin tietoturvaloukkauksiin sääntelyn mukaisesti. Lopuksi Verkkoturvallisuuspolitiikka määrittää myös kytkentänsä muihin kriittisiin organisaation politiikkoihin, mukaan lukien perustason tietoturva, pääsynhallinta, muutoksenhallinta, omaisuudenhallinta, tarkastuslokitus ja tietoturvapoikkeamiin reagointi, kerrostetun syvyyspuolustuksen lähestymistavan tukemiseksi.