Sisältökirjasto
NIS2 Guide Lithuania
40: Saugumas įsigyjant, kuriant ir prižiūrint
Kibernetinio saugumo reikalavimų aprašas (įsk. Nacionalinį kibernetinių incidentų valdymo planą) (Lietuva)
40

Saugumas įsigyjant, kuriant ir prižiūrint

Aloita ilmainen kokeilu

Vaatimuksen kuvaus

Kibernetinio saugumo subjekto vadovas arba jo įgaliotas asmuo turi nustatyti tinklų ir informacinių sistemų įsigijimo, plėtojimo ir priežiūros saugumo užtikrinimo tvarką, kuri apimtų:

  1. tinklų ir informacinių sistemų įsigijimo ir diegimo reikalavimus;
  2. saugumo sistemų, skirtų tinklams ir informacinėms sistemoms nuo kenkimo programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir pan.) apsaugoti, naudojimo nuostatas ir atnaujinimo reikalavimus;
  3. kompiuterių tinklo filtravimo įrangos (saugasienių, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kita) pagrindines naudojimo nuostatas;
  4. duomenų perdavimo tinklo saugumo užtikrinimo priemones;
  5. elektroninio pašto saugaus naudojimo nuostatas;
  6. leistinos programinės įrangos sąrašo tvirtinimo, peržiūrėjimo reguliarumo ne rečiau kaip kartą per metus ir atnaujinimo nuostatas;
  7. kitas priemones, naudojamas kibernetiniam saugumui užtikrinti.

Kuinka täyttää vaatimus

Kibernetinio saugumo reikalavimų aprašas (įsk. Nacionalinį kibernetinių incidentų valdymo planą) (Lietuva)

40: Saugumas įsigyjant, kuriant ir prižiūrint

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset

Turvallisen verkkotiedonsiirron varmistavat säännöt

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tietoaineistojen hallinta
Tietoaineistojen hallinta
9
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
5.1.2: Information transfer
TISAX
PR.AA-04: Identity assertions
NIST 2.0
PR.DS-02: Data-in-transit is protected
NIST 2.0
Article 35: Data, system and network security
DORA simplified RMF
5.14: Overdracht van informatie
NEN 7510
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Turvallisen verkkotiedonsiirron varmistavat säännöt
1. Tehtävän vaatimuskuvaus

Organisaatio suojaa julkisten tai yksityisten verkkojen kautta siirrettyjä tietoja kolmansien osapuolten lukemiselta tai manipuloinnilta:

  • tunnistanut ja dokumentoinut tiedonsiirtoon käytettävät verkkopalvelut.
  • Määrittänyt verkkopalvelujen käyttöä koskevat käytännöt ja menettelyt luokitusvaatimusten mukaisesti.
  • Toteuttanut toimenpiteitä, joilla suojataan tosiasiallisesti siirrettyjä tietoja luvattomalta käytöltä.

Järjestelmien hankintaa ja valintaa koskevat yleiset säännöt

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Järjestelmien hankinta
50
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Članak 30.1.e: Sigurnost u nabavi, razvoju i održavanju mrežnih i informacijskih sustava
NIS2 Croatia
4.2: Tietojärjestelmien hankinnat
TiHL tietoturvavaatimukset
9.3 §: Tietojärjestelmien hankinta ja kehittäminen
Kyberturvallisuuslaki
5.3.1: Information Security in new systems
TISAX
13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Järjestelmien hankintaa ja valintaa koskevat yleiset säännöt
1. Tehtävän vaatimuskuvaus

Aina hankittaessa uusia tietojärjestelmiä noudatetaan ennalta määriteltyä hankintaprosessia ja -sääntöjä. Sääntöjen avulla varmistetaan, että toimittaja pystyy takaamaan riittävän turvallisuustason järjestelmän tärkeys huomioiden.

Prosessi teknisten haavoittuvuuksien käsittelyyn

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kehitys ja digipalvelut
Teknisten haavoittuvuuksien hallinta
57
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
12.6.1: Teknisten haavoittuvuuksien hallinta
ISO 27001
14.2.1: Turvallisen kehittämisen politiikka
ISO 27001
ID.RA-1: Asset vulnerabilities
NIST
PR.IP-12: Vulnerability management plan
NIST
RS.AN-5: Vulnerability management process
NIST
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Prosessi teknisten haavoittuvuuksien käsittelyyn
1. Tehtävän vaatimuskuvaus

Organisaatio on määritelly prosessin, jonka perusteella tunnistetut tekniset haavoittuvuudet käsitellään.

