Ievainojamību un ielāpu pārvaldības politika – MVU

Ievainojamību un ielāpu pārvaldības politika (P19S) nodrošina strukturētu ietvaru ievainojamību identificēšanai, riska novērtēšanai un riska mazināšanai visā organizācijas digitālajā ekosistēmā. Dokumentā, kas ir skaidri pielāgots kā MVU politika (ko atspoguļo tā apzīmējums) un kurā ģenerāldirektors ir noteikts kā galvenā pārskatatbildīgā loma, ir ņemti vērā mazo un vidējo uzņēmumu resursu ierobežojumi, vienlaikus nodrošinot pilnīgu saskaņotību ar galvenajiem atbilstības ietvariem, piemēram, ISO/IEC 27001:2022, GDPR, NIS2 un DORA. Politikas primārais mērķis ir samazināt kiberdrošības riska pakļautību, ieviešot efektīvus, savlaicīgus un uz risku balstītus trūkumu novēršanas procesus visiem aktīviem, tostarp serveriem, galapunktiem, mobilajām ierīcēm, tīkla aparatūrai un mākoņvidē izvietotām sistēmām. Politikas darbības joma ir plaša un iekļaujoša, attiecinot to ne tikai uz visiem tradicionālajiem IT infrastruktūras komponentiem, bet arī uz pašu izstrādātu kodu, piegādātāja pārvaldītām platformām un jebkurām trešo pušu administrētām sistēmām, kas ir būtiskas biznesa operācijām. Šī visaptverošā piemērošana nozīmē, ka gan iekšējie IT resursi, gan ārējie pakalpojumu sniedzēji tiek pārvaldīti saskaņā ar vienotu standartu, nodrošinot vienotas prakses neatkarīgi no tā, kas pārvalda aktīvus. Tādējādi visām sistēmām — gan uz vietas, gan mākoņvidē — ir jāievēro definētie procesi ievainojamību identificēšanai un trūkumu novēršanai. Politikā ir iestrādāts skaidrs lomu un pienākumu sadalījums: ģenerāldirektors ir atbildīgs par uzraudzību un riska pieņemšanu, atspoguļojot MVU raksturīgās vienkāršotās pārvaldības struktūras. Ielāpu uzstādīšanas darbības, ierakstu uzturēšana un izņēmumu pārvaldība parasti tiek veiktas vai nu iekšējo IT administratoru, vai līgumslēgtu IT atbalsta pakalpojumu sniedzēju spēkiem. Privātuma vai drošības koordinatori (ja tādi ir iecelti) ir atbildīgi par to, lai sistēmām, kas apstrādā personas datus, tiktu piešķirta atbilstoša prioritāte, atbalstot regulatīvo atbilstību un samazinot datu aizsardzības pārkāpuma iespējamību. Ir izklāstīti praktiski ieviešanas soļi: kritiskie drošības ielāpi jāpiemēro trīs dienu laikā pēc izlaides, īpaši ārēji pieejamām sistēmām, savukārt visiem pārējiem ielāpiem ir 30 dienu ieviešanas logs. Ielāpi ir jāvalidē, jāpārbauda un jāreģistrē žurnālā; neveiksmīgi atjauninājumi vai izmaiņu atcelšanas plāni ir rūpīgi jādokumentē un jāeskalē. Politika arī nosaka proaktīvu ievainojamību uzraudzību, izmantojot operētājsistēmu paziņojumus, piegādātāju biļetenus un uzticamus globālos draudu paziņojumus. Trešo pušu un pašu izstrādātā programmatūra ir regulāri jāpārskata attiecībā uz ievainojamiem komponentiem, nodrošinot politikas efektivitāti arī darbā ar atvērtā koda vai ārējiem resursiem. Izņēmumu apstrāde, audita žurnālu veidošana un atbilstības pārskatīšanas procesi ir detalizēti aprakstīti, pieprasot, lai katra novirze no standarta ielāpu termiņiem tiktu pakļauta riska novērtēšanai, apstiprināta un atkārtoti izvērtēta saskaņā ar noteiktu grafiku. Politika arī nosaka ikgadējus pārskatus un starpposma atjauninājumus pēc būtiskiem drošības notikumiem vai izmaiņām IT vidē. Informētības programmas un apmācības nodrošina, ka viss personāls ir informēts par atjauninājumu prasībām un spēj ziņot par iespējamām problēmām. Kopumā P19S politika līdzsvaro stingrību un praktiskumu, atbalstot juridiskos un nozares pienākumus, vienlaikus saglabājot pieejamību MVU, kuriem nav specializētu drošības komandu.