Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

2.2 (MIL1)
C2M2

Cybersecurity Capability Maturity Model (C2M2)

2.3 (MIL2)
C2M2

Cybersecurity Capability Maturity Model (C2M2)

23

5.7
ISO 27001

ISO 27001:2022

Muita saman teeman digiturvatehtäviä

Prosessi teknisten haavoittuvuuksien käsittelyyn

Critical
High
Normal
Low

Organisaatio on määritelly prosessin, jonka perusteella tunnistetut tekniset haavoittuvuudet käsitellään.

Osa haavoittuvuuksista voidaan korjata suoraan, mutta merkittäviä vaikutuksia omaavat haavoittuvuudet tulisi dokumentoida myös tietoturvahäiriöinä. Merkittäviä vaikutuksia omaavan haavoituvuuden tunnistamisen jälkeen:

  • yksilöidään haavoittuvuuteen liittyvät riskit ja tarvittavat toimenpiteet (esim. järjestelmän paikkaus tai muut hallintatehtävät)
  • aikataulutetaan tarvittavat toimenpiteet
  • dokumentoidaan kaikki toimenpiteet
12.6.1: Management of technical vulnerabilities
ISO 27001
14.2.1: Secure development policy
ISO 27001
ID.RA-1: Asset vulnerabilities
NIST
PR.IP-12: Vulnerability management plan
NIST
RS.AN-5: Vulnerability management process
NIST

Uhkatiedustelun tavoitteet ja tietoturvauhkiin liittyvän tiedon kerääminen

Critical
High
Normal
Low

Organisaatio toteuttaa uhkatiedustelua keräämällä tietoa toimintaansa liittyvistä tietoturvauhkista ja niiltä suojautumisesta. Tavoitteena on kasvattaa tietoisuutta uhkaympäristöstä, jotta omaa suojaustasoa voidaan paremmin arvioida ja riittävät hallintakeinot toteuttaa.

Uhkatiedustelutiedon keräämisessä on huomioitava kaikki kolme tasoa:

  • strateginen uhkatiedustelu (mm. tieto kasvavista hyökkääjä- ja hyökkäystyypeistä)
  • taktinen uhkatiedustelu (mm. tieto hyökkäyksissä käytetyistä työkaluista ja teknologioista)
  • operatiivinen uhkatiedustelu (mm. yksityiskohdat tietyistä hyökkäyksistä)

Uhkatiedusteluun liittyvien periaatteiden tulisi sisältää:

  • tavoitteiden asettaminen uhkatiedustelulle
  • uhkatiedustelussa käytettävien tietolähteiden tunnistaminen, tarkistaminen ja valinta
  • uhkatiedustelutiedon kerääminen
  • tiedon käsittely analyysiä varten (mm. kääntäminen, formatointi, tiivistäminen)
5.7: Uhkatiedon seuranta
ISO 27001
77: Menettely toimintaympäristön seuraamiseen

Säännöllinen tunkeutumistestaus

Critical
High
Normal
Low

Staattiset skannaukset koodiin ovat ensimmäinen askel riskialttiiden haavoittuvuuksien havaitsemiseksi. Kun palvelu on otettu käyttöön, se kuitenkin altistuu uudenlaisille hyökkäyksille (esim. cross-site scripting tai tunnistautumisen ongelmat). Näitä voidaan pyrkiä tunnistamaan tunkteutumistestauksella.

12.6.1: Management of technical vulnerabilities
ISO 27001
14.2.8: System security testing
ISO 27001
18.2.3: Technical compliance review
ISO 27001
DE.CM-8: Vulnerability scans
NIST
5.36: Tietoturvallisuutta koskevien toimintaperiaatteiden, sääntöjen ja standardien noudattaminen
ISO 27001

Ohjelmistohaavoittuvuuksien säännöllinen tarkastelu (ST III-II)

Critical
High
Normal
Low

Ohjelmistohaavoittuvuuksien hallitsemiseksi suojaustasoilla III-II toteutetaan seuraavat toimenpiteet:

  • Verkko ja sen palvelut, palvelimet sekä verkkoon kytketyt työasemat, kannettavat tietokoneet ja vastaavat tarkastetaan vähintään (haavoittuvuusskannaus, CMDB, jne.) puolivuosittain ja aina merkittävien muutosten jälkeen päivitysmenettelyjen korjauskohteiden löytämiseksi.
  • Säännöllisesti (esim. kuukausittain) tarkastellaan keskitetyistä päivityksenjakopalveluista päivitysten asentumisen onnistumista.

