Ievainojamību un ielāpu pārvaldības politika

Ievainojamību un ielāpu pārvaldības politika (P19) nosaka strukturētu pieeju, kas nepieciešama tehnisko ievainojamību un programmatūras trūkumu identificēšanai, klasificēšanai, trūkumu novēršanai un uzraudzībai visos aktīvos, kurus pārvalda organizācijas informācijas drošības pārvaldības sistēma. Tās galvenais mērķis ir samazināt riska pakļautību no nenovērstām nepilnībām, nodrošinot koordinētu procesu ievainojamību novērtēšanai, prioritizēšanai, trūkumu novēršanai un atbilstības izsekošanai, pielāgotu organizācijai būtiskajām operacionālajām prioritātēm un regulatīvajai videi. Politika attiecas visā uzņēmumā uz visām informācijas sistēmām, lietojumprogrammām, tīkla infrastruktūru, aparātprogrammatūru, mākoņresursiem, lietojumprogrammu saskarnēm, galapunktiem, serveriem, virtuālo infrastruktūru un trešo pušu platformām neatkarīgi no izvietošanas vides. Tā ir saistoša gan iekšējām komandām, gan trešo pušu pakalpojumu sniedzējiem, un nosaka pilna dzīves cikla pieeju: no regulāras ievainojamību skenēšanas un atklāšanas, caur riska skoringu un ielāpu iegūšanu, līdz savlaicīgai izvietošanai, izņēmumu apstrādei, uzraudzībai un ziņošanai. Īpašs uzsvars tiek likts uz autentificētu, riskam pielāgotu skenēšanu noteiktos intervālos, īpaši internetam atvērtajiem vai augstas vērtības aktīviem, kā arī uz procedūrām jaunu sistēmu ievadīšanai un atbilstības uzturēšanai visā to dzīves ciklā. Lomas un pienākumi ir precīzi noteikti, lai veicinātu pārskatatbildību. Galvenais informācijas drošības vadītājs (CISO) nodrošina politikas integrāciju un saskaņošanu ar risku; ievainojamību pārvaldības vadītāji uzrauga operacionālo izpildi; sistēmu un lietojumprogrammu īpašnieki ir atbildīgi par trūkumu novēršanas pasākumu ieviešanu un sistēmas stabilitātes validāciju; IT operāciju komandas veic izmaiņas noteiktajos logos; drošības analītiķi uztur modrību, izmantojot nepārtrauktu draudu uzraudzību un atjauninātus riska novērtējumus. Trešo pušu piegādātājiem ir noteiktas formālas prasības, lai ārējās sistēmas ievērotu tos pašus ielāpu SLA, ar periodiskiem auditiem un kontrolēm pār viņu ielāpu pārvaldības procesiem. Politiku balsta pārvaldības ietvars, tostarp centralizēti uzturēts ievainojamību pārvaldības reģistrs un uz risku balstīti SLA. Sistēma nosaka ielāpu steidzamību atbilstoši smagumam (kā noteikts ar CVSS skoringu), aktīva kritiskumam un pakļautībai, vienlaikus integrējoties ar izmaiņu pārvaldības politiku izsekojamībai un stabilitātei. Detalizēti izņēmumu protokoli nosaka prasības formālai apstiprināšanai, kompensējošajām kontrolēm, pārskatīšanas biežumam, laika ierobežojumiem kritiskajiem riskiem un obligātai izsekošanai noteiktajos ISMS reģistros. Politikas izpilde balstās uz nepārtrauktu atbilstības uzraudzību, statusa ziņošanu un strukturētu eskalāciju. Politika arī nosaka auditus, retrospektīvas izmeklēšanas pēc incidentiem un stabilu pārskatīšanas/atjaunināšanas protokolu, lai nodrošinātu pastāvīgu saskaņotību ar mainīgajiem regulatīvajiem pienākumiem, tehnoloģiskajām izmaiņām un būtisku draudu izlūkošanu. Tā ir tieši saistīta ar pamatpolitikām, piemēram, informācijas drošības politiku, izmaiņu pārvaldības politiku, riska pārvaldības politiku, aktīvu pārvaldības politiku, žurnālfiksēšanas un uzraudzības politiku un incidentu reaģēšanas politiku, lai nodrošinātu pilna cikla pārklājumu.