Politika řízení zranitelností a správy záplat

Politika řízení zranitelností a správy záplat (P19) definuje strukturovaný přístup požadovaný pro identifikaci, klasifikaci, odstraňování a monitorování technických zranitelností a softwarových chyb ve všech aktivech řízených systémem řízení bezpečnosti informací (ISMS) organizace. Jejím hlavním cílem je snížit zbytkovou expozici vyplývající z neřešených slabin tím, že zajistí koordinovaný proces pro posouzení zranitelností, prioritizaci, nápravu a sledování souladu, přizpůsobený provozním prioritám a regulačnímu prostředí relevantnímu pro organizaci. Politika se vztahuje na celou společnost a na všechny informační systémy, aplikace, síťovou infrastrukturu, firmware, cloudové zdroje, rozhraní API, koncové body, servery, virtuální infrastrukturu a platformy třetích stran bez ohledu na hostingové prostředí. Je závazná jak pro interní týmy, tak pro poskytovatele služeb třetích stran a vyžaduje úplný přístup životního cyklu, počínaje pravidelným skenováním zranitelností a zjišťováním, přes skórování rizik a získání záplat, až po včasné nasazení, ošetření výjimek, monitorování a vykazování. Zvláštní důraz je kladen na autentizované, rizikově upravené skenování v definovaných intervalech, zejména u internetově vystavených nebo vysoce hodnotných aktiv, s navazujícími postupy pro onboarding nových systémů a udržování souladu v průběhu jejich životního cyklu. Role a odpovědnosti jsou přesně vymezeny pro podporu odpovědnosti. Ředitel informační bezpečnosti (CISO) vlastní integraci politiky a sladění s riziky; vedoucí řízení zranitelností dohlížejí na provozní realizaci; vlastník systému a vlastníci aplikací odpovídají za aplikaci nápravných opatření a ověření stability systému; provoz IT provádí změny v rámci stanovených oken a bezpečnostní analytici udržují bdělost prostřednictvím průběžného monitorování hrozeb a aktualizovaných posouzení rizik. Pro dodavatele třetích stran jsou stanoveny formální požadavky, aby externí systémy dodržovaly stejné dohody o úrovni služeb (SLA) pro záplatování, včetně pravidelných auditů a kontrol jejich procesů správy záplat. Politiku podpírá rámec správy, včetně centrálně udržovaného registru řízení zranitelností a SLA na základě rizik. Systém vynucuje naléhavost záplatování podle závažnosti (určené skórováním CVSS), kritičnosti aktiva a expozice a zároveň se integruje s politikou řízení změn pro dohledatelnost a stabilitu. Podrobné protokoly výjimek stanovují požadavky na formální schválení, kompenzační opatření, kadenci přezkumu, časové limity pro kritická rizika a povinné sledování v určených registrech ISMS. Vynucování politiky se opírá o průběžné monitorování souladu, vykazování stavu a strukturovanou eskalaci. Politika dále vyžaduje audity, retrospektivní vyšetřování po incidentech a robustní protokol přezkumu/aktualizace pro zajištění trvalého sladění s vyvíjejícími se regulačními povinnostmi, technologickými změnami a významnými informacemi o hrozbách. Je přímo provázána se základními politikami, jako jsou politika bezpečnosti informací, řízení změn, řízení rizik, správa aktiv, politika protokolování a monitorování a reakce na incidenty, aby bylo zajištěno end-to-end pokrytí.