Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

3.3.4
NSM ICT-SP

NSM ICT Security Principles (Norway)

5.7
ISO27k1 Täysi

ISO 27001 (2022): Täysi

Muita saman teeman digiturvatehtäviä

Prosessi teknisten haavoittuvuuksien käsittelyyn

Critical
High
Normal
Low

Organisaatio on määritelly prosessin, jonka perusteella tunnistetut tekniset haavoittuvuudet käsitellään.

Osa haavoittuvuuksista voidaan korjata suoraan, mutta merkittäviä vaikutuksia omaavat haavoittuvuudet tulisi dokumentoida myös tietoturvahäiriöinä. Merkittäviä vaikutuksia omaavan haavoituvuuden tunnistamisen jälkeen:

  • yksilöidään haavoittuvuuteen liittyvät riskit ja tarvittavat toimenpiteet (esim. järjestelmän paikkaus tai muut hallintatehtävät)
  • aikataulutetaan tarvittavat toimenpiteet
  • dokumentoidaan kaikki toimenpiteet
12.6.1: Teknisten haavoittuvuuksien hallinta
ISO27 Täysi
14.2.1: Turvallisen kehittämisen politiikka
ISO27 Täysi
ID.RA-1: Asset vulnerabilities
NIST
PR.IP-12: Vulnerability management plan
NIST
RS.AN-5: Vulnerability management process
NIST

Uhkatiedustelun tavoitteet ja tietoturvauhkiin liittyvän tiedon kerääminen

Critical
High
Normal
Low

Organisaatio toteuttaa uhkatiedustelua keräämällä tietoa toimintaansa liittyvistä tietoturvauhkista ja niiltä suojautumisesta. Tavoitteena on kasvattaa tietoisuutta uhkaympäristöstä, jotta omaa suojaustasoa voidaan paremmin arvioida ja riittävät hallintakeinot toteuttaa.

Uhkatiedustelutiedon keräämisessä on huomioitava kaikki kolme tasoa:

  • strateginen uhkatiedustelu (mm. tieto kasvavista hyökkääjä- ja hyökkäystyypeistä)
  • taktinen uhkatiedustelu (mm. tieto hyökkäyksissä käytetyistä työkaluista ja teknologioista)
  • operatiivinen uhkatiedustelu (mm. yksityiskohdat tietyistä hyökkäyksistä)

Uhkatiedusteluun liittyvien periaatteiden tulisi sisältää:

  • tavoitteiden asettaminen uhkatiedustelulle
  • uhkatiedustelussa käytettävien tietolähteiden tunnistaminen, tarkistaminen ja valinta
  • uhkatiedustelutiedon kerääminen
  • tiedon käsittely analyysiä varten (mm. kääntäminen, formatointi, tiivistäminen)
5.7: Uhkatiedon seuranta
ISO27k1 Täysi
77: Menettely toimintaympäristön seuraamiseen
Kokonaiskuva (DVV)
Article 13: Learning and evolving
DORA
4.1: Tietojärjestelmien tietoturvallisuus
TiHL: Tietoturva
ID.RA-2: Cyber threat intelligence is received from information sharing forums and sources.
CyFun

Säännöllinen uhkaperusteinen tunkeutumistestaus (TLPT)

Critical
High
Normal
Low

Organisaatiolla on prosessi uhkaperusteisen tunkeutumistestauksen (TLPT) säännöllistä suorittamista varten.

TLPT-prosessi täyttää seuraavat vaatimukset:

  1. Toteutustiheys: Rahoitusyksiköiden on oletusarvoisesti suoritettava uhkaperusteinen tunkeutumistestaus kolmen vuoden välein.
  2. Laajuus: Jokaisen TLPT:n on katettava useat tai kaikki yhteisön kriittiset tai tärkeät toiminnot, ja se on suoritettava näitä toimintoja tukeville tuotantokäyttöön tarkoitetuille järjestelmille.
  3. Kolmannen osapuolen ICT-palveluntarjoajien osallistaminen: Jos kriittiset toiminnot on ulkoistettu kolmannen osapuolen ICT-palveluntarjoajille, nämä palveluntarjoajat on sisällytettävä TLPT:hen.
  4. Haavoittuvuuksien lieventäminen: Organisaation on (yhteistyössä kolmansien osapuolten palveluntarjoajien ja testaajien kanssa) sovellettava tehokkaita riskinhallintakeinoja, joilla lievennetään mahdollisia vaikutuksia tietoihin, omaisuuteen ja toimintaan.
  5. Testausraportointi: Testin päätyttyä organisaation on toimitettava nimetylle viranomaiselle yhteenveto havainnoista ja korjaussuunnitelmista.
  6. Testaajan vaatimukset: Yhteisöjen on käytettävä testaajia asetuksissa määritellyllä tavalla ja ulkopuolisia testaajia määräajoin (kolmen testin välein), ellei niitä ole luokiteltu merkittäviksi, jolloin on käytettävä ainoastaan ulkopuolisia testaajia.
Article 26: Advanced testing of ICT tools, systems and processes based on TLPT
DORA