Osa haavoittuvuuksista voidaan korjata suoraan, mutta merkittäviä vaikutuksia omaavat haavoittuvuudet tulisi dokumentoida myös tietoturvahäiriöinä. Merkittäviä vaikutuksia omaavan haavoituvuuden tunnistamisen jälkeen:

  • yksilöidään haavoittuvuuteen liittyvät riskit ja tarvittavat toimenpiteet (esim. järjestelmän paikkaus tai muut hallintatehtävät)
  • aikataulutetaan tarvittavat toimenpiteet
  • dokumentoidaan kaikki toimenpiteet

Varmistetaan täysin tuettujen selainten ja sähköpostiohjelmien käyttö

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tekninen tietoturva
Suojausjärjestelmät ja valvonta
3
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
9.1: Ensure Use of Only Fully Supported Browsers and Email Clients
CIS 18
41: Programinės įrangos diegimo apribojimai
NIS2 Guide Lithuania
40: Saugumas įsigyjant, kuriant ir prižiūrint
NIS2 Guide Lithuania
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Varmistetaan täysin tuettujen selainten ja sähköpostiohjelmien käyttö
1. Tehtävän vaatimuskuvaus

Organisaatio laatii valkolistan hyväksytyille selaimille ja sähköpostiohjelmille, käyttää automaattista versionhallintaa sekä säännöllisiä vaatimustenmukaisuuden tarkistuksia varmistaakseen, että ohjelmistojen käyttö on ajantasaista ja sallittua, ja ottaa käyttöön keskitetyn IT-hallinnan asennusten rajoittamiseksi.

Hyväksyttyjen ohjelmistojen hallintaprosessi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Tietojärjestelmien hallinta
10
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
1.3.4: Use of approved software
TISAX
PR.PS-02: Software management
NIST 2.0
PR.PS-06: Secure software development practices
NIST 2.0
2.1: Establish and Maintain a Software Inventory
CIS 18
2.2: Ensure Authorized Software is Currently Supported
CIS 18
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Hyväksyttyjen ohjelmistojen hallintaprosessi
1. Tehtävän vaatimuskuvaus

Organisaation tulisi:

  • Tunnistaa ja luetella hallinnoitavat ohjelmistotyypit, mukaan lukien laiteohjelmistot, käyttöjärjestelmät, sovellukset, kirjastot ja laiteajurit.
  • Varmistaa, että hallinnoitavien ohjelmistojen arkistoja luodaan ja ylläpidetään.
  • Toteuttaa turvatoimet, joilla suojataan ohjelmistovarastot luvattomalta käytöltä ja manipuloinnilta.
  • Suorittaa säännöllisiä tarkistuksia varmistaakseen, että kaikki käytössä olevat ohjelmistot pysyvät hyväksyttyinä ja täyttävät organisaation turvallisuus- ja toimintastandardit.
  • Pidä päivitettyä rekisteriä kaikista ohjelmistoversioista ja niiden korjaustasoista sen varmistamiseksi, että kaikki ohjelmistot ovat ajan tasalla ja turvallisia.


Tietojärjestelmien kehittämistä ja hankintaa koskevat turvallisuussäännöt

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Järjestelmien hankinta
59
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Članak 30.1.e: Sigurnost u nabavi, razvoju i održavanju mrežnih i informacijskih sustava
NIS2 Croatia
4.2: Tietojärjestelmien hankinnat
TiHL tietoturvavaatimukset
9.3 §: Tietojärjestelmien hankinta ja kehittäminen
Kyberturvallisuuslaki
5.3.1: Information Security in new systems
TISAX
13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietojärjestelmien kehittämistä ja hankintaa koskevat turvallisuussäännöt
1. Tehtävän vaatimuskuvaus

Aina hankittaessa tai kehitettäessä uusia tietojärjestelmiä noudatetaan ennalta määritettyjä turvallisuussääntöjä huomioiden järjestelmän prioriteetti. Sääntöjen avulla varmistetaan, että tietojen käsittelyn turvallisuus järjestelmässä on varmistettu riittävin toimenpitein.

