Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

12.2
ISO27 Täysi

ISO 27001 (2013): Täysi

12.2.1
ISO27 Täysi

ISO 27001 (2013): Täysi

21.2.b (logs)
NIS2

NIS2-direktiivi

3.1.3
NSM ICT-SP

NSM ICT Security Principles (Norway)

46
Kokonaiskuva (DVV)

Digiturvan kokonaiskuvapalvelu (DVV)

5.2.3
TISAX

TISAX: Information security

6.10
Tietoturvasuunnitelma

Tietoturvasuunnitelma (THL 3/2024)

6.5
Omavalvonta

Tietoturvan ja tietosuojan omavalvontasuunnitelma

8.7
ISO27k1 Täysi

ISO 27001 (2022): Täysi

9.9a §
KyberTL

Kyberturvallisuuslaki (NIS2)

CC6.8
SOC 2

SOC 2 (järjestelmät ja organisaation hallintakeinot)

DE.CM-4
NIST

NIST Cybersecurity Framework

DE.CM-4
CyFun

CyberFundamentals (Belgia)

I-09
Katakri 2020

Katakri 2020

I09
Katakri

Katakri 2015

MWP-01
Cyber Essentials

Cyber Essentials

TEK-11
Julkri

Julkri: TL IV-I

Muita saman teeman digiturvatehtäviä

Haittaohjelmajärjestelmän automaattinen päivittyminen ja ajaminen

Critical
High
Normal
Low

Haittaohjelmien suojaukseen käytetyt järjestelmät tarkistavat ja asentavat päivitykset automaattisesti halutuin väliajoin ja ajavat myös halutut tarkistukset valitulla frekvenssillä ilman käyttäjän toimia.

I09: Haittaohjelmasuojaus
Katakri
12.2.1: Haittaohjelmilta suojautuminen
ISO27 Täysi
12.2: Haittaohjelmilta suojautuminen
ISO27 Täysi
6.5: Tietojärjestelmien asennus, ylläpito ja päivitys
Omavalvonta
MWP-01: Keeping anti-malware software up to date
Cyber Essentials

Tietojärjestelmien ylläpito ja päivittäminen valmistajan ohjeiden mukaisesti

Critical
High
Normal
Low

Organisaation on varmistettava, että tietojärjestelmiä ylläpidetään ja päivitetään valmistajan ohjeiden mukaisesti.

6.5: Tietojärjestelmien asennus, ylläpito ja päivitys
Omavalvonta
6.10: Työasemien, mobiililaitteiden ja käyttöympäristön tukipalveluiden hallinta
Tietoturvasuunnitelma
6.6: Tietojärjestelmien asennus, ylläpito ja päivitys
Tietoturvasuunnitelma
Article 7: ICT systems, protocols and tools
DORA
4.1: Tietojärjestelmien tietoturvallisuus
TiHL: Tietoturva

Haavoittuvuuksia havaitsevien suojausjärjestelmien ylläpito ja päivitykset

Critical
High
Normal
Low

Organisaation on varmistettava, että haavoittuvuuksia havaitsevat suojausjärjestelmät sekä niissä mahdollisesti hyödennetyt avaintiedot (esim. threat signaturet) päivitetään vähintään viikottain.

Päivityksissä tulisi kiinnittää huomiota automaation mahdollistamiseen sekä valvontaan, jonka kautta puutteellinen toiminta havaitaan.

Lisensoitujen ohjelmien päivittäminen

Critical
High
Normal
Low

Organisaation täytyy pitää huolta, että lisensoidut ohjelmistot päivitetään 14 päivän kuluessa päivityksen julkaisusta ja silloin, kun:

  • Päivitys korjaa haavoittuvuuksia, jotka luokitellaan kriittiseksi tai korkean riskin haavoittuvuudeksi
  • toimittaja ei kerro yksityiskohtia korjattavan haavoittuvuuden vakavuudesta
SUM-02: Keeping licensed software up to date
Cyber Essentials
Article 9b: Prevention
DORA
2.1.8: Maintain the software code developed/used by the organisation
NSM ICT-SP

Avoimen lähdekoodin ohjelmistojen pitäminen ajan tasalla

Critical
High
Normal
Low

Organisaatioiden olisi säännöllisesti tarkistettava käytettyjen avoimien lähdekoodien uudet versiot. Ihannetapauksessa tämä prosessi on automatisoitu. Avoimen lähdekoodin uudet versiot voivat usein sisältää uusia turvatoimintoja, tietoturvakorjauksia jne.

2.1.8: Maintain the software code developed/used by the organisation
NSM ICT-SP

Continuous monitoring of acquired services

Critical
High
Normal
Low

All externally acquired products and services should be regularly checked for the need of acquiring patches, updates and or upgrades for software and hardware.

These revisions should be acquired only from trusted providers, as well as ensured that the maintenance is only performed by the approved supplier personnel and unauthorized changes are denied.

The provenance, authenticity and integrity of these products and services has to be also confirmed and required by organizational policies and kept intact.

Any compromises in security or need for patches should be reported to leaders and relevant parties promptly.

Hallintaprosessi hankittujen ohjelmistojen päivittämiseen

Critical
High
Normal
Low

Ohjelmistopäivityksiä varten olisi toteutettava hallintaprosessi, jotta voidaan varmistaa, että viimeisimmät hyväksytyt korjaustiedostot ja sovelluspäivitykset on asennettu kaikkiin hyväksyttyihin ohjelmistoihin. Ohjelmistojen aikaisemmat versiot olisi säilytettävä varotoimenpiteenä.

12.6.1: Teknisten haavoittuvuuksien hallinta
ISO27 Täysi
SUM: Security update management
Cyber Essentials
8.8: Teknisten haavoittuvuuksien hallinta
ISO27k1 Täysi
Article 9b: Prevention
DORA
PR.MA-1: Maintenance and repair of organizational assets are performed and logged, with approved and controlled tools.
CyFun

Korjaustiedostojen arviointi ja testaus ennen käyttöönottoa

Critical
High
Normal
Low

Haavoittuvuuden toteamisen jälkeen toimittajilla on usein merkittäviä paineita julkaista korjaustiedostot mahdollisimman pian. Tämän vuoksi on mahdollista, ettei korjaustiedosto välttämättä käsittele ongelmaa riittävästi ja sillä on haitallisia sivuvaikutuksia.

Korjaustiedostojen arvioinnissa huomioidaan mm. seuraavat asiat:

  • voidaanko korjaustiedosto testata ennalta kunnolla?
  • onko viisasta odottaa kokemuksia muilta korjauksen tehneiltä tahoilta?
  • onko korjaustiedosto on saatavilla luotettavasta lähteestä?
  • mitä riskejä korjaustiedoston asentamiseen ja asentamisen viivästämiseen liittyy?
  • tarvitaanko muita toimia, kuten haavoittuvuuksiin liittyvien ominaisuuksien kytkemistä pois käytöstä, tarkkailun lisäämistä tai haavoittuvuudesta tiedottamista
12.6.1: Teknisten haavoittuvuuksien hallinta
ISO27 Täysi
6.5: Tietojärjestelmien asennus, ylläpito ja päivitys
Omavalvonta
TEK-17: Muutoshallintamenettelyt
Julkri
8.8: Teknisten haavoittuvuuksien hallinta
ISO27k1 Täysi
6.6: Tietojärjestelmien asennus, ylläpito ja päivitys
Tietoturvasuunnitelma