Säännöllinen tunkeutumistestaus ennalta määritellyillä tavoitteilla ja laajuudella

Critical
High
Normal
Low

Tunkeutumistestauksella tulisi olla selkeästi määritellyt tavoitteet ja laajuus. Tavoitteisiin voi kuulua esimerkiksi jatkuvuussuunnitelmien ja -valmiuksien testaaminen, tietoturvakontrollien arviointi tai tietoturvaheikkouksien tunnistaminen. Laajuus voidaan määritellä seuraavasti:

  • - Tunnistetaan tietojärjestelmän kriittiset osat, jotka olisi priorisoitava testauksessa.
  • - Tunnistetaan yksittäiset järjestelmät tai osat, jotka ovat niin elintärkeitä, että ne on jätettävä testauksen ulkopuolelle.

Elintärkeitä järjestelmiä tai komponentteja, jotka voidaan jättää testauksen ulkopuolelle, ovat esimerkiksi ne, jotka ovat välttämättömiä organisaation kriittisten palvelujen ylläpitämiseksi tai jotka eivät kestä tunkeutumistestin aiheuttamaa rasitusta.

Suunnitteluvaiheessa on tärkeää ottaa asianomaiset sidosryhmät mukaan etukäteen. Tämä tarkoittaa usein sitä, että ulkopuolisille järjestelmänvalvontatoimittajille on ilmoitettava asiasta ennen testausta, vaikka käyttäjille tai järjestelmänhallintahenkilöstölle ei välttämättä ole tarpeen ilmoittaa asiasta.

Tunkeutumistestaus olisi suoritettava säännöllisesti, vähintään vuosittain. Se olisi suoritettava sekä organisaation verkkoalueen ulkopuolelta että sen sisältä. Ulkopuolelta tapahtuva testaus simuloi ulkoista hyökkäystä (black box ja white box), kun taas sisäpuolelta tapahtuva testaus simuloi mahdollisia uhkia, jotka tulevat vaarantuneilta asiakkailta/palvelimilta tai haitallisilta sisäpiiriläisiltä (grey box).

Tunkeutumistestien tulokset on aina dokumentoitava.

3.4.1: Plan penetration testing with defined goals and scope
NSM ICT-SP
3.4.2: Involve relevant stakeholders in advance
NSM ICT-SP
3.4.4: Perform regular penetration testing (at least annually) to identify vulnerabilities
NSM ICT-SP

Säännöllinen tunkeutumistestaus

Critical
High
Normal
Low

Staattiset skannaukset koodiin ovat ensimmäinen askel riskialttiiden haavoittuvuuksien havaitsemiseksi. Kun palvelu on otettu käyttöön, se kuitenkin altistuu uudenlaisille hyökkäyksille (esim. cross-site scripting tai tunnistautumisen ongelmat). Näitä voidaan pyrkiä tunnistamaan tunkteutumistestauksella.

12.6.1: Teknisten haavoittuvuuksien hallinta
ISO27 Täysi
14.2.8: Järjestelmän turvallisuustestaus
ISO27 Täysi
18.2.3: Teknisen vaatimustenmukaisuuden katselmointi
ISO27 Täysi
DE.CM-8: Vulnerability scans
NIST
5.36: Tietoturvallisuutta koskevien toimintaperiaatteiden, sääntöjen ja standardien noudattaminen
ISO27k1 Täysi

Ohjelmistohaavoittuvuuksien säännöllinen tarkastelu (ST III-II)

Critical
High
Normal
Low

Ohjelmistohaavoittuvuuksien hallitsemiseksi suojaustasoilla III-II toteutetaan seuraavat toimenpiteet:

  • Verkko ja sen palvelut, palvelimet sekä verkkoon kytketyt työasemat, kannettavat tietokoneet ja vastaavat tarkastetaan vähintään (haavoittuvuusskannaus, CMDB, jne.) puolivuosittain ja aina merkittävien muutosten jälkeen päivitysmenettelyjen korjauskohteiden löytämiseksi.
  • Säännöllisesti (esim. kuukausittain) tarkastellaan keskitetyistä päivityksenjakopalveluista päivitysten asentumisen onnistumista.

Merkittäviä muutoksia ovat mm. verkkotopologian muutokset, uusien järjestelmien käyttöönotot, vanhojen järjestelmien merkittävät päivitykset sekä palomuurien ja vastaavien suodatussääntöjen merkittävät muutokset.

