Haittaohjelmien suojaukseen käytetyt järjestelmät tarkistavat ja asentavat päivitykset automaattisesti halutuin väliajoin ja ajavat myös halutut tarkistukset valitulla frekvenssillä ilman käyttäjän toimia.

Organisaatiolla on oltava prosessi digitaalisten elementtien päivitysten jakelua varten, jossa otetaan huomioon ainakin seuraavat seikat:

• Päivitysten ja korjausten hallintaprosessin on varmistettava, että päivitykset jaetaan turvallisella tavalla.
• Tarvittaessa tietoturvapäivitysten osalta päivitykset on jaettava automaattisesti, ja päivityksen omistajan on tarkistettava päivityksen mahdolliset kielteiset vaikutukset ennen sen soveltamista koko ympäristöön.
• Päivitykset on jaettava kohtuullisessa ajassa sen jälkeen, kun valmistaja on julkaissut päivityksen, ottaen huomioon haavoittuvuuden vakavuus.

Valmistaja varmistaa, että jokainen liitteessä I olevan II osan 8 kohdassa tarkoitettu tietoturvapäivitys, joka on asetettu käyttäjien saataville tukikauden aikana, pysyy saatavilla sen jälkeen, kun se on julkaistu, vähintään 10 vuoden ajan tai jäljellä olevan tukikauden ajan sen mukaan, kumpi on pidempi.

Organisaation on varmistettava, että ohjelmiston päivitykset ovat vapaasti käyttäjien saatavilla. Ohjelmiston päivittäminen voi myös vaatia käyttäjältä tiettyjä laitteisto- tai ohjelmistoympäristöjä, mutta niistä ei saa aiheutua lisäkustannuksia. Jos päivitystä ei voida tarjota ilmaiseksi, päivitysprosessista ja siihen liittyvistä kustannuksista on oltava selkeä ja ymmärrettävä kuvaus.

Organisaation on säilytettävä dokumentoitua tietoa, jossa kuvataan ohjelmiston päivitysprosessi ja päivityksen tuomat muutokset.

Organisaation on määritettävä kriteerit, joiden perusteella tietoturvapäivitys on tarpeen asentaa (esim. päivityksen korjaamien haavoittuvuuksien vakavuus).

On myös päätettävä, kuinka nopeasti ja missä järjestyksessä tietoturvapäivitykset asennetaan päivityskriteerien mukaan. Esimerkiksi kriittiset tietoturvapäivitykset olisi asennettava mahdollisimman pian.

Kaikki ulkopuolelta hankitut tuotteet ja palvelut olisi tarkistettava säännöllisesti sen varalta, että ohjelmistoja ja laitteistoja varten tarvitaan korjauksia tai päivityksiä.

Nämä korjaukset tulisi hankkia vain luotetuilta toimittajilta, ja olisi varmistettava, että ylläpidon suorittaa vain hyväksytty toimittajan henkilökunta ja että luvattomat muutokset kielletään.

Näiden tuotteiden ja palveluiden alkuperä, aitous ja eheys on myös vahvistettava ja vaadittava organisaation politiikkojen mukaisesti ja säilytettävä koskemattomana.

Kaikista tietoturvaongelmista tai korjaustarpeista on ilmoitettava viipymättä johtajille ja asianomaisille osapuolille.

Organisaatioiden olisi säännöllisesti tarkistettava käytettyjen avoimien lähdekoodien uudet versiot. Ihannetapauksessa tämä prosessi on automatisoitu. Avoimen lähdekoodin uudet versiot voivat usein sisältää uusia turvatoimintoja, tietoturvakorjauksia jne.

Organisaation täytyy pitää huolta, että lisensoidut ohjelmistot päivitetään 14 päivän kuluessa päivityksen julkaisusta ja silloin, kun:

• Päivitys korjaa haavoittuvuuksia, jotka luokitellaan kriittiseksi tai korkean riskin haavoittuvuudeksi
• toimittaja ei kerro yksityiskohtia korjattavan haavoittuvuuden vakavuudesta

Organisaation on varmistettava, että haavoittuvuuksia havaitsevat suojausjärjestelmät sekä niissä mahdollisesti hyödennetyt avaintiedot (esim. threat signaturet) päivitetään vähintään viikottain.

Päivityksissä tulisi kiinnittää huomiota automaation mahdollistamiseen sekä valvontaan, jonka kautta puutteellinen toiminta havaitaan.

Organisaation on varmistettava, että tietojärjestelmiä ylläpidetään ja päivitetään valmistajan ohjeiden mukaisesti.

Haavoittuvuuden toteamisen jälkeen toimittajilla on usein merkittäviä paineita julkaista korjaustiedostot mahdollisimman pian. Tämän vuoksi on mahdollista, ettei korjaustiedosto välttämättä käsittele ongelmaa riittävästi ja sillä on haitallisia sivuvaikutuksia.

Korjaustiedostojen arvioinnissa huomioidaan mm. seuraavat asiat:

• voidaanko korjaustiedosto testata ennalta kunnolla?
• onko viisasta odottaa kokemuksia muilta korjauksen tehneiltä tahoilta?
• onko korjaustiedosto on saatavilla luotettavasta lähteestä?
• mitä riskejä korjaustiedoston asentamiseen ja asentamisen viivästämiseen liittyy?
• tarvitaanko muita toimia, kuten haavoittuvuuksiin liittyvien ominaisuuksien kytkemistä pois käytöstä, tarkkailun lisäämistä tai haavoittuvuudesta tiedottamista

Ohjelmistopäivityksiä varten olisi toteutettava hallintaprosessi, jotta voidaan varmistaa, että viimeisimmät hyväksytyt korjaustiedostot ja sovelluspäivitykset on asennettu kaikkiin hyväksyttyihin ohjelmistoihin. Ohjelmistojen aikaisemmat versiot olisi säilytettävä varotoimenpiteenä.