Seuraava webinaari
"
Demo: Riskienhallinnan toteuttaminen ja vinkit Digiturvamallissa
"
alkaa
00
pv
pv
00
h
h
00
min
päästä  
Digiturvamalli
Digiturvamallin sisältökirjastoTekninen tietoturvaHaittaohjelmilta suojautuminen

Luvattomien verkkosivustojen käytön estäminen ja havaitseminen

Organisaatiomme on määritellyt toimintatavat, joiden avulla estetään tai vähintään havaitaan tiedettyjen tai epäiltyjen haitallisten verkkosivustojen käyttö.

Tehtävään liittyvät Digiturvamallin ominaisuudet

Näytä vaatimustenmukaisuus raporttikirjaston avulla

Digiturvamalli sisältää raporttikirjaston, josta löytyvät omat raporttipohjat jokaiselle vaatimuskehikolle.

Olipa kuulijana oma johto, viranomainen, auditoija tai asiakas, saat tarvittavan raportin muodostettua yhdellä klikkauksella.

Lue lisää raportoinnista

Vastuuta tehtävät ja kuvaa oma toteutus

Tehtävälistat sisältävät digiturvan ydinasiat. Päätä, mitkä tehtävät teillä hoidetaan ja kuka vastaa. Näet vaaditut tehtävät suoraan valitun vaatimuskehikon perusteella, ja voit halutessasi täydentää listaa omilla.

Lue lisää tietoturvatehtävistä

Jakele ohjeet automaattisesti ja valvo lukemista

Kohdista ohjeet kaikilla tai vain relevanteille yksiköille. Saat ehdotuksia suoraan valitun vaatimuskehikon perusteella ja voit lisätä omat ohjeenne.

Työntekijöille ohjeet jaellaan Teams-botin kautta. Botti ei myöskään anna lukemisen unohtua.

Lue lisää tietoturvaohjeista

Dokumentoi esimerkkien ja älykkäiden pohjien avulla

Digiturvamalli sisältää älykkäät mallipohjat mm. järjestelmien, henkilötietojen ja riskien dokumentointiin. Et turhaan kirjoita tai piirrä, vaan klikkailet linkittäen tietoja, jolloin automaattinen raportointi mahdollistuu.

Lue lisää dokumentoinnista

Tehtävään liittyvät vaatimukset eri vaatimuskehikoista

Saman teeman muita tehtäviä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

Laitteiden liityntöjen rajoittaminen (ST III-II)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Vahvistaaksemme haittaohjelmilta suojautumiselta organisaatiomme on määritellyt lisätoimenpiteet korkeamman suojaustason tiedoille:

  • Arvioidaan tarve järjestelmien USB-porttien ja vastaavien liityntöjen käytölle.
  • Tilanteissa, joissa liityntöjen käytölle ei ole kriittistä tarkastelua kestävää perustetta, liitynnät poistetaan käytöstä.
  • Tilanteissa, joissa liityntöjen käytölle on kriittistä tarkastelua kestävät perusteet, arvioidaan tapauskohtaisesti edellytykset ja ehdot, minkä mukaisia laitteistoja ja välineitä (esim. USB-muisteja) järjestelmään voidaan kytkeä.

Menettelyt ja tietolähteet luotettavan tiedon keräämiseen haittaohjelmista

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio on määritelly toimintatavat, joiden avulla kerätään säännöllisesti ajantasaista ja luotettavaa tietoa haittaohjelmista. Tällaisia voivat olla mm. postituslistat, lehdet, torjuntaohjelmistojen toimittajien blogit tai tietoturvaa käsittelevät uutissivustot.

Tietolähteiden avulla pyritään todentamaan haittaohjelmia koskeva tieto, erottamaan huijaukset todellisista haittaohjelmista ja varmistetaan saatujen varoituksien olevan todenmukaisia ja informatiivisia.

Henkilöstön ohjeistaminen ja kouluttaminen haittaohjelmiin liittyen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio kouluttaa henkilöstöä säännöllisesti sekä hyödynnetyn haittaohjelmasuojauksen käytöstä, haittaohjelmahyökkäyksistä raportoinnista sekä haittaohjelmahyökkäyksistä toipumisesta.

Kriittisiä liiketoimintoja tukevien järjestelmien säännöllinen haittaohjelmatarkistus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kriittisiä liiketoimintaprosesseja tukevien järjestelmien ohjelmistot ja aineistosisältö katselmoidaan säännöllisesti haittaohjelmien paikallistamiseksi. Kaikki luvattomat tiedostot ja muutokset tutkitaan muodollisesti.

Henkilöstön tiedottaminen uusista, relevanteista haittaohjelmista

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Henkilöstön tietoturvatietoisuuden varmistaminen on tärkeä osa haittaohjelmilta suojautumista. Tämän vuoksi henkilöstölle tiedotetaan säännöllisesti uudenlaisista haittaohjelmista, joiden uhka heihin voi kohdistua.

Haittaohjelmajärjestelmän automaattinen päivittyminen ja ajaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Haittaohjelmien suojaukseen käytetyt järjestelmät tarkistavat ja asentavat päivitykset automaattisesti halutuin väliajoin ja ajavat myös halutut tarkistukset valitulla frekvenssillä ilman käyttäjän toimia.

Haittaohjelmien havaitsemis- ja korjausohjelmien valinta ja käyttö kaikissa laitteissa

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Valitaan ja asennetaan haittaohjelmien havaitsemis- ja korjausohjelmat keskitetysti ja päivitetään ne säännöllisesti tietokoneiden ja tietovälineiden ennaltaehkäisevää tai säännöllistä tutkimista varten. 

Ohjelmien tulisi tarkastaa ainakin seuraavat asiat:

  • verkon tai tallennusvälineen kautta saapuneet tiedostot tarkistetaan haittaohjelmien varalta ennen käyttöä
  • sähköpostiliitteet ja ladatut tiedostot tarkistetaan haittaohjelmien varalta ennen käyttöä
  • verkkosivustot tarkistetaan haittaohjelmien varalta

Automatisoitu luvattomien ohjelmien käytön estäminen ja havaitseminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiomme on määritellyt toimintatavat, joiden avulla estetään tai vähintään havaitaan luvattomien ohjelmien käyttö.

Useamman toimittajan haittaohjelmajärjestelmän käyttö

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Käytämme aina useamman toimittajan haittaohjelmajärjestelmää, jotta todennäköisyys havaita haittaohjelmia paranee.

Vahvistamattomien mobiiliohjelmistojen havaitseminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiomme on määritellyt toimintatavat, joiden avulla estetään tai vähintään havaitaan luvattomien ohjelmien käyttö mobiililaitteissa (esim. älypuhelimet, tabletit).

Hyväksyttyjen ohjelmistojen listaaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Vain organisaation hyväksymät ohjelmistot voidaan ajaa laitteilla. Organisaation on:

  • Aktiivisesti hyväksyttävä ohjelmistoja ennen kuin niitä otetaan käyttöön
  • Ylläpidettävä listaa hyväksytyistä ohjelmistoista
  • Estettävä käyttäjiä asentamasta ei hyväksyttyä ohjelmistoa

Haitallisten sivujen estäminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Antivirus-ohjelman täytyy estää pääsy haitallisille nettisivuille esimerkiksi "deny listing"-tekniikalla. Tästä saa poiketa vain, jos siihen on selkeä, tarkasti dokumentoitu ja painava syy organisaation toiminnan kannalta. Tässä tilanteessa on ymmärrettävä ja huomioitava mahdolliset riskit.

Nettisivujen automaattinen skannaus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Antivirus-ohjelman on skannattava nettisivut automaattisesti haittaohjelmien varalta, kun sinne siirrytään selaimessa.

Tiedostojen automaattinen skannaus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Antivirus-ohjelma täytyy olla asetettu skannaamaan tiedostot automaattisesti. Tämän tulee tapahtua, kun tiedosto ladataan ja avataan ja, kun tiedosto avataan verkkolevyltä.

Automaattisen ajamisen ominaisuus poistettava käytöstä

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on huolehdittava, että kaikissa sen tietokoneissa, tietoverkko- ja vastaavissa laitteissa, automaattinen ajaminen on estetty käytöstä.

Automaattinen ajaminen voi aiheuttaa vakavan kyberhyökkäyksen, kuten kiristyshaittaohjelman, pääsyn organisaation järjestelmään netistä ladatun tiedoston tai vaarantuneen oheislaitteen (esim. muistitikku) kautta.

Oletko valmis aloittamaan?

Aloita kokeilu tai varaa demo.