I23: Ohjelmistohaavoittuvuuksien hallinta
Katakri

Ohjelmistohaavoittuvuuksien säännöllinen tarkastelu (ST IV)

Critical
High
Normal
Low

Ohjelmistohaavoittuvuuksien hallitsemiseksi suojaustasolla IV toteutetaan seuraavat toimenpiteet:

  • Verkko ja sen palvelut, palvelimet sekä verkkoon kytketyt työasemat, kannettavat tietokoneet ja vastaavat tarkastetaan vähintään (haavoittuvuusskannaus, CMDB, jne.) vuosittain ja aina merkittävien muutosten jälkeen päivitysmenettelyjen korjauskohteiden löytämiseksi.
  • Säännöllisesti (esim. kuukausittain) tarkastellaan keskitetyistä päivityksenjakopalveluista päivitysten asentumisen onnistumista.

Merkittäviä muutoksia ovat mm. verkkotopologian muutokset, uusien järjestelmien käyttöönotot, vanhojen järjestelmien merkittävät päivitykset sekä palomuurien ja vastaavien suodatussääntöjen merkittävät muutokset.

I23: Ohjelmistohaavoittuvuuksien hallinta
Katakri

Seuratut teknisten haavoittuvuuksien tietolähteet

Critical
High
Normal
Low

Ohjelmistoille ja muulle teknologialle on tietoisesti yksilöity tietolähteet, joita käyttämällä tunnistetaan meille relevantteja teknisiä haavoittuvuuksia ja ylläpidetään tietoa niistä (esim. viranomaiset tai laite- ja ohjelmistovalmistajat). Tietolähteitä arvioidaan ja päivitetään löydettäessä uusia hyödyllisiä lähteitä.

Haavoittuvuuksia voi löytyä suoraan hyödyntämistämme toimittajien järjestelmistä tai monien järjestelmiemme hyödyntämistä open source -komponenteista. On tärkeää seurata useita lähteitä, jotta oleellisista asioista ollaan kärryillä.

12.6.1: Teknisten haavoittuvuuksien hallinta
ISO27 Täysi
I23: Ohjelmistohaavoittuvuuksien hallinta
Katakri
DE.CM-8: Vulnerability scans
NIST
TEK-19: Ohjelmistohaavoittuvuuksien hallinta
Julkri
8.8: Teknisten haavoittuvuuksien hallinta
ISO27k1 Täysi

Tunnistettujen teknisten haavoittuvuuksien ensikäsittely

Critical
High
Normal
Low

Olemme määritelleet säännöt , joiden perusteella tunnistettuun haavoittuvuuteen reagoidaan. Säännöt voivat sisältää mm. seuraavat asiat:

  • ketkä kuuluvat quick-response tiimiin, joka on valmiina reagoimaan haavoittuvuuksiin
  • haavoittuvuuden paikallistava henkilö tiedottaa välittömästi koko tiimia sovittua kanavaa myöten
  • tiimi määrittää haavoittuvuudelle vakavuuden (matala, keskiverto, korkea) ennaltamääriteltyjen kriteerien perusteella
  • tiimi päättää, jatketaanko käsittelyä tietoturvahäiriönä (kiireellisemmin) vai yleisen muutostenhallinnan mukaisesti
  • haavoittuvuuden käsittelyä jatkamaan valitaan tarvittavat henkilöt

Riskialttiisiin järjestelmiin liittyvät haavoittuvuudet saavat aina korkean vakavuuden ja ne käsitellään ensimmäisinä.

12.6.1: Teknisten haavoittuvuuksien hallinta
ISO27 Täysi
ID.RA-1: Asset vulnerabilities
NIST
PR.IP-12: Vulnerability management plan
NIST
RS.AN-5: Vulnerability management process
NIST
RS.MI-3: New vulnerability mitigation
NIST

Säännöllinen haavoittuvuusskannaus

Critical
High
Normal
Low

Organisaatio tekee säännöllisesti haavoittuvuusskannausta, jossa etsitään tietokoneista, työasemista, mobiililaitteista, verkoista tai sovelluksista tunnettuja haavoittuvuuksia. Skannausta on tärkeää tehdä myös merkittävien muutosten jälkeen.

On huomioitava, että haavoittuvaa lähdekoodia voi löytyä niin käyttöjärjestelmäohjelmistoista, palvelinsovelluksista, loppukäyttäjäsovelluksista, kuin esimerkiksi laiteohjelmistotason (firmware) sovelluksista sekä ajureista, BIOS:ista ja erillisistä hallintaliittymistä (esim. iLo, iDrac). Ohjelmistovirheiden lisäksi haavoittuvuuksia aiheutuu konfiguraatiovirheistä ja vanhoista käytänteistä, esimerkiksi vanhentuneiden salausalgoritmien käytöstä.

12.6.1: Teknisten haavoittuvuuksien hallinta
ISO27 Täysi
14.2.8: Järjestelmän turvallisuustestaus
ISO27 Täysi
18.2.3: Teknisen vaatimustenmukaisuuden katselmointi
ISO27 Täysi
6.5: Tietojärjestelmien asennus, ylläpito ja päivitys
Omavalvonta
ID.RA-1: Asset vulnerabilities
NIST

Kapasiteettiongelmien ennakointi

Critical
High
Normal
Low

Tietojärjestelmien toiminta voi olla riippuvaista tietyistä avainresursseista, kuten palvelinkapasiteetista, tallennustilasta, tietojenkäsittelykapasiteetista, valvontakapasiteetista tai tietyistä avainhenkilöistä.

Etenkin osalla näistä resursseista voi tietyissä tilanitessa olla pitkät toimitusajat tai korkeat kustannukset, jolloin tuleviin kapasiteettiongelmiin niiden kanssa on kiinnitettävä erityistä huomiota.

Tarkkailemme tärkeimpien järjestelmäresurssien käyttöä ja tunnistamme suuntaukset, turvallisuutta mahdollisesti uhkaavat pullonkaulat ja riippuvuudet tärkeistä henkilöistä.

11.2.2: Peruspalvelut
ISO27 Täysi
12.1.3: Kapasiteetinhallinta
ISO27 Täysi
PR.DS-4: Availability
NIST
TEK-22: Tietojärjestelmien saatavuus
Julkri
7.11: Tukipalvelut
ISO27k1 Täysi

Ohjelmistojen ja ohjelmistokirjastojen asentamiseen valtuutetut käyttäjät ja säännöt

Critical
High
Normal
Low

Ohjelmistojen hallinnoimattomat asennukset tietokoneille voivat johtaa haavoittuvuuksiin ja tietoturvahäiriöihin.

Organisaation olisi määriteltävä, minkä tyyppisiä ohjelmistoja tai päivityksiä kukin käyttäjä voi asentaa. Ohjeet voivat sisältää mm. seuraavia reunaviivoja:

  • vain erikseen nimetyt henkilöt saavat asentaa laitteille uusia ohjelmia
  • aiemmin erikseen turvalliseksi määriteltyjä ohjelmia saa asentaa kuka tahansa
  • tiettyjen ohjelmistojen käyttö voi olla mahdotonta kaikille
  • olemassa olevien ohjelmistojen päivitykset ja tietoturvakorjaukset ovat sallittuja asentaa kaikille
12.6.2: Ohjelmien asentamisen rajoittaminen
ISO27 Täysi
DE.CM-5: Unauthorized mobile code detection
NIST
SUM-02: Keeping licensed software up to date
Cyber Essentials
TEK-17: Muutoshallintamenettelyt
Julkri
8.19: Ohjelmistojen asentaminen tuotantokäytössä oleviin järjestelmiin
ISO27k1 Täysi

Kriittisten ympäristöjen eriyttäminen

Critical
High
Normal
Low

Eristetään ympäristöt, joissa seuraukset voivat olla erittäin vahingollisia.

13.1.3: Ryhmien eriyttäminen verkossa
ISO27 Täysi
PR.AC-5: Network integrity
NIST
8.22: Verkkojen eriyttäminen
ISO27k1 Täysi
2.3.1: Establish centrally managed practices for security updates
NSM ICT-SP

Teknisten haavoittuvuuksien käsittelyn automatisointi

Critical
High
Normal
Low

Organisaation on kehitettävä prosessi teknisten haavoittuvuuksien käsittelyn automatisoinnille.

RS.AN-5: Processes are established to receive, analyse, and respond to vulnerabilities disclosed to the organization from internal and external sources.
CyFun
2.3.1: Establish centrally managed practices for security updates
NSM ICT-SP

Haavoittuvuuksien hallintaan liittyvien tietoturvamittarien määrittely

Critical
High
Normal
Low

Organisaation on määriteltävä seuratut mittarit haavoittuvuuksien tunnistamiseen sekä korjaamiseen liittyen. Mittareita on seurattava määritetyin aikavälein.

Havaittujen teknisten haavoittuvuuksien priorisointi ja korjaustavoitteet

Critical
High
Normal
Low

Organisaatiolla on oltava selkeä toimintamalli havaittujen teknisten haavoittuvuuksien priorisointiin. Toimintamallin ei pitäisi olla täysin omaa keksintöä, vaan tukeutua yleisesti hyväksyttyihin käytäntöihin.

Haavoittuvuudet tulisi priorisoida niiden aiheuttamien riskin, liittyvän omaisuuden tärkeyden, mahdollisen organisationaalisen vaikutuksen sekä kiireellisyyden (huomioiden CVSS-arvo) perusteella.

