Politika upravljanja ranljivosti in nameščanja popravkov

Politika upravljanja ranljivosti in nameščanja popravkov (P19) opredeljuje strukturiran pristop, potreben za identifikacijo, razvrščanje, sanacijo in spremljanje tehničnih ranljivosti in programskih napak v vseh sredstvih, ki jih upravlja sistem upravljanja informacijske varnosti (ISMS) organizacije. Njen primarni cilj je zmanjšati preostalo izpostavljenost tveganju zaradi neodpravljenih vrzeli, tako da zagotovi usklajen proces za ocenjevanje ranljivosti, prioritetno obravnavo, sanacijo in sledenje skladnosti, prilagojen operativnim prioritetam in regulativnemu okolju, relevantnemu za organizacijo. Politika velja na ravni celotnega podjetja za vse informacijske sisteme, aplikacije, omrežja, vdelano programsko opremo, račune v oblaku, vmesnike za aplikacijsko programiranje, končne točke, strežnike, virtualno infrastrukturo in platforme tretjih oseb ne glede na okolje gostovanja. Zavezujoča je tako za notranje ekipe kot za zunanje ponudnike storitev ter zahteva pristop celotnega življenjskega cikla, ki se začne z rednim skeniranjem ranljivosti in odkrivanjem, nadaljuje s točkovanjem tveganj in pridobivanjem popravkov ter vključuje pravočasno uvajanje, obravnavo izjem, spremljanje in poročanje. Poseben poudarek je na avtenticiranem, tveganju prilagojenem skeniranju v določenih intervalih, zlasti za internetno izpostavljena ali visoko vredna sredstva, skupaj s povezanimi postopki za uvajanje novih sistemov in ohranjanje skladnosti skozi njihov življenjski cikel. Vloge in odgovornosti so natančno opredeljene za krepitev odgovornosti. Vodja informacijske varnosti (CISO) je lastnik integracije politike in uskladitve s tveganji; vodje upravljanja ranljivosti nadzorujejo operativno izvedbo; lastniki sistemov in lastniki aplikacij so odgovorni za izvajanje sanacij in preverjanje stabilnosti sistema; IT-operacije izvajajo spremembe v določenih oknih, varnostni analitiki pa zagotavljajo stalno spremljanje prek spremljanja in zaznavanja groženj ter posodobljenih ocen tveganja. Za dobavitelje tretjih oseb veljajo formalne zahteve, da zunanji sistemi upoštevajo enake sporazume o ravni storitev (SLA) za popravke, z rednimi presojami in kontrolami nad njihovimi procesi upravljanja popravkov. Okvir upravljanja, vključno s centralno vzdrževanim registrom upravljanja ranljivosti in sporazumi o ravni storitev (SLA) na podlagi tveganj, podpira politiko. Sistem uveljavlja nujnost popravkov glede na resnost (kot jo določa CVSS), kritičnost sredstva in izpostavljenost, hkrati pa se integrira s Politiko upravljanja sprememb za sledljivost in stabilnost. Podrobni protokoli izjem določajo zahteve za formalno odobritev, nadomestne kontrole, kadenco pregledov, časovne omejitve za kritična tveganja in obvezno sledenje v določenih registrih ISMS. Uveljavljanje politike temelji na stalnem spremljanju skladnosti, poročanju o statusu in strukturirani eskalaciji. Politika zahteva tudi presoje, retrospektivne preiskave po incidentih ter robusten protokol za pregled/posodobitev, da se zagotovi stalna usklajenost z razvijajočimi se regulativnimi obveznostmi, tehnološkimi spremembami in pomembnimi obveščevalnimi podatki o grožnjah. Neposredno je povezana s temeljnimi politikami, kot so Politika informacijske varnosti, Politika upravljanja sprememb, okvir za obvladovanje tveganj, Upravljanje sredstev, Politika beleženja in spremljanja ter Politika odzivanja na incidente (P30), da se zagotovi celovita pokritost.