J3qx

information archive

ПОЛИТИКА УПРАВЛЕНИЯ ОБНОВЛЕНИЯМИ И УЯЗВИМОСТЯМИ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

Posted by j3qx на Апрель 23, 2016

  1. Назначение и область применения
    1. Настоящая «Политика управления обновлениями и уязвимостями программного обеспечения ООО «Company» (далее – Политика) развивает положения документа «Политика информационной безопасности ООО «Company» (далее — Компания) устанавливает порядок управления обновлениями и уязвимостями информационной безопасности в программном обеспечении, используемом в Компании
      Настоящая Политика является внутренним нормативным документом Компании и не подлежит представлению другим сторонам без согласования с руководством Компании
    2. Цель настоящей Политики – минимизация риска нарушения свойств конфиденциальности, целостности и доступности информационных ресурсов Компании за счет эксплуатации известных уязвимостей в используемом программном обеспечении.


Термины, определения и сокращения

Информационная система (ИС) – совокупность программного-аппаратного обеспечения, процессов и регламентов, обеспечивающих реализацию одного или нескольких бизнес-процессов.

Администратор ИС – сотрудник Компании, выполняющий функции контроля, настройки, обновления ИС в силу должностных обязанностей и имеющий необходимые права доступа в данной системе.

Программное обеспечение (ПО) – совокупность программ системы обработки информации и программных документов, необходимых для эксплуатации этих программ.

Операционная система (ОС) — комплекс управляющих и обрабатывающих программ, выступающих как интерфейс между устройствами вычислительной системы и прикладными программами, а также предназначенных для управления устройствами, управления вычислительными процессами, эффективного распределения вычислительных ресурсов между вычислительными процессами и организации надёжных вычислений.

Мониторинг обновлений – процесс наблюдения за выпуском производителем обновлений для используемого в Компании ПО.

Средства определения уязвимостей (СОУ) – средство защиты информации, осуществляющее сканирование сетевых ресурсов с целью поиска в них уязвимостей.

Сканирование уязвимостей – процесс анализа сетевых ресурсов на предмет наличия в них уязвимостей.

Межсетевой экран (МЭ) — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

Служба информационной безопасности (Служба ИБ) – подразделение, ответственное за обеспечение информационной безопасности. Отдел информационной безопасности Департамента сопровождения информационных технологий.

Common Vulnerability Scoring System Version 2.0 (CVSSv2) – стандарт оценки уязвимостей версии 2.

Критичность ИС – параметр ИС, указывающий на важность ИС в бизнес-процессе получения прибыли, критичность ИС определяется Бизнес-владельцем во время регистрации ИС в Confluence.

  1. Управление обновлениями программного обеспечения

 

  • Всё используемое ПО должно быть обновлено с учётом всех актуальных обновлений безопасности в срок указанный в Таблице 1 в зависимости от степени критичности обновления и степени критичности ресурсов.
  • В случае если производитель заявляет о прекращении поддержки ПО и прекращении выпуска обновлений, использование такого ПО в Компании должно быть ограничено и ПО в кратчайшие сроки должно быть выведено из эксплуатации.
  • Обновления высокой степени критичности ПО, установленного на активном сетевом оборудовании, должны выполняться в срок не более 10 суток. Обновления ПО, улучшающее функционал оборудования, выполняется по необходимости.
  • Максимальный срок установки обновлений ПО исчисляется с момента их опубликования производителем.
  • Установка обновлений программного обеспечения на ресурсы сети Компании должна проводиться в соответствии с действующей в Компании процедурой управления изменениями в информационных системах.

    Таблица 1. Максимальный срок обновления ПО

    ИС низкой критичности

    ИС средней критичности

    ИС высокой критичности

    Высокая степень критичности обновления ПО

    35 суток

    20 суток

    10 суток

    Средняя степень критичности обновления ПО

    45 суток

    35 суток

    20 суток

    Низкая степень критичности обновления ПО

    50 суток

    45 суток

    35 суток

     

  • Мониторинг обновлений и их установка должны проводиться для всего используемого в Компании программного обеспечения, включая:

 

