Valitaan ja asennetaan haittaohjelmien havaitsemis- ja korjausohjelmat keskitetysti ja päivitetään ne säännöllisesti tietokoneiden ja tietovälineiden ennaltaehkäisevää tai säännöllistä tutkimista varten.

Ohjelmien tulisi tarkastaa ainakin seuraavat asiat:

• verkon tai tallennusvälineen kautta saapuneet tiedostot tarkistetaan haittaohjelmien varalta ennen käyttöä
• sähköpostiliitteet ja ladatut tiedostot tarkistetaan haittaohjelmien varalta ennen käyttöä
• verkkosivustot tarkistetaan haittaohjelmien varalta

Organisaation on määriteltävä, mitä vaatimuksia haittaohjelmilta suojautumiselle asetetaan. Seuraavat seikat tulisi ottaa huomioon:

• Riskiarviointi
• Oikeudellisiin ja vaatimuksiin liittyvät vaatimukset
• liiketoiminnalliset ja toiminnalliset tarpeet
• teknologiaympäristö
• budjetti ja resurssit

Organisaation on määriteltävä ja toteutettava toimenpiteitä haittaohjelmilta suojautumiseksi määriteltyjen vaatimusten perusteella.

Haittaohjelmien suojaukseen käytetyt järjestelmät tarkistavat ja asentavat päivitykset automaattisesti halutuin väliajoin ja ajavat myös halutut tarkistukset valitulla frekvenssillä ilman käyttäjän toimia.

Organisaation verkoille on määritelty omistaja. Omistaja vastaa verkon rakenteen suunnittelusta ja sen dokumentoinnista.

Verkon suunnittelussa käytetään tarpeen mukaan erillisiä verkkoalueita. Verkkoalueet voivat olla määritelty mm.:

• luottamustason (esim. julkinen, työasemat, palvelin)
• organisaatioyksiköiden (esim. HR, taloushallinto)
• tai jonkin yhdistelmän mukaan (esim. palvelimen verkkoalue, joka on yhdistetty useisiin organisaatioyksiköihin)

Eriyttäminen voidaan toteuttaa joko fyysisesti erillisillä verkoilla tai loogisesti erillisillä verkoilla.

Kriittisten verkkopalvelujen tarvitsemat turvajärjestelyt, kuten turvallisuusominaisuudet, palvelutasot ja hallintavaatimukset, on huolellisesti määritelty ennakkoon. Verkkopalveluja ovat mm. liitännät, verkot ja verkon turvallisuusratkaisut (esim. palomuurit).

Verkkopalvelujen turvallisuusominaisuudet voivat olla mm. seuraavanlaisia:

• vaadittu turvallisuuteen liittyvä teknologia, kuten todennus, salaustekniikka ja verkkoyhteyden hallintakeinot
• verkkopalvelujen suojatun yhteyden edellyttämät tekniset parametrit
• verkkopalvelun käyttökriteerit, jotka rajoittavat pääsyä verkkopalveluun tai sovelluksiin tarvittaessa

Organisaation tietojärjestelmiä ja verkkoa on valvottava poikkeavan käytön havaitsemiksi. Kun poikkeavaa käyttöä havaitaan, organisaation on ryhdyttävä tarvittaviin toimenpiteisiin arvioidakseen tietoturvahäiriön mahdollisuuden.

Valvonnassa tulisi hyödyntää työkaluja, jotka mahdollistavat reaaliaikaisen tai säännöllisen valvonnan organisaation tarvetason huomioiden. Valvontakäytännöillä tulisi pystyä hallitsemaan suuria määriä dataa, mukautumaan muuttuvaan uhkaympäristöön sekä lähettää tarvittaessa hälytyksiä välittömästi.

Seuraavien lähteiden sisällyttämistä valvontajärjestelmään on harkittava:

• lähtevä ja saapuva verkko- ja tietojärjestelmäliikenne
• pääsy kriittisiin tietojärjestelmiin, palvelimiin, verkkolaitteisiin ja itse valvontajärjestelmään
• kriittiset järjestelmä- ja verkkomääritystiedostot
• lokit suojaustyökaluista (esim. virustorjunta, IDS, IPS, verkkosuodattimet, palomuurit)
• verkon ja tietojärjestelmien käyttöön liittyvät tapahtumalokit
• suoritettavan koodin tarkistukset
• resurssien käyttö (esim. CPU, kiintolevyt, muisti, kaistanleveys) ja niiden suorituskyky

Organisaation on myös luotava toimintatavat "false positive" tulosten tunnistamiseksi ja korjaamiseksi, mukaan lukien valvontaohjelmiston virittäminen tarkempaa poikkeavuuksien tunnistamista varten.

Organisaatiomme on määritellyt toimintatavat, joiden avulla estetään tai vähintään havaitaan luvattomien ohjelmien käyttö.

Organisaatio kouluttaa henkilöstöä säännöllisesti sekä hyödynnetyn haittaohjelmasuojauksen käytöstä, haittaohjelmahyökkäyksistä raportoinnista sekä haittaohjelmahyökkäyksistä toipumisesta.