Sisältökirjasto
Energisektor beredskabsbekendtgørelse
§ 47: Identifikation, reaktion og afbødning af sårbarheder
Bekendtgørelse om modstandsdygtighed og beredskab i energisektoren (Danmark)
§ 47

Identifikation, reaktion og afbødning af sårbarheder

Aloita ilmainen kokeilu

Vaatimuksen kuvaus

Virksomheder skal være i stand til at identificere, reagere på og mitigere sårbarheder, som kan påvirke sikkerheden i virksomhedens net- og informationssystemer.

Stk. 2. Virksomheder skal være i stand til at modtage varsler om sårbarheder på elektronisk vis.

Stk. 3. Virksomheder skal ved modtagelse af et varsel om en sårbarhed foretage en risikovurdering af virksomhedens eksponering og mitigere sårbarheder, som kan påvirke sikkerheden i virksomhedens net- og informationssystemer.

Stk. 4. Virksomheder i niveau 4 og 5 skal være i stand til at reagere på varsler efter stk. 2 og 3 uden unødigt ophold.

Stk. 5. Virksomheder skal tage stilling til, om sårbarheder, som virksomheden identificerer i virksomhedens net- og informationssystemer, bør offentliggøres, herunder i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, jf. § 45.

Stk. 6. Virksomheder skal sikre, at oplysninger om sårbarheder, som kan have sikkerhedsmæssig betydning for energisektoren, videreformidles til Energistyrelsen. Virksomheder i el-, gas- og brintsektoren skal ligeledes videreformidle oplysning om sårbarheder, til Energinet.

Kuinka täyttää vaatimus

Bekendtgørelse om modstandsdygtighed og beredskab i energisektoren (Danmark)

§ 47: Identifikation, reaktion og afbødning af sårbarheder

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset

Prosessi teknisten haavoittuvuuksien käsittelyyn

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kehitys ja digipalvelut
Teknisten haavoittuvuuksien hallinta
51
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
12.6.1: Teknisten haavoittuvuuksien hallinta
ISO 27001
14.2.1: Turvallisen kehittämisen politiikka
ISO 27001
ID.RA-1: Asset vulnerabilities
NIST
PR.IP-12: Vulnerability management plan
NIST
RS.AN-5: Vulnerability management process
NIST
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Prosessi teknisten haavoittuvuuksien käsittelyyn
1. Tehtävän vaatimuskuvaus

Organisaatio on määritelly prosessin, jonka perusteella tunnistetut tekniset haavoittuvuudet käsitellään.

Osa haavoittuvuuksista voidaan korjata suoraan, mutta merkittäviä vaikutuksia omaavat haavoittuvuudet tulisi dokumentoida myös tietoturvahäiriöinä. Merkittäviä vaikutuksia omaavan haavoituvuuden tunnistamisen jälkeen:

  • yksilöidään haavoittuvuuteen liittyvät riskit ja tarvittavat toimenpiteet (esim. järjestelmän paikkaus tai muut hallintatehtävät)
  • aikataulutetaan tarvittavat toimenpiteet
  • dokumentoidaan kaikki toimenpiteet

Haavoittuvuusraporttien toimittamista koskevat standardit

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kehitys ja digipalvelut
Teknisten haavoittuvuuksien hallinta
4
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
39: Koordinēta ievainojamību atklāšana
NIS2 Latvia
§ 24.5: Hlásenie kybernetických hrozieb a zraniteľností
NIS2 Slovakia
§ 47: Identifikation, reaktion og afbødning af sårbarheder
Energisektor beredskabsbekendtgørelse
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Haavoittuvuusraporttien toimittamista koskevat standardit
1. Tehtävän vaatimuskuvaus

Organisaatiolla tulisi olla dokumentoidut prosessit ja mallit havaittujen haavoittuvuuksien raportointia varten.

