Seuraava webinaari
"
Demo: Riskienhallinnan toteuttaminen ja vinkit Digiturvamallissa
"
alkaa
00
pv
pv
00
h
h
00
min
päästä  
Digiturvamalli

Säännöllinen haavoittuvuusskannaus

Teemme säännöllisesti automatisoitua haavoittuvuusskannausta, jossa ohjelmisto etsii tietokoneista, verkoista tai sovelluksista tunnettuja haavoittuvuuksia.

Tehtävään liittyvät Digiturvamallin ominaisuudet

Näytä vaatimustenmukaisuus raporttikirjaston avulla

Digiturvamalli sisältää raporttikirjaston, josta löytyvät omat raporttipohjat jokaiselle vaatimuskehikolle.

Olipa kuulijana oma johto, viranomainen, auditoija tai asiakas, saat tarvittavan raportin muodostettua yhdellä klikkauksella.

Lue lisää raportoinnista

Vastuuta tehtävät ja kuvaa oma toteutus

Tehtävälistat sisältävät digiturvan ydinasiat. Päätä, mitkä tehtävät teillä hoidetaan ja kuka vastaa. Näet vaaditut tehtävät suoraan valitun vaatimuskehikon perusteella, ja voit halutessasi täydentää listaa omilla.

Lue lisää tietoturvatehtävistä

Jakele ohjeet automaattisesti ja valvo lukemista

Kohdista ohjeet kaikilla tai vain relevanteille yksiköille. Saat ehdotuksia suoraan valitun vaatimuskehikon perusteella ja voit lisätä omat ohjeenne.

Työntekijöille ohjeet jaellaan Teams-botin kautta. Botti ei myöskään anna lukemisen unohtua.

Lue lisää tietoturvaohjeista

Dokumentoi esimerkkien ja älykkäiden pohjien avulla

Digiturvamalli sisältää älykkäät mallipohjat mm. järjestelmien, henkilötietojen ja riskien dokumentointiin. Et turhaan kirjoita tai piirrä, vaan klikkailet linkittäen tietoja, jolloin automaattinen raportointi mahdollistuu.

Lue lisää dokumentoinnista

Tehtävään liittyvät vaatimukset eri vaatimuskehikoista

Saman teeman muita tehtäviä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

Prosessi teknisten haavoittuvuuksien käsittelyyn

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio on määritelly prosessin, jonka perusteella tunnistetut tekniset haavoittuvuudet käsitellään.

Osa haavoittuvuuksista voidaan korjata suoraan, mutta merkittäviä vaikutuksia omaavat haavoittuvuudet tulisi dokumentoida myös tietoturvahäiriöinä. Merkittäviä vaikutuksia omaavan haavoituvuuden tunnistamisen jälkeen:

  • yksilöidään haavoittuvuuteen liittyvät riskit ja tarvittavat toimenpiteet (esim. järjestelmän paikkaus tai muut hallintatehtävät)
  • aikataulutetaan tarvittavat toimenpiteet
  • dokumentoidaan kaikki toimenpiteet

Säännöllinen tunkeutumistestaus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Staattiset skannaukset koodiin ovat ensimmäinen askel riskialttiiden haavoittuvuuksien havaitsemiseksi. Kun palvelu on otettu käyttöön, se kuitenkin altistuu uudenlaisille hyökkäyksille (esim. cross-site scripting tai tunnistautumisen ongelmat). Näitä voidaan pyrkiä tunnistamaan tunkteutumistestauksella.

Ohjelmistohaavoittuvuuksien säännöllinen tarkastelu (ST III-II)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Ohjelmistohaavoittuvuuksien hallitsemiseksi suojaustasoilla III-II toteutetaan seuraavat toimenpiteet:

  • Verkko ja sen palvelut, palvelimet sekä verkkoon kytketyt työasemat, kannettavat tietokoneet ja vastaavat tarkastetaan vähintään (haavoittuvuusskannaus, CMDB, jne.) puolivuosittain ja aina merkittävien muutosten jälkeen päivitysmenettelyjen korjauskohteiden löytämiseksi.
  • Säännöllisesti (esim. kuukausittain) tarkastellaan keskitetyistä päivityksenjakopalveluista päivitysten asentumisen onnistumista.