  • операционные системы на серверах и рабочих станциях;
  • системы управления базами данных;
  • программное обеспечение используемого активного сетевого оборудования;
  • прикладное программное обеспечение, используемое на серверах и рабочих станциях;
  • программное обеспечение используемых систем защиты информации.
  1. Требования к ИС
  1. Все ИС должны удовлетворять следующим требованиям:
    1. Наличие выделенной для СОУ служебной учётной записи с полномочиями в соответствии с Приложением А.
    2. Сетевая доступность для СОУ, пропускная способность по возможности не ниже 1Мбит/с.
    3. Отсутствие влияния МЭ (как локальных, так и выделенных) на трафик СОУ на период проведения сканирования.
    4. Наличие согласованного временного интервала для проведения сканирований на регулярной основе.
    5. Наличие актуального списка адресов (ip, hostname) для каждой ИС.
  2. Для критичных ИС допускается подвергать процедуре выявления уязвимостей не ресурсы в продуктивной среде, а их копии в среде тестирования.
    1. Получение информации об уязвимостях
  3. Специалисты Службы ИБ получают информацию об уязвимостях из следующих источников:
  • отчеты о сканировании уязвимостей с использованием специализированного программного обеспечения – средств обнаружения уязвимостей;
  • уведомления об уязвимостях от администраторов ИС;
  • внешние общедоступные и специализированные источники информации.
  1. Сканирование уязвимостей проводится специалистами Службы ИБ с соблюдением следующих требований:
  • сканированию уязвимостей должны подвергаться все информационные ресурсы Компании;
  • сканирование ИС должно производиться на регулярной основе и в сроки, указанные в Таблице 2; информационные системы, участвующие в формировании финансовой отчетности, расцениваются как ИС высокой критичности;
  • сканирование информационных систем должно производится в согласованный интервал времени;
  • средства обнаружения уязвимостей должны быть обновлены перед началом каждого сканирования.
  1. Анализ уязвимостей
  1. Специалисты Службы ИБ, совместно с администраторами ИС, должны оценивать вероятность эксплуатации выявленных уязвимостей из сети Интернет в действующей информационной инфраструктуре Компании, а также степень критичности этих уязвимостей.
  2. Оценка применимости выявленных уязвимостей в действующей информационной инфраструктуре Компании проводится экспертным путем. В результате оценки должно даваться формальное заключение. При этом, в случае решения о неприменимости выявленной уязвимости, должно даваться аргументированное обоснование.
  3. Оценка степени критичности выявленной уязвимости (VL, Vulnerability Level) устанавливается в зависимости от степени критичности ИС, подверженной уязвимости, от уровня уязвимости по CVSSv2 и возможности эксплуатации из сети Интернет:

    Таблица 2. Степени критичности уязвимостей и

    частота проведения сканирования уязвимостей

    Уязвимости, соответствующие уровню CVSSv2 от 0,0 до 9,0Уязвимости, соответствующие уровню CVSSv2 от 9,0 до 10,0Частота проведения сканирования уязвимостейИС низкой критичностиВозможна эксплуатация из ИнтернетаVL=1, низкая степень критичностине реже 1 раз в 6 месяцевЭксплуатация только из внутренней сетиVL=1, низкая степень критичностиИС средней критичностиВозможна эксплуатация из ИнтернетаVL=1, низкая степень критичностине реже 1 раз в 6 месяцевЭксплуатация только из внутренней сетиVL=1, низкая степень критичностиИС высокой критичностиВозможна эксплуатация из ИнтернетаVL=1, низкая степень критичностиVL=3, высокая степень критичностине реже 1 раз в 3 месяцаЭксплуатация только из внутренней сетиVL=1, низкая степень критичностиVL=2, средняя степень критичностиВсе уязвимости, обнаруженные не в продуктивных средах ИС, расцениваются с низкой степенью критичности.

    1. Регистрация выявленных уязвимостей
  4. Регистрации подлежат все выявленные уязвимости в используемом в Компании программном обеспечении.
  5. Сотрудники Службы ИБ регистрируют выявленные уязвимости одновременно с постановкой задач на их устранение в Jira. В Confluence ведется Журнал учета всех задач на устранение уязвимостей.
  6. При изменениях статуса уязвимости, это должно фиксироваться в задаче на устранение уязвимостей ИБ (оценка уязвимости, разработка плана устранения, устранение запланировано, устранена, не применима, риск эксплуатации уязвимости принят).
  7. Доступ к Журналу учета задач на устранение уязвимостей должен быть предоставлен только сотрудникам Службы ИБ, директору департамента сопровождения информационных технологий, управляющим директорам.
    1. Устранение уязвимостей
  8. Сроки устранения уязвимостей зависят от их степени критичности и указаны в Таблице 3:
  9. Срок устранения уязвимостей исчисляется с момента их выявления и регистрации.