Haavoittuvuuksien havaitsemisraportit olisi toimitettava välittömästi toimivaltaiselle tietoverkkotapahtumia ehkäisevälle laitokselle ja viimeistään viiden päivän kuluessa haavoittuvuuden havaitsemisesta.

Havaintoraportin olisi sisällettävä seuraavat tiedot:

  • Haavoittuvuuden havaitsemisen päivämäärä ja kellonaika (jos mahdollista);
  • tiedot tietojärjestelmästä tai sähköisestä viestintäverkosta, jossa haavoittuvuus on havaittu;
  • haavoittuvuuden kuvaus;
  • kuvaus haavoittuvuuden havaitsemisessa käytetyistä menetelmistä tai suoritettujen toimien järjestyksestä;
  • haavoittuvuusilmoituksen tekijän yhteystiedot;
  • Muut tiedot, joita haavoittuvuuden havaitsemisilmoituksen tekijä pitää tarpeellisina havaitun haavoittuvuuden tunnistamisen ja ennaltaehkäisyn kannalta.

Haavoittuvuuksien korjausprosessi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kehitys ja digipalvelut
Teknisten haavoittuvuuksien hallinta
5
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
40.(1): Ievainojamību atklāšana un novēršana
NIS2 Latvia
40.(2): Neaizsargātību novēršanas grafiks
NIS2 Latvia
Art. 24.2.e.2: Sicurezza dell'acquisizione
NIS2 Italy
Artikla 13.1(.2.a): Tunnetut haavoittuvuudet
CRA
§ 47: Identifikation, reaktion og afbødning af sårbarheder
Energisektor beredskabsbekendtgørelse
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Haavoittuvuuksien korjausprosessi
1. Tehtävän vaatimuskuvaus

Organisaatio on määritellyt prosessit havaittujen haavoittuvuuksien korjaamiseksi.

Näihin prosesseihin olisi sisällyttävä ainakin seuraavat:

  • Haavoittuvuuteen liittyvien riskien ja tarvittavien toimien tunnistaminen (esim. järjestelmän korjaaminen tai muut hallintatehtävät).
  • Tarvittavat toimet aikataulutetaan
  • Kaikki toteutetut toimet dokumentoidaan.

Organisaatio toteuttaa tarvittavat toimet haavoittuvuuden torjumiseksi toimivaltaisen tietoverkkotapahtumia ehkäisevän laitoksen asettamassa määräajassa, kuitenkin viimeistään 90 päivän kuluessa tiedon saamisesta, ja ilmoittaa toimivaltaiselle tietoverkkotapahtumia ehkäisevälle laitokselle haavoittuvuuden torjunnan edistymisestä.

Jos haavoittuvuutta ei objektiivisista syistä ole mahdollista poistaa asetetussa määräajassa, tietoverkkohäiriöiden torjuntalaitos voi organisaation pyynnöstä pidentää haavoittuvuuden poistamiselle asetettua määräaikaa, kuitenkin enintään 180 päivää haavoittuvuuden havaitsemisraportin toimittamisesta, ilmoittamalla siitä haavoittuvuuden havaitsemisraportissa sen toimittajalle.

Prosessi haavoittuvuusilmoitusten käsittelyä ja jakamista varten

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kumppanihallinta
Sopimukset ja seuranta
12
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
RS.AN-5: Processes are established to receive, analyse, and respond to vulnerabilities disclosed to the organization from internal and external sources.
CyberFundamentals
ID.RA-08: Processes for handling vulnerability disclosures
NIST 2.0
30 § 3.11°: Divulgation des vulnérabilités
NIS2 Belgium
14.5.6): Tinklų ir informacinių sistemų saugumą
NIS2 Lithuania
Haav.6: Tietojen jakaminen mahdollisista haavoittuvuuksista
CRA
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Prosessi haavoittuvuusilmoitusten käsittelyä ja jakamista varten
1. Tehtävän vaatimuskuvaus

Organisaatio ottaa käyttöön prosessit ja keinot haavoittuvuusilmoitusten käsittelemiseksi ja jakamiseksi, kuten:

  • Prosessit, joilla vastaanotetaan, analysoidaan ja vastataan toimittajilta, asiakkailta, kumppaneilta ja valtion kyberturvallisuusorganisaatioilta saatuihin haavoittuvuusilmoituksiin.
  • Haavoittuvuustietojen jakaminen organisaation ja toimittajien välillä sopimussääntöjen ja -käytäntöjen mukaisesti.
  • Vastuun jakaminen asianomaiselle henkilöstölle ilmoitettujen kyberturvallisuusuhkien, haavoittuvuuksien tai vaaratilanteiden käsittelyn ja vaikutusten analysoinnin osalta.

Yhteydenpito relevantteihin viranomaisiin

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kumppanihallinta
Sopimukset ja seuranta
58
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
6.1.3: Yhteydet viranomaisiin
ISO 27001
RC.CO-1: Public relations
NIST
5.5: Yhteydet viranomaisiin
ISO 27001
23.1: Incident notifications to CSIRT and recipients of services
NIS2
CC2.3: Communication with external parties
SOC 2
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Yhteydenpito relevantteihin viranomaisiin
1. Tehtävän vaatimuskuvaus

Organisaatio listaa relevantit viranomaistoimijat, joihin on tärkeää pitää aktiivisesti yhteyttä sekä tarvittaessa saada yhteys nopeasti. Näitä viranomaisia ovat mm. kansallisia lakeja toimeenpanevat sekä valvontaa toteuttavat viranomaiset.

Relevantteihin viranomaisiin olisi määriteltävä selkeä yhteyshenkilö, joka toimii yhteyspisteenä organisaatioon.

Teknisten haavoittuvuuksien tiedotuksen seuranta

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kehitys ja digipalvelut
Teknisten haavoittuvuuksien hallinta
6
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
50: Teknisten haavoittuvuuksien seuranta
Digiturvan kokonaiskuvapalvelu
THREAT-1: Reduce Cybersecurity Vulnerabilities
C2M2
9.3 §: Tietojärjestelmien hankinta ja kehittäminen
Kyberturvallisuuslaki
Article 34: ICT operations security
DORA simplified RMF
§ 47: Identifikation, reaktion og afbødning af sårbarheder
Energisektor beredskabsbekendtgørelse
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Teknisten haavoittuvuuksien tiedotuksen seuranta
1. Tehtävän vaatimuskuvaus

Organisaatio seuraa tiedotteita käytössä olevien tietojärjestelmien teknisistä haavoittuvuuksista. Kun relevantteja teknisiä haavoittuvuuksia havaitaan, organisaatio ryhtyy toimiin suunnitellun toimintamallin mukaisesti.

Säännöllinen haavoittuvuusskannaus

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kehitys ja digipalvelut
Teknisten haavoittuvuuksien hallinta
47
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
12.6.1: Teknisten haavoittuvuuksien hallinta
ISO 27001
14.2.8: Järjestelmän turvallisuustestaus
ISO 27001
18.2.3: Teknisen vaatimustenmukaisuuden katselmointi
ISO 27001
6.5: Tietojärjestelmien asennus, ylläpito ja päivitys
Omavalvontasuunnitelma
ID.RA-1: Asset vulnerabilities
NIST
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Säännöllinen haavoittuvuusskannaus
1. Tehtävän vaatimuskuvaus

Organisaatio tekee säännöllisesti haavoittuvuusskannausta, jossa etsitään tietokoneista, työasemista, mobiililaitteista, verkoista tai sovelluksista tunnettuja haavoittuvuuksia. Skannausta on tärkeää tehdä myös merkittävien muutosten jälkeen.

On huomioitava, että haavoittuvaa lähdekoodia voi löytyä niin käyttöjärjestelmäohjelmistoista, palvelinsovelluksista, loppukäyttäjäsovelluksista, kuin esimerkiksi laiteohjelmistotason (firmware) sovelluksista sekä ajureista, BIOS:ista ja erillisistä hallintaliittymistä (esim. iLo, iDrac). Ohjelmistovirheiden lisäksi haavoittuvuuksia aiheutuu konfiguraatiovirheistä ja vanhoista käytänteistä, esimerkiksi vanhentuneiden salausalgoritmien käytöstä.

Tunnistettujen teknisten haavoittuvuuksien ensikäsittely

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kehitys ja digipalvelut
Teknisten haavoittuvuuksien hallinta
26
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
12.6.1: Teknisten haavoittuvuuksien hallinta
ISO 27001
ID.RA-1: Asset vulnerabilities
NIST
PR.IP-12: Vulnerability management plan
NIST
RS.AN-5: Vulnerability management process
NIST
RS.MI-3: New vulnerability mitigation
NIST
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tunnistettujen teknisten haavoittuvuuksien ensikäsittely
1. Tehtävän vaatimuskuvaus

Olemme määritelleet säännöt , joiden perusteella tunnistettuun haavoittuvuuteen reagoidaan. Säännöt voivat sisältää mm. seuraavat asiat:

  • ketkä kuuluvat quick-response tiimiin, joka on valmiina reagoimaan haavoittuvuuksiin
  • haavoittuvuuden paikallistava henkilö tiedottaa välittömästi koko tiimia sovittua kanavaa myöten
  • tiimi määrittää haavoittuvuudelle vakavuuden (matala, keskiverto, korkea) ennaltamääriteltyjen kriteerien perusteella
  • tiimi päättää, jatketaanko käsittelyä tietoturvahäiriönä (kiireellisemmin) vai yleisen muutostenhallinnan mukaisesti
  • haavoittuvuuden käsittelyä jatkamaan valitaan tarvittavat henkilöt

Riskialttiisiin järjestelmiin liittyvät haavoittuvuudet saavat aina korkean vakavuuden ja ne käsitellään ensimmäisinä.

Säännöllinen tunkeutumistestaus

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kehitys ja digipalvelut
Teknisten haavoittuvuuksien hallinta
28
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
12.6.1: Teknisten haavoittuvuuksien hallinta
ISO 27001
14.2.8: Järjestelmän turvallisuustestaus
ISO 27001
18.2.3: Teknisen vaatimustenmukaisuuden katselmointi
ISO 27001
DE.CM-8: Vulnerability scans
NIST
5.36: Tietoturvallisuutta koskevien toimintaperiaatteiden, sääntöjen ja standardien noudattaminen
ISO 27001
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Säännöllinen tunkeutumistestaus
1. Tehtävän vaatimuskuvaus

Staattiset skannaukset koodiin ovat ensimmäinen askel riskialttiiden haavoittuvuuksien havaitsemiseksi. Kun palvelu on otettu käyttöön, se kuitenkin altistuu uudenlaisille hyökkäyksille (esim. cross-site scripting tai tunnistautumisen ongelmat). Näitä voidaan pyrkiä tunnistamaan tunkteutumistestauksella.

Haavoittuvuuksien hallintaprosessin säännöllinen seuranta

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kehitys ja digipalvelut
Teknisten haavoittuvuuksien hallinta
23
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
12.6.1: Teknisten haavoittuvuuksien hallinta
ISO 27001
ID.RA-1: Asset vulnerabilities
NIST
PR.IP-12: Vulnerability management plan
NIST
TEK-19: Ohjelmistohaavoittuvuuksien hallinta
Julkri
8.8: Teknisten haavoittuvuuksien hallinta
ISO 27001
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Haavoittuvuuksien hallintaprosessin säännöllinen seuranta
1. Tehtävän vaatimuskuvaus

Teknisten haavoittuvuuksien hallintaprosessia seurataan ja arvioidaan säännöllisesti, jotta voidaan varmistaa sen tehokkuus ja vaikuttavuus.

Politiikkaan sisältyviä tietoturvatehtäviä

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset
No items found.