Merkittäviä muutoksia ovat mm. verkkotopologian muutokset, uusien järjestelmien käyttöönotot, vanhojen järjestelmien merkittävät päivitykset sekä palomuurien ja vastaavien suodatussääntöjen merkittävät muutokset.

Ohjelmistohaavoittuvuuksien säännöllinen tarkastelu (ST IV)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Ohjelmistohaavoittuvuuksien hallitsemiseksi suojaustasolla IV toteutetaan seuraavat toimenpiteet:

  • Verkko ja sen palvelut, palvelimet sekä verkkoon kytketyt työasemat, kannettavat tietokoneet ja vastaavat tarkastetaan vähintään (haavoittuvuusskannaus, CMDB, jne.) vuosittain ja aina merkittävien muutosten jälkeen päivitysmenettelyjen korjauskohteiden löytämiseksi.
  • Säännöllisesti (esim. kuukausittain) tarkastellaan keskitetyistä päivityksenjakopalveluista päivitysten asentumisen onnistumista.

Merkittäviä muutoksia ovat mm. verkkotopologian muutokset, uusien järjestelmien käyttöönotot, vanhojen järjestelmien merkittävät päivitykset sekä palomuurien ja vastaavien suodatussääntöjen merkittävät muutokset.

Haavoittuvuuksien hallintaprosessin säännöllinen seuranta

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Teknisten haavoittuvuuksien hallintaprosessia seurataan ja arvioidaan säännöllisesti, jotta voidaan varmistaa sen tehokkuus ja vaikuttavuus.

Hallintaprosessi hankittujen ohjelmistojen päivittämiseen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Ohjelmistopäivityksiä varten olisi toteutettava hallintaprosessi, jotta voidaan varmistaa, että viimeisimmät hyväksytyt korjaustiedostot ja sovelluspäivitykset on asennettu kaikkiin hyväksyttyihin ohjelmistoihin. Ohjelmistojen aikaisemmat versiot olisi säilytettävä varotoimenpiteenä.

Seuratut teknisten haavoittuvuuksien tietolähteet

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Ohjelmistoille ja muulle teknologialle on tietoisesti yksilöity tietolähteet, joita käyttämällä tunnistetaan meille relevantteja teknisiä haavoittuvuuksia ja ylläpidetään tietoa niistä (esim. viranomaiset tai laite- ja ohjelmistovalmistajat). Tietolähteitä arvioidaan ja päivitetään löydettäessä uusia hyödyllisiä lähteitä.

Haavoittuvuuksia voi löytyä suoraan hyödyntämistämme toimittajien järjestelmistä tai monien järjestelmiemme hyödyntämistä open source -komponenteista. On tärkeää seurata useita lähteitä, jotta oleellisista asioista ollaan kärryillä.

Tunnistettujen teknisten haavoittuvuuksien ensikäsittely

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Olemme määritelleet säännöt , joiden perusteella tunnistettuun haavoittuvuuteen reagoidaan. Säännöt voivat sisältää mm. seuraavat asiat:

  • ketkä kuuluvat quick-response tiimiin, joka on valmiina reagoimaan haavoittuvuuksiin
  • haavoittuvuuden paikallistava henkilö tiedottaa välittömästi koko tiimia sovittua kanavaa myöten
  • tiimi määrittää haavoittuvuudelle vakavuuden (matala, keskiverto, korkea) ennaltamääriteltyjen kriteerien perusteella
  • tiimi päättää, jatketaanko käsittelyä tietoturvahäiriönä (kiireellisemmin) vai yleisen muutostenhallinnan mukaisesti
  • haavoittuvuuden käsittelyä jatkamaan valitaan tarvittavat henkilöt

Riskialttiisiin järjestelmiin liittyvät haavoittuvuudet saavat aina korkean vakavuuden ja ne käsitellään ensimmäisinä.

