Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

I-13
Katakri 2020

Katakri 2020

Muita saman teeman digiturvatehtäviä

Haittaohjelmien havaitsemis- ja korjausohjelmien valinta ja käyttö kaikissa laitteissa

Critical
High
Normal
Low

Valitaan ja asennetaan haittaohjelmien havaitsemis- ja korjausohjelmat keskitetysti ja päivitetään ne säännöllisesti tietokoneiden ja tietovälineiden ennaltaehkäisevää tai säännöllistä tutkimista varten.

Ohjelmien tulisi tarkastaa ainakin seuraavat asiat:

  • verkon tai tallennusvälineen kautta saapuneet tiedostot tarkistetaan haittaohjelmien varalta ennen käyttöä
  • sähköpostiliitteet ja ladatut tiedostot tarkistetaan haittaohjelmien varalta ennen käyttöä
  • verkkosivustot tarkistetaan haittaohjelmien varalta
I09: Haittaohjelmasuojaus
Katakri
12.2.1: Haittaohjelmilta suojautuminen
ISO27 Täysi
12.2: Haittaohjelmilta suojautuminen
ISO27 Täysi
6.5: Tietojärjestelmien asennus, ylläpito ja päivitys
Omavalvonta
DE.CM-4: Malicious code detection
NIST

Haittaohjelmilta suojautumista koskevien vaatimusten määrittely

Critical
High
Normal
Low

Organisaation on määriteltävä, mitä vaatimuksia haittaohjelmilta suojautumiselle asetetaan. Seuraavat seikat tulisi ottaa huomioon:

  • Riskiarviointi
  • Oikeudellisiin ja vaatimuksiin liittyvät vaatimukset
  • liiketoiminnalliset ja toiminnalliset tarpeet
  • teknologiaympäristö
  • budjetti ja resurssit

Organisaation on määriteltävä ja toteutettava toimenpiteitä haittaohjelmilta suojautumiseksi määriteltyjen vaatimusten perusteella.

5.2.3: Malware protection
TISAX

Laitteiden liityntöjen rajoittaminen (ST III-II)

Critical
High
Normal
Low

Vahvistaaksemme haittaohjelmilta suojautumiselta organisaatiomme on määritellyt lisätoimenpiteet korkeamman suojaustason tiedoille:

  • Arvioidaan tarve järjestelmien USB-porttien ja vastaavien liityntöjen käytölle.
  • Tilanteissa, joissa liityntöjen käytölle ei ole kriittistä tarkastelua kestävää perustetta, liitynnät poistetaan käytöstä.
  • Tilanteissa, joissa liityntöjen käytölle on kriittistä tarkastelua kestävät perusteet, arvioidaan tapauskohtaisesti edellytykset ja ehdot, minkä mukaisia laitteistoja ja välineitä (esim. USB-muisteja) järjestelmään voidaan kytkeä.
I09: Haittaohjelmasuojaus
Katakri

Menettelyt ja tietolähteet luotettavan tiedon keräämiseen haittaohjelmista

Critical
High
Normal
Low

Organisaatio on määritelly toimintatavat, joiden avulla kerätään säännöllisesti ajantasaista ja luotettavaa tietoa haittaohjelmista. Tällaisia voivat olla mm. postituslistat, lehdet, torjuntaohjelmistojen toimittajien blogit tai tietoturvaa käsittelevät uutissivustot.

Tietolähteiden avulla pyritään todentamaan haittaohjelmia koskeva tieto, erottamaan huijaukset todellisista haittaohjelmista ja varmistetaan saatujen varoituksien olevan todenmukaisia ja informatiivisia.

12.2.1: Haittaohjelmilta suojautuminen
ISO27 Täysi
12.2: Haittaohjelmilta suojautuminen
ISO27 Täysi
ID.RA-2: Cyber threat intelligence
NIST
8.7: Haittaohjelmilta suojautuminen
ISO27k1 Täysi
ID.RA-2: Cyber threat intelligence is received from information sharing forums and sources.
CyFun

Kriittisiä liiketoimintoja tukevien järjestelmien säännöllinen haittaohjelmatarkistus

Critical
High
Normal
Low

Kriittisiä liiketoimintaprosesseja tukevien järjestelmien ohjelmistot ja aineistosisältö katselmoidaan säännöllisesti haittaohjelmien paikallistamiseksi. Kaikki luvattomat tiedostot ja muutokset tutkitaan muodollisesti.