    Таблица 3. Сроки устранения уязвимостей

    Степень критичности уязвимости

    Низкая

    Средняя

    Высокая

    Срок устранения уязвимости

    90 суток

    45 суток

    10 суток

  10. В качестве методов снижения рисков появления уязвимостей могут использоваться, но не ограничиваясь:
  • устранение уязвимостей путем установки обновлений безопасности, предоставляемых фирмой-разработчиком уязвимого ПО;
  • устранение уязвимостей путем отключения неиспользуемого функционала, в котором выявлены уязвимости;
  • снижение вероятности использования уязвимости за счет ограничения доступа (например, фильтрация сетевого трафика с целью исключения использования уязвимых протоколов, сервисов и служб);
  • отказ от использования уязвимых информационных систем в пользу более защищенных аналогов;
  • передача данных по защищённым каналам.
  1. Принятие рисков по эксплуатации уязвимсоти
  1. Риск эксплуатации уязвимости может быть принят Техническим владельцем ИС, т.е. принимается решение об отказе выполнять какие-либо действия по снижению риска эксплуатации уязвимости.
  2. Решение о принятии риска эксплуатации уязвимости регистрируется в соответствующей задаче на устранение уязвимости.
  3. В случае принятия риска Технический владелец ИС несет ответственность за инцидент, произошедший в результате эксплуатации уязвимости.
    1. Процедура устранения уязвимостей
  4. Администраторы ИС разрабатывают план устранения уязвимости. К разработке плана устранения уязвимости при необходимости привлекается Технический владелец ИС.
  5. Администратор ИС реализует план устранения уязвимости.
  6. Изменения в информационных системах, направленные на устранение выявленных уязвимостей, должны проводиться в соответствии с действующей в Компании процедурой управления изменениями в информационных системах.
  7. Сотрудники Службы ИБ, посредством повторного сканирования уязвимостей, проводят контроль исполнения задачи на устранение уязвимости.
  8. В случае неподтверждения устранения уязвимости, Сотрудник ИБ создает новую задачу в Jira на устранение уязвимости для Администратора.
    1. Права и обязанности
      1. Специалисты Службы ИБ обязаны:
  • выявлять уязвимости на основе анализа информации, полученной согласно п.5.1;
  • своевременно уведомлять администраторов ИС о выявлении уязвимостей в подконтрольных администраторам системах;
  • согласовывать интервалы времени проведения сканирования и проводить сканирование строго в согласованные сроки;
  • анализировать степени воздействия выявленных уязвимостей на информационные системы Компании, а также осуществлять выбор способа устранения уязвимостей;
  1. Администраторы ИС обязаны:
  • своевременно устранять выявленные уязвимости;
  • своевременно устанавливать критичные обновления используемого программного обеспечения;
  • проводить мониторинг наличия новых обновлений ПО, выпущенных производителем.
  1. Актуализация документа

Основными механизмами для пересмотра и совершенствования настоящей Политики являются внутренние и внешние аудиты ИБ, а также анализ системы обеспечения информационной безопасности Службой ИБ в сочетании с использованием превентивных и корректирующих мер с интервалом не реже одного раза в два года.

Приложение А

Базовые требования Nessus к сканируемым ИС

  1. Для базового сканирования ИС на базе ОС Windows необходимо:
    1. Наличие учетной записи уровня локального администратора на всех рабочих станциях и серверах.
    2. Default administrative shares (IPC$, ADMIN$, C$) должны быть включены и доступны.
    3. Наличие учетной записи администратора WSUS и параметры сервера (адрес, порт, наличие\отсутствие шифрования, тип шифрования).
    4. Предоставить подсеть или список адресов сканируемых систем.
  2. Для сканирования сетевого оборудования фирмы CISCO:
    1. Необходимо наличие ограниченной учетной записи только с правами чтения конфигурации («show config») на всех устройствах.
    2. «enable» password, если enable используется.
    3. Доступ по протоколу SSH.
    4. Предоставить подсеть или список адресов оборудования CISCO.
  3. Для сканирования ИС на базе ОС *nix необходимо:
    1. Наличие учетной записи уровня «super user» на рабочих станциях и серверах.
    2. Доступ по протоколу SSH.
    3. Предоставить подсеть или список адресов сканируемых систем.
  4. Требования к локальным и выделенным МЭ (в том числе брендмауэрам, firewall, pf, iptables, встроенным в ОС):
    1. Должны пропускать и не модифицировать любые запросы от подсети 10.10.47.0/24 и в обратном направлении.
Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

 
%d такие блоггеры, как: