Polityka zarządzania podatnościami i poprawkami

Polityka zarządzania podatnościami i poprawkami (P19) definiuje ustrukturyzowane podejście wymagane do identyfikowania, klasyfikowania, usuwania oraz monitorowania podatności technicznych i błędów oprogramowania we wszystkich aktywach objętych Systemem Zarządzania Bezpieczeństwem Informacji (SZBI) organizacji. Jej głównym celem jest ograniczenie ekspozycji na ryzyko wynikającej z niezaadresowanych słabości poprzez zapewnienie skoordynowanego procesu oceny podatności, priorytetyzacji, remediacji oraz śledzenia zgodności, dostosowanego do priorytetów operacyjnych i krajobrazu regulacyjnego właściwego dla organizacji. Polityka ma zastosowanie w całej firmie do wszystkich systemów informatycznych, aplikacji, infrastruktury IT, oprogramowania układowego, zasobów chmury obliczeniowej, interfejsów API, punktów końcowych, serwerów, infrastruktury wirtualnej oraz platform stron trzecich niezależnie od środowiska hostowania. Wiążąca zarówno dla zespołów wewnętrznych, jak i dostawców usług stron trzecich, nakazuje podejście obejmujące pełny cykl życia, począwszy od regularnego skanowania podatności i wykrywania, poprzez punktację ryzyka i pozyskanie poprawek, aż po terminowe wdrożenie, obsługę wyjątków, monitorowanie i raportowanie. Szczególny nacisk kładzie się na uwierzytelnione, dostosowane do ryzyka skanowanie w zdefiniowanych odstępach czasu, w szczególności dla aktywów wystawionych na internet lub o wysokiej wartości, wraz z powiązanymi procedurami wdrażania nowych systemów i utrzymywania zgodności w całym ich cyklu życia. Role i odpowiedzialności są precyzyjnie określone w celu wzmocnienia rozliczalności. Dyrektor ds. bezpieczeństwa informacji (CISO) odpowiada za integrację polityki i dostosowanie do ryzyka; liderzy zarządzania podatnościami nadzorują realizację operacyjną; właściciel systemu oraz właściciele aplikacji odpowiadają za wdrażanie działań naprawczych i walidację stabilności systemu; operacje IT realizują zmiany w ustalonych oknach, a analitycy bezpieczeństwa utrzymują czujność poprzez ciągłe monitorowanie zgodności oraz aktualizowane oceny ryzyka. Wprowadzono formalne wymagania dla zewnętrznych dostawców, aby zapewnić, że systemy zewnętrzne spełniają te same umowy o poziomie usług (SLA) dla poprawek, wraz z okresowymi audytami i kontrolami ich procesów zarządzania poprawkami. Ramy zarządzania, w tym centralnie utrzymywany rejestr zarządzania podatnościami oraz umowy o poziomie usług (SLA) oparte na ryzyku, stanowią podstawę polityki. System wymusza pilność wdrażania poprawek zgodnie z wagą (określoną przez punktację CVSS), krytycznością aktywa oraz ekspozycją, jednocześnie integrując się z Polityką zarządzania zmianami dla zapewnienia identyfikowalności i stabilności. Szczegółowe protokoły odstępstw określają wymagania dotyczące formalnego zatwierdzenia, kontroli kompensacyjnych, częstotliwości przeglądów, limitów czasowych dla ryzyk krytycznych oraz obowiązkowego śledzenia w wyznaczonych rejestrach SZBI. Egzekwowanie polityki opiera się na bieżącym monitorowaniu zgodności, raportowaniu statusu oraz ustrukturyzowanej eskalacji. Polityka nakazuje również audyty, dochodzenia retrospektywne po incydentach oraz solidny protokół przeglądu/aktualizacji w celu zapewnienia stałego dostosowania do zmieniających się obowiązków regulacyjnych, zmian technologicznych oraz istotnych informacji wywiadowczych o zagrożeniach. Jest bezpośrednio powiązana z politykami podstawowymi, takimi jak Polityka bezpieczeństwa informacji, zarządzanie zmianami, Ramy zarządzania ryzykiem, zarządzanie aktywami, Polityka rejestrowania i monitorowania oraz Polityka reagowania na incydenty (P30), aby zapewnić kompleksowe pokrycie end-to-end.