Suodatus- ja valvontajärjestelmien hallinnointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tekninen tietoturva
Verkon turvallisuus
32
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
I03: Suodatus- ja valvontajärjestelmien hallinnointi
Katakri
TEK-03: Suodatus- ja valvontajärjestelmien hallinnointi
Julkri
TEK-03.1: Suodatus- ja valvontajärjestelmien hallinnointi - vastuutus ja organisointi
Julkri
TEK-03.2: Suodatus- ja valvontajärjestelmien hallinnointi - dokumentointi
Julkri
TEK-03.3: Suodatus- ja valvontajärjestelmien hallinnointi - tarkastukset
Julkri
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Suodatus- ja valvontajärjestelmien hallinnointi
1. Tehtävän vaatimuskuvaus

Liikenteen suodatus- ja valvontajärjestelmiä ovat esimerkiksi palomuurit, reitittimet, tunkeutumisia havaitsevat tai estävät järjestelmät (IDS/IPS) sekä vastaavia toiminnallisuuksia sisältävät verkkolaitteet/palvelimet/sovellukset.

Suodatuksen ja valvonnan toiminnan varmistamiseksi:

  • Järjestelmille on nimetty omistaja, joka huolehtii järjestelmän tarkoituksenmukaisesta toiminnasta huolehditaan koko tietojenkäsittely-ympäristön elinkaaren ajan
  • Liikennettä suodattavien tai valvovien järjestelmien asetusten lisääminen, muuttaminen ja poistaminen on vastuutettu järjestelmän omistajalle
  • Verkon ja siihen liittyvien suodatus- ja valvontajärjestelmien dokumentaatiota ylläpidetään sen elinkaaren aikana erottamattomana osana muutosten ja asetusten hallintaprosessia
  • Järjestelmien asetukset ja haluttu toiminta tarkastetaan määräajoin tietojenkäsittely-ympäristön toiminnan ja huollon aikana sekä poikkeuksellisten tilanteiden ilmetessä

Järjestelmäkuvauksen vaatiminen hankittavien tärkeiden tietojärjestelmien toimittajilta

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Järjestelmien hankinta
36
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
HAL-16: Hankintojen turvallisuus
Julkri
21.2.e: Secure system acquisition and development
NIS2
2.1.1: Include security in the organisation’s procurement process
NSM ICT-SP
2.1.10: Review the service provider’s security when outsourcing
NSM ICT-SP
30 § 3.5°: L'acquisition, du développement et de la maintenance des réseaux et des systèmes d'information
NIS2 Belgium
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Järjestelmäkuvauksen vaatiminen hankittavien tärkeiden tietojärjestelmien toimittajilta
1. Tehtävän vaatimuskuvaus

Organisaation on varmistettava jo ennakolta, että hankittavat tietojärjestelmät ovat tietoturvallisia. Tämän varmistamiseksi tärkeä hankittavan tietojärjestelmän toimittajalta on vaadittava riittäviä turvallisuuteen liittyviä selvityksiä jo hankintavaiheessa.

Toimittajan tulee selvittää vähintään seuraavat:

  • Palvelusta on järjestelmäkuvaus. Palveluntarjoajan kuvauksen perusteella on pystyttävä arvioimaan kyseisen palvelun yleistä soveltuvuutta kyseiseen asiakkaan käyttötapaukseen. Järjestelmäkuvauksesta tulee käydä ilmi vähintään
  • Palvelun palvelu- ja toteutusmallit, sekä näihin liittyvät palvelutasosopimukset (Service Level Agreements, SLAs).
  • Palvelun tarjoamisen elinkaaren (kehittäminen, käyttö, käytöstä poisto) periaatteet, menettelyt ja turvatoimet, valvontatoimet mukaan lukien.
  • Palvelun kehittämisessä, ylläpidossa/hallinnassa ja käytössä käytettävän infrastruktuurin, verkon ja järjestelmäkomponenttien kuvaus.
  • Muutostenhallinnan periaatteet ja käytännöt, erityisesti turvallisuuteen vaikuttavien muutosten käsittelyprosessit.
  • Käsittelyprosessit merkittäville normaalikäytöstä poikkeaville tapahtumille, esimerkiksi toimintatavat merkittävissä järjestelmävikaantumisissa.
  • Palvelun tarjoamiseen ja käyttöön liittyvät roolit ja vastuunjako asiakkaan ja palveluntarjoajan välillä. Kuvauksesta on käytävä selvästi esille ne toimet, jotka kuuluvat asiakkaan vastuulle palvelun turvallisuuden varmistamisessa. Palveluntarjoajan vastuisiin tulee sisältyä yhteistyövelvollisuus erityisesti poikkeamatilanteiden selvittelyssä.
  • Alihankkijoille siirretyt tai ulkoistetut toiminnot.