4.1: Tietojärjestelmien tietoturvallisuus
TiHL: Tietoturva
3.1.1: Conduct regular vulnerability assessments
NSM ICT-SP

Järjestelmäkovennuksen ylläpito

Critical
High
Normal
Low

Kovennusten voimassaolosta ja vaikuttavuudesta huolehditaan koko tietojärjestelmän elinkaaren ajan.

TEK-10.2: Järjestelmäkovennus - kovennusten varmistaminen koko elinkaaren ajan
Julkri
I-08: VÄHIMMÄISTOIMINTOJEN JA VÄHIMPIEN OIKEUKSIEN PERIAATE – JÄRJESTELMÄKOVENNUS
Katakri 2020

Säännöllinen kattava haavoittuvuusskannaus (TL III)

Critical
High
Normal
Low

Tietojenkäsittely-ympäristön laitteet tarkastetaan kattavasti ohjelmistohaavoittuvuuksien varalta vähintään puolivuosittain ja merkittävien muutosten yhteydessä. Prosessissa on huomioitu seuraavat seikat:

  • Verkko ja sen palvelut, palvelimet sekä verkkoon kytketyt työasemat, kannettavat tietokoneet, tulostimet, mobiililaitteet ja vastaavat tarkastetaan kattavasti vähintään (haavoittuvuusskannaus, CMDB jne.) vuosittain ja aina merkittävien muutosten jälkeen päivitysmenettelyjen korjauskohteiden löytämiseksi.
  • Laitteisto- ja ohjelmistokirjanpidon (ml. CMDB) sekä skannausohjelmiston ajantasaisuudesta ja tietoturvallisuudesta on huolehdittu.

"Merkittäviin muutoksiin" voidaan laskea esim. verkkotopologian muutokset, uusien järjestelmien käyttöönotot ja/tai vanhojen service pack -tason päivitykset sekä palomuurien ja vastaavien suodatussääntöjen merkittävät muutokset.

TEK-19.2: Ohjelmistohaavoittuvuuksien hallinta - TL III
Julkri
I-19: TIETOJENKÄSITTELY-YMPÄRISTÖN SUOJAUS KOKO ELINKAAREN AJAN – OHJELMISTOHAAVOITTUVUUKSIEN HALLINTA
Katakri 2020

Säännöllinen kattava haavoittuvuusskannaus (TL IV)

Critical
High
Normal
Low

Tietojenkäsittely-ympäristön laitteet tarkastetaan kattavasti ohjelmistohaavoittuvuuksien varalta vähintään vuosittain ja merkittävien muutosten yhteydessä. Prosessissa on huomioitu seuraavat seikat:

  • Verkko ja sen palvelut, palvelimet sekä verkkoon kytketyt työasemat, kannettavat tietokoneet, tulostimet, mobiililaitteet ja vastaavat tarkastetaan kattavasti vähintään (haavoittuvuusskannaus, CMDB jne.) vuosittain ja aina merkittävien muutosten jälkeen päivitysmenettelyjen korjauskohteiden löytämiseksi.
  • Laitteisto- ja ohjelmistokirjanpidon (ml. CMDB) sekä skannausohjelmiston ajantasaisuudesta ja tietoturvallisuudesta on huolehdittu.

"Merkittäviin muutoksiin" voidaan laskea esim. verkkotopologian muutokset, uusien järjestelmien käyttöönotot ja/tai vanhojen service pack -tason päivitykset sekä palomuurien ja vastaavien suodatussääntöjen merkittävät muutokset.

TEK-19.1: Ohjelmistohaavoittuvuuksien hallinta
Julkri
I-19: TIETOJENKÄSITTELY-YMPÄRISTÖN SUOJAUS KOKO ELINKAAREN AJAN – OHJELMISTOHAAVOITTUVUUKSIEN HALLINTA
Katakri 2020

Tietoturvauhkiin liittyvän tiedon säännöllinen analysointi ja hyödyntäminen

Critical
High
Normal
Low

Organisaatio toteuttaa uhkatiedustelua analysoimalla ja hyödyntämällä kerättyä tietoa toimintaansa liittyvistä tietoturvauhkista ja niiltä suojautumisesta.

Kerätyn uhkatiedustelutiedon analysoinnissa ja hyödyntämisessä on huomioitava seuraavat asiat:

  • analysoidaan, kuinka uhkatiedustelutieto liittyy omaan toimintaamme
  • analysoidaan, kuinka relevanttia uhkatiedustelutieto on toiminnallemme
  • viestitään ja jaetaan tietoa ymmärrettävässä muodossa relevanteille henkilöille
  • hyödynnettään uhkatiedustelun löydöksiä teknisten suojausten, käytettyjen teknologioiden sekä tietoturvallisuuden testaustapojen riittävyyden analysointiin
5.7: Uhkatiedon seuranta
ISO27k1 Täysi
23: Häiriöiden- ja poikkeamienhallintaprosessi
Kokonaiskuva (DVV)
THREAT-2: Respond to Threats and Share Threat Information
C2M2: MIL1
Article 13: Learning and evolving
DORA
3.1.2: Subscribe to vulnerability intelligence services
NSM ICT-SP

Teknisten haavoittuvuuksien tiedotuksen seuranta

Critical
High
Normal
Low

Organisaatio seuraa tiedotteita käytössä olevien tietojärjestelmien teknisistä haavoittuvuuksista. Kun relevantteja teknisiä haavoittuvuuksia havaitaan, organisaatio ryhtyy toimiin suunnitellun toimintamallin mukaisesti.

