Sisältökirjasto
CRA
Artikla 13.1(.2.a): Tunnetut haavoittuvuudet

Vaatimuksen kuvaus

Digitaalisia elementtejä sisältävät tuotteet on saatettava markkinoille ilman tunnettuja hyödynnettävissä olevia haavoittuvuuksia.

Kuinka täyttää vaatimus

CRA (Kyberkestävyyssäädös)

Artikla 13.1(.2.a): Tunnetut haavoittuvuudet

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset

Haavoittuvuuksien korjausprosessi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kehitys ja digipalvelut
Teknisten haavoittuvuuksien hallinta
4
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
40.(1): Ievainojamību atklāšana un novēršana
NIS2 Latvia
40.(2): Neaizsargātību novēršanas grafiks
NIS2 Latvia
Art. 24.2.e.2: Sicurezza dell'acquisizione
NIS2 Italy
Artikla 13.1(.2.a): Tunnetut haavoittuvuudet
CRA
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Haavoittuvuuksien korjausprosessi
1. Tehtävän vaatimuskuvaus

Organisaatio on määritellyt prosessit havaittujen haavoittuvuuksien korjaamiseksi.

Näihin prosesseihin olisi sisällyttävä ainakin seuraavat:

  • Haavoittuvuuteen liittyvien riskien ja tarvittavien toimien tunnistaminen (esim. järjestelmän korjaaminen tai muut hallintatehtävät).
  • Tarvittavat toimet aikataulutetaan
  • Kaikki toteutetut toimet dokumentoidaan.

Organisaatio toteuttaa tarvittavat toimet haavoittuvuuden torjumiseksi toimivaltaisen tietoverkkotapahtumia ehkäisevän laitoksen asettamassa määräajassa, kuitenkin viimeistään 90 päivän kuluessa tiedon saamisesta, ja ilmoittaa toimivaltaiselle tietoverkkotapahtumia ehkäisevälle laitokselle haavoittuvuuden torjunnan edistymisestä.

Jos haavoittuvuutta ei objektiivisista syistä ole mahdollista poistaa asetetussa määräajassa, tietoverkkohäiriöiden torjuntalaitos voi organisaation pyynnöstä pidentää haavoittuvuuden poistamiselle asetettua määräaikaa, kuitenkin enintään 180 päivää haavoittuvuuden havaitsemisraportin toimittamisesta, ilmoittamalla siitä haavoittuvuuden havaitsemisraportissa sen toimittajalle.

Haavoittuvuuksien skannaus- ja hyökkäystyökalujen käyttö

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kehitys ja digipalvelut
Teknisten haavoittuvuuksien hallinta
2
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
3.4.3: Use vulnerability scanning tools and attack tools
NSM ICT-SP
Artikla 13.1(.2.a): Tunnetut haavoittuvuudet
CRA
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Haavoittuvuuksien skannaus- ja hyökkäystyökalujen käyttö
1. Tehtävän vaatimuskuvaus

Organisaation on käytettävä haavoittuvuuksien skannaustyökaluja pääasiallisena työkaluna säännöllisessä haavoittuvuuksien skannausprosessissa.

Lisäksi organisaation olisi käytettävä hyökkäystyökaluja skannausvälineellä löydettyjen haavoittuvuuksien testaamiseen.

Säännöllinen haavoittuvuusskannaus

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kehitys ja digipalvelut
Teknisten haavoittuvuuksien hallinta
38
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
12.6.1: Teknisten haavoittuvuuksien hallinta
ISO 27001
18.2.3: Teknisen vaatimustenmukaisuuden katselmointi
ISO 27001
14.2.8: Järjestelmän turvallisuustestaus
ISO 27001
6.5: Tietojärjestelmien asennus, ylläpito ja päivitys
Omavalvontasuunnitelma
MWP-02: Automatic file scan by anti-malware software
Cyber Essentials
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Säännöllinen haavoittuvuusskannaus
1. Tehtävän vaatimuskuvaus

Organisaatio tekee säännöllisesti haavoittuvuusskannausta, jossa etsitään tietokoneista, työasemista, mobiililaitteista, verkoista tai sovelluksista tunnettuja haavoittuvuuksia. Skannausta on tärkeää tehdä myös merkittävien muutosten jälkeen.

