Zero Trust -arkkitehtuuri 2026: auditointikelpoinen todentava aineisto

Maanantaiaamun Zero Trust -auditointi, jota kukaan ei suunnitellut
Maanantaina kello 08.12 eurooppalaisen SaaS-fintechin tietoturvajohtaja saa viiden minuutin sisällä kolme viestiä.
Ensimmäinen tulee pankkiasiakkaalta: ”Toimittakaa Zero Trust -arkkitehtuurianne koskeva todentavan aineiston paketti vuosittaista ICT-kolmannen osapuolen katselmointiamme varten.”
Toinen tulee lakiosastolta: ”Meidät saatetaan luokitella tärkeäksi toimijaksi NIS2:n mukaisesti yhdessä jäsenvaltiossa, ja osa asiakkaista kysyy, ulottuvatko DORA-velvoitteet meihin ICT-palveluntarjoajana.”
Kolmas tulee tuotekehitysjohtajalta: ”Meillä on MFA, SSO, EDR, Kubernetes-verkkopolitiikat ja SIEM-hälytykset. Onko se Zero Trust?”
Tähän moni organisaatio pysähtyy. Niillä on tietoturvatyökaluja, mutta ei Zero Trust -vaatimustenmukaisuuden toimintamallia. Ne voivat näyttää MFA-kuvakaappauksia, mutta eivät pysty selittämään, miten identiteetti, laitteen tietoturvatila, vähimmän oikeuden periaate, segmentointi, seuranta, poikkeamien ilmoittaminen, tietosuojan suojatoimet ja toimittajariippuvuudet liittyvät toisiinsa. Ne voivat näyttää kontrolleja, mutta eivät jäljitettävyyttä.
Vuonna 2026 NIST SP 800-207 -julkaisuun perustuvan Zero Trust -arkkitehtuurin on oltava enemmän kuin ”älä koskaan luota, varmista aina”. Tietoturvajohtajille, vaatimustenmukaisuuspäälliköille, auditoijille ja liiketoimintavastaaville käytännön kysymys on täsmällisempi:
Miten muutamme Zero Trustin todentavaksi aineistoksi, joka täyttää ISO/IEC 27001:2022 -vaatimukset, NIS2:n kyberhygieniaodotukset, DORA:n ICT-riskien hallinnan, GDPR Article 32:n käsittelyn turvallisuutta koskevat vaatimukset, asiakkaiden huolellisuusarvioinnit ja hallituksen valvontatarpeet?
Vastaus ei ole uusi työkalu. Vastaus on riskiperusteinen todentavan aineiston malli, joka yhdistää politiikat, kontrollit, teknisen toteutuksen, seurannan ja johdon vastuun.
Zero Trust vuonna 2026: tietoturvastrategiasta vaatimustenmukaisuuden todentavaan aineistoon
NIST SP 800-207 määrittelee Zero Trustin periaatejoukoksi turvallisten järjestelmien suunnitteluun ja käyttöön tilanteessa, jossa luottamus ei ole koskaan implisiittistä. Pääsy myönnetään identiteetin, kontekstin, politiikan, omaisuuserän tietoturvatilan ja jatkuvan arvioinnin perusteella.
NISTin seitsemän Zero Trust -periaatetta ovat erityisen hyödyllisiä, koska ne muuttavat epämääräisen tietoturvasloganin asiaksi, joka voidaan kartoittaa, testata ja auditoida:
- Kaikki tietolähteet ja laskentapalvelut katsotaan resursseiksi.
- Kaikki viestintä suojataan verkkosijainnista riippumatta.
- Pääsy yksittäisiin organisaation resursseihin myönnetään istuntokohtaisesti.
- Pääsy resursseihin määräytyy dynaamisen politiikan perusteella, mukaan lukien identiteetti-, laite-, sovellus- ja käyttäytymisattribuutit.
- Organisaatio seuraa ja mittaa kaikkien omistamiensa ja niihin liittyvien omaisuuserien eheyttä ja tietoturvatilaa.
- Kaikkien resurssien todennus ja valtuutus ovat dynaamisia, ja ne toteutetaan tiukasti ennen pääsyn sallimista.
- Organisaatio kerää tietoa omaisuuseristä, infrastruktuurista ja viestinnästä ja hyödyntää sitä tietoturvatilansa parantamiseen.
Nykyaikaiselle SaaS-palveluntarjoajalle, digitaaliselle pankille, hallinnoidulle palveluntarjoajalle tai pilvinatiiville alustalle nämä periaatteet tarkoittavat käytännössä seuraavia kontrollialueita:
- Identiteetti todennetaan ja sitä hallinnoidaan.
- Laitteet arvioidaan ennen pääsyn myöntämistä.
- Etuoikeutettu pääsy minimoidaan ja katselmoidaan.
- Verkkopolut segmentoidaan ja niitä hallitaan.
- Sovellukset, ohjelmointirajapinnat ja tietovarastot toteuttavat valtuutuksen.
- Lokit ja telemetriatiedot tukevat jatkuvaa seurantaa.
- Poikkeamat käynnistävät rajaamisen, raportoinnin ja palautumisen.
- Todentava aineisto osoittaa, että kontrollit toimivat, eivät ainoastaan ole suunniteltuja.
Viimeinen kohta on se, jossa vaatimustenmukaisuus tulee mukaan.
ISO/IEC 27001:2022 edellyttää, että organisaatiot määrittelevät toimintaympäristönsä, sidosryhmänsä, sovellettavat lakisääteiset ja sopimusperusteiset vaatimukset, soveltamisalan, rajapinnat ja riippuvuudet. Se edellyttää myös riskien arviointia, riskien käsittelyä, soveltuvuuslausuntoa, johdon vastuun osoittamista, sisäistä auditointia, johdon katselmointia ja jatkuvaa parantamista.