Autamme täyttämään vaatimukset tehokkaasti Universal cyber compliance language -teknologialla

Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.

Tietoturvakehikoilla on yleensä yhteinen ydin. Kaikki kehikot kattavat perusaiheita, kuten riskienhallinnan, varmuuskopioinnin, haittaohjelmat, henkilöstön tietoisuuden tai käyttöoikeuksien hallinnan omissa osioissaan.
Digiturvamallin "universal cyber compliance language" -teknologia luo teille yksittäisen suunnitelman ja varmistaa, että kehikkojen yhteiset osat tehdään vain kerran. Te voitte keskittyä suunnitelman toteuttamiseen, me automatisoimme compliance-osan - nykyisiä ja tulevia vaatimuksia päin.
Aloita ilmainen kokeilu
Tutustu Digiturvamalliin
Aloita ilmainen kokeilu
Digiturvamallin avulla rakennat tietoturvallisen ja halutut vaatimukset täyttävän organisaation. Halusitko kehittää tietoturvan hallintaa yleisesti, raportoida omasta NIS2-valmiudesta tai hankkia ISO 27001 -sertifioinnin, Digiturvamalli yksinkertaistaa koko prosessia.
AI-pohjaiset parannussuositukset ja käyttäjäystävällinen työkalu varmistavat, että organisaationne voi olla luottavainen vaatimusten täyttymisestä ja keskittyä oman tietoturvan jatkuvaan parantamiseen.
Selkeä suunnitelma vaatimusten täyttämiseen
Aktivoi teille tärkeät vaatimuskehikot ja jalkauta niiden vaatimukset täyttäviä selkeitä toimenpiteitä.
Uskottavat raportit todisteiksi hyvästä tietoturvasta
Etene tehtävien avulla varmistaaksesi turvallisen toiminnan. Luo ammattimaisia ​​raportteja muutamalla napsautuksella.
AI-avusteiset parannussuositukset
Keskity vaikuttavimpiin parannuksiin Digiturvamallin suositusten avulla.

Aloita jo tänään

Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.

Ilmainen 14 päivän kokeilu
Varaa palaveri

Tutustu tiimiimme

Tiimillämme on vankka osaaminen tietourvasta, ohjelmistokehityksestä, tietosuojasta sekä compliancesta.

Lähde mukaan kumppaniksi? 

Kumppanoidumme mielellään muiden alan osaajien kanssa. Varaa palaveri, niin keskustellaan asiasta lisää.
EtusivuHinnastoAsiakkaatTiimiTietoturvaVaraa demoVaraa palaveriKirjauduKokeile
Kuinka se toimii?
YhteenvetoTietoturvatehtävät ja toteutusDokumennoin työkalutHenkilöstön digiturvaohjeetAutomatisoitu raportointi
Käyttötavat
Kehikon mukaanKaikki vaatimuskehikotISO 27001TiedonhallintalakiNIS2-direktiiviNIST CSFCSA CCMISO 27701GDPR, Tietosuoja-asetusISO 27017ISO 27018
Teeman mukaanTietoturvariskien hallintaHenkilöstön tietoisuusCompliance-raportointiHallintakeinojen toteutusSuojattavan omaisuuden hallintaDynaamiset politiikkadokumentitTietosuojan hallinta
Resurssit
AkatemiaWebinaaritTilaa uutiskirjeOhjekeskusBlogiVideokurssitViikon digiturvauutisetKäyttöehdotTietosuojaselosteetSisältöpankki: ISO 27001Sisältöpankki: GDPRSisältöpankki: KatakriSisältöpankki: TiedonhallintalakiLabs
Ota yhteyttä
+358 10 231 6010
tiimi@digiturvamalli.fi
Labs
Tarjolla kielillä:
Digiturvamalli tunnetaan kansainvälisesti nimellä Cyberday
© Cyberday Oy, Kalevantie 2 33100 Tampere, Suomi
Digiturvamalli.fi - Moderni alusta tietoturvan hallintaan ja sertifiointiin