Sisältökirjasto
Norm for informasjonssikkerhet
5.4.1: Konfigurasjonskontroll
Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Norge)
5.4.1

Konfigurasjonskontroll

Aloita ilmainen kokeilu

Vaatimuksen kuvaus

Det er en forutsetning at virksomheten har oversikt over dataflyt, datakommunikasjon og integrasjoner og kontroll på alt eget utstyr og programvare som benyttes i behandlingen av helse- og personopplysninger. Dette gjelder også utstyr ved avdelingskontor og hjemmekontor og mobilt utstyr.

Følgende skal ivaretas:

  • konfigurasjonen skal sikre at utstyret og programvaren kun utfører de funksjonene som er formålsbestemt
  • virksomheten skal sørge for at all dataflyt, datakommunikasjon og integrasjoner kartlegges og dokumenteres.
  • kun godkjent utstyr og programvare skal benyttes til behandling av helse- og personopplysninger. Virksomheten skal fastsette hvem som har godkjenningsmyndighet.
  • maskin- og programvare skal oppdateres slik at den nyeste og mest tidsaktuelle sikkerhetsfunksjonaliteten følger med og nødvendige sikringstiltak benyttes. Oppdateringer bør verifiseres og testes før oppdateringen gjennomføres. Verifisering og testing skal dokumenteres som ledd i virksomhetens endringsstyring (se kap. 5.4.2).
  • planlagte endringer skal følge virksomhetens rutine for konfigurasjonsendringer.
  • det skal benyttes separate miljøer for utvikling, test og produksjon slik at helse- og personopplysninger som benyttes ved ytelse av helsehjelp, ikke blir påvirket ved feil i utvikling og test.
  • konfigurasjonen av utstyr og programvare skal jevnlig sjekkes slik at den kun utfører formålsbestemte funksjoner.
  • konfigurasjonen skal beskyttes mot skadelig programvare
  • konfigurasjonen skal beskyttes mot utilsiktede handlinger.

Konfigurasjonsendringer, dvs. endringer i utstyr eller programvare, skal ikke settes i drift før følgende tiltak er gjennomført:

  • risikovurdering som viser at risiko er akseptabel
  • test som sikrer at forventede funksjoner er ivaretatt
  • implementering som sikrer mot uforutsette hendelser
  • ny konfigurasjon er dokumentert
  • konfigurasjonsendringer er godkjent av virksomhetens leder eller den ledelsen bemyndiger

Konfigurasjonskontroll skal reguleres gjennom avtale ved

  • bruk av databehandler.
  • bruk av fjernaksess for vedlikehold og oppdateringer. Fjernaksess skal kun gjøres over kanaler virksomheten har kontroll med.

Kuinka täyttää vaatimus

Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Norge)

5.4.1: Konfigurasjonskontroll

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset

Haittaohjelmien havaitsemis- ja korjausohjelmien valinta ja käyttö kaikissa laitteissa

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tekninen tietoturva
Haittaohjelmilta suojautuminen
68
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Članak 30.1.b (logs): Postupanje s incidentima, uključujući njihovo praćenje, evidentiranje i prijavljivanje
NIS2 Croatia
9.9a §: Poikkeamien havainnointi
Kyberturvallisuuslaki
5.2.3: Malware protection
TISAX
30 § 3.2° (détection et journaux): La gestion des incidents
NIS2 Belgium
3.1.3: Use automated and centralised tools to handle known threats
NSM ICT-SP
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Haittaohjelmien havaitsemis- ja korjausohjelmien valinta ja käyttö kaikissa laitteissa
1. Tehtävän vaatimuskuvaus

Valitaan ja asennetaan haittaohjelmien havaitsemis- ja korjausohjelmat keskitetysti ja päivitetään ne säännöllisesti tietokoneiden ja tietovälineiden ennaltaehkäisevää tai säännöllistä tutkimista varten.