Politiikkaan sisältyviä tietoturvatehtäviä

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset
No items found.

Autamme täyttämään vaatimukset tehokkaasti Universal cyber compliance language -teknologialla

Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.

Tietoturvakehikoilla on yleensä yhteinen ydin. Kaikki kehikot kattavat perusaiheita, kuten riskienhallinnan, varmuuskopioinnin, haittaohjelmat, henkilöstön tietoisuuden tai käyttöoikeuksien hallinnan omissa osioissaan.
Digiturvamallin "universal cyber compliance language" -teknologia luo teille yksittäisen suunnitelman ja varmistaa, että kehikkojen yhteiset osat tehdään vain kerran. Te voitte keskittyä suunnitelman toteuttamiseen, me automatisoimme compliance-osan - nykyisiä ja tulevia vaatimuksia päin.
Aloita ilmainen kokeilu
Tutustu Digiturvamalliin
Aloita ilmainen kokeilu
Digiturvamallin avulla rakennat tietoturvallisen ja halutut vaatimukset täyttävän organisaation. Halusitko kehittää tietoturvan hallintaa yleisesti, raportoida omasta NIS2-valmiudesta tai hankkia ISO 27001 -sertifioinnin, Digiturvamalli yksinkertaistaa koko prosessia.
AI-pohjaiset parannussuositukset ja käyttäjäystävällinen työkalu varmistavat, että organisaationne voi olla luottavainen vaatimusten täyttymisestä ja keskittyä oman tietoturvan jatkuvaan parantamiseen.
Selkeä suunnitelma vaatimusten täyttämiseen
Aktivoi teille tärkeät vaatimuskehikot ja jalkauta niiden vaatimukset täyttäviä selkeitä toimenpiteitä.
Uskottavat raportit todisteiksi hyvästä tietoturvasta
Etene tehtävien avulla varmistaaksesi turvallisen toiminnan. Luo ammattimaisia ​​raportteja muutamalla napsautuksella.
AI-avusteiset parannussuositukset
Keskity vaikuttavimpiin parannuksiin Digiturvamallin suositusten avulla.

Aloita jo tänään

Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.

Ilmainen 14 päivän kokeilu
Varaa palaveri
EtusivuHinnastoAsiakkaatTiimiTietoturvaVaraa demoVaraa palaveriKirjauduKokeile
Kuinka se toimii?
YhteenvetoTietoturvatehtävät ja toteutusDokumennoin työkalutHenkilöstön digiturvaohjeetAutomatisoitu raportointi
Käyttötavat
Kehikon mukaanKaikki vaatimuskehikotISO 27001TiedonhallintalakiNIS2-direktiiviNIST CSFCSA CCMISO 27701GDPR, Tietosuoja-asetusISO 27017ISO 27018
Teeman mukaanTietoturvariskien hallintaHenkilöstön tietoisuusCompliance-raportointiHallintakeinojen toteutusSuojattavan omaisuuden hallintaDynaamiset politiikkadokumentitTietosuojan hallinta
Resurssit
AkatemiaWebinaaritTilaa uutiskirjeOhjekeskusBlogiTrust centerVideokurssitViikon digiturvauutisetKäyttöehdotTietosuojaselosteetSisältöpankki: ISO 27001Sisältöpankki: GDPRSisältöpankki: KatakriSisältöpankki: TiedonhallintalakiLabs
Ota yhteyttä
+358 10 231 6010
tiimi@digiturvamalli.fi
Labs
Tarjolla kielillä:
Digiturvamalli tunnetaan kansainvälisesti nimellä Cyberday
© Cyberday Oy, Kalevantie 2 33100 Tampere, Suomi
Digiturvamalli.fi - Moderni alusta tietoturvan hallintaan ja sertifiointiin