50: Teknisten haavoittuvuuksien seuranta
Kokonaiskuva (DVV)
THREAT-1: Reduce Cybersecurity Vulnerabilities
C2M2: MIL1
9.3 §: Tietojärjestelmien hankinta ja kehittäminen
KyberTL

Haavoittuvuuksien hallinnan prosessin säännöllinen testaus

Critical
High
Normal
Low

Haavoittuvuuksien hallinnan prosessi testataan säännöllisesti organisaation määrittelemän aikavälin mukaan, jotta varmistetaan sen ajantasaisuus, toimivuus ja tehokkuus.

DE.DP-3: Detection processes testing
NIST
TEK-19: Ohjelmistohaavoittuvuuksien hallinta
Julkri
I-19: TIETOJENKÄSITTELY-YMPÄRISTÖN SUOJAUS KOKO ELINKAAREN AJAN – OHJELMISTOHAAVOITTUVUUKSIEN HALLINTA
Katakri 2020
DE.DP-3: Detection processes are tested.
CyFun
RS.AN-5: Processes are established to receive, analyse, and respond to vulnerabilities disclosed to the organization from internal and external sources.
CyFun

Digipalvelutarjonnassa käytettävien virtuaalikoneiden kovennukset

Critical
High
Normal
Low

Kovettaminen on käytäntö, jolla vähennetään järjestelmän haavoittuvuutta vähentämällä sen hyökkäyspintaa.

Virtuaalikoneita määritettäessä organisaation on varmistettava, että koneet on kovennettu esimerkiksi käyttämällä / sallimalla vain tarvittavia portteja, protokollia ja palveluita. Kaikissa virtuaalikoneissa on oltava myös tekniset suojatoimenpiteet, kuten haittaohjelmien torjunta ja lokikirjaus.

CLD 9.5.2: Virtual machine hardening
ISO 27017

Henkilöstön tuki valituille häiriönsietokyvyn testaustoiminnoille

Critical
High
Normal
Low

Organisaation häiriönsietokykyvyn testausohjelmassa on varauduttu tarjoamaan kaikki tarvittava tukeva asiantuntijatyö valituille häiriönsietokykytestaustoimille. Tähän voi sisältyä esimerkiksi suorituskykytestausta, päästä päähän -testausta, tunkeutumistestausta tai lähdekoodin tarkistuksia.

Tähän liittyviin häiriönsietokyvyn testaustoimiin voi kuulua esimerkiksi haavoittuvuusskannauksia, muiden skannausohjelmistojen käyttöä, verkkoturvallisuuden arviointeja, fyysisen turvallisuuden tarkastuksia tai muunlaisia puuteanalyysejä.

Article 25: Testing of ICT tools and systems
DORA

Vaatimukset TLPT-testaajalle

Critical
High
Normal
Low

Uhkavetoisessa penetraatiotestauksessa käytettävän testausorganisaation tulee täyttää vähintään seuraavat vaatimukset:

  • Korkein soveltuvuus ja maine tehtävään
  • Omaa tekniset ja organisatoriset valmiudet erityisesti uhkatiedon, läpäisytestauksen ja red-tiimitoiminnan alalla
  • Ovat sertifioitu EU-maassa
  • He antavat auditointiraportin koskien testauksen suorittamiseen liittyvien riskien hallintaa
  • He ovat täysin katettuja asiaankuuluvilla vakuutuksilla, mukaan lukien väärinkäytösten ja laiminlyöntien riskit

Jos käytät sisäisiä testaajia yllä olevan luettelon kanssa, niiden tulee olla:

  • Toimivaltaisen viranomaisen hyväksymä
  • Viranomainen on vahvistanut, että organisaatiolla on riittävät resurssit testauksen suorittamiseen ja eturistiriitoja vältetään
  • Uhkatietojen tarjoajan on oltava entiteetin ulkopuolinen

Testaajan kanssa tehdyissä sopimuksissa tulosten hallinta ja mahdollinen tietojenkäsittely eivät aiheuta riskejä organisaatiolle.

