Политика за управление на уязвимостите и прилагане на корекции

Политиката за управление на уязвимостите и прилагане на корекции (P19) дефинира структурирания подход, необходим за идентифициране, класифициране, отстраняване и мониторинг на технически уязвимости и софтуерни дефекти във всички активи, управлявани от Система за управление на информационната сигурност (СУИС) на организацията. Основната ѝ цел е да намали рисковата експозиция от неадресирани слабости, като осигури координиран процес за оценка на уязвимостите, приоритизация, ремедиация и проследяване на съответствието, съобразен с оперативните приоритети и регулаторната среда, релевантни за организацията. Политиката се прилага в цялата компания за всички информационни системи, приложения, мрежова инфраструктура, фърмуер, облачни ресурси, приложно-програмни интерфейси (API), крайни точки, сървъри, виртуална инфраструктура и платформи на трети страни, независимо от средата на хостване. Задължителна както за вътрешни екипи, така и за доставчици на услуги на трети страни, тя изисква подход за пълния жизнен цикъл, започващ с регулярни сканирания за уязвимости и откриване, през точкова оценка на риска и придобиване на корекции, до своевременно внедряване, обработка на изключения, мониторинг и докладване. Специален акцент се поставя върху автентикирано, риск-коригирано сканиране на определени интервали, особено за активи, изложени към интернет, или активи с висока стойност, с придружаващи процедури за въвеждане на нови системи и поддържане на съответствие през целия им жизнен цикъл. Ролите и отговорностите са прецизно разграничени с цел отчетност. Директорът по информационна сигурност (CISO) е собственик на интеграцията на политиката и съгласуването с риска; ръководителите по управление на уязвимостите отговарят за оперативното изпълнение; собствениците на системи и приложения отговарят за прилагане на ремедиации и валидиране на стабилността на системите; ИТ операции изпълняват промените в установени прозорци, а анализаторите по сигурността поддържат бдителност чрез непрекъснат мониторинг на съответствието, мониторинг и откриване на заплахи и актуализирани оценки на риска. Налице са формални изисквания към доставчици от трети страни, за да се гарантира, че външните системи спазват същите споразумения за ниво на обслужване (SLA) за корекции, с периодични одити и контроли върху техните процеси за управление на корекциите. Рамка за управление, включително централен регистър за управление на уязвимостите и риск-базирани SLA, е основа на политиката. Системата налага спешност на корекциите според тежестта (определена чрез CVSS), критичността на актива и експозицията, като се интегрира с управление на промените за проследимост и стабилност. Подробни протоколи за изключения определят изисквания за формално одобрение, компенсиращи контролни мерки, честота на преглед, времеви ограничения за критични рискове и задължително проследяване в определени регистри на СУИС. Прилагането на политиката се основава на текущ мониторинг на съответствието, докладване на статуса и структурирана ескалация. Политиката също така изисква одити, ретроспективни разследвания след инциденти и надежден протокол за преглед/актуализация, за да се осигури продължаващо съгласуване с развиващи се регулаторни задължения, технологични промени и значима разузнавателна информация за заплахи. Тя е пряко свързана с основополагащи политики, като Политика за информационна сигурност, Политика за управление на промените, Рамка за управление на риска, управление на активи, Политика за регистриране и мониторинг и Политика за реагиране при инциденти, за да се осигури покритие от край до край.