Valitaan ja asennetaan haittaohjelmien havaitsemis- ja korjausohjelmat keskitetysti ja päivitetään ne säännöllisesti tietokoneiden ja tietovälineiden ennaltaehkäisevää tai säännöllistä tutkimista varten.

Ohjelmien tulisi tarkastaa ainakin seuraavat asiat:

• verkon tai tallennusvälineen kautta saapuneet tiedostot tarkistetaan haittaohjelmien varalta ennen käyttöä
• sähköpostiliitteet ja ladatut tiedostot tarkistetaan haittaohjelmien varalta ennen käyttöä
• verkkosivustot tarkistetaan haittaohjelmien varalta

Organisaatiolla on ylimmän johdon laatima ja hyväksymä tietoturvapolitiikka. Politiikka sisältää ainakin seuraavat asiat:

• perustan organisaation tietoturvatavoitteiden asettamiselle
• sitoutumisen tietoturvallisuutta koskevien vaatimusten täyttämiseen
• sitoutumisen tietoturvallisuuden hallintajärjestelmän jatkuvaan parantamiseen

Lisäksi tehtävän omistaja varmistaa, että:

• tietoturvapolitiikka soveltuu organisaation toiminta-ajatukseen
• politiikka on tiedotettu koko organisaatiolle
• politiikka on tarvittaessa sidosryhmien saatavilla

Haittaohjelmien suojaukseen käytetyt järjestelmät tarkistavat ja asentavat päivitykset automaattisesti halutuin väliajoin ja ajavat myös halutut tarkistukset valitulla frekvenssillä ilman käyttäjän toimia.

Organisaatiolla on oltava prosessi digitaalisten elementtien päivitysten jakelua varten, jossa otetaan huomioon ainakin seuraavat seikat:

• Päivitysten ja korjausten hallintaprosessin on varmistettava, että päivitykset jaetaan turvallisella tavalla.
• Tarvittaessa tietoturvapäivitysten osalta päivitykset on jaettava automaattisesti, ja päivityksen omistajan on tarkistettava päivityksen mahdolliset kielteiset vaikutukset ennen sen soveltamista koko ympäristöön.
• Päivitykset on jaettava kohtuullisessa ajassa sen jälkeen, kun valmistaja on julkaissut päivityksen, ottaen huomioon haavoittuvuuden vakavuus.

Verkkoinfrastruktuurin turvaamiseksi organisaatio toteuttaa prosessin, johon sisältyy:

• dokumentoidut turvallista konfigurointia koskevat ohjeet verkkolaitteille
• peruskonfiguraatiomallit turvallisuuden standardoimiseksi
• säännölliset tarkistukset ja päivitykset, jotta konfiguraatiot pysyvät ajan tasalla uusien uhkien ja muutosten suhteen.

Organisaatiolla olisi oltava määriteltynä ja toteutettuna asianmukainen korjaustenhallintamenettely. Tähän olisi sisällyttävä korjausten testaus ja asennus.

Olisi toteutettava toimenpiteitä korjausten hallintaan liittyvien riskien minimoimiseksi ja korjausten onnistuneen asennuksen todentamiseksi.

Korjausten hallinnan olisi mahdollisuuksien mukaan oltava automatisoitua (esimerkiksi käyttöjärjestelmän päivitykset).

Korjaustenhallintaprosessissa olisi otettava huomioon kehysten asettamat vaatimukset tai muut vaatimukset, joita niiden on noudatettava.

Organisaation tulee pystyä valvomaan, että laitteita, tietojärjestelmiä sekä verkkoja ylläpidetään määriteltyjen konfiguraatioiden (ml. turvallisuusominaisuudet) mukaisina sekä käyttöönottovaiheessa että koko elinkaarensa ajan.

Tätä varten organisaatio on määritellyt vakiomallit laitteiden, tietojärjestelmien sekä verkkojen turvallisille konfiguraatioille. Vakiomalleja määritettäessä huomioidaan:

• julkisesti saatavilla olevia ohjeita (esim. mallit toimittajilta ja riippumattomilta turvallisuusorganisaatioilta)
• eri omaisuudelta tarvittava suojataso
• liittyvien tietoturvavaatiusten täyttäminen
• konfiguraatioiden toteutettavuus ja soveltuvuus organisaation toimintaan

Vakiomallit tulee tarkistaa säännöllisesti ja päivittää, kun merkittäviin uusiin uhkiin tai haavoittuvuuksiin on reagoitava tai uusia ohjelmisto- tai laiteversioita julkaistaan.

Seuraavat seikat tulee ottaa huomioon vakiomalleja määriteltäessä:

• pääkäyttäjätason oikeuksien määrä minimoidaan
• tarpeettomat käyttöoikeudet poistetaan käytöstä
• tarpeettomat toiminnot ja palvelut poistetaan käytöstä
• pääsyä tehokkaisiin apuohjelmiin ja tärkeisiin asetuksiin valvotaan tarkasti
• kellot synkronoidaan
• toimittajan oletussalasanat muutetaan välittömästi ja turvallisuuteen liittyvät asetukset tarkistetaan
• aikakatkaisutoimintoja käytetään tarvittaessa (esim. automaattinen uloskirjautuminen)
• lisenssivaatimuksia noudatetaan

Laitteiden, tietojärjestelmien ja verkkojen nykyiset kokoonpanot dokumentoidaan ja kokoonpanomuutoksista pidetään kirjaa.

Konfiguraatioiden muutoksia on valvottava, ja ne on tehtävä muutostenhallintamenettelyn kautta. Vain valtuutettu henkilöstö saa tehdä muutoksia konfiguraatioihin.

Konfiguraatiotietoihin voi sisältyä esim. seuraavat tiedot:

• kiinteistön omistajan ja yhteyshenkilön tiedot
• viimeisimmän konfiguraatiomuutoksen päivämäärä
• konfiguraatiomallin versio
• yhteydet muihin omaisuuseriin

Järjestelmillä tarkoitetaan tässä palvelimia, työasemia, verkon aktiivilaitteita (palomuurit, reitittimet, kytkimet, langattomat tukiasemat jne.) ja vastaavia. Koventamisella puolestaan tarkoitetaan järjestelmän asetusten muuttamista siten, että järjestelmän haavoittuvuuspinta-alaa saadaan pienennettyä.

Organisaatio on määritellyt toimintatavat, joiden avulla:

• Käyttöön otetaan vain käyttövaatimusten ja tietojen käsittelyn kannalta olennaiset toiminnot, laitteet ja palvelut. Ylimääräiset poistetaan myös BIOS-tasolla.
• Käytössä on menettelytapa, jolla järjestelmät asennetaan järjestelmällisesti siten, että lopputuloksena on kovennettu asennus.
• Kovennettu asennus sisältää vain sellaiset komponentit ja palvelut, sekä käyttäjien ja prosessien oikeudet, jotka ovat välttämättömiä toimintavaatimusten täyttämiseksi ja turvallisuuden varmistamiseksi.
• Ohjelmistot, kuten käyttöjärjestelmät, sovellukset ja laiteohjelmistot, asetetaan keräämään tarvittavaa lokitietoa väärinkäytösten havaitsemiseksi.
• Tietojärjestelmän käynnistäminen tuntemattomalta (muulta kuin ensisijaiseksi määritellyltä) laitteelta on estetty.
• Ohjelmistot (esim. laiteohjelmistot, sovellukset) pidetään ajantasaisina .
• Kohteen yhteydet, mukaan lukien hallintayhteydet, ovat rajattuja, kovennettuja, käyttäjätunnistettuja sekä aikarajoitettuja (istunnon aikakatkaisu).