12.2.1: Haittaohjelmilta suojautuminen
ISO27 Täysi
12.2: Haittaohjelmilta suojautuminen
ISO27 Täysi
PR.DS-6: Integrity checking
NIST
DE.CM-4: Malicious code detection
NIST
8.7: Haittaohjelmilta suojautuminen
ISO27k1 Täysi

Vaarallisten verkkosivustojen käytön estäminen ja havaitseminen

Critical
High
Normal
Low

Organisaation on tunnistettava verkkosivustojen tyypit, joihin henkilöstöllä tulisi ja toisaalta ei tulisi olla pääsyä.

Organisaation on harkittava seuraavien sivustotyyppien käytön estämistä (joko automaattisesti tai muilla tavoin):

  • tiedostojen lataustoiminnon sisältävät verkkosivustot, ellei tätä ole tiettyä liiketoimintatarvetta varten sallittu
  • tunnetut tai epäillyt haitalliset verkkosivustot (esim. haittaohjelmia jakavat tai tietojenkalastelusisältöä sisältävät)
  • komento- ja ohjauspalvelimet
  • laitonta sisältöä jakavat verkkosivustot
12.2.1: Haittaohjelmilta suojautuminen
ISO27 Täysi
12.2: Haittaohjelmilta suojautuminen
ISO27 Täysi
8.7: Haittaohjelmilta suojautuminen
ISO27k1 Täysi
8.23: Verkkosuodatus
ISO27k1 Täysi
CC6.8: Detection and prevention of unauthorized or malicious software
SOC 2

Hyväksyttyjen ohjelmistojen listaaminen

Critical
High
Normal
Low

Laitteissa voidaan käyttää vain organisaation hyväksymiä ohjelmistoja. Organisaation tulisi:

  • Hyväksyä aktiivisesti ohjelmistot ennen niiden käyttöönottoa.
  • ylläpitää luetteloa hyväksytyistä ohjelmistoista
  • Estää käyttäjiä asentamasta ei-hyväksyttyjä ohjelmistoja.
  • Luoda luettelo erikseen sallituista laajennuksista
MWP-05: Whitelisting
Cyber Essentials
MWP: Application allow listing
Cyber Essentials
1.2.2: Establish organisational guidelines for approved devices and software
NSM ICT-SP
1.2.4: Identify the software in use at the organisation
NSM ICT-SP
2.3.2: Configure clients so that only software known to the organisation is able to execute
NSM ICT-SP

Haitallisten sivujen estäminen

Critical
High
Normal
Low

Haittaohjelmasuojauksen täytyy estää pääsy haitallisille nettisivuille esimerkiksi "deny listing"-tekniikalla. Tästä saa poiketa vain, jos siihen on selkeä, tarkasti dokumentoitu ja painava syy organisaation toiminnan kannalta. Tässä tilanteessa on ymmärrettävä ja huomioitava mahdolliset riskit.

MWP-04: Blocking connections to malicious websites
Cyber Essentials

Verkkosivustojen automaattinen haittaohjelmaskannaus

Critical
High
Normal
Low

Haittaohjelmasuojauksen on skannattava nettisivut automaattisesti haittaohjelmien varalta, kun sinne siirrytään selaimessa.

MWP-03: Automatic website scan by anti-malware software
Cyber Essentials

Tiedostojen automaattinen haittaohjelmaskannaus

Critical
High
Normal
Low

Antivirus-ohjelma täytyy olla asetettu skannaamaan tiedostot automaattisesti. Tämän tulee tapahtua, kun tiedosto ladataan ja avataan ja, kun tiedosto avataan verkkolevyltä.

MWP-02: Automatic file scan by anti-malware software
Cyber Essentials
3.1.3: Use automated and centralised tools to handle known threats
NSM ICT-SP

Automaattisen ajamisen poistaminen käytöstä

Critical
High
Normal
Low

Organisaation on huolehdittava, että kaikissa sen tietokoneissa, tietoverkko- ja vastaavissa laitteissa, automaattinen ajaminen on estetty käytöstä.

Automaattinen ajaminen voi aiheuttaa vakavan kyberhyökkäyksen, kuten kiristyshaittaohjelman, pääsyn organisaation järjestelmään netistä ladatun tiedoston tai vaarantuneen oheislaitteen (esim. muistitikku) kautta.