Zero Trust sopii tähän rakenteeseen luontevasti, kun sitä käsitellään kontrollijärjestelmänä. Sen ei tule olla ISMS:n ulkopuolinen tekninen hanke. Sen tulee olla osa riskien arviointia, kontrollien valintaa, politiikkojen hallinnointia, toimittajahallintaa, tietosuojan suojaamista, tietoturvapoikkeamiin reagointia ja hallitusraportointia.
Zero Trust -todentavan aineiston taustalla oleva sääntelypaine
Zero Trust -todentavaa aineistoa koskeva paine syntyy yleensä päällekkäisistä velvoitteista, ei yhdestä yksittäisestä standardista.
NIS2 voi koskea julkisia tai yksityisiä toimijoita liitteen I tai liitteen II sektoreilla, jos ne täyttävät koko- ja toimintakynnykset, ja se voi koskea myös tiettyjä pienempiä mutta kriittisiä toimijoita. Liite I sisältää pilvipalveluntarjoajat, datakeskuspalveluntarjoajat, sisällönjakeluverkkopalveluntarjoajat, luottamuspalveluntarjoajat, hallinnoidut palveluntarjoajat, hallinnoidut tietoturvapalveluntarjoajat sekä pankki- ja rahoitusmarkkinainfrastruktuuritoimijat. Liite II sisältää digitaalisia palveluntarjoajia, kuten verkkomarkkinapaikkoja, hakukoneita ja sosiaalisen verkostoitumisen alustoja.
NIS2 Article 20 tekee kyberturvallisuudesta johdon vastuualueen. Hallituksen on hyväksyttävä kyberturvallisuusriskien hallintatoimenpiteet, valvottava niiden toteutusta ja saatava kyberturvallisuuskoulutusta. Article 21 edellyttää asianmukaisia ja oikeasuhteisia teknisiä, operatiivisia ja organisatorisia toimenpiteitä, jotka kattavat riskianalyysin, poikkeamien käsittelyn, liiketoiminnan jatkuvuuden, toimitusketjun turvallisuuden, turvallisen kehittämisen, haavoittuvuuksien käsittelyn, vaikuttavuuden arvioinnin, kyberhygienian, koulutuksen, kryptografian, henkilöstöturvallisuuden, pääsynhallinnan, omaisuudenhallinnan ja tarvittaessa MFA:n tai jatkuvan todennuksen. Article 23 ottaa käyttöön merkittävien poikkeamien vaiheittaisen raportoinnin, mukaan lukien 24 tunnin ennakkovaroituksen, 72 tunnin ilmoituksen ja loppuraportoinnin.
DORA-asetusta sovelletaan 17. tammikuuta 2025 alkaen, ja se luo yhtenäisen digitaalisen operatiivisen häiriönsietokyvyn järjestelmän rahoitusalan toimijoille. Se kattaa ICT-riskien hallinnan, merkittävien ICT-poikkeamien raportoinnin, operatiivisen häiriönsietokyvyn testauksen, uhkatietojen jakamisen ja ICT-kolmansien osapuolten riskit. DORA Articles 5 ja 6 edellyttävät hallinnointia ja dokumentoitua ICT-riskienhallinnan viitekehystä. Article 9 käsittelee suojausta ja ennaltaehkäisyä, mukaan lukien politiikat, menettelyt, protokollat ja työkalut ICT-järjestelmien suojaamiseksi. Article 17 edellyttää ICT-poikkeamien hallintaprosessia.
GDPR soveltuu käsittelyyn EU:ssa sijaitsevan toimipaikan yhteydessä sekä myös EU:n ulkopuolisiin rekisterinpitäjiin tai käsittelijöihin, jotka tarjoavat tavaroita tai palveluja EU:ssa oleville henkilöille tai seuraavat heidän käyttäytymistään. GDPR Article 5 edellyttää osoitusvelvollisuutta. Article 32 edellyttää asianmukaisia teknisiä ja organisatorisia toimenpiteitä riskitasoon nähden asianmukaisen turvallisuustason varmistamiseksi. Article 33 edellyttää henkilötietojen tietoturvaloukkauksesta ilmoittamista valvontaviranomaiselle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa loukkauksen havaitsemisesta.
Zero Trust -todentavan aineiston malli auttaa, koska sama kontrolli voi tukea useita viitekehyksiä. MFA voi tukea ISO/IEC 27001:2022:n pääsynhallintaa, NIS2:n todennustoimenpiteitä, DORA:n suojausvaatimuksia ja GDPR:n käsittelyn turvallisuutta. Tämä kuitenkin edellyttää, että organisaatio pystyy osoittamaan soveltamisalan, omistajuuden, toteutuksen, seurannan ja katselmoinnin.
