Sérülékenységkezelési és javításkezelési szabályzat

A Sérülékenységkezelési és javításkezelési szabályzat (P19) meghatározza a technikai sérülékenységek és szoftverhibák azonosításához, osztályozásához, javításához és monitorozásához szükséges strukturált megközelítést a szervezet információbiztonsági irányítási rendszere (IBIR) által irányított valamennyi eszköz esetében. Elsődleges célja a kezeletlen gyengeségekből eredő kockázati kitettség csökkentése azáltal, hogy összehangolt folyamatot biztosít a sérülékenységértékelés, a priorizálás, a korrekciós intézkedések és a megfelelés nyomon követése számára, a szervezet operatív prioritásaihoz és szabályozási környezetéhez igazítva. A szabályzat vállalati szinten vonatkozik valamennyi információs rendszerre, alkalmazásokra, hálózatokra, firmware-re, felhőerőforrásokra, alkalmazásprogramozási interfészekre, végpontokra, kiszolgálókra, virtuális infrastruktúrára és harmadik fél platformokra, a hosztolási környezettől függetlenül. A belső csapatokra és a külső harmadik fél szolgáltatókra egyaránt kötelező, és teljes életciklus-megközelítést ír elő: a rendszeres sérülékenységvizsgálatokat és feltárást, a kockázati pontozást és a javítócsomagok beszerzését, a határidőre történő telepítést, a kivételkezelést, a monitorozást és a jelentéskészítést. Kiemelt hangsúlyt kap a hitelesített, kockázathoz igazított vizsgálat meghatározott időközönként, különösen az internet felől elérhető vagy nagy értékű eszközök esetében, valamint az új rendszerek rendszerbe állításához és az életciklus alatti megfelelés fenntartásához kapcsolódó eljárások. A szerepkörök és felelősségek pontosan meghatározottak az elszámoltathatóság erősítése érdekében. Az információbiztonsági vezető (CISO) felel a szabályzat integrációjáért és a kockázati összehangolásért; a sérülékenységkezelési vezetők felügyelik az operatív megvalósítást; a rendszertulajdonosok és az alkalmazástulajdonosok felelősek a korrekciós intézkedések alkalmazásáért és a rendszerstabilitás validálásáért; az informatikai üzemeltetési csapatok végrehajtják a változtatásokat a meghatározott időablakokban; a biztonsági elemzők pedig folyamatos fenyegetés-monitorozás és frissített kockázatértékelések révén biztosítják az éberséget. Formális követelmények vonatkoznak a külső beszállítókra annak biztosítására, hogy a külső rendszerek ugyanazon javítási SLA-k szerint működjenek, időszakos auditokkal és a javításkezelési folyamataik feletti kontrollokkal. A szabályzatot egy irányítási keretrendszer támasztja alá, amely magában foglalja a központilag fenntartott sérülékenységkezelési nyilvántartást és a kockázatalapú SLA-kat. A rendszer a javítási sürgősséget a súlyosság (CVSS-pontozás alapján), az eszköz kritikus jellege és a kitettség szerint érvényesíti, miközben a változáskezelési szabályzat követelményeivel integrálva biztosítja a nyomon követhetőséget és a stabilitást. A részletes kivételprotokollok formális jóváhagyást, kompenzáló kontrollok alkalmazását, felülvizsgálati gyakoriságot, időkorlátokat a kritikus kockázatokra, valamint kötelező nyomon követést írnak elő a kijelölt ISMS-nyilvántartásokban. A szabályzat érvényesítése folyamatos megfelelés-monitorozás, státuszjelentés és strukturált eszkaláció útján történik. A szabályzat auditokat, incidensek utáni retrospektív vizsgálatokat, valamint robusztus felülvizsgálati/frissítési protokollt is előír a folyamatos igazodás érdekében a változó szabályozási kötelezettségekhez, technológiai változásokhoz és a kiemelt fenyegetési információkhoz. Közvetlenül kapcsolódik az alapvető szabályzatokhoz – például az információbiztonsági, változáskezelési, kockázatkezelési, eszközgazdálkodási, naplózási és monitorozási szabályzathoz, valamint az incidenskezeléshez – az end-to-end lefedettség biztosítása érdekében.