SEC-04: Disabling auto-run of software
Cyber Essentials

Haittaohjelmasuojaus julkisista verkoista eristetyissä järjestelmissä (TL III)

Critical
High
Normal
Low

Haittaohjelmasuojauksen päivittämiseen on olemassa prosessi myös järjestelmille, joita ei ole kytketty kytketä julkiseen verkkoon. Haittaohjelmatunnisteiden päivitys voidaan järjestää esimerkiksi käyttämällä hallittua suojattua päivitystenhakupalvelinta, jonka tunnistekanta pidetään ajan tasalla esimerkiksi erillisestä internetiin kytketystä järjestelmästä tunnisteet käsin siirtämällä (esim. 1-3 kertaa viikossa), tai tuomalla tunnisteet hyväksytyn yhdyskäytäväratkaisun kautta. Tunnisteiden päivitystiheyden riittävyyden arviointi tulee suhteuttaa riskienarvioinnissa kyseisen ympäristön ominaispiirteisiin, erityisesti huomioiden ympäristön muun tiedonsiirron tiheyden.

Myös päivitysten eheydestä varmistumiseen tulisi olla ennalta suunniteltu menettelytapa (lähde, tarkistussummat, allekirjoitukset, jne.).

TEK-11.2: Haittaohjelmilta suojautuminen - TL III
Julkri
I-09: MONITASOINEN SUOJAAMINEN – HAITTAOHJELMASUOJAUS
Katakri 2020

Haittaohjelmasuojaus tietojärjestelmissä (TL IV)

Critical
High
Normal
Low

Organisaatio on tunnistanut tietojärjestelmät, joissa haittaohjelman torjuntaohjelmistoilla pystytään saamaan lisäsuojausta.

TEK-11.1: Haittaohjelmilta suojautuminen
Julkri
I-09: MONITASOINEN SUOJAAMINEN – HAITTAOHJELMASUOJAUS
Katakri 2020

Tietojekäsittely-ympäristön ohjelmien suojaus verkkohyökkäyksiltä

Critical
High
Normal
Low

Tietojenkäsittely-ympäristön turvallisuus testataan. Testaamisessa huomioidaan asianmukainen turvaamistaso ja toteutuksen, integroinning ja konfiguroinnin taso. Turvallisuudesta on huolehdittava ympäristön koko elinkaaren ajan.

Tässä olisi huomioitava ainakin:

  • Ohjelmistojen (sovellukset, palvelut, järjestelmät) käyttötarkoitukset ja ohjelmistojen turvallisuutta mahdollisesti toteuttavat roolit on tunnistettu.
  • Ohjelmistojen (sovellukset, palvelut, järjestelmät) turvallisuustarpeet on arvioitu, huomioiden erityisesti ohjelmiston käyttötarkoituksen ja sen turvallisuutta mahdollisesti toteuttavan roolin, hyökkäyspinta-alan, sekä käsiteltävien tietojen luonteen ja turvallisuusluokan.
  • Ohjelmistojen (sovellukset, palvelut, järjestelmät) riippuvuudet ja rajapinnat on tunnistettu. Riippuvuuksiin ja rajapintoihin on kohdistettu ohjelmistoa vastaavat vaatimukset, huomioiden esimerkiksi käytetyt kirjastot, rajapinnat (API:t) ja laitteistosidonnaisuudet. Vaatimuksissa on huomioitu sekä palvelin- että asiakaspuolen osuudet.
  • Kriittiset ohjelmistot (sovellukset, palvelut, järjestelmät) toteutetaan tai toteutus tarkastetaan mahdollisuuksien mukaan luotettavaa standardia vasten tai/ja turvallisen ohjelmoinnin ohjetta hyödyntäen.
  • On varmistettu, että ohjelmistojen (sovellukset, palvelut, järjestelmät) ohjelmakoodin laadun ylläpito, kehitys ja muutoshallinta vastaavat tarpeita koko elinkaaren ajan.
  • On varmistettu, että ohjelmistot (sovellukset, palvelut, järjestelmät) täyttävät lainsäädännöstä johdetut vaatimukset.
I-13: MONITASOINEN SUOJAAMINEN KOKO ELINKAAREN AJAN – OHJELMISTOJEN SUOJAAMINEN VERKKOHYÖKKÄYKSILTÄ
Katakri 2020

Automatisoitu luvattomien laitteiden havaitseminen ja estäminen

Critical
High
Normal
Low

Organisaatiossamme on määritelty käytännöt ja toimenpiteet, joilla havaitaan ja estetään luvattoman laitteiston käyttö organisaation verkossa ja infrastruktuurissa.