On huomioitava, että haavoittuvaa lähdekoodia voi löytyä niin käyttöjärjestelmäohjelmistoista, palvelinsovelluksista, loppukäyttäjäsovelluksista, kuin esimerkiksi laiteohjelmistotason (firmware) sovelluksista sekä ajureista, BIOS:ista ja erillisistä hallintaliittymistä (esim. iLo, iDrac). Ohjelmistovirheiden lisäksi haavoittuvuuksia aiheutuu konfiguraatiovirheistä ja vanhoista käytänteistä, esimerkiksi vanhentuneiden salausalgoritmien käytöstä.

Haavoittuvuuksien valvonta hyödynnetyissä ulkoisissa kirjastoissa

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tekninen tietoturva
Suojausjärjestelmät ja valvonta
8
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
8.28: Turvallinen ohjelmointi
ISO 27001
ID.RA-1: Asset vulnerabilities are identified and documented.
CyberFundamentals
ID.RA-01: Asset vulnerabilities
NIST 2.0
16.5: Use Up-to-Date and Trusted Third-Party Software Components
CIS 18
Artikla 13.6: Kolmansien osapuolten komponenttien haavoittuvuudet
CRA
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Haavoittuvuuksien valvonta hyödynnetyissä ulkoisissa kirjastoissa
1. Tehtävän vaatimuskuvaus

Haavoittuvuuksia kolmannen osapuolen kehittämissä tai avoimen lähdekoodin kirjastoissa on valvottava, skannattava ja raportoitava samaan tyyliin kuin muitakin haavoittuvuuksia.

Organisaation on määritetävä toimintatavat, joiden kautta tunnistetaan tarvittavat päivitykset ulkoisia kirjastoja hyödyntävissä sovelluksissa. Valvontaa suorittavat skannaukset voidaan toteuttaa automatisoidusti asiaan erikoistuneilla työkaluilla.

Organisaation on järkevää myös seurata yleistä viestintää haavoittuvuuksien uutisoinnista.

Politiikkaan sisältyviä tietoturvatehtäviä

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset
No items found.

Autamme täyttämään vaatimukset tehokkaasti Universal cyber compliance language -teknologialla

Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.

Tietoturvakehikoilla on yleensä yhteinen ydin. Kaikki kehikot kattavat perusaiheita, kuten riskienhallinnan, varmuuskopioinnin, haittaohjelmat, henkilöstön tietoisuuden tai käyttöoikeuksien hallinnan omissa osioissaan.
Digiturvamallin "universal cyber compliance language" -teknologia luo teille yksittäisen suunnitelman ja varmistaa, että kehikkojen yhteiset osat tehdään vain kerran. Te voitte keskittyä suunnitelman toteuttamiseen, me automatisoimme compliance-osan - nykyisiä ja tulevia vaatimuksia päin.
Aloita ilmainen kokeilu
Tutustu Digiturvamalliin
Aloita ilmainen kokeilu
Digiturvamallin avulla rakennat tietoturvallisen ja halutut vaatimukset täyttävän organisaation. Halusitko kehittää tietoturvan hallintaa yleisesti, raportoida omasta NIS2-valmiudesta tai hankkia ISO 27001 -sertifioinnin, Digiturvamalli yksinkertaistaa koko prosessia.
AI-pohjaiset parannussuositukset ja käyttäjäystävällinen työkalu varmistavat, että organisaationne voi olla luottavainen vaatimusten täyttymisestä ja keskittyä oman tietoturvan jatkuvaan parantamiseen.
Selkeä suunnitelma vaatimusten täyttämiseen
Aktivoi teille tärkeät vaatimuskehikot ja jalkauta niiden vaatimukset täyttäviä selkeitä toimenpiteitä.
Uskottavat raportit todisteiksi hyvästä tietoturvasta
Etene tehtävien avulla varmistaaksesi turvallisen toiminnan. Luo ammattimaisia ​​raportteja muutamalla napsautuksella.
AI-avusteiset parannussuositukset
Keskity vaikuttavimpiin parannuksiin Digiturvamallin suositusten avulla.