Haavatavuste ja paikade halduse poliitika

Haavatavuste ja paikade halduse poliitika (P19) määratleb struktureeritud lähenemise, mis on vajalik tehniliste haavatavuste ja tarkvaravigade tuvastamiseks, klassifitseerimiseks, kõrvaldamiseks ja seireks kõigis varades, mida juhib organisatsiooni infoturbe juhtimissüsteem (ISMS). Selle peamine eesmärk on vähendada lahendamata nõrkustest tulenevat riskikokkupuudet, tagades koordineeritud protsessi haavatavuste hindamiseks, prioritiseerimiseks, parandusmeetmeteks ja vastavuse jälgimiseks, mis on kohandatud organisatsiooni operatiivsete prioriteetide ja regulatiivse keskkonnaga. Poliitika kohaldub kogu ettevõttes kõigile infosüsteemidele, rakendustele, võrgutaristule, püsivarale, pilveressurssidele, rakendusliidestele, lõppseadmetele, serveritele, virtuaaltaristule ja kolmandate osapoolte platvormidele, sõltumata majutuskeskkonnast. Siduv nii sisemistele meeskondadele kui ka välistele teenuseosutajatele, nõuab see täielikku elutsükli lähenemist: regulaarne haavatavuste skaneerimine ja avastamine, riskiskoorimine ja paikade hankimine, õigeaegne juurutamine, erandite käsitlemine, seire ja aruandlus. Erilist rõhku pannakse autentitud, riskiga kohandatud skaneerimisele kindlaksmääratud intervallidega, eriti internetile avatud või kõrge väärtusega varade puhul, koos protseduuridega uute süsteemide sisseelamiseks ja vastavuse säilitamiseks kogu elutsükli vältel. Rollid ja vastutused on täpselt määratletud, et tagada aruandekohustus. Infoturbejuht vastutab poliitika integreerimise ja riskidega ühtlustamise eest; haavatavuste halduse eest vastutavad juhid tagavad operatiivse elluviimise; süsteemiomanik ja rakenduste omanikud vastutavad parandusmeetmete rakendamise ja süsteemi stabiilsuse valideerimise eest; IT-operatsioonid teostavad muudatused kehtestatud akendes ning turbeanalüütikud tagavad pideva valvsuse vastavuse pideva seire ja ajakohastatud riskihindamise kaudu. Kolmanda osapoole tarnijad peavad tagama, et välised süsteemid järgivad samu teenustaseme lepinguid (SLA-d), ning nende paikade halduse protsesside üle tehakse perioodilisi auditeid ja rakendatakse kontrollimeetmeid. Poliitika aluseks on juhtimismudel, sh tsentraalselt hallatav haavatavuste halduse register ja riskipõhised SLA-d. Süsteem jõustab paikamise kiireloomulisuse vastavalt raskusastmele (CVSS-i skoorimise alusel), vara kriitilisusele ja kokkupuutele, integreerudes muudatuste juhtimise poliitikaga jälgitavuse ja stabiilsuse tagamiseks. Üksikasjalikud erandite protokollid sätestavad ametliku heakskiidu, kompenseerivad kontrollimeetmed, läbivaatamise sageduse, ajapiirangud kriitiliste riskide puhul ning kohustusliku jälgimise määratud ISMS-i registrites. Poliitika jõustamine tugineb pidevale vastavuse seirele, olekuaruandlusele ja struktureeritud eskaleerimisele. Poliitika nõuab ka auditeid, tagantjärele uurimisi pärast intsidente ning tugevat läbivaatamise ja ajakohastamise protokolli, et tagada jätkuv kooskõla muutuvate regulatiivsete kohustuste, tehnoloogiliste muudatuste ja kõrge profiiliga ohuteabega. See on otseselt seotud aluspoliitikatega, sh infoturbepoliitika, muudatuste juhtimine, riskijuhtimine, varade haldus, logimis- ja seirepoliitika ja intsidentidele reageerimine, et tagada terviklik katvus.