Merkittäviä muutoksia ovat mm. verkkotopologian muutokset, uusien järjestelmien käyttöönotot, vanhojen järjestelmien merkittävät päivitykset sekä palomuurien ja vastaavien suodatussääntöjen merkittävät muutokset.

I23: Ohjelmistohaavoittuvuuksien hallinta
Katakri

Ohjelmistohaavoittuvuuksien säännöllinen tarkastelu (ST IV)

Critical
High
Normal
Low

Ohjelmistohaavoittuvuuksien hallitsemiseksi suojaustasolla IV toteutetaan seuraavat toimenpiteet:

  • Verkko ja sen palvelut, palvelimet sekä verkkoon kytketyt työasemat, kannettavat tietokoneet ja vastaavat tarkastetaan vähintään (haavoittuvuusskannaus, CMDB, jne.) vuosittain ja aina merkittävien muutosten jälkeen päivitysmenettelyjen korjauskohteiden löytämiseksi.
  • Säännöllisesti (esim. kuukausittain) tarkastellaan keskitetyistä päivityksenjakopalveluista päivitysten asentumisen onnistumista.

Merkittäviä muutoksia ovat mm. verkkotopologian muutokset, uusien järjestelmien käyttöönotot, vanhojen järjestelmien merkittävät päivitykset sekä palomuurien ja vastaavien suodatussääntöjen merkittävät muutokset.

I23: Ohjelmistohaavoittuvuuksien hallinta
Katakri

Seuratut teknisten haavoittuvuuksien tietolähteet

Critical
High
Normal
Low

Ohjelmistoille ja muulle teknologialle on tietoisesti yksilöity tietolähteet, joita käyttämällä tunnistetaan meille relevantteja teknisiä haavoittuvuuksia ja ylläpidetään tietoa niistä (esim. viranomaiset tai laite- ja ohjelmistovalmistajat). Tietolähteitä arvioidaan ja päivitetään löydettäessä uusia hyödyllisiä lähteitä.

Haavoittuvuuksia voi löytyä suoraan hyödyntämistämme toimittajien järjestelmistä tai monien järjestelmiemme hyödyntämistä open source -komponenteista. On tärkeää seurata useita lähteitä, jotta oleellisista asioista ollaan kärryillä.

I23: Ohjelmistohaavoittuvuuksien hallinta
Katakri
12.6.1: Management of technical vulnerabilities
ISO 27001
DE.CM-8: Vulnerability scans
NIST
TEK-19: Ohjelmistohaavoittuvuuksien hallinta
Julkri
8.8: Teknisten haavoittuvuuksien hallinta
ISO 27001

Tunnistettujen teknisten haavoittuvuuksien ensikäsittely

Critical
High
Normal
Low

Olemme määritelleet säännöt , joiden perusteella tunnistettuun haavoittuvuuteen reagoidaan. Säännöt voivat sisältää mm. seuraavat asiat:

  • ketkä kuuluvat quick-response tiimiin, joka on valmiina reagoimaan haavoittuvuuksiin
  • haavoittuvuuden paikallistava henkilö tiedottaa välittömästi koko tiimia sovittua kanavaa myöten
  • tiimi määrittää haavoittuvuudelle vakavuuden (matala, keskiverto, korkea) ennaltamääriteltyjen kriteerien perusteella
  • tiimi päättää, jatketaanko käsittelyä tietoturvahäiriönä (kiireellisemmin) vai yleisen muutostenhallinnan mukaisesti
  • haavoittuvuuden käsittelyä jatkamaan valitaan tarvittavat henkilöt

Riskialttiisiin järjestelmiin liittyvät haavoittuvuudet saavat aina korkean vakavuuden ja ne käsitellään ensimmäisinä.

