J3qx

information archive

ПОЛИТИКА УПРАВЛЕНИЯ ОБНОВЛЕНИЯМИ И УЯЗВИМОСТЯМИ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ. Редакция 1

Posted by j3qx на Август 27, 2016

Политика управления обновлениями и уязвимостями программного обеспечения ООО «Фирма»

Редакция 1

  1. Назначение и область применения
    1. Настоящая «Политика управления обновлениями и уязвимостями программного обеспечения ООО «Фирма» (далее – Политика) развивает положения документа «Политика информационной безопасности ООО «Фирма» (далее — Компания) устанавливает порядок управления обновлениями и уязвимостями информационной безопасности в программном обеспечении, используемом в Компании.

  1. Настоящая Политика является внутренним нормативным документом Компании и не подлежит представлению другим сторонам без согласования с руководством Компании
  2. Цель настоящей Политики – минимизация риска нарушения свойств конфиденциальности, целостности и доступности информационных ресурсов Компании за счет эксплуатации известных уязвимостей в используемом программном обеспечении.
    1. Термины, определения и сокращения

    Информационная система (ИС) – совокупность программного-аппаратного обеспечения, процессов и регламентов, обеспечивающих реализацию одного или нескольких бизнес-процессов.

    Администратор ИС – сотрудник Компании, выполняющий функции контроля, настройки, обновления ИС в силу должностных обязанностей и имеющий необходимые права доступа в данной системе, назначенный администратором информационной системы приказом управляющего директора.

    Программное обеспечение (ПО) – совокупность программ системы обработки информации и программных документов, необходимых для эксплуатации этих программ.

    Операционная система (ОС) — комплекс управляющих и обрабатывающих программ, выступающих как интерфейс между устройствами вычислительной системы и прикладными программами, а также предназначенных для управления устройствами, управления вычислительными процессами, эффективного распределения вычислительных ресурсов между вычислительными процессами и организации надёжных вычислений.

    Мониторинг обновлений – процесс наблюдения за выпуском производителем обновлений для используемого в Компании ПО.

    Средства определения уязвимостей (СОУ) – средство защиты информации, осуществляющее сканирование сетевых ресурсов с целью поиска в них уязвимостей.

    Сканирование уязвимостей – процесс анализа сетевых ресурсов на предмет наличия в них уязвимостей.

    Межсетевой экран (МЭ) — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

    Служба информационной безопасности (Служба ИБ) – подразделение, ответственное за обеспечение информационной безопасности. Отдел информационной безопасности Департамента информационных технологий.

    Common Vulnerability Scoring System Version 2.0 (CVSSv2) – стандарт оценки уязвимостей версии 2.

    1. Управление обновлениями программного обеспечения
  3. Всё используемое ПО должно быть обновлено с учётом всех актуальных обновлений безопасности в срок указанный в Таблице 1 в зависимости от степени критичности обновления и степени критичности ресурсов.
  4. Максимальный срок установки обновлений ПО исчисляется с момента их опубликования производителем.
  5. Установка обновлений программного обеспечения на ресурсы сети Компании должна проводиться в соответствии с действующей в Компании процедурой управления изменениями в информационных системах.

    Таблица 1. Максимальный срок обновления ПО

    Активы низкой критичности

    Активы средней критичности

    Критичные активы

    Высокая степень критичности обновления ПО

    30 суток

    15 суток

    5 суток

    Средняя степень критичности обновления ПО

    40 суток

    30 суток

    15 суток

    Низкая степень критичности обновления ПО

    45 суток

    40 суток

    30 суток

     