Kapasiteettiongelmien ennakointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietojärjestelmien toiminta voi olla riippuvaista tietyistä avainresursseista, kuten palvelinkapasiteetista, tallennustilasta, tietojenkäsittelykapasiteetista, valvontakapasiteetista tai tietyistä avainhenkilöistä

Etenkin osalla näistä resursseista voi tietyissä tilanitessa olla pitkät toimitusajat tai korkeat kustannukset, jolloin tuleviin kapasiteettiongelmiin niiden kanssa on kiinnitettävä erityistä huomiota. 

Tarkkailemme tärkeimpien järjestelmäresurssien käyttöä ja tunnistamme suuntaukset, turvallisuutta mahdollisesti uhkaavat pullonkaulat ja riippuvuudet tärkeistä henkilöistä.

Korjaustiedostojen arviointi ja testaus ennen käyttöönottoa

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Haavoittuvuuden toteamisen jälkeen toimittajilla on usein merkittäviä paineita julkaista korjaustiedostot mahdollisimman pian. Tämän vuoksi on mahdollista, ettei korjaustiedosto välttämättä käsittele ongelmaa riittävästi ja sillä on haitallisia sivuvaikutuksia.

Korjaustiedostojen arvioinnissa huomioidaan mm. seuraavat asiat:

  • voidaanko korjaustiedosto testata ennalta kunnolla?
  • onko viisasta odottaa kokemuksia muilta korjauksen tehneiltä tahoilta?
  • onko korjaustiedosto on saatavilla luotettavasta lähteestä?
  • mitä riskejä korjaustiedoston asentamiseen ja asentamisen viivästämiseen liittyy?
  • tarvitaanko muita toimia, kuten haavoittuvuuksiin liittyvien ominaisuuksien kytkemistä pois käytöstä, tarkkailun lisäämistä tai haavoittuvuudesta tiedottamista

Ohjelmistojen ja ohjelmistokirjastojen asentamiseen valtuutetut käyttäjät ja säännöt

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Ohjelmistojen hallinnoimattomat asennukset tietokoneille voivat johtaa haavoittuvuuksiin ja tietoturvahäiriöihin.

Organisaation olisi määriteltävä, minkä tyyppisiä ohjelmistoja tai päivityksiä kukin käyttäjä voi asentaa. Ohjeet voivat sisältää mm. seuraavia reunaviivoja: 

  • vain erikseen nimetyt henkilöt saavat asentaa laitteille uusia ohjelmia
  • aiemmin erikseen turvalliseksi määriteltyjä ohjelmia saa asentaa kuka tahansa
  • tiettyjen ohjelmistojen käyttö voi olla mahdotonta kaikille
  • olemassa olevien ohjelmistojen päivitykset ja tietoturvakorjaukset ovat sallittuja asentaa kaikille 

Kriittisten ympäristöjen eriyttäminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Eristetään ympäristöt, joissa seuraukset voivat olla erittäin vahingollisia.

Teknisten haavoittuvuuksien käsittelyn automatisointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on kehitettävä prosessi teknisten haavoittuvuuksien käsittelyn automatisoinnille.

Havaittujen teknisten haavoittuvuuksien priorisointi ja korjaustavoitteet

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on käytettävä alan hyväksymää vaatimuskehikkoa tehokkaaseen haavoittuvuuksien korjauksen priorisointiin. Haavoittuvuudet tulisi priorisoida niiden aiheuttamien riskien, tärkeyden, vaikutuksen organisaatioon ja kiireellisyyden perusteella.

Oletko valmis aloittamaan?

Aloita kokeilu tai varaa demo.