NIST Zero Trust -periaatteiden kytkeminen ISO/IEC 27001:2022 -kontrolleihin
ISO/IEC 27001:2022:n liitteen A kontrollit, joita ISO/IEC 27002:2022:n toteutusohjeet tukevat, tarjoavat auditointikielen, jota useimmat organisaatiot tarvitsevat. Alla oleva taulukko muuntaa NIST Zero Trust -periaatteet ISO-kontrollialueiksi, jotka auditoijat tunnistavat.
| NIST SP 800-207 Zero Trust -periaate | Zero Trust -ydinperiaate | Asiaankuuluvat ISO/IEC 27001:2022:n liitteen A kontrollit |
|---|---|---|
| Kaikki tietolähteet ja laskentapalvelut ovat resursseja | Omaisuus- ja tietotunnistus | A.5.9 Tieto- ja muiden niihin liittyvien omaisuuserien luettelo, A.5.10 Tiedon ja muiden niihin liittyvien omaisuuserien hyväksyttävä käyttö, A.5.12 Tiedon luokittelu |
| Kaikki viestintä suojataan verkkosijainnista riippumatta | Turvallinen viestintä ja salatut kanavat | A.8.20 Verkkoturvallisuus, A.8.22 Verkkojen eriyttäminen, A.8.24 Kryptografian käyttö |
| Pääsy myönnetään istuntokohtaisesti | Istuntokohtainen todennus ja valtuutus | A.5.17 Todentamistiedot, A.8.5 Turvallinen todennus |
| Pääsy määräytyy dynaamisen politiikan perusteella | Kontekstitietoinen ja vähimmän oikeuden periaatteeseen perustuva pääsy | A.5.15 Pääsynhallinta, A.5.18 Käyttöoikeudet, A.8.3 Tiedon pääsyn rajoittaminen |
| Omaisuuserien eheyttä ja tietoturvatilaa seurataan | Päätelaitteiden ja työkuormien tilan tarkistus | A.8.1 Käyttäjien päätelaitteet, A.8.8 Teknisten haavoittuvuuksien hallinta |
| Todennus ja valtuutus ovat dynaamisia ja niitä sovelletaan tiukasti | Identiteetin elinkaari ja etuoikeutetun pääsyn hallinta | A.5.16 Identiteetinhallinta, A.8.2 Etuoikeutetut käyttöoikeudet, A.8.5 Turvallinen todennus |
| Tietoa kerätään tietoturvatilan parantamiseksi | Jatkuva seuranta, lokitus ja parantaminen | A.8.15 Lokitus, A.8.16 Seurantatoimet, A.8.23 Verkkosuodatus |
Tämä kartoitus ei ole pelkkä tekninen suunnitteluharjoitus. Siitä muodostuu riskirekisterin, soveltuvuuslausunnon, todentavan aineiston paketin ja johdon katselmoinnin asialistan rakenne.
Esimerkiksi riskiskenaario ”vaarantunut kehittäjätili muuttaa tuotantokoodia ja käyttää asiakastietoja” tulee kytkeä identiteetinhallintaan, MFA:han, etuoikeutettuun pääsyyn, verkkojen eriyttämiseen, lokitukseen, seurantaan, turvalliseen kehittämiseen, muutoksenhallintaan ja tietoturvapoikkeamiin reagointiin. Sama yksittäinen skenaario voi tukea ISO/IEC 27001:2022 -vaatimuksia, NIS2 Article 21:tä, DORA:n ICT-riskien hallintaa ja GDPR Article 32:ta.
Clarysecin Zero Trust -kontrollipino
Clarysec rakentaa Zero Trustin viiden todentavan aineiston osa-alueen ympärille: identiteetti, laite, verkko, sovellus ja data. Seuranta ja hallinnointi kattavat nämä kaikki viisi osa-aluetta.
Perustana ovat pääsynhallinta ja identiteetinhallinta. Zenith Controls: The Cross-Compliance Guide -oppaassa ISO/IEC 27002:2022 -kontrolli 5.15, Pääsynhallinta, luokitellaan ennaltaehkäiseväksi kontrolliksi, joka tukee luottamuksellisuutta, eheyttä ja saatavuutta, ja se kohdistuu Protect-kyberturvallisuuskonseptiin sekä identiteetin- ja pääsynhallintakyvykkyyteen. Kontrolli 5.16, Identiteetinhallinta, on myös ennaltaehkäisevä, ja se liittyy samoihin CIA-ominaisuuksiin ja IAM-kyvykkyyteen. Kontrolli 8.16, Seurantatoimet, luokitellaan havaitsevaksi ja korjaavaksi, ja se tukee Detect- ja Respond-toimintoja tietoturvatapahtumien hallinnan kautta.
Tällä yhdistelmällä on merkitystä. Zero Trust ei ole pelkkää pääsynhallintaa. Se on pääsynhallintaa sekä identiteetin elinkaarta, laitteen tietoturvatilaa, verkkojen eriyttämistä, seurantaa ja reagointia.
Clarysecin politiikan lausekkeet muuttavat tämän mallin toimeenpantavaksi hallinnoinniksi.
Enterprise Access Control Policy -politiikan Objectives-osiossa, lausekkeessa 3.4, todetaan:
Tukea Zero Trust -periaatteita estämällä pääsy oletusarvoisesti, ellei sitä ole nimenomaisesti hyväksytty ja perusteltu.
Enterprise User Account and Privilege Management Policy -politiikan Policy Implementation Requirements -osiossa, lausekkeessa 6.2.1, todetaan:
Kaikille käyttäjille on annettava vain vähimmäistasoinen pääsy, joka on tarpeen heidän työtehtäviensä suorittamiseksi.
Enterprise Network Security Policy -politiikan Governance Requirements -osiossa, lausekkeessa 5.2, todetaan:
Kaikkea vyöhykkeiden välistä liikennettä on hallittava palomuureilla tai ohjelmistomääritellyillä suojauskehäratkaisuilla, ja käytössä on oltava nimenomaiset oletusarvoisen eston konfiguraatiot.
Enterprise Logging and Monitoring Policy -politiikan Objectives-osiossa, lausekkeessa 3.4, todetaan:
Perustetaan keskitetyt lokitus- ja hälytysjärjestelmät (esim. SIEM), jotka kokoavat, korreloivat ja eskaloivat epäilyttävää toimintaa lähes reaaliaikaisesti.