Article 27: Requirements for testers for the carrying out of TLPT
DORA

Arvioinnit uhkavetoisen penetraatiotestauksen (TLPT) laajuuden määrittämiseksi

Critical
High
Normal
Low

Organisaatio suorittaa uhkavetoisen penetraatiotestauksen. Jokaisen testin on katettava useita asiaankuuluvan talousyksikön kriittisiä tai tärkeitä toimintoja.

Määritä TLPT:n suhteellinen soveltamisala oikein seuraavasti:

  • Rahoituslaitosten on yksilöitävä tärkeitä tai tärkeitä toimintoja tukevat ICT-järjestelmät, -prosessit ja -teknologiat
  • Rahoituslaitosten on arvioitava, mitkä näistä on kuuluttava TLPT:n piiriin

Tämän arvioinnin tulos määrittää TLPT:n tarkan soveltamisalan, ja toimivaltaisten viranomaisten on validoitava se.

Article 26: Advanced testing of ICT tools, systems and processes based on TLPT
DORA

Korjaustenhallintaprosessin määrittäminen

Critical
High
Normal
Low

Organisaatiolla tulisi olla määriteltynä ja toteutettuna asianmukainen korjaustenhallintamenettely. Tähän tulisi sisällyttää korjausten testaus ja asennus.

Toimenpiteitä korjausten hallintaan liittyvien riskien minimoimiseksi ja korjausten onnistuneen asennuksen todentamiseksi on toteutettava.

5.2.5: Vulnerability management
TISAX

Säännöllinen tunkeutumistestaus ennalta määritellyillä tavoitteilla ja laajuudella

Critical
High
Normal
Low

Tunkeutumistestauksella tulisi olla selkeästi määritellyt tavoitteet ja laajuus. Tavoitteisiin voi kuulua esimerkiksi jatkuvuussuunnitelmien ja -valmiuksien testaaminen, tietoturvakontrollien arviointi tai tietoturvaheikkouksien tunnistaminen. Laajuus voidaan määritellä seuraavasti:

  • - Tunnistetaan tietojärjestelmän kriittiset osat, jotka olisi priorisoitava testauksessa.
  • - Tunnistetaan yksittäiset järjestelmät tai osat, jotka ovat niin elintärkeitä, että ne on jätettävä testauksen ulkopuolelle.

Elintärkeitä järjestelmiä tai komponentteja, jotka voidaan jättää testauksen ulkopuolelle, ovat esimerkiksi ne, jotka ovat välttämättömiä organisaation kriittisten palvelujen ylläpitämiseksi tai jotka eivät kestä tunkeutumistestin aiheuttamaa rasitusta.

Suunnitteluvaiheessa on tärkeää ottaa asianomaiset sidosryhmät mukaan etukäteen. Tämä tarkoittaa usein sitä, että ulkopuolisille järjestelmänvalvontatoimittajille on ilmoitettava asiasta ennen testausta, vaikka käyttäjille tai järjestelmänhallintahenkilöstölle ei välttämättä ole tarpeen ilmoittaa asiasta.

Tunkeutumistestaus olisi suoritettava säännöllisesti, vähintään vuosittain. Se olisi suoritettava sekä organisaation verkkoalueen ulkopuolelta että sen sisältä. Ulkopuolelta tapahtuva testaus simuloi ulkoista hyökkäystä (black box ja white box), kun taas sisäpuolelta tapahtuva testaus simuloi mahdollisia uhkia, jotka tulevat vaarantuneilta asiakkailta/palvelimilta tai haitallisilta sisäpiiriläisiltä (grey box).

Tunkeutumistestien tulokset on aina dokumentoitava.

Säännöllinen tunkeutumistestaus ennalta määritellyillä tavoitteilla ja laajuudella

Critical
High
Normal
Low

Tunkeutumistestauksella tulisi olla selkeästi määritellyt tavoitteet ja laajuus. Tavoitteisiin voi kuulua esimerkiksi jatkuvuussuunnitelmien ja -valmiuksien testaaminen, tietoturvakontrollien arviointi tai tietoturvaheikkouksien tunnistaminen. Laajuus voidaan määritellä seuraavasti:

  • - Tunnistetaan tietojärjestelmän kriittiset osat, jotka olisi priorisoitava testauksessa.
  • - Tunnistetaan yksittäiset järjestelmät tai osat, jotka ovat niin elintärkeitä, että ne on jätettävä testauksen ulkopuolelle.

Elintärkeitä järjestelmiä tai komponentteja, jotka voidaan jättää testauksen ulkopuolelle, ovat esimerkiksi ne, jotka ovat välttämättömiä organisaation kriittisten palvelujen ylläpitämiseksi tai jotka eivät kestä tunkeutumistestin aiheuttamaa rasitusta.

Suunnitteluvaiheessa on tärkeää ottaa asianomaiset sidosryhmät mukaan etukäteen. Tämä tarkoittaa usein sitä, että ulkopuolisille järjestelmänvalvontatoimittajille on ilmoitettava asiasta ennen testausta, vaikka käyttäjille tai järjestelmänhallintahenkilöstölle ei välttämättä ole tarpeen ilmoittaa asiasta.

Tunkeutumistestaus olisi suoritettava säännöllisesti, vähintään vuosittain. Se olisi suoritettava sekä organisaation verkkoalueen ulkopuolelta että sen sisältä. Ulkopuolelta tapahtuva testaus simuloi ulkoista hyökkäystä (black box ja white box), kun taas sisäpuolelta tapahtuva testaus simuloi mahdollisia uhkia, jotka tulevat vaarantuneilta asiakkailta/palvelimilta tai haitallisilta sisäpiiriläisiltä (grey box).

Tunkeutumistestien tulokset on aina dokumentoitava.

Tunkeutumistestien tuloksista tiedottaminen

Critical
High
Normal
Low

Tunkeutumistestien tulokset ja raportit on toimitettava relevanteille sidosryhmille. Näistä testeistä on laadittava dokumentti, jossa on vähintään yhteenveto, luettelo havainnoista ja parannusehdotukset.

3.4.6: Communicate the results of penetration tests to relevant stakeholders
NSM ICT-SP

Haavoittuvuuksien skannaus- ja hyökkäystyökalujen käyttö

Critical
High
Normal
Low

Organisaation on käytettävä haavoittuvuuksien skannaustyökaluja pääasiallisena työkaluna säännöllisessä haavoittuvuuksien skannausprosessissa.

Lisäksi organisaation olisi käytettävä hyökkäystyökaluja skannausvälineellä löydettyjen haavoittuvuuksien testaamiseen.

3.4.3: Use vulnerability scanning tools and attack tools
NSM ICT-SP

Haavoittuvuuksien hallintaprosessin säännöllinen seuranta

Critical
High
Normal
Low

Teknisten haavoittuvuuksien hallintaprosessia seurataan ja arvioidaan säännöllisesti, jotta voidaan varmistaa sen tehokkuus ja vaikuttavuus.

12.6.1: Teknisten haavoittuvuuksien hallinta
ISO27 Täysi
ID.RA-1: Asset vulnerabilities
NIST
PR.IP-12: Vulnerability management plan
NIST
TEK-19: Ohjelmistohaavoittuvuuksien hallinta
Julkri
8.8: Teknisten haavoittuvuuksien hallinta
ISO27k1 Täysi

Uhkatiedustelutiedon jakaminen

Critical
High
Normal
Low

Organisaation on jaettava uhkatiedustelutietoa muiden organisaatioiden kanssa molemminsuuntaisesti uhkatietoisuuden parantamiseksi.

5.7: Uhkatiedon seuranta
ISO27k1 Täysi
77: Menettely toimintaympäristön seuraamiseen
Kokonaiskuva (DVV)
THREAT-2: Respond to Threats and Share Threat Information
C2M2: MIL1
Article 45: Information-sharing arrangements on cyber threat information and intelligence
DORA
ID.RA-2: Cyber threat intelligence is received from information sharing forums and sources.
CyFun

Uhkatiedustelun löydösten huomiointi tietoturvariskien hallintaprosessissa

Critical
High
Normal
Low

Organisaation on huomioitava uhkatiedustelussa tehdyt löydökset tietoturvariskien hallintaprosessissa. Uhkatiedustelussa voidaan havaita esimerkiksi tietyntyyppisten hyökkäysten yleistymistä tai uusien teknologioiden kehittymistä, joiden perusteella tiettyjen tietoturvariskien arvioita on päivitettävä, joka voi johtaa tarpeeseen pienentää riskejä käsittelysuunnitelmien kautta.

5.7: Uhkatiedon seuranta
ISO27k1 Täysi
3.3.4: Obtain and process threat information from relevant sources
NSM ICT-SP

Käytössä olevan kapasiteetin käytön seuranta

Critical
High
Normal
Low

Tietojärjestelmien toiminta voi olla riippuvaista tietyistä avainresursseista, kuten palvelinkapasiteetista, tallennustilasta, tietojenkäsittelykapasiteetista, valvontakapasiteetistatai tietyistä avainhenkilöistä.

Organisaatio on määritellyt avainresurssit sekä tavat näiden avainresurssien käytön seurantaan. Resursseille määritetään lisäksi normaalitaso, jota hyödynnetään arvioidessa riskiä saatavuuden vaarantumisesta kapasitettiongelmien vuoksi.

A1.1: Evaluation of current processing capacity
SOC 2
4.1: Tietojärjestelmien tietoturvallisuus
TiHL: Tietoturva
3.2.5: Verify that the monitoring is working as intended
NSM ICT-SP