Sisältökirjasto
ISO27k1 Täysi
8.8: Teknisten haavoittuvuuksien hallinta

Kuinka täyttää vaatimus

ISO 27001 (2022): Täysi

8.8: Teknisten haavoittuvuuksien hallinta

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset

Prosessi teknisten haavoittuvuuksien käsittelyyn

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kehitys ja digipalvelut
Teknisten haavoittuvuuksien hallinta
26
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
12.6.1: Teknisten haavoittuvuuksien hallinta
ISO27 Täysi
14.2.1: Turvallisen kehittämisen politiikka
ISO27 Täysi
ID.RA-1: Asset vulnerabilities
NIST
PR.IP-12: Vulnerability management plan
NIST
RS.AN-5: Vulnerability management process
NIST
1. Tehtävän vaatimuskuvaus

Organisaatio on määritelly prosessin, jonka perusteella tunnistetut tekniset haavoittuvuudet käsitellään.

Osa haavoittuvuuksista voidaan korjata suoraan, mutta merkittäviä vaikutuksia omaavat haavoittuvuudet tulisi dokumentoida myös tietoturvahäiriöinä. Merkittäviä vaikutuksia omaavan haavoituvuuden tunnistamisen jälkeen:

  • yksilöidään haavoittuvuuteen liittyvät riskit ja tarvittavat toimenpiteet (esim. järjestelmän paikkaus tai muut hallintatehtävät)
  • aikataulutetaan tarvittavat toimenpiteet
  • dokumentoidaan kaikki toimenpiteet

Säännöllinen tunkeutumistestaus

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kehitys ja digipalvelut
Teknisten haavoittuvuuksien hallinta
19
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
12.6.1: Teknisten haavoittuvuuksien hallinta
ISO27 Täysi
14.2.8: Järjestelmän turvallisuustestaus
ISO27 Täysi
18.2.3: Teknisen vaatimustenmukaisuuden katselmointi
ISO27 Täysi
DE.CM-8: Vulnerability scans
NIST
5.36: Tietoturvallisuutta koskevien toimintaperiaatteiden, sääntöjen ja standardien noudattaminen
ISO27k1 Täysi
1. Tehtävän vaatimuskuvaus

Staattiset skannaukset koodiin ovat ensimmäinen askel riskialttiiden haavoittuvuuksien havaitsemiseksi. Kun palvelu on otettu käyttöön, se kuitenkin altistuu uudenlaisille hyökkäyksille (esim. cross-site scripting tai tunnistautumisen ongelmat). Näitä voidaan pyrkiä tunnistamaan tunkteutumistestauksella.

Seuratut teknisten haavoittuvuuksien tietolähteet

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kehitys ja digipalvelut
Teknisten haavoittuvuuksien hallinta
10
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
I23: Ohjelmistohaavoittuvuuksien hallinta
Katakri
12.6.1: Teknisten haavoittuvuuksien hallinta
ISO27 Täysi
DE.CM-8: Vulnerability scans
NIST
TEK-19: Ohjelmistohaavoittuvuuksien hallinta
Julkri
8.8: Teknisten haavoittuvuuksien hallinta
ISO27k1 Täysi
1. Tehtävän vaatimuskuvaus

Ohjelmistoille ja muulle teknologialle on tietoisesti yksilöity tietolähteet, joita käyttämällä tunnistetaan meille relevantteja teknisiä haavoittuvuuksia ja ylläpidetään tietoa niistä (esim. viranomaiset tai laite- ja ohjelmistovalmistajat). Tietolähteitä arvioidaan ja päivitetään löydettäessä uusia hyödyllisiä lähteitä.

Haavoittuvuuksia voi löytyä suoraan hyödyntämistämme toimittajien järjestelmistä tai monien järjestelmiemme hyödyntämistä open source -komponenteista. On tärkeää seurata useita lähteitä, jotta oleellisista asioista ollaan kärryillä.

Tunnistettujen teknisten haavoittuvuuksien ensikäsittely

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kehitys ja digipalvelut
Teknisten haavoittuvuuksien hallinta
13
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
12.6.1: Teknisten haavoittuvuuksien hallinta
ISO27 Täysi
ID.RA-1: Asset vulnerabilities
NIST
PR.IP-12: Vulnerability management plan
NIST
RS.AN-5: Vulnerability management process
NIST
RS.MI-3: New vulnerability mitigation
NIST
1. Tehtävän vaatimuskuvaus

Olemme määritelleet säännöt , joiden perusteella tunnistettuun haavoittuvuuteen reagoidaan. Säännöt voivat sisältää mm. seuraavat asiat:

  • ketkä kuuluvat quick-response tiimiin, joka on valmiina reagoimaan haavoittuvuuksiin
  • haavoittuvuuden paikallistava henkilö tiedottaa välittömästi koko tiimia sovittua kanavaa myöten
  • tiimi määrittää haavoittuvuudelle vakavuuden (matala, keskiverto, korkea) ennaltamääriteltyjen kriteerien perusteella
  • tiimi päättää, jatketaanko käsittelyä tietoturvahäiriönä (kiireellisemmin) vai yleisen muutostenhallinnan mukaisesti
  • haavoittuvuuden käsittelyä jatkamaan valitaan tarvittavat henkilöt

Riskialttiisiin järjestelmiin liittyvät haavoittuvuudet saavat aina korkean vakavuuden ja ne käsitellään ensimmäisinä.