Enterprise Information Security Policy -politiikan Policy Implementation Requirements -osiossa, lausekkeessa 6.6.1, todetaan:
Kaikkien toteutettujen kontrollien tulee olla auditoitavissa, dokumentoitujen menettelyjen tukemia ja toiminnan todentavan säilytetyn aineiston osoittamia.
Pk-yrityksissä sama hallinnointitarkoitus voidaan toteuttaa kevyemmällä politiikkadokumentaatiolla. User Account and Privilege Management Policy - SME -politiikan Objectives-osiossa, lausekkeessa 3.2, todetaan:
Toteutetaan vähimmän oikeuden periaate varmistamalla, että käyttäjille myönnetään vain heidän tehtäviensä suorittamiseen tarvittava vähimmäistasoinen pääsy.
Access Control Policy - SME -politiikan Governance Requirements -osiossa, lausekkeessa 5.4.3, lisätään:
Etuoikeutettujen tilien on käytettävä monivaiheista todennusta (MFA), kun se on tuettuna.
Network Security Policy - SME -politiikan Policy Implementation Requirements -osiossa, lausekkeessa 6.2.3, todetaan:
Segmenttien välinen liikenne on suodatettava, ja segmenttien välisen pääsyn on noudatettava vähimmän oikeuden periaatetta.
Logging and Monitoring Policy - SME -politiikan Purpose-osiossa, lausekkeessa 1.3, selitetään:
Lokitus ja seuranta tukevat uhkien havaitsemista, sääntelyvaatimusten noudattamista, poikkeamien ilmoittamista ja hallintaa sekä forensista analyysiä.
Tietosuojavetoisessa Zero Trustissa Data Protection and Privacy Policy - SME -politiikan Governance Requirements -osiossa, lausekkeessa 5.3.2, todetaan:
Käyttäjien pääsy henkilötietoihin on rajoitettava rooleihin, joilla on dokumentoitu liiketoimintatarve.
Nämä lausekkeet luovat auditoinnin ankkurit. Auditoija voi testata, estetäänkö pääsy oletusarvoisesti, minimoidaanko käyttöoikeudet, hallitaanko vyöhykkeiden välistä liikennettä, keskitetäänkö lokit ja säilytetäänkö todentava aineisto.
Zero Trust -todentavan aineiston kartta eri viitekehyksiin
Vahvan Zero Trust -todentavan aineiston mallin tulee välttää irrallisia kuvakaappauksia. Todentavan aineiston tulee osoittaa hallinnointi, suunnittelu, toteutus, seuranta ja katselmointi.
| Zero Trust -kyvykkyys | ISO/IEC 27001:2022- ja ISO/IEC 27002:2022 -todentava aineisto | NIS2-todentava aineisto | DORA-todentava aineisto | GDPR-todentava aineisto |
|---|---|---|---|---|
| Identiteetin varmentaminen ja elinkaari | ISMS:n soveltamisala, riskirekisteri, SoA-kirjaukset A.5.15:lle ja A.5.16:lle, JML-prosessin tallenteet | Article 21:n henkilöstöturvallisuutta, pääsynhallintaa ja omaisuudenhallintaa koskevat toimenpiteet | ICT-omaisuuden ja käyttäjien pääsyn hallinnointi ICT-riskienhallinnan viitekehyksessä | Pääsy rajoitettu valtuutettuihin rooleihin, rekisterinpitäjän osoitusvelvollisuuden tallenteet |
| MFA ja jatkuva todennus | Pääsynhallintapolitiikka, etuoikeutetun pääsyn menettely, MFA:n soveltamisraportit | Article 21:n toimenpiteet MFA:lle tai jatkuvalle todennukselle tarvittaessa | Kontrollit, jotka tukevat turvallista pääsyä ICT-järjestelmiin ja kriittisiin toimintoihin | Article 32:n käsittelyn turvallisuutta koskeva todentava aineisto henkilötietoihin pääsystä |
| Laitteen tietoturvatila ja päätelaiteluottamus | Omaisuusluettelo, päätelaitteiden peruskonfiguraatio, EDR-kattavuus, poikkeusten hyväksynnät | Kyberhygienia, haavoittuvuuksien käsittely ja turvallisia järjestelmiä koskevat politiikat | ICT-omaisuusluettelo, häiriönsietokyvyn testaus, ICT-järjestelmien seuranta | Suojaus vaarantuneista päätelaitteista johtuvalta luvattomalta tai lainvastaiselta käsittelyltä |
| Verkon segmentointi ja mikrosegmentointi | Verkkokaaviot, palomuurisäännöt, segmentointitestien tulokset, muutostallenteet | Toimenpiteet poikkeamien vaikutusten ehkäisemiseksi tai minimoimiseksi ja liiketoiminnan jatkuvuuden tukemiseksi | Viitearkkitehtuuri, vaikutustoleranssi, kriittisten järjestelmien testaus | Tietojen eristäminen, loukkauksen laajuuden minimointi |
| Sovellusten ja ohjelmointirajapintojen vähimmät oikeudet | RBAC- tai ABAC-matriisit, pilviympäristön IAM-politiikat, tokenien laajuudet, ohjelmointirajapintojen käyttöoikeuskatselmoinnit | Turvallinen hankinta, kehittäminen ja ylläpito, haavoittuvuuksien käsittely | ICT-tuettujen toimintojen kartoitus ja riippuvuusdokumentaatio | Käyttötarkoitussidonnaisuus, pääsy henkilötietoihin liiketoimintatarpeen perusteella |
| Jatkuva seuranta ja havaitseminen | SIEM-käyttötapaukset, hälytysten luokittelu, seurantamenettely, poikkeamatallenteet | Valmius poikkeamien käsittelyyn ja merkittävien poikkeamien raportointiin | Poikkeamien luokittelu, johdon eskalointi ja raportoinnin elinkaari | Henkilötietojen tietoturvaloukkauksen havaitseminen ja osoitusvelvollisuuden todentava aineisto |
| Toimittaja- ja pilviluottamus | Toimittajasopimukset, pilvipalvelun exit-suunnitelma, toimittajien seuranta, jaetun vastuun kartoitus | Toimitusketjun turvallisuus suorille toimittajille ja palveluntarjoajille | ICT-kolmansien osapuolten riskistrategia, ICT-sopimusrekisteri, auditointioikeudet ja exit-suunnitelmat | Käsittelijöiden huolellisuusarviointi, sopimusperusteiset suojatoimet ja tietoturvakontrollit |
Tämä taulukko on hallituskelpoisen Zero Trust -ohjelman ydin. Se osoittaa, miten yksi kontrolliympäristö voi tukea useita varmentamistarpeita ilman erillisiä todentavan aineiston paketteja jokaiselle viitekehykselle.
Jäljitettävyyden rakentaminen Zenith Blueprintin avulla
Clarysecin Zenith Blueprint: An Auditor’s 30-Step Roadmap on suunniteltu estämään Zero Trustin muuttuminen dokumentoimattomaksi tekniseksi filosofiaksi. Riskienhallintavaiheen vaiheessa 13, Risk Treatment Planning and Statement of Applicability, siinä todetaan:
SoA on käytännössä siltadokumentti: se yhdistää riskien arvioinnin ja käsittelyn niihin
todellisiin kontrolleihin, jotka teillä on käytössä. Kun täytät sen, tarkistat samalla, onko jokin kontrolli jäänyt huomaamatta.
Sama vaihe suosittelee kontrollien kytkemistä riskeihin, liitteen A kontrolliviitteiden lisäämistä riskienkäsittelykirjauksiin ja sääntelyn, kuten GDPR:n, NIS2:n tai DORA:n, ristiviittaamista silloin, kun kontrollit on toteutettu näiden velvoitteiden täyttämiseksi.
Zero Trustissa tämä on puuttuva silta. Jos auditoija kysyy, miksi ehdollinen pääsy on toteutettu, vastauksen ei tule olla ”koska Zero Trust edellyttää sitä”. Parempi vastaus on:
- Riskiskenaario on luvaton pääsy asiakastietoihin vaarantuneiden tunnistetietojen kautta.
- Riskinomistaja on CTO tai tuotekehitysjohtaja.
- Käsittely sisältää SSO:n, MFA:n, ehdollisen pääsyn, päätelaitteen tilan validoinnin, vähimmän oikeuden periaatteen, segmentoinnin ja seurannan.
- SoA kytkee käsittelyn pääsynhallintaan, identiteetinhallintaan, lokitukseen, seurantaan, kryptografiaan, haavoittuvuuksien hallintaan ja pilvipalvelujen hallintaan.
- Sama käsittely tukee NIS2 Article 21:tä, DORA:n ICT-riskien hallintaa ja GDPR Article 32:ta.
- Todentava aineisto sisältää politiikan lausekkeet, käyttöoikeuskatselmoinnit, SIEM-hälytykset, EDR-tilaraportit, palomuurisäännöt, IAM-viennit, poikkeamaharjoitukset ja johdon katselmointipöytäkirjat.
Näin Zero Trust -arkkitehtuuri muuttuu auditointivalmiiksi.
Päätelaiteluottamus, ohjelmointirajapinnat ja verkkojen eriyttäminen käytännössä
Zero Trust epäonnistuu usein, koska organisaatiot keskittyvät identiteettiin ja sivuuttavat laitteen, työkuorman, datan ja verkon kontekstin.
Zenith Blueprint -oppaan vaihe 19, Technological Controls I, selittää päätelaitteen tilaa koskevan vaatimuksen selkeästi:
Pääsyn tietoihin päätelaitteiden kautta on oltava kontekstitietoista. Esimerkiksi: täyttääkö laite
vähimmäistietoturvavaatimukset ennen yrityksen resurssien käyttöä? Onko sille hiljattain tehty
haittaohjelmatarkistus? Yhdistetäänkö siihen epätavallisesta sijainnista tai verkosta? Kun Zero
Trust -periaatteet integroidaan, päätelaitteen tila voi syöttää tietoa ehdolliseen pääsyyn ja estää pääsyn, kunnes
laite osoittaa olevansa turvallinen.
Tämä tekee laitteesta osan valtuutuspäätöstä. Hallitsemattomalta kannettavalta tulevaa kelvollista salasanaa ei tule käsitellä samalla tavalla kuin vaatimustenmukaiselta, salatulta ja valvotulta yrityspäätelaitteelta tulevaa kelvollista kirjautumista.
Sama vaihe korostaa, että pääsyn rajoitukset koskevat sovelluksia, palveluja ja ohjelmointirajapintoja, eivät vain käyttäjiä:
Pääsyn rajoituksia tulee soveltaa myös sovelluksiin, palveluihin ja ohjelmointirajapintoihin, ei vain henkilöihin.
Esimerkiksi mikropalvelu voi tarvita vain lukuoikeuden tietokantatauluun, ei täysiä CRUD-
oikeuksia. Varmuuskopiointityökalu voi tarvita pääsyn vain tiettyihin tallennussäiliöihin, ei kaikkiin vuokraajan resursseihin.
Tämä ohjeistus on kriittistä pilvinatiiveissa ympäristöissä. Ohjelmointirajapintojen laajuuksien, palvelutilien, työkuormaidentiteettien, Kubernetes-roolien ja pilviympäristön IAM-politiikkojen on kaikkien noudatettava vähimmän oikeuden periaatetta. Ihmiskäyttäjien pääsy on vain yksi osa kontrollipintaa.
Zenith Blueprint -oppaan vaihe 20 käsittelee verkkojen eriyttämistä:
Eriyttäminen on yksi kyberturvallisuuden vanhimmista ja tehokkaimmista periaatteista: rajoita
leviämistä, vähennä riskiä ja rajaa vahinko. Kontrolli 8.22 keskittyy verkon
eriyttämiseen eli käytäntöön, jossa järjestelmät, palvelut ja käyttäjät erotetaan eri loogisiin tai
fyysisiin vyöhykkeisiin luvattoman pääsyn estämiseksi ja lateraalisen liikkumisen rajoittamiseksi
vaarantumistilanteessa.
Tämä on kriittistä DORA:n ja NIS2:n häiriönsietokyvyn kannalta. Zero Trust -verkon tulee olettaa, että yksi tili, työkuorma tai päätelaite voi vaarantua. Segmentointi estää paikallista tapahtumaa muuttumasta järjestelmätason poikkeamaksi.
10 päivän Zero Trust -todentavan aineiston paketti
Kuvitellaan SaaS-fintech, joka tuottaa petosanalytiikkaa pankeille. Se käsittelee henkilötietoja, käyttää pilvi-infrastruktuuria, tukeutuu hallittuun Kubernetes-palveluun, integroituu asiakkaiden ohjelmointirajapintoihin ja käyttää kolmannen osapuolen identiteetintarjoajaa. Asiakas pyytää Zero Trust -todentavaa aineistoa, ja yrityksellä on kymmenen työpäivää.
Käytännöllinen Clarysecin todentavan aineiston sprintti näyttäisi tältä.
| Aikataulu | Toimenpide | Todentavan aineiston tuotos |
|---|---|---|
| Päivä 1–2 | Määritä Zero Trust -soveltamisala tuotannon pilvitileille, identiteetintarjoajalle, CI/CD:lle, ylläpitäjien työasemille, asiakas-API-yhdyskäytävälle, tietovarastolle, SIEM:lle, EDR:lle ja kriittisille toimittajille | Soveltamisalakuvaus, riippuvuuskartta, rajauskaavio |
| Päivä 3 | Rakenna riskin ja kontrollin välinen jäljitettävyys Zenith Blueprint -oppaan vaiheen 13 avulla | Riskirekisterin kirjaukset, riskienkäsittelysuunnitelma, SoA-kartoitukset |
| Päivä 4–5 | Sovella enterprise- tai pk-yrityspolitiikan lausekkeita ja dokumentoi poikkeukset | Hyväksytyt politiikat, poikkeusrekisteri, riskin hyväksymistä koskevat tallenteet |
| Päivä 6–7 | Kerää tekninen todentava aineisto | MFA-raportit, ehdollisen pääsyn politiikat, PAM-tallenteet, päätelaitteiden hallintanäkymät, palomuurisäännöt, Kubernetes-verkkopolitiikat, IAM-viennit, SIEM-käyttötapaukset |
| Päivä 8 | Lisää tietosuojaa ja tiedon suojaamista koskeva todentava aineisto | Rooli–data-matriisi, käsittelytallenteet, salausnäyttö, säilytyssäännöt, loukkauksen eskalointimenettely |
| Päivä 9 | Lisää NIS2- ja DORA-kerrokset | Article 21 -kartoitus, valmius poikkeamien raportointiin, ICT-toimintokartta, toimittajarekisteri, exit-suunnitelman todentava aineisto |
| Päivä 10 | Laadi johdon yhteenveto | Hallitukselle soveltuva kuvaus, jäännösriskin yhteenveto, parantamisen tiekartta |
Tavoitteena ei ole teeskennellä, että organisaatio olisi saavuttanut täydellisen Zero Trustin kymmenessä päivässä. Tavoitteena on luoda puolustettava todentavan aineiston ketju tärkeimmille riskeille ja osoittaa, että ohjelma on hallinnoitu, mitattava ja kehittyvä.
Miten eri auditoijat testaavat Zero Trustia
Yleinen virhe on valmistella yksi tekninen tarina ja olettaa, että kaikki auditoijat kysyvät samat kysymykset. He eivät kysy.
ISO/IEC 27001:2022 -auditoija tarkastelee hallintajärjestelmää. Hän kysyy, sisältyvätkö Zero Trust -riskit riskien arviointiin, onko käsittelyt hyväksytty, onko SoA täydellinen, ovatko politiikat hallittuja asiakirjoja, tehdäänkö käyttöoikeuskatselmointeja, testaavatko sisäiset auditoinnit kontrolleja ja seuraavatko johdon katselmoinnit suorituskykyä.
DORA-arvioija kysyy, ovatko Zero Trust -kontrollit osa dokumentoitua ICT-riskienhallinnan viitekehystä. Hän odottaa omaisuus- ja riippuvuusluetteloita, kriittisten tai tärkeiden toimintojen kartoitusta, poikkeamien luokittelua, hallitukselle eskalointia, testausta, kolmannen osapuolen sopimusvaatimuksia, auditointioikeuksia, exit-strategioita ja korjaavien toimenpiteiden seurantaa.