  6. Мониторинг обновлений и их установка должны проводиться для всего используемого в Компании программного обеспечения, включая:
  • операционные системы на серверах и рабочих станциях;
  • системы управления базами данных;
  • программное обеспечение используемого активного сетевого оборудования;
  • прикладное программное обеспечение, используемое на серверах и рабочих станциях;
  • программное обеспечение используемых систем защиты информации;
  1. Требования к ИС
  1. Все ИС должны удовлетворять следующим требованиям:
    1. Наличие выделенной для СОУ служебной учётной записи с полномочиями локального администратора.
    2. Сетевая доступность для СОУ, пропускная способность по возможности не ниже 1Мбит/с.
    3. Отсутствие влияния МЭ (как локальных, так и выделенных) на трафик СОУ.
    4. Наличие согласованного временного интервала для проведения сканирований на регулярной основе.
    5. Наличие актуального списка адресов (ip, ipv6, hostname) для каждой ИС.
  2. Для критичных ИС допускается подвергать процедуре выявления уязвимостей не ресурсы в продуктивной среде, а их копии в среде тестирования.
    1. Получение информации об уязвимостях
  3. Специалисты Службы ИБ получают информацию об уязвимостях из следующих источников:
  • отчеты о сканировании уязвимостей с использованием специализированного программного обеспечения – средств обнаружения уязвимостей;
  • уведомления об уязвимостях от администраторов ИС;
  • внешние общедоступные и специализированные источники информации.
  1. Сканирование уязвимостей проводится специалистами Службы ИБ с соблюдением следующих требований:
  • сканированию уязвимостей должны подвергаться все информационные ресурсы Компании;
  • сканирование ИС должно производиться на регулярной основе и в сроки, указанные в Таблице 2; информационные системы, участвующие в формировании финансовой отчетности, расцениваются как критичные активы;
  • сканирование информационных систем должно производится в согласованный интервал времени;
  • средства обнаружения уязвимостей должны быть обновлены перед началом каждого сканирования.
  1. Анализ уязвимостей
  1. Специалисты Службы ИБ, совместно с администраторами ИС, должны оценивать вероятность эксплуатации выявленных уязвимостей к действующей информационной инфраструктуре Компании, а также степень критичности этих уязвимостей.
  2. Оценка применимости выявленных уязвимостей к действующей информационной инфраструктуре Компании проводится экспертным путем. В результате оценки должно даваться формальное заключение. При этом, в случае решения о неприменимости выявленной уязвимости, должно даваться аргументированное обоснование.
  3. Оценка степени критичности выявленной уязвимости (VL, Vulnerability Level) устанавливается в зависимости от степени критичности актива, подверженного уязвимости и ее уровня по CVSSv2:

    Таблица 2. Степени критичности уязвимостей и

    частота проведения сканирования уязвимостей

    Активы низкой критичности

    Активы средней критичности

    Критичные активы

    Уязвимости, соответствующие уровню CVSSv2 от 0,0 до 3,9

    VL=1, низкая степень критичности

    VL=1, низкая степень критичности

    VL=2, средняя степень критичности

    Уязвимости, соответствующие уровню CVSSv2 от 4,0 до 6,9

    VL=1, низкая степень критичности

    VL=2, средняя степень критичности

    VL=3, высокая степень критичности

    Уязвимости, соответствующие уровню CVSSv2 от 7,0 до 10,0

    VL=2, средняя степень критичности

    VL=3, высокая степень критичности

    VL=3, высокая степень критичности

    Частота проведения сканирования уязвимостей

    1 раз в 6 месяцев

    1 раз в 6 месяцев

    1 раз в 3 месяца

    1. Регистрация выявленных уязвимостей
  4. Регистрации подлежат все выявленные уязвимости в используемом в Компании программном обеспечении.
  5. Регистрация выявленных уязвимостей проводится специалистами Службы ИБ в электронном Журнале учета уязвимостей информационной безопасности (форма Журнала учета уязвимостей приведена в Приложении А). Кроме того, для каждой выявленной уязвимости должна заполняться Отчетная форма уязвимости (шаблон Отчетной формы уязвимости приведен в Приложении Б).
  6. При изменениях статуса уязвимости, это должно фиксироваться в журнале уязвимостей ИБ (оценка уязвимости, разработка плана устранения, устранение запланировано, устранена, не применима).
  7. Доступ к Журналу учета уязвимостей должен быть предоставлен только сотрудникам Службы ИБ, техническому директору, управляющим директорам и администраторам ИС.
    1. Устранение уязвимостей
  8. Сроки устранения уязвимостей зависят от их степени критичности и указаны в Таблице 3:
  9. Срок устранения уязвимостей исчисляется с момента их выявления и регистрации.