12.6.1: Management of technical vulnerabilities
ISO 27001
ID.RA-1: Asset vulnerabilities
NIST
PR.IP-12: Vulnerability management plan
NIST
RS.AN-5: Vulnerability management process
NIST
RS.MI-3: New vulnerability mitigation
NIST

Säännöllinen haavoittuvuusskannaus

Critical
High
Normal
Low

Organisaatio tekee säännöllisesti haavoittuvuusskannausta, jossa etsitään tietokoneista, työasemista, mobiililaitteista, verkoista tai sovelluksista tunnettuja haavoittuvuuksia. Skannausta on tärkeää tehdä myös merkittävien muutosten jälkeen.

On huomioitava, että haavoittuvaa lähdekoodia voi löytyä niin käyttöjärjestelmäohjelmistoista, palvelinsovelluksista, loppukäyttäjäsovelluksista, kuin esimerkiksi laiteohjelmistotason (firmware) sovelluksista sekä ajureista, BIOS:ista ja erillisistä hallintaliittymistä (esim. iLo, iDrac). Ohjelmistovirheiden lisäksi haavoittuvuuksia aiheutuu konfiguraatiovirheistä ja vanhoista käytänteistä, esimerkiksi vanhentuneiden salausalgoritmien käytöstä.

12.6.1: Management of technical vulnerabilities
ISO 27001
18.2.3: Technical compliance review
ISO 27001
14.2.8: System security testing
ISO 27001
ID.RA-1: Asset vulnerabilities
NIST
PR.IP-12: Vulnerability management plan
NIST

Kapasiteettiongelmien ennakointi

Critical
High
Normal
Low

Tietojärjestelmien toiminta voi olla riippuvaista tietyistä avainresursseista, kuten palvelinkapasiteetista, tallennustilasta, tietojenkäsittelykapasiteetista, valvontakapasiteetista tai tietyistä avainhenkilöistä.

Etenkin osalla näistä resursseista voi tietyissä tilanitessa olla pitkät toimitusajat tai korkeat kustannukset, jolloin tuleviin kapasiteettiongelmiin niiden kanssa on kiinnitettävä erityistä huomiota.

Tarkkailemme tärkeimpien järjestelmäresurssien käyttöä ja tunnistamme suuntaukset, turvallisuutta mahdollisesti uhkaavat pullonkaulat ja riippuvuudet tärkeistä henkilöistä.

11.2.2: Supporting utilities
ISO 27001
12.1.3: Capacity management
ISO 27001
PR.DS-4: Availability
NIST
TEK-22: Tietojärjestelmien saatavuus
Julkri
8.6: Kapasiteetinhallinta
ISO 27001

Ohjelmistojen ja ohjelmistokirjastojen asentamiseen valtuutetut käyttäjät ja säännöt

Critical
High
Normal
Low

Ohjelmistojen hallinnoimattomat asennukset tietokoneille voivat johtaa haavoittuvuuksiin ja tietoturvahäiriöihin.

Organisaation olisi määriteltävä, minkä tyyppisiä ohjelmistoja tai päivityksiä kukin käyttäjä voi asentaa. Ohjeet voivat sisältää mm. seuraavia reunaviivoja:

  • vain erikseen nimetyt henkilöt saavat asentaa laitteille uusia ohjelmia
  • aiemmin erikseen turvalliseksi määriteltyjä ohjelmia saa asentaa kuka tahansa
  • tiettyjen ohjelmistojen käyttö voi olla mahdotonta kaikille
  • olemassa olevien ohjelmistojen päivitykset ja tietoturvakorjaukset ovat sallittuja asentaa kaikille
12.6.2: Restrictions on software installation
ISO 27001
DE.CM-5: Unauthorized mobile code detection
NIST
TEK-17: Muutoshallintamenettelyt
Julkri
8.19: Ohjelmistojen asentaminen tuotantokäytössä oleviin järjestelmiin
ISO 27001

Kriittisten ympäristöjen eriyttäminen

Critical
High
Normal
Low

Eristetään ympäristöt, joissa seuraukset voivat olla erittäin vahingollisia.

13.1.3: Segregation in networks
ISO 27001
PR.AC-5: Network integrity
NIST
8.22: Verkkojen eriyttäminen
ISO 27001

Teknisten haavoittuvuuksien käsittelyn automatisointi

Critical
High
Normal
Low

Organisaation on kehitettävä prosessi teknisten haavoittuvuuksien käsittelyn automatisoinnille.