NIS2-arvioija keskittyy johdon vastuun osoittamiseen, Article 21:n kyberturvallisuusriskien hallintatoimenpiteisiin ja Article 23:n poikkeamien raportointivalmiuteen. Hän odottaa myös todentavaa aineistoa siitä, että toimitusketjun turvallisuutta, liiketoiminnan jatkuvuutta, haavoittuvuuksien käsittelyä, pääsynhallintaa ja kyberhygieniaa hallitaan.
GDPR-arvioija tai tietosuojan auditoija kysyy, onko pääsy henkilötietoihin tarpeellista, dokumentoitua, rajoitettua, seurattua ja käsittelyn tarkoituksiin yhdenmukaistettua. Hän tarkastelee rekisterinpitäjän ja käsittelijän rooleja, henkilötietojen tietoturvaloukkauksen havaitsemista, roolipohjaista pääsyä, salausta, pseudonymisointia tarvittaessa, säilytystä ja osoitusvelvollisuutta.
| Auditoijan näkökulma | Todennäköinen kysymys | Siihen vastaava todentava aineisto |
|---|---|---|
| ISO/IEC 27001:2022 -auditoija | Onko Zero Trust riskiperusteinen, hyväksytty ja näkyykö se SoA:ssa? | Riskirekisteri, SoA, riskienkäsittelysuunnitelma, politiikkojen hyväksynnät, johdon katselmointipöytäkirjat |
| NIST CSF -arvioija | Onko hallinnointi, identiteetti, suojaus, havaitseminen, reagointi ja toipumistulokset integroitu? | CSF-profiili, puutesuunnitelma, IAM-kontrollit, lokituksen käyttötapaukset, toimintapelikirjat, palautustestit |
| DORA-arvioija | Tukeeko Zero Trust ICT-riskien hallintaa ja kriittisten toimintojen häiriönsietokykyä? | ICT-omaisuusluettelo, riippuvuuskartta, testausohjelma, poikkeamien luokittelu, toimittajarekisteri |
| GDPR-/tietosuojan auditoija | Onko pääsy henkilötietoihin rajoitettu ja todennettavasti suojattu? | Rooli–data-matriisi, käyttöoikeuskatselmoinnit, salausnäyttö, loukkausmenettelyt, käsittelytallenteet |
| COBIT 2019-/ISACA-auditoija | Onko vastuut, mittarit ja kontrollien toimivuus hallinnoitu? | RACI, KPI-mittarit, poikkeusrekisteri, auditointihavainnot, korjaavien toimenpiteiden seurantarekisteri |
Sama kontrolli voi vastata useisiin kysymyksiin, mutta vain jos todentava aineisto on järjestetty.
Toimittaja-, pilvi- ja ICT-kolmansien osapuolten riskit
Zero Trust ei pääty palomuuriin, ja pilviympäristöissä perinteistä palomuurirajaa ei välttämättä ole lainkaan. Identiteetintarjoajat, pilvialustat, CI/CD-työkalut, hallitut havainnointipalveluntarjoajat, maksunkäsittelijät, API-yhdyskäytävät ja ulkoistetut kehitystiimit ovat kaikki osa luottamusrakennetta.
NIS2 Article 21 sisältää nimenomaisesti toimitusketjun turvallisuuden suorille toimittajille ja palveluntarjoajille, mukaan lukien toimittajien haavoittuvuudet, tuotteiden ja palvelujen häiriönsietokyky, toimittajien kyberturvallisuuskäytännöt ja turvallisen kehittämisen menettelyt.
DORA edellyttää, että ICT-kolmansien osapuolten riskiä hallitaan osana ICT-riskienhallinnan viitekehystä. Tähän sisältyvät ICT-palvelusopimusten rekisteri, sopimusta edeltävä huolellisuus, kriittisyyden arviointi, keskittymäriski, sopimusperusteiset tietoturvavaatimukset, poikkeama-avustus, viranomaisyhteistyö, auditointioikeudet, irtisanomisoikeudet, exit-strategiat ja siirtymäsuunnitelmat.
Zero Trustin käytännön sääntö on yksinkertainen: älä luota toimittajayhteyteen vain siksi, että se perustuu sopimukseen. Edellytä teknisiä kontrolleja ja todentavaa aineistoa.
Asiakas-API-integraatiossa tulee olla rajatut tokenit, nopeusrajoitukset, seuranta, kierto, omistajuus ja peruutusmahdollisuus. Hallinnoidun palveluntarjoajan tulee käyttää MFA:ta, nimettyjä käyttäjätilejä, vähimmän oikeuden periaatetta, istuntolokitusta ja aikarajoitettua käyttöoikeutta. Pilvipalveluntarjoajasuhteessa tulee olla jaetun vastuun kartoitus, salausmääritykset, lokien säilytys, varmuuskopioiden testaus ja exit-suunnittelu.
Siksi toimittaja- ja pilvitodentava aineisto kuuluu Zero Trust -mallin sisälle, ei erilliseen hankintakansioon.
Mittarit, jotka osoittavat Zero Trustin toimivan
Hallitukset ja auditoijat eivät halua pelkkiä arkkitehtuurikaavioita. He haluavat toiminnan todentavaa aineistoa ja parantumistrendejä.
Hyödyllisiä Zero Trust -mittareita ovat:
- MFA:lla suojattujen etuoikeutettujen tilien osuus.
- Ehdollisen pääsyn piirissä olevien käyttäjien osuus.
- Pysyvien etuoikeutettujen tilien määrä verrattuna just-in-time-tileihin.
- Myöhässä olevien käyttöoikeuskatselmointien määrä.
- Päätelaitteiden osuus, joka täyttää tietoturvatilaa koskevat vaatimukset.
- EDR-kattavuus kriittisissä omaisuuserissä.
- Evättyjen pääsyyritysten määrä laitteen tai sijainnin riskin vuoksi.
- Keskimääräinen aika epäilyttävän etuoikeutetun toiminnan havaitsemiseen.
- Keskimääräinen aika käyttöoikeuden peruuttamiseen työsuhteen päättämisen jälkeen.
- Viimeisen vuosineljänneksen aikana katselmoitujen vyöhykkeiden välisten palomuurisääntöjen osuus.
- Kriittisten toimittajien määrä, joilla on ajantasainen tietoturvanäyttö.
- Zero Trust -poikkeusten määrä, joiden korjauspäivä on ylittynyt.
- SIEM:iin lokeja lähettävien kriittisten sovellusten osuus.
- Tunnistetietojen vaarantumista koskevien poikkeamasimulaatioiden tulokset.
Nämä mittarit tukevat ISO/IEC 27001:2022:n jatkuvaa parantamista, NIS2:n vaikuttavuuden arviointia, DORA:n testaus- ja korjausodotuksia sekä GDPR:n osoitusvelvollisuutta.
Yleiset Zero Trust -todentavan aineiston puutteet
Yleisimmät puutteet eivät johdu työkalujen puutteesta. Ne johtuvat heikosta jäljitettävyydestä.
Ensinnäkin organisaatiot toteuttavat MFA:n, mutta eivät pysty osoittamaan, että etuoikeutetut tilit ovat täysin sen piirissä. Palvelutilit, break glass -tilit ja paikalliset ylläpitäjätilit jäävät usein kontrollin ulkopuolelle.
Toiseksi käyttöoikeuskatselmoinnit tehdään manuaalisesti, mutta niitä ei kytketä liiketoiminnallisiin rooleihin, tietojen arkaluonteisuuteen tai riskinomistajiin. Todentava aineisto osoittaa, että joku klikkasi ”katselmoitu”, ei sitä, että tarpeeton pääsy poistettiin.
Kolmanneksi verkon segmentointi on olemassa kaavioissa, mutta ei testatuissa säännöissä. Auditoijat kysyvät, estetäänkö segmenttien välinen pääsy oletusarvoisesti ja ovatko poikkeukset hyväksyttyjä.
Neljänneksi lokit kerätään, mutta ne eivät johda toimenpiteisiin. SIEM ilman määriteltyjä käyttötapauksia, hälytysten luokittelua ja reagointimenettelyjä ei osoita jatkuvaa seurantaa.
Viidenneksi toimittajien pääsy on hallitsematonta. Toimittajat voivat käyttää jaettuja tunnuksia, pysyvää VPN-pääsyä tai laajoja pilvirooleja ilman istuntojen valvontaa.
Kuudenneksi tietosuojan todentava aineisto on erotettu tietoturvan todentavasta aineistosta. GDPR edellyttää henkilötietojen suojan osoittamista, joten identiteetti- ja pääsynhallintakontrollit on kytkettävä tietoluokkiin ja käsittelytarkoituksiin.
Lopuksi poikkeuksia ei dokumentoida. Zero Trust voi sallia poikkeuksia, jos ne on riskinarvioitu, hyväksytty, aikarajoitettu ja seurattu. Se ei voi sallia näkymättömiä poikkeuksia.
Rakenna Zero Trust -todentavan aineiston paketti Clarysecin avulla
Zero Trust -arkkitehtuuri vuonna 2026 ei ole slogan. Se on vaatimustenmukaisuuden toimintamalli, joka yhdistää identiteetin, laitteet, sovellukset, verkon segmentoinnin, vähimmän oikeuden periaatteen, jatkuvan seurannan, toimittajakontrollin ja tietosuojan suojatoimet yhdeksi auditoitavaksi järjestelmäksi.
Jos valmistaudut ISO/IEC 27001:2022 -sertifiointiin, vastaat NIS2-asiakaskyselyihin, yhdenmukaistat toimintaasi DORA:n ICT-riskien hallinnan kanssa tai osoitat GDPR Article 32:n mukaisen käsittelyn turvallisuuden, aloita jäljitettävyydestä.
Käytä Zenith Blueprint: An Auditor’s 30-Step Roadmap -opasta Zero Trust -riskien kytkemiseen riskirekisteriin, riskienkäsittelysuunnitelmaan ja SoA:han. Käytä Zenith Controls: The Cross-Compliance Guide -opasta pääsynhallinnan, identiteetinhallinnan ja seurannan yhdenmukaistamiseen useiden viitekehysten odotusten kanssa. Käytä Clarysecin politiikkakirjastoa, mukaan lukien Enterprise Access Control Policy, Enterprise User Account and Privilege Management Policy, Enterprise Network Security Policy, Enterprise Logging and Monitoring Policy, Enterprise Information Security Policy ja Data Protection and Privacy Policy - SME, muuttaaksesi arkkitehtuurin toimeenpantavaksi hallinnoinniksi.
Seuraava käytännön askel on valita yksi korkean riskin skenaario, kuten etuoikeutetun pääsyn vaarantuminen asiakastietoihin, ja rakentaa sen ympärille täydellinen Zero Trust -todentavan aineiston ketju. Jos pystyt osoittamaan kyseisen skenaarion alusta loppuun, sinulla on perusta skaalautuvalle, auditoitavalle ja sääntelyvalmiille Zero Trust -ohjelmalle.
Lataa Clarysecin politiikkapaketit tai varaa strategiakeskustelu nähdäksesi, miten Zenith Blueprint ja Zenith Controls voivat muuttaa Zero Trustin auditointiriskistä vaatimustenmukaisuuseduksi.
Frequently Asked Questions
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council