Säännöllinen haavoittuvuusskannaus

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kehitys ja digipalvelut
Teknisten haavoittuvuuksien hallinta
27
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
12.6.1: Teknisten haavoittuvuuksien hallinta
ISO27 Täysi
18.2.3: Teknisen vaatimustenmukaisuuden katselmointi
ISO27 Täysi
14.2.8: Järjestelmän turvallisuustestaus
ISO27 Täysi
6.5: Tietojärjestelmien asennus, ylläpito ja päivitys
Omavalvonta
MWP-02: Automatic file scan by anti-malware software
Cyber Essentials
1. Tehtävän vaatimuskuvaus

Organisaatio tekee säännöllisesti haavoittuvuusskannausta, jossa etsitään tietokoneista, työasemista, mobiililaitteista, verkoista tai sovelluksista tunnettuja haavoittuvuuksia. Skannausta on tärkeää tehdä myös merkittävien muutosten jälkeen.

On huomioitava, että haavoittuvaa lähdekoodia voi löytyä niin käyttöjärjestelmäohjelmistoista, palvelinsovelluksista, loppukäyttäjäsovelluksista, kuin esimerkiksi laiteohjelmistotason (firmware) sovelluksista sekä ajureista, BIOS:ista ja erillisistä hallintaliittymistä (esim. iLo, iDrac). Ohjelmistovirheiden lisäksi haavoittuvuuksia aiheutuu konfiguraatiovirheistä ja vanhoista käytänteistä, esimerkiksi vanhentuneiden salausalgoritmien käytöstä.

Haavoittuvuuksien hallintaprosessin säännöllinen seuranta

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kehitys ja digipalvelut
Teknisten haavoittuvuuksien hallinta
13
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
12.6.1: Teknisten haavoittuvuuksien hallinta
ISO27 Täysi
ID.RA-1: Asset vulnerabilities
NIST
PR.IP-12: Vulnerability management plan
NIST
TEK-19: Ohjelmistohaavoittuvuuksien hallinta
Julkri
8.8: Teknisten haavoittuvuuksien hallinta
ISO27k1 Täysi
1. Tehtävän vaatimuskuvaus

Teknisten haavoittuvuuksien hallintaprosessia seurataan ja arvioidaan säännöllisesti, jotta voidaan varmistaa sen tehokkuus ja vaikuttavuus.

Hallintaprosessi hankittujen ohjelmistojen päivittämiseen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Päivitysten ja korjausten hallinta
8
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
12.6.1: Teknisten haavoittuvuuksien hallinta
ISO27 Täysi
SUM: Security update management
Cyber Essentials
8.8: Teknisten haavoittuvuuksien hallinta
ISO27k1 Täysi
Article 9b: Prevention
DORA
PR.MA-1: Maintenance and repair of organizational assets are performed and logged, with approved and controlled tools.
CyFun
1. Tehtävän vaatimuskuvaus

Ohjelmistopäivityksiä varten olisi toteutettava hallintaprosessi, jotta voidaan varmistaa, että viimeisimmät hyväksytyt korjaustiedostot ja sovelluspäivitykset on asennettu kaikkiin hyväksyttyihin ohjelmistoihin. Ohjelmistojen aikaisemmat versiot olisi säilytettävä varotoimenpiteenä.

Korjaustiedostojen arviointi ja testaus ennen käyttöönottoa

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Päivitysten ja korjausten hallinta
7
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
12.6.1: Teknisten haavoittuvuuksien hallinta
ISO27 Täysi
6.5: Tietojärjestelmien asennus, ylläpito ja päivitys
Omavalvonta
TEK-17: Muutoshallintamenettelyt
Julkri
8.8: Teknisten haavoittuvuuksien hallinta
ISO27k1 Täysi
6.6: Tietojärjestelmien asennus, ylläpito ja päivitys
Tietoturvasuunnitelma
1. Tehtävän vaatimuskuvaus

Haavoittuvuuden toteamisen jälkeen toimittajilla on usein merkittäviä paineita julkaista korjaustiedostot mahdollisimman pian. Tämän vuoksi on mahdollista, ettei korjaustiedosto välttämättä käsittele ongelmaa riittävästi ja sillä on haitallisia sivuvaikutuksia.

Korjaustiedostojen arvioinnissa huomioidaan mm. seuraavat asiat:

  • voidaanko korjaustiedosto testata ennalta kunnolla?
  • onko viisasta odottaa kokemuksia muilta korjauksen tehneiltä tahoilta?
  • onko korjaustiedosto on saatavilla luotettavasta lähteestä?
  • mitä riskejä korjaustiedoston asentamiseen ja asentamisen viivästämiseen liittyy?
  • tarvitaanko muita toimia, kuten haavoittuvuuksiin liittyvien ominaisuuksien kytkemistä pois käytöstä, tarkkailun lisäämistä tai haavoittuvuudesta tiedottamista
No items found.