Ohjelmien tulisi tarkastaa ainakin seuraavat asiat:

  • verkon tai tallennusvälineen kautta saapuneet tiedostot tarkistetaan haittaohjelmien varalta ennen käyttöä
  • sähköpostiliitteet ja ladatut tiedostot tarkistetaan haittaohjelmien varalta ennen käyttöä
  • verkkosivustot tarkistetaan haittaohjelmien varalta

Konfiguraatiohallinnan virallinen sääntely ulkoisten osapuolten kanssa toimittaessa

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tekninen tietoturva
Verkon turvallisuus
1
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
5.4.1: Konfigurasjonskontroll
Norm for informasjonssikkerhet
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Konfiguraatiohallinnan virallinen sääntely ulkoisten osapuolten kanssa toimittaessa
1. Tehtävän vaatimuskuvaus

Konfiguroinnin valvontaa olisi säänneltävä virallisesti silloin, kun ulkoiset osapuolet osallistuvat terveys- tai henkilötietoja käsittelevien järjestelmien konfigurointiin, ylläpitoon tai päivittämiseen. Tämä olisi toteutettava kirjallisilla sopimuksilla tietojen käsittelijöiden ja kaikkien etähuoltoa suorittavien osapuolten kanssa. Sopimuksessa olisi määriteltävä, miten laitteiden ja ohjelmistojen kokoonpanomuutoksia pyydetään, hyväksytään, toteutetaan, dokumentoidaan ja todennetaan.

Järjestelmien hankintaa ja valintaa koskevat yleiset säännöt

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Järjestelmien hankinta
54
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Članak 30.1.e: Sigurnost u nabavi, razvoju i održavanju mrežnih i informacijskih sustava
NIS2 Croatia
4.2: Tietojärjestelmien hankinnat
TiHL tietoturvavaatimukset
9.3 §: Tietojärjestelmien hankinta ja kehittäminen
Kyberturvallisuuslaki
5.3.1: Information Security in new systems
TISAX
13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus
TiHL
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Järjestelmien hankintaa ja valintaa koskevat yleiset säännöt
1. Tehtävän vaatimuskuvaus

Aina hankittaessa uusia tietojärjestelmiä noudatetaan ennalta määriteltyä hankintaprosessia ja -sääntöjä. Sääntöjen avulla varmistetaan, että toimittaja pystyy takaamaan riittävän turvallisuustason järjestelmän tärkeys huomioiden.

Tuotanto-, testaus- ja kehitysympäristöjen erottaminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kehitys ja digipalvelut
Turvallinen kehittäminen
57
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Članak 30.1.e: Sigurnost u nabavi, razvoju i održavanju mrežnih i informacijskih sustava
NIS2 Croatia
9.3 §: Tietojärjestelmien hankinta ja kehittäminen
Kyberturvallisuuslaki
5.2.2: Seperation of testing and development environments
TISAX
30 § 3.5°: L'acquisition, du développement et de la maintenance des réseaux et des systèmes d'information
NIS2 Belgium
2.1.6: Use separate environments for development, test and production
NSM ICT-SP
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tuotanto-, testaus- ja kehitysympäristöjen erottaminen
1. Tehtävän vaatimuskuvaus

Kehitettävänä, testauksessa ja tuotannossa olevia ohjelmistoja ajetaan eriytetyissä teknisissä ympäristöissä, jotta kehitystyön laatu voidaan varmistaa tuotantoympäristöä mukailevassa ympäristössä ja toisaalta tuotantoympäristöä ei häiritä keskeneräisellä kehityksellä.

Käyttäjien arkaluonteisia tai henkilökohtaisia tietoja ei kopioida ja käytetä kehitysympäristössä.