ID.AM-1: Physical devices and systems used within the organization are inventoried.
CyFun

Henkilöstön ohjeistaminen ja kouluttaminen haittaohjelmiin liittyen

Critical
High
Normal
Low

Organisaatio kouluttaa henkilöstöä säännöllisesti sekä hyödynnetyn haittaohjelmasuojauksen käytöstä, haittaohjelmahyökkäyksistä raportoinnista sekä haittaohjelmahyökkäyksistä toipumisesta.

I09: Haittaohjelmasuojaus
Katakri
12.2.1: Haittaohjelmilta suojautuminen
ISO27 Täysi
12.2: Haittaohjelmilta suojautuminen
ISO27 Täysi
7.2.2: Tietoturvatietoisuus, -opastus ja -koulutus
ISO27 Täysi
TEK-11: Haittaohjelmilta suojautuminen
Julkri

Henkilöstön tiedottaminen uusista, relevanteista haittaohjelmista

Critical
High
Normal
Low

Henkilöstön tietoturvatietoisuuden varmistaminen on tärkeä osa haittaohjelmilta suojautumista. Tämän vuoksi henkilöstölle tiedotetaan säännöllisesti uudenlaisista haittaohjelmista, joiden uhka heihin voi kohdistua.

7.2.2: Tietoturvatietoisuus, -opastus ja -koulutus
ISO27 Täysi
12.2.1: Haittaohjelmilta suojautuminen
ISO27 Täysi
12.2: Haittaohjelmilta suojautuminen
ISO27 Täysi
WORKFORCE-2: Increase Cybersecurity Awareness
C2M2: MIL1
2.1.3: Staff training
TISAX

Automatisoitu luvattomien ohjelmien käytön estäminen ja havaitseminen

Critical
High
Normal
Low

Organisaatiomme on määritellyt toimintatavat, joiden avulla estetään tai vähintään havaitaan luvattomien ohjelmien käyttö.

12.2.1: Haittaohjelmilta suojautuminen
ISO27 Täysi
12.2: Haittaohjelmilta suojautuminen
ISO27 Täysi
DE.CM-5: Unauthorized mobile code detection
NIST
8.7: Haittaohjelmilta suojautuminen
ISO27k1 Täysi
5.2.3: Malware protection
TISAX

Useamman toimittajan haittaohjelmajärjestelmän käyttö

Critical
High
Normal
Low

Käytämme aina useamman toimittajan haittaohjelmajärjestelmää, jotta todennäköisyys havaita haittaohjelmia paranee.

12.2.1: Haittaohjelmilta suojautuminen
ISO27 Täysi
12.2: Haittaohjelmilta suojautuminen
ISO27 Täysi
DE.CM-4: Malicious code detection
NIST
DE.CM-4: Malicious code is detected.
CyFun

Vahvistamattomien mobiiliohjelmistojen havaitseminen

Critical
High
Normal
Low

Organisaatiomme on määritellyt toimintatavat, joiden avulla estetään tai vähintään havaitaan luvattomien ohjelmien käyttö mobiililaitteissa (esim. älypuhelimet, tabletit).

12.2.1: Haittaohjelmilta suojautuminen
ISO27 Täysi
12.2: Haittaohjelmilta suojautuminen
ISO27 Täysi
SEC-03: Removing unnecessary software and network services
Cyber Essentials
DE.CM-5: Unauthorized mobile code is detected.
CyFun
2.3.2: Configure clients so that only software known to the organisation is able to execute
NSM ICT-SP

Minimoi ohjelmistosta, joka liittyy asiakirjoihin, aiheutuvat riskit

Critical
High
Normal
Low

Ohjelmisto, joka liittyy asiakirjoihin (esim. makrot), tarjoaa myös laajan hyökkäyspinnan. Tämän hyökkäyspinnan pienentämiseksi ei-toivotut ohjelmistot olisi poistettava ulkoisista asiakirjoista ja sähköpostiviesteistä ennen kuin ne saapuvat käyttäjille, esimerkiksi palomuurissa, poistettava käytöstä mahdollisuus käyttää tällaisia ohjelmistoja käyttäjiltä, jotka eivät niitä tarvitse, ja sallittava nimenomaisesti sellaisten asiakirjojen sisältämät ohjelmistot, joita käyttäjät todella tarvitsevat, esimerkiksi käyttämällä digitaalisia allekirjoituksia.

2.3.2: Configure clients so that only software known to the organisation is able to execute
NSM ICT-SP