Sisältökirjasto
NIST
ID.RA-1: Asset vulnerabilities

Kuinka täyttää vaatimus

NIST Cybersecurity Framework

ID.RA-1: Asset vulnerabilities

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset

Prosessi teknisten haavoittuvuuksien käsittelyyn

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kehitys ja digipalvelut
Teknisten haavoittuvuuksien hallinta
26
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
12.6.1: Teknisten haavoittuvuuksien hallinta
ISO27 Täysi
14.2.1: Turvallisen kehittämisen politiikka
ISO27 Täysi
ID.RA-1: Asset vulnerabilities
NIST
PR.IP-12: Vulnerability management plan
NIST
RS.AN-5: Vulnerability management process
NIST
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Prosessi teknisten haavoittuvuuksien käsittelyyn
1. Tehtävän vaatimuskuvaus

Organisaatio on määritelly prosessin, jonka perusteella tunnistetut tekniset haavoittuvuudet käsitellään.

Osa haavoittuvuuksista voidaan korjata suoraan, mutta merkittäviä vaikutuksia omaavat haavoittuvuudet tulisi dokumentoida myös tietoturvahäiriöinä. Merkittäviä vaikutuksia omaavan haavoituvuuden tunnistamisen jälkeen:

  • yksilöidään haavoittuvuuteen liittyvät riskit ja tarvittavat toimenpiteet (esim. järjestelmän paikkaus tai muut hallintatehtävät)
  • aikataulutetaan tarvittavat toimenpiteet
  • dokumentoidaan kaikki toimenpiteet

Tunnistettujen teknisten haavoittuvuuksien ensikäsittely

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kehitys ja digipalvelut
Teknisten haavoittuvuuksien hallinta
13
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
12.6.1: Teknisten haavoittuvuuksien hallinta
ISO27 Täysi
ID.RA-1: Asset vulnerabilities
NIST
PR.IP-12: Vulnerability management plan
NIST
RS.AN-5: Vulnerability management process
NIST
RS.MI-3: New vulnerability mitigation
NIST
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tunnistettujen teknisten haavoittuvuuksien ensikäsittely
1. Tehtävän vaatimuskuvaus

Olemme määritelleet säännöt , joiden perusteella tunnistettuun haavoittuvuuteen reagoidaan. Säännöt voivat sisältää mm. seuraavat asiat:

  • ketkä kuuluvat quick-response tiimiin, joka on valmiina reagoimaan haavoittuvuuksiin
  • haavoittuvuuden paikallistava henkilö tiedottaa välittömästi koko tiimia sovittua kanavaa myöten
  • tiimi määrittää haavoittuvuudelle vakavuuden (matala, keskiverto, korkea) ennaltamääriteltyjen kriteerien perusteella
  • tiimi päättää, jatketaanko käsittelyä tietoturvahäiriönä (kiireellisemmin) vai yleisen muutostenhallinnan mukaisesti
  • haavoittuvuuden käsittelyä jatkamaan valitaan tarvittavat henkilöt

Riskialttiisiin järjestelmiin liittyvät haavoittuvuudet saavat aina korkean vakavuuden ja ne käsitellään ensimmäisinä.

Säännöllinen haavoittuvuusskannaus

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kehitys ja digipalvelut
Teknisten haavoittuvuuksien hallinta
27
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
12.6.1: Teknisten haavoittuvuuksien hallinta
ISO27 Täysi
18.2.3: Teknisen vaatimustenmukaisuuden katselmointi
ISO27 Täysi
14.2.8: Järjestelmän turvallisuustestaus
ISO27 Täysi
6.5: Tietojärjestelmien asennus, ylläpito ja päivitys
Omavalvonta
MWP-02: Automatic file scan by anti-malware software
Cyber Essentials
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Säännöllinen haavoittuvuusskannaus
1. Tehtävän vaatimuskuvaus

Organisaatio tekee säännöllisesti haavoittuvuusskannausta, jossa etsitään tietokoneista, työasemista, mobiililaitteista, verkoista tai sovelluksista tunnettuja haavoittuvuuksia. Skannausta on tärkeää tehdä myös merkittävien muutosten jälkeen.

On huomioitava, että haavoittuvaa lähdekoodia voi löytyä niin käyttöjärjestelmäohjelmistoista, palvelinsovelluksista, loppukäyttäjäsovelluksista, kuin esimerkiksi laiteohjelmistotason (firmware) sovelluksista sekä ajureista, BIOS:ista ja erillisistä hallintaliittymistä (esim. iLo, iDrac). Ohjelmistovirheiden lisäksi haavoittuvuuksia aiheutuu konfiguraatiovirheistä ja vanhoista käytänteistä, esimerkiksi vanhentuneiden salausalgoritmien käytöstä.

Haavoittuvuuksien hallintaprosessin säännöllinen seuranta

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kehitys ja digipalvelut
Teknisten haavoittuvuuksien hallinta
13
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
12.6.1: Teknisten haavoittuvuuksien hallinta
ISO27 Täysi
ID.RA-1: Asset vulnerabilities
NIST
PR.IP-12: Vulnerability management plan
NIST
TEK-19: Ohjelmistohaavoittuvuuksien hallinta
Julkri
8.8: Teknisten haavoittuvuuksien hallinta
ISO27k1 Täysi
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Haavoittuvuuksien hallintaprosessin säännöllinen seuranta
1. Tehtävän vaatimuskuvaus

Teknisten haavoittuvuuksien hallintaprosessia seurataan ja arvioidaan säännöllisesti, jotta voidaan varmistaa sen tehokkuus ja vaikuttavuus.

No items found.

Autamme täyttämään vaatimukset tehokkaasti Universal cyber compliance language -teknologialla

Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.

Tietoturvakehikoilla on yleensä yhteinen ydin. Kaikki kehikot kattavat perusaiheita, kuten riskienhallinnan, varmuuskopioinnin, haittaohjelmat, henkilöstön tietoisuuden tai käyttöoikeuksien hallinnan omissa osioissaan.
Digiturvamallin "universal cyber compliance language" -teknologia luo teille yksittäisen suunnitelman ja varmistaa, että kehikkojen yhteiset osat tehdään vain kerran. Te voitte keskittyä suunnitelman toteuttamiseen, me automatisoimme compliance-osan - nykyisiä ja tulevia vaatimuksia päin.
Aloita ilmainen kokeilu