Kartoita työprosessien, käyttäjien, laitteiden ja palveluiden välinen tiedonkulku

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Tietojärjestelmien hallinta
6
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
1.1.6: Identify information processing and data flow
NSM ICT-SP
3.8: Document Data Flows
CIS 18
5.9: Inventarisatie van informatie en andere gerelateerde activa
NEN 7510
§ 3.1.12: Systemövervakning
MSBFS 2020:7
§ 16: Fortegnelse over fysiske og digitale informationsstrømme
Energisektor beredskabsbekendtgørelse
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Kartoita työprosessien, käyttäjien, laitteiden ja palveluiden välinen tiedonkulku
1. Tehtävän vaatimuskuvaus

Kartoita työprosessien, käyttäjien, laitteiden ja palvelujen välinen tiedonkulku. Tämä kartoitus auttaa organisaatiota ymmärtämään tiedonkulkua paremmin.

Vakiomallien määrittäminen turvallisille konfiguraatioille

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tekninen tietoturva
Verkon turvallisuus
26
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
8.9: Konfiguraationhallinta
ISO 27001
ASSET-3: Manage IT and OT Asset Configuration
C2M2
CC7.1: Procedures for monitoring changes to configurations
SOC 2
1.2.4: Definition of responsibilities with service providers
TISAX
5.3.2: Network device requirements
TISAX
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Vakiomallien määrittäminen turvallisille konfiguraatioille
1. Tehtävän vaatimuskuvaus

Organisaation tulee pystyä valvomaan, että laitteita, tietojärjestelmiä sekä verkkoja ylläpidetään määriteltyjen konfiguraatioiden (ml. turvallisuusominaisuudet) mukaisina sekä käyttöönottovaiheessa että koko elinkaarensa ajan.

Tätä varten organisaatio on määritellyt vakiomallit laitteiden, tietojärjestelmien sekä verkkojen turvallisille konfiguraatioille. Vakiomalleja määritettäessä huomioidaan:

  • julkisesti saatavilla olevia ohjeita (esim. mallit toimittajilta ja riippumattomilta turvallisuusorganisaatioilta)
  • eri omaisuudelta tarvittava suojataso
  • liittyvien tietoturvavaatiusten täyttäminen
  • konfiguraatioiden toteutettavuus ja soveltuvuus organisaation toimintaan

Vakiomallit tulee tarkistaa säännöllisesti ja päivittää, kun merkittäviin uusiin uhkiin tai haavoittuvuuksiin on reagoitava tai uusia ohjelmisto- tai laiteversioita julkaistaan.

Seuraavat seikat tulee ottaa huomioon vakiomalleja määriteltäessä:

  • pääkäyttäjätason oikeuksien määrä minimoidaan
  • tarpeettomat käyttöoikeudet poistetaan käytöstä
  • tarpeettomat toiminnot ja palvelut poistetaan käytöstä
  • pääsyä tehokkaisiin apuohjelmiin ja tärkeisiin asetuksiin valvotaan tarkasti
  • kellot synkronoidaan
  • toimittajan oletussalasanat muutetaan välittömästi ja turvallisuuteen liittyvät asetukset tarkistetaan
  • aikakatkaisutoimintoja käytetään tarvittaessa (esim. automaattinen uloskirjautuminen)
  • lisenssivaatimuksia noudatetaan

Konfiguraatioiden hallinta ja muutosloki

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tekninen tietoturva
Verkon turvallisuus
22
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
8.9: Konfiguraationhallinta
ISO 27001
CC7.1: Procedures for monitoring changes to configurations
SOC 2
1.2.4: Definition of responsibilities with service providers
TISAX
PR.IP-3: Configuration change control processes are in place.
CyberFundamentals
DE.CM-7: Monitoring for unauthorized personnel, connections, devices, and software is performed.
CyberFundamentals
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Konfiguraatioiden hallinta ja muutosloki
1. Tehtävän vaatimuskuvaus

Laitteiden, tietojärjestelmien ja verkkojen nykyiset kokoonpanot dokumentoidaan ja kokoonpanomuutoksista pidetään kirjaa.

Konfiguraatioiden muutoksia on valvottava, ja ne on tehtävä muutostenhallintamenettelyn kautta. Vain valtuutettu henkilöstö saa tehdä muutoksia konfiguraatioihin.

Konfiguraatiotietoihin voi sisältyä esim. seuraavat tiedot:

  • kiinteistön omistajan ja yhteyshenkilön tiedot
  • viimeisimmän konfiguraatiomuutoksen päivämäärä
  • konfiguraatiomallin versio
  • yhteydet muihin omaisuuseriin

Haavoittuvuuksia havaitsevien suojausjärjestelmien ylläpito ja päivitykset

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Päivitysten ja korjausten hallinta
7
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
6.10.1: Vulnerability management process
NIS2 Opas
6.9: Protection against malicious and unauthorised software
NIS2 Opas
15. §: Sebezhetőségi értékelési szabványok és javítási tervek
NIS2 Hungary
5.4.5: Styrig og håndtering av tekniske sårbarheter
Norm for informasjonssikkerhet
5.4.1: Konfigurasjonskontroll
Norm for informasjonssikkerhet
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Haavoittuvuuksia havaitsevien suojausjärjestelmien ylläpito ja päivitykset
1. Tehtävän vaatimuskuvaus

Organisaation on varmistettava, että haavoittuvuuksia havaitsevat suojausjärjestelmät sekä niissä mahdollisesti hyödennetyt avaintiedot (esim. threat signaturet) päivitetään vähintään viikottain.

Päivityksissä tulisi kiinnittää huomiota automaation mahdollistamiseen sekä valvontaan, jonka kautta puutteellinen toiminta havaitaan.

Muutostenhallintamenettely tietojenkäsittelypalveluihin tehtäville merkittäville muutoksille

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kehitys ja digipalvelut
Turvallinen kehittäminen
59
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Članak 30.1.e: Sigurnost u nabavi, razvoju i održavanju mrežnih i informacijskih sustava
NIS2 Croatia
9.3 §: Tietojärjestelmien hankinta ja kehittäminen
Kyberturvallisuuslaki
5.2.1: Change management
TISAX
5.3.1: Information Security in new systems
TISAX
30 § 3.5°: L'acquisition, du développement et de la maintenance des réseaux et des systèmes d'information
NIS2 Belgium
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Muutostenhallintamenettely tietojenkäsittelypalveluihin tehtäville merkittäville muutoksille
1. Tehtävän vaatimuskuvaus

Riittämätön muutosten hallinta on yleinen syy tietojenkäsittelypalvelujen toiminta- ja turvallisuushäiriöille.

Organisaation on dokumentoitava muutostenhallintaprosessi, jota on noudatettava aina tehtäessä merkittäviä tietoturvallisuuten vaikuttavia muutoksia itse kehitettyihin digipalveluihin tai muihin tietojenkäsittelypalveluihin. Prosessi sisältää vaatimukset mm. seuraaville asioille:

  • muutoksen määrittely ja dokumentointi
  • riskien arviointi ja tarvittavien hallintakeinojen määrittely
  • muutoksen muu vaikutusten arviointi
  • testaus ja laadunvarmistus
  • muutoksen julkaisun hallittu toteutus
  • muutoslokin päivittäminen

Konfiguraatioiden valvonta

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tekninen tietoturva
Verkon turvallisuus
16
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
8.9: Konfiguraationhallinta
ISO 27001
1.2.4: Definition of responsibilities with service providers
TISAX
DE.CM-7: Monitoring for unauthorized personnel, connections, devices, and software is performed.
CyberFundamentals
2.3.4: Establish and maintain standard security configurations
NSM ICT-SP
2.3.5: Verify that activated security configurations comply with the organisation’s approved security configurations
NSM ICT-SP
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Konfiguraatioiden valvonta
1. Tehtävän vaatimuskuvaus

Konfiguraatioita olisi valvottava kattavilla järjestelmänhallintatyökaluilla (esim. ylläpito-apuohjelmat, etätuki, yrityksen hallintatyökalut, varmuuskopiointi- ja palautusohjelmistot), ja ne olisi tarkistettava säännöllisesti asetusten, salasanojen vahvuuden ja suoritettujen toimintojen arvioimiseksi. Todellisia kokoonpanoja voidaan verrata määriteltyihin tavoitemalleihin. Mahdolliset poikkeamat on käsiteltävä joko automaattisesti tai manuaalisesti.

Kaikki luvattomat muutokset on korjattava ja niiden syyt on selvitettävä ja niistä on ilmoitettava.

Politiikkaan sisältyviä tietoturvatehtäviä

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset
No items found.

Autamme täyttämään vaatimukset tehokkaasti Universal cyber compliance language -teknologialla

Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.

Tietoturvakehikoilla on yleensä yhteinen ydin. Kaikki kehikot kattavat perusaiheita, kuten riskienhallinnan, varmuuskopioinnin, haittaohjelmat, henkilöstön tietoisuuden tai käyttöoikeuksien hallinnan omissa osioissaan.
Digiturvamallin "universal cyber compliance language" -teknologia luo teille yksittäisen suunnitelman ja varmistaa, että kehikkojen yhteiset osat tehdään vain kerran. Te voitte keskittyä suunnitelman toteuttamiseen, me automatisoimme compliance-osan - nykyisiä ja tulevia vaatimuksia päin.
Aloita ilmainen kokeilu
Tutustu Digiturvamalliin
Aloita ilmainen kokeilu
Digiturvamallin avulla rakennat tietoturvallisen ja halutut vaatimukset täyttävän organisaation. Halusitko kehittää tietoturvan hallintaa yleisesti, raportoida omasta NIS2-valmiudesta tai hankkia ISO 27001 -sertifioinnin, Digiturvamalli yksinkertaistaa koko prosessia.
AI-pohjaiset parannussuositukset ja käyttäjäystävällinen työkalu varmistavat, että organisaationne voi olla luottavainen vaatimusten täyttymisestä ja keskittyä oman tietoturvan jatkuvaan parantamiseen.
Selkeä suunnitelma vaatimusten täyttämiseen
Aktivoi teille tärkeät vaatimuskehikot ja jalkauta niiden vaatimukset täyttäviä selkeitä toimenpiteitä.
Uskottavat raportit todisteiksi hyvästä tietoturvasta
Etene tehtävien avulla varmistaaksesi turvallisen toiminnan. Luo ammattimaisia ​​raportteja muutamalla napsautuksella.
AI-avusteiset parannussuositukset
Keskity vaikuttavimpiin parannuksiin Digiturvamallin suositusten avulla.

Aloita jo tänään

Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.

Ilmainen 14 päivän kokeilu
Varaa palaveri
EtusivuHinnastoAsiakkaatTiimiTietoturvaVaraa demoVaraa palaveriKirjauduKokeile
Kuinka se toimii?
YhteenvetoTietoturvatehtävät ja toteutusDokumennoin työkalutHenkilöstön digiturvaohjeetAutomatisoitu raportointi
Käyttötavat
Kehikon mukaanKaikki vaatimuskehikotISO 27001TiedonhallintalakiNIS2-direktiiviNIST CSFCSA CCMISO 27701GDPR, Tietosuoja-asetusISO 27017ISO 27018
Teeman mukaanTietoturvariskien hallintaHenkilöstön tietoisuusCompliance-raportointiHallintakeinojen toteutusSuojattavan omaisuuden hallintaDynaamiset politiikkadokumentitTietosuojan hallinta
Resurssit
AkatemiaWebinaaritTilaa uutiskirjeOhjekeskusBlogiTrust centerVideokurssitViikon digiturvauutisetKäyttöehdotTietosuojaselosteetSisältöpankki: ISO 27001Sisältöpankki: GDPRSisältöpankki: KatakriSisältöpankki: TiedonhallintalakiLabs
Ota yhteyttä
+358 10 231 6010
tiimi@digiturvamalli.fi
Labs
Tarjolla kielillä:
Digiturvamalli tunnetaan kansainvälisesti nimellä Cyberday
© Cyberday Oy, Kalevantie 2 33100 Tampere, Suomi
Digiturvamalli.fi - Moderni alusta tietoturvan hallintaan ja sertifiointiin