Politica de management al vulnerabilităților și al patch-urilor

Politica de management al vulnerabilităților și al patch-urilor (P19) definește abordarea structurată necesară pentru identificarea, clasificarea, remedierea și monitorizarea vulnerabilităților tehnice și a defectelor software în toate activele guvernate de Sistemul de management al securității informației (SMSI) al organizației. Scopul principal este reducerea expunerii la risc din cauza slăbiciunilor neadresate, prin asigurarea unui proces coordonat pentru evaluarea vulnerabilităților, prioritizare, remediere și urmărirea conformității, adaptat priorităților operaționale și cadrului de reglementare relevant pentru organizație. Politica se aplică la nivelul întregii companii tuturor sistemelor informatice, aplicațiilor, infrastructurii de rețea, firmware-ului, resurselor cloud, API-urilor, punctelor terminale, serverelor, infrastructurii virtuale și platformelor terțe, indiferent de mediul de găzduire. Obligatorie atât pentru echipele interne, cât și pentru furnizorii terți de servicii, aceasta impune o abordare pe întreg ciclul de viață, începând cu scanări de vulnerabilități și descoperire regulate, continuând cu scorarea riscurilor și obținerea patch-urilor, până la implementare la timp, gestionarea excepțiilor, monitorizare și raportare. Se pune accent deosebit pe scanarea autentificată, ajustată la risc, la intervale definite, în special pentru activele expuse la internet sau de valoare ridicată, cu proceduri asociate pentru înrolarea sistemelor noi și menținerea conformității pe parcursul ciclului lor de viață. Rolurile și responsabilitățile sunt delimitate precis pentru a susține responsabilitatea. Ofițerul-șef pentru securitatea informațiilor (CISO) deține integrarea politicii și alinierea la risc; responsabilii de managementul vulnerabilităților supraveghează livrarea operațională; proprietarii de sisteme și proprietarii de aplicații sunt responsabili pentru aplicarea remediilor și validarea stabilității sistemului; Operațiunile IT execută schimbările în ferestrele stabilite, iar analiștii de securitate mențin vigilența prin monitorizarea continuă a conformității, monitorizare și detectare a amenințărilor și evaluări de risc actualizate. Există cerințe formale pentru furnizorii terți, pentru a se asigura că sistemele externe respectă aceleași acorduri privind nivelul de serviciu (SLA) pentru patch-uri, cu audituri periodice și controale asupra proceselor lor de management al patch-urilor. Un cadru de guvernanță, inclusiv un Registru de management al vulnerabilităților menținut central și SLA-uri bazate pe risc, susține politica. Sistemul impune urgența aplicării patch-urilor în funcție de severitate (determinată prin scorare CVSS), criticitatea activului și expunere, integrându-se cu Politica de management al schimbărilor pentru trasabilitate și stabilitate. Protocoalele detaliate de excepții stabilesc cerințe pentru aprobare formală, controale compensatorii, cadență de revizuire, limite de timp pentru riscurile critice și urmărire obligatorie în registrele SMSI desemnate. Aplicarea politicii se bazează pe monitorizarea continuă a conformității, raportarea stării și escaladare structurată. Politica impune, de asemenea, audituri, investigații retrospective după incidente și un protocol robust de revizuire/actualizare pentru a asigura alinierea continuă la obligații de reglementare în evoluție, schimbări tehnologice și informații despre amenințări cu profil ridicat. Este legată direct de politici fundamentale, precum Politica de securitate a informației, Politica de management al schimbărilor, cadrul de gestionare a riscurilor, managementul activelor, Politica de jurnalizare și monitorizare și Politica de răspuns la incidente, pentru a asigura acoperire end-to-end.