M 2.273 Turvalisust mõjutavate paikade ja värskenduste kiire paigaldamine


Algatamise eest vastutavad: IT-juht, infoturbespetsialist
Rakendamise eest vastutavad: infoturbespetsialist, administraator

Sageli avastatakse tarkvaratoodetes vigu, mis võivad mõjutada turvalisust IT-süsteemides, millesse need tooted on installeeritud. Avastatud puudused tuleb võimalikult ruttu kõrvaldada, et ründajad nii seest kui ka väljast ei saaks hakata neid ära kasutama. Eriti oluline on see siis, kui puudutatud süsteemid on ühendatud Internetiga. Lahendusena avaldavad operatsioonisüsteemide või tarkvarakomponentide tootjad tavaliselt turvapaiku või uuendusi, mis tuleb vigade kõrvaldamiseks installeerida vastavasse IT-süsteemi.

Aktuaalsus
Seetõttu peavad süsteemiadministraatorid end regulaarselt informeerima, kas tarkvaras on avastatud turvaauke (vt M 2.35 Teabe hankimine turvaaukude kohta).

Allikate tundmine, tervikluse ja autentsuse kontrollimine
Nagu igasuguse tarkvara puhul on ka siin oluline, et paigad ja täiendid pärineksid usaldusväärsetest allikatest. Iga kasutatava süsteemi ja tarkvaratoote kohta peab olema teada, millisest allikast tuleb hankida vastavad paigad ja täiendid. Lisaks on oluline kontrollida juba paigaldatud toodete, samuti paigaldatavate turvatäiendite ja -paikade terviklust ja autentsust (vt M 4.177 Tarkvarapakettide tervikluse ja autentsuse tagamine) ja seda juba enne täiendi või paiga installeerimist. Lisaks tuleb need enne installeerimist viirusetõrjeprogrammiga üle kontrollida. Viirusekontroll tuleb teha ka sellistele tarkvarapakettidele, mille terviklus ja autentsus on eelnevalt juba kindlaks tehtud.

Täiendite ja paikade testimine
Turvatäiendeid ja -paiku ei tohi rakendada enneaegselt, enne installeerimist tuleb neid kontrollida. Kui teiste kriitiliste komponentide või programmidega peaks tekkima konflikt, võib vastava täiendi installeerimine põhjustada hoopis süsteemi avarii. Vajadusel tuleb asjassepuutuvat süsteemi kuni testide lõppemiseni kaitsta teistsuguste meetmetega.

Varukoopia
Enne täiendi või paiga installeerimist tuleb süsteemi andmed alati varundada, et probleemide korral oleks võimalik taastada originaalseisund. Eriti kehtib see neil juhtudel, kus põhjalikku testimist ei ole võimalik kas aja või sobiva testsüsteemi puudumisel läbi viia.

Dokumentatsioon
Kõikidel juhtudel tuleb dokumenteerida, millal, kelle poolt ja mis põhjusel paigad ja täiendid installeeriti (vt M 2.34 IT-süsteemi muutuste dokumenteerimine). Dokumentatsiooni alusel peab saama igal ajal tuvastada, millised paikade versioonid on hetkel süsteemi paigaldatud, et kitsaskohtade ilmsikstulekul oleks võimalik kindlaks teha, kas süsteem on ohus või mitte. Kui tuvastatakse, et turvatäiend või paik ei sobi kokku mõne muu olulise komponendiga või programmiga või põhjustab probleeme, tuleb hoolikalt kontrollida, mida edasi teha. Kui otsustatakse, et tuvastatud probleemide tõttu turvapaika ei installeerita, tuleb vastav otsus kindlasti dokumenteerida. Lisaks tuleb sellistel juhtudel kirjeldada, milliseid asendusmeetmeid võetakse kasutusele, et vältida kitsaskohtade ärakasutamist. Turvalisust puudutavat otsust ei tohi administraatorid langetada üksi, vaid peavad selle kooskõlastama ülemuste ja IT turvalisuse eest vastutava töötajaga.

Kontrollküsimused:
  • Kas administraatorid kontrollivad regulaarselt, kas kasutatavate toodete, operatsioonisüsteemide ja rakenduste juures esineb turvaauke?
  • Kas uuendused ja paigad hangitakse usaldusväärsetest allikatest?
  • Kas uuendusi ja paiku testitakse enne väljastamist?
  • Kas on kindlustatud, et pärast ebaõnnestunud uuendust on võimalik algne süsteemiseisund taastada?
  • Kas dokumenteeritakse, kunas, mis põhjusel ja kelle poolt millised muudatused süsteemis läbi viidi?