Haavoittuvuuksien hallintaan liittyvien tietoturvamittarien määrittely

Critical
High
Normal
Low

Organisaation on määriteltävä seuratut mittarit haavoittuvuuksien tunnistamiseen sekä korjaamiseen liittyen. Mittareita on seurattava määritetyin aikavälein.

Havaittujen teknisten haavoittuvuuksien priorisointi ja korjaustavoitteet

Critical
High
Normal
Low

Organisaatiolla on oltava selkeä toimintamalli havaittujen teknisten haavoittuvuuksien priorisointiin. Toimintamallin ei pitäisi olla täysin omaa keksintöä, vaan tukeutua yleisesti hyväksyttyihin käytäntöihin.

Haavoittuvuudet tulisi priorisoida niiden aiheuttamien riskin, liittyvän omaisuuden tärkeyden, mahdollisen organisationaalisen vaikutuksen sekä kiireellisyyden (huomioiden CVSS-arvo) perusteella.

Järjestelmäkovennuksen ylläpito

Critical
High
Normal
Low

Kovennusten voimassaolosta ja vaikuttavuudesta huolehditaan koko tietojärjestelmän elinkaaren ajan.

TEK-10.2: Järjestelmäkovennus - kovennusten varmistaminen koko elinkaaren ajan
Julkri

Säännöllinen kattava haavoittuvuusskannaus (TL III)

Critical
High
Normal
Low

Tietojenkäsittely-ympäristön laitteet tarkastetaan kattavasti ohjelmistohaavoittuvuuksien varalta vähintään puolivuosittain ja merkittävien muutosten yhteydessä. Prosessissa on huomioitu seuraavat seikat:

  • Verkko ja sen palvelut, palvelimet sekä verkkoon kytketyt työasemat, kannettavat tietokoneet, tulostimet, mobiililaitteet ja vastaavat tarkastetaan kattavasti vähintään (haavoittuvuusskannaus, CMDB jne.) vuosittain ja aina merkittävien muutosten jälkeen päivitysmenettelyjen korjauskohteiden löytämiseksi.
  • Laitteisto- ja ohjelmistokirjanpidon (ml. CMDB) sekä skannausohjelmiston ajantasaisuudesta ja tietoturvallisuudesta on huolehdittu.

"Merkittäviin muutoksiin" voidaan laskea esim. verkkotopologian muutokset, uusien järjestelmien käyttöönotot ja/tai vanhojen service pack -tason päivitykset sekä palomuurien ja vastaavien suodatussääntöjen merkittävät muutokset.

TEK-19.2: Ohjelmistohaavoittuvuuksien hallinta - TL III
Julkri

Säännöllinen kattava haavoittuvuusskannaus (TL IV)

Critical
High
Normal
Low

Tietojenkäsittely-ympäristön laitteet tarkastetaan kattavasti ohjelmistohaavoittuvuuksien varalta vähintään vuosittain ja merkittävien muutosten yhteydessä. Prosessissa on huomioitu seuraavat seikat:

  • Verkko ja sen palvelut, palvelimet sekä verkkoon kytketyt työasemat, kannettavat tietokoneet, tulostimet, mobiililaitteet ja vastaavat tarkastetaan kattavasti vähintään (haavoittuvuusskannaus, CMDB jne.) vuosittain ja aina merkittävien muutosten jälkeen päivitysmenettelyjen korjauskohteiden löytämiseksi.
  • Laitteisto- ja ohjelmistokirjanpidon (ml. CMDB) sekä skannausohjelmiston ajantasaisuudesta ja tietoturvallisuudesta on huolehdittu.

"Merkittäviin muutoksiin" voidaan laskea esim. verkkotopologian muutokset, uusien järjestelmien käyttöönotot ja/tai vanhojen service pack -tason päivitykset sekä palomuurien ja vastaavien suodatussääntöjen merkittävät muutokset.

TEK-19.1: Ohjelmistohaavoittuvuuksien hallinta
Julkri

Tietoturvauhkiin liittyvän tiedon säännöllinen analysointi ja hyödyntäminen

Critical
High
Normal
Low

Organisaatio toteuttaa uhkatiedustelua analysoimalla ja hyödyntämällä kerättyä tietoa toimintaansa liittyvistä tietoturvauhkista ja niiltä suojautumisesta.

Kerätyn uhkatiedustelutiedon analysoinnissa ja hyödyntämisessä on huomioitava seuraavat asiat:

  • analysoidaan, kuinka uhkatiedustelutieto liittyy omaan toimintaamme
  • analysoidaan, kuinka relevanttia uhkatiedustelutieto on toiminnallemme
  • viestitään ja jaetaan tietoa ymmärrettävässä muodossa relevanteille henkilöille
  • hyödynnettään uhkatiedustelun löydöksiä teknisten suojausten, käytettyjen teknologioiden sekä tietoturvallisuuden testaustapojen riittävyyden analysointiin
5.7: Uhkatiedon seuranta
ISO 27001
23: Häiriöiden- ja poikkeamienhallintaprosessi
2.2 (MIL1): Respond to Threats and Share Threat Information
C2M2

Teknisten haavoittuvuuksien tiedotuksen seuranta

Critical
High
Normal
Low

Organisaatio seuraa tiedotteita käytössä olevien tietojärjestelmien teknisistä haavoittuvuuksista. Kun relevantteja teknisiä haavoittuvuuksia havaitaan, organisaatio ryhtyy toimiin suunnitellun toimintamallin mukaisesti.

50: Teknisten haavoittuvuuksien seuranta
2.1 (MIL1): Reduce Cybersecurity Vulnerabilities
C2M2

Haavoittuvuuksien hallinnan prosessin säännöllinen testaus

Critical
High
Normal
Low

Haavoittuvuuksien hallinnan prosessi testataan säännöllisesti organisaation määrittelemän aikavälin mukaan, jotta varmistetaan sen ajantasaisuus, toimivuus ja tehokkuus.

DE.DP-3: Detection processes testing
NIST
TEK-19: Ohjelmistohaavoittuvuuksien hallinta
Julkri

Digipalvelutarjonnassa käytettävien virtuaalikoneiden kovennukset

Critical
High
Normal
Low

Kovettaminen on käytäntö, jolla vähennetään järjestelmän haavoittuvuutta vähentämällä sen hyökkäyspintaa.

Virtuaalikoneita määritettäessä organisaation on varmistettava, että koneet on kovennettu esimerkiksi käyttämällä / sallimalla vain tarvittavia portteja, protokollia ja palveluita. Kaikissa virtuaalikoneissa on oltava myös tekniset suojatoimenpiteet, kuten haittaohjelmien torjunta ja lokikirjaus.

CLD 9.5.2: Virtual machine hardening
ISO 27017

Conducting threat-led penetration testing

Critical
High
Normal
Low

The organisation must conduct threat-led penetration (TLPT) testing every three years. TLPT is conducted based on the risk profile and operational circumstances. The frequency of the testing can be reduced or increased by competent authority.

TLPT must cover some or all of the critical or important fucntions of the organisation. It should be done on live and supporting functions. Organisation must asses which functions need to be covered by TLPT. The assesed scope should be validated by competent authority.

The scope should cover third party service providers as well.

The organisation should contract the testers according to requirements set by applicable regulation.


Requirements for testing ICT tools and systems

Critical
High
Normal
Low

The testing of ICT tools and systems as part of the digital operational resilience testing programme should include:

  • Vulnerability assesments and scanning
  • Open source analyses
  • Network security assements
  • Gap analyses
  • Review of physical security
  • Questionnaires and scanning software solutions
  • Source code reviews where feasible
  • Scenario-based tests
  • Compatibility and performance testing
  • End-to-end testing
  • Penetration testing.


TLPT tester requirements

Critical
High
Normal
Low

The testing organisation used for threat-led penetration testing should meet at least the following requirements:

  • Highest suitability and reputability for the task
  • Have technical and organisatory capabilities especially in threat intelligence, penetration testing and read teaming
  • Are certified in a EU member state
  • They provice an audit report in relation to management of risks related to carrying out the testing
  • They are fully covered by relevant insurances including against risks of misconduct and negligence

In the case of using internal testers along with the list above they should be:

  • Approved by competent authority
  • Authority has confirmed the organisation has sufficient resources to perform the testing and conflicts of interest are avoided
  • Threat intelligence provider must be external from the entity

In contracts with the tester management of results and any data processing do not create risks to the organisation.


