Skip to main content

8.8 Zarządzanie podatnościami technicznymi

Rodzaj kontroli: Informacja
Właściwości bezpieczeństwa: Prewencyjne, Poufność, Integralność, Dostępność
Koncepcje cyberbezpieczeństwa: Identyfikacja, Ochrona, Zarządzanie zagrożeniami i podatnościami, Zarządzanie i ekosystem
Obszary operacyjne: Ochrona, Obrona

Kontrola

Informacje o podatnościach technicznych systemów informatycznych powinny być pozyskiwane, narażenie organizacji na te podatności powinno być oceniane, a odpowiednie środki zaradcze powinny być wdrażane.

Cel

Zapobieganie wykorzystywaniu podatności technicznych.

Wytyczne

Identyfikacja podatności technicznych

Organizacja powinna posiadać dokładny wykaz aktywów (zob. 5.9-5.14) jako warunek skutecznego zarządzania podatnościami technicznymi. Inwentaryzacja powinna obejmować dostawcę oprogramowania, nazwę oprogramowania, numery wersji, aktualny stan wdrożenia oraz osoby odpowiedzialne za oprogramowanie.

Aby identyfikować podatności techniczne, należy:

  • a) określić role i odpowiedzialności związane z zarządzaniem podatnościami, w tym monitorowanie podatności, ocenę ryzyka, aktualizację, śledzenie aktywów i wymagane działania koordynacyjne;
  • b) identyfikować źródła informacji o podatnościach dla używanego oprogramowania i technologii oraz regularnie aktualizować listę tych źródeł;
  • c) wymagać od dostawców systemów informatycznych zapewnienia mechanizmów zgłaszania, obsługi i ujawniania podatności, uwzględniając te wymagania w umowach (zob. 5.20);
  • d) stosować narzędzia do skanowania podatności, odpowiednie dla używanej technologii, w celu identyfikowania podatności oraz weryfikacji skuteczności wdrożonych poprawek;
  • e) przeprowadzać zaplanowane, udokumentowane i powtarzalne testy penetracyjne lub oceny podatności przez kompetentne i upoważnione osoby;
  • f) monitorować podatności w bibliotekach i kodzie źródłowym stron trzecich.

Ocena podatności technicznych

Aby ocenić zidentyfikowane podatności, należy:

  • a) analizować raporty w celu określenia niezbędnych działań naprawczych