Politika riadenia zraniteľností a správy záplat

Politika riadenia zraniteľností a správy záplat (P19) definuje štruktúrovaný prístup požadovaný na identifikáciu, klasifikáciu, odstránenie a monitorovanie technických zraniteľností a chýb softvéru v rámci všetkých aktív riadených systémom manažérstva informačnej bezpečnosti (ISMS) organizácie. Jej hlavným cieľom je znížiť zvyškovú expozíciu riziku z neodstránených slabých miest tým, že zabezpečí koordinovaný proces posúdenia zraniteľností, prioritizácie, nápravných opatrení a sledovania súladu, prispôsobený prevádzkovým prioritám a regulačnému prostrediu relevantnému pre organizáciu. Politika sa uplatňuje v celej spoločnosti na všetky informačné systémy, aplikácie, sieťovú infraštruktúru, firmvér, cloudové zdroje, rozhrania API, koncové body, servery, virtuálnu infraštruktúru a platformy tretích strán bez ohľadu na hostingové prostredie. Je záväzná pre interné tímy aj externých poskytovateľov služieb a vyžaduje prístup pokrývajúci celý životný cyklus, od pravidelného skenovania zraniteľností a ich zisťovania, cez skórovanie rizík a získanie záplat, až po včasné nasadenie, ošetrenie výnimiek, monitorovanie a vykazovanie. Osobitný dôraz sa kladie na autentifikované, rizikovo upravené skenovanie v definovaných intervaloch, najmä pre aktíva vystavené internetu alebo aktíva s vysokou hodnotou, spolu s postupmi pre zaradenie zariadení/nových systémov a udržiavanie súladu počas ich životného cyklu. Roly a zodpovednosti sú presne vymedzené s cieľom podporiť zodpovednosť. Riaditeľ informačnej bezpečnosti (CISO) vlastní integráciu politiky a zosúladenie s rizikami; vedúci riadenia zraniteľností dohliadajú na operatívne plnenie; vlastník systému a vlastníci aplikácií sú zodpovední za aplikovanie nápravných opatrení a validáciu stability systému; prevádzka IT vykonáva zmeny v rámci stanovených okien a bezpečnostní analytici udržiavajú ostražitosť prostredníctvom nepretržitého monitorovania hrozieb a aktualizovaných posúdení rizík. Pre dodávateľov tretích strán sú stanovené formálne požiadavky, aby externé systémy dodržiavali rovnaké dohody o úrovni služieb (SLA) pre záplatovanie, vrátane pravidelných auditov a kontrol ich procesov správy záplat. Politiku podporuje rámec správy vrátane centrálne udržiavaného registra riadenia zraniteľností a SLA založených na riziku. Systém vynucuje naliehavosť záplatovania podľa závažnosti (určenej CVSS skórovaním), kritickosti aktíva a expozície, pričom sa integruje s politikou riadenia zmien pre sledovateľnosť a stabilitu. Podrobné protokoly výnimiek stanovujú požiadavky na formálne schválenie, kompenzačné kontroly, periodicitu preskúmania, časové obmedzenia pre kritické riziká a povinné sledovanie v určených registroch ISMS. Vynucovanie politiky sa opiera o priebežné monitorovanie súladu, vykazovanie stavu a štruktúrovanú eskaláciu. Politika tiež vyžaduje audity, retrospektívne vyšetrovania po incidentoch a robustný protokol preskúmania/aktualizácie na zabezpečenie trvalého zosúladenia s vyvíjajúcimi sa regulačnými povinnosťami, technologickými zmenami a relevantnými informáciami o hrozbách. Je priamo prepojená so základnými politikami, ako sú Politika informačnej bezpečnosti, Politika riadenia zmien, rámec riadenia rizík, správa aktív, Politika zaznamenávania a monitorovania a Politika reakcie na incidenty (P30), aby sa zabezpečilo end-to-end pokrytie.