Haavoittuvuuksien hallintaprosessin säännöllinen seuranta

Critical
High
Normal
Low

Teknisten haavoittuvuuksien hallintaprosessia seurataan ja arvioidaan säännöllisesti, jotta voidaan varmistaa sen tehokkuus ja vaikuttavuus.

12.6.1: Management of technical vulnerabilities
ISO 27001
ID.RA-1: Asset vulnerabilities
NIST
PR.IP-12: Vulnerability management plan
NIST
TEK-19: Ohjelmistohaavoittuvuuksien hallinta
Julkri
8.8: Teknisten haavoittuvuuksien hallinta
ISO 27001

Hallintaprosessi hankittujen ohjelmistojen päivittämiseen

Critical
High
Normal
Low

Ohjelmistopäivityksiä varten olisi toteutettava hallintaprosessi, jotta voidaan varmistaa, että viimeisimmät hyväksytyt korjaustiedostot ja sovelluspäivitykset on asennettu kaikkiin hyväksyttyihin ohjelmistoihin. Ohjelmistojen aikaisemmat versiot olisi säilytettävä varotoimenpiteenä.

12.6.1: Management of technical vulnerabilities
ISO 27001
8.8: Teknisten haavoittuvuuksien hallinta
ISO 27001

Korjaustiedostojen arviointi ja testaus ennen käyttöönottoa

Critical
High
Normal
Low

Haavoittuvuuden toteamisen jälkeen toimittajilla on usein merkittäviä paineita julkaista korjaustiedostot mahdollisimman pian. Tämän vuoksi on mahdollista, ettei korjaustiedosto välttämättä käsittele ongelmaa riittävästi ja sillä on haitallisia sivuvaikutuksia.

Korjaustiedostojen arvioinnissa huomioidaan mm. seuraavat asiat:

  • voidaanko korjaustiedosto testata ennalta kunnolla?
  • onko viisasta odottaa kokemuksia muilta korjauksen tehneiltä tahoilta?
  • onko korjaustiedosto on saatavilla luotettavasta lähteestä?
  • mitä riskejä korjaustiedoston asentamiseen ja asentamisen viivästämiseen liittyy?
  • tarvitaanko muita toimia, kuten haavoittuvuuksiin liittyvien ominaisuuksien kytkemistä pois käytöstä, tarkkailun lisäämistä tai haavoittuvuudesta tiedottamista
12.6.1: Management of technical vulnerabilities
ISO 27001
TEK-17: Muutoshallintamenettelyt
Julkri
8.8: Teknisten haavoittuvuuksien hallinta
ISO 27001

Uhkatiedustelutiedon jakaminen

Critical
High
Normal
Low

Organisaation on jaettava uhkatiedustelutietoa muiden organisaatioiden kanssa molemminsuuntaisesti uhkatietoisuuden parantamiseksi.

5.7: Uhkatiedon seuranta
ISO 27001
77: Menettely toimintaympäristön seuraamiseen
2.2 (MIL1): Respond to Threats and Share Threat Information
C2M2

Uhkatiedustelun löydösten huomiointi tietoturvariskien hallintaprosessissa

Critical
High
Normal
Low

Organisaation on huomioitava uhkatiedustelussa tehdyt löydökset tietoturvariskien hallintaprosessissa. Uhkatiedustelussa voidaan havaita esimerkiksi tietyntyyppisten hyökkäysten yleistymistä tai uusien teknologioiden kehittymistä, joiden perusteella tiettyjen tietoturvariskien arvioita on päivitettävä, joka voi johtaa tarpeeseen pienentää riskejä käsittelysuunnitelmien kautta.

5.7: Uhkatiedon seuranta
ISO 27001

Käytössä olevan kapasiteetin käytön seuranta

Critical
High
Normal
Low

Tietojärjestelmien toiminta voi olla riippuvaista tietyistä avainresursseista, kuten palvelinkapasiteetista, tallennustilasta, tietojenkäsittelykapasiteetista, valvontakapasiteetistatai tietyistä avainhenkilöistä.

Organisaatio on määritellyt avainresurssit sekä tavat näiden avainresurssien käytön seurantaan. Resursseille määritetään lisäksi normaalitaso, jota hyödynnetään arvioidessa riskiä saatavuuden vaarantumisesta kapasitettiongelmien vuoksi.