    Таблица 3. Сроки устранения уязвимостей

    Степень критичности уязвимости

    Низкая

    Средняя

    Высокая

    Срок устранения уязвимости

    30 суток

    15 суток

    5 суток

  10. В качестве методов снижения рисков появления уязвимостей могут использоваться, но не ограничиваясь:
  • устранение уязвимостей путем установки обновлений безопасности, предоставляемых фирмой-разработчиком уязвимого ПО;
  • устранение уязвимостей путем отключения неиспользуемого функционала, в котором выявлены уязвимости;
  • снижение вероятности использования уязвимости за счет ограничения доступа (например, фильтрация сетевого трафика с целью исключения использования уязвимых протоколов, сервисов и служб);
  • отказ от использования уязвимых информационных систем в пользу более защищенных аналогов.
  • передача данных по защищённым каналам.
  1. Процедура устранения уязвимостей
  1. Администраторами ИС, ответственными за устранение конкретной уязвимости, совместно со Службой ИБ в электронном виде заполняется Отчетная форма уязвимости.
  2. Администраторами ИС, ответственными за устранение конкретной уязвимости разрабатывает план устранения уязвимости.
  3. Администратор ИС реализует план устранения уязвимости.
  4. Изменения в информационных системах, направленные на устранение выявленных уязвимостей, должны проводиться в соответствии с действующей в Компании процедурой управления изменениями в информационных системах.
  5. По факту исполнения плана устранения уязвимости ответственный за устранение системный администратор ИС сообщает об этом в Службу ИБ.
  6. Сотрудники Службы ИБ, посредством повторного сканирования уязвимостей, проводят контроль исполнения плана, и, в случае подтверждения успешного устранения уязвимости, делают соответствующие пометки в Журнале учета уязвимостей и Отчетной форме уязвимости.
  7. В случае неподтверждения устранения уязвимости, Сотрудник ИБ извещает Администратора ИС о необходимости доработки плана устранения уязвимости и проведения дополнительных действий по устранению уязвимости.
    1. Права и обязанности
      1. Специалисты Службы ИБ обязаны:
  • выявлять уязвимости на основе анализа информации, полученной согласно п.5.1;
  • своевременно уведомлять администраторов ИС о выявлении уязвимостей в подконтрольных администраторам системах;
  • регистрировать выявленные уязвимости;
  • согласовывать интервалы времени проведения сканирования и проводить сканирование строго в согласованные сроки.
  1. Администраторы ИС обязаны:
  • своевременно устранять выявленные уязвимости;
  • своевременно устанавливать критичные обновления используемого программного обеспечения;
  • проводить мониторинг наличия новых обновлений ПО, выпущенных производителем.
  1. Администраторы ИС и специалисты Службы ИБ обязаны:
  • коллегиально анализировать степени воздействия выявленных уязвимостей на информационные системы Компании, а также осуществлять выбор способа устранения уязвимостей.
  • подписаться на специализированные новостные рассылки об уязвимостях в используемом в Компании программном обеспечении, и не реже одного раза в день анализировать полученную с помощью данных рассылок информацию.
  1. Актуализация документа

Основными механизмами для пересмотра и совершенствования настоящей Политики являются внутренние и внешние аудиты ИБ, а также анализ системы обеспечения информационной безопасности Службой ИБ в сочетании с использованием превентивных и корректирующих мер с интервалом не реже одного раза в два года.

Приложение А

Форма электронного журнала учета уязвимостей

Журнал учета уязвимостей информационной безопасности

(электронный)

Идентификатор уязвимости CVE

Источник информации об уязвимости

Дата выявления

Критичность уязвимости (VL)

Текущий статус

Ссылка на Отчетную форму уязвимости

Ответственный за устранение уязвимости

Дата устранения уязвимости

План

Факт

1
2
3
4

Приложение Б

Шаблон Отчетной формы уязвимости

Отчетная форма уязвимости № (номер в журнале уязвимостей)

CVE идентификатор уязвимости:
Описание уязвимости:
Уровень критичности:
Анализ уязвимости
Заключение о применимости уязвимости (и обоснование в случае неприменимости):
Перечень ресурсов, подверженных уязвимости:

ФИО администраторов систем

Устранение уязвимости
План устранения уязвимости:

ФИО

Результат устранения уязвимости:

ФИО

Проверка устранения уязвимости:

ФИО

Заключение специалиста отдела ИБ: _________________________________________________

(Фамилия И.О.)

(должность)

(дата)

Приложение В.

Базовые требования Nessus к сканируемым ИС

  1. Для базового сканирования ИС на базе ОС Windows необходимо:
    1. Наличие учетной записи уровня локального администратора на всех рабочих станциях и серверах.
    2. Default administrative shares (IPC$, ADMIN$, C$) должны быть включены и доступны.
    3. Наличие учетной записи администратора WSUS и параметры сервера (адрес, порт, наличие\отсутствие шифрования, тип шифрования).
    4. Предоставить подсеть или список адресов сканируемых систем.
  2. Для сканирования сетевого оборудования фирмы CISCO:
    1. Необходимо наличие учетной записи с правами выполнения «show config» на всех устройствах.
    2. «enable» password, если enable используется.
    3. Доступ по протоколу SSH.
    4. Предоставить подсеть или список адресов оборудования CISCO.
  3. Для сканирования ИС на базе ОС *nix необходимо:
    1. Наличие учетной записи уровня «super user» на рабочих станциях и серверах.
    2. Доступ по протоколу SSH.
    3. Предоставить подсеть или список адресов сканируемых систем.
  4. Требования к локальным и выделенным МЭ (в том числе брендмауэрам, firewall, pf, iptables, встроенным в ОС):
    1. Должны пропускать и не модифицировать любые запросы от подсети 10.10.47.0/24 и в обратном направлении.
Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

 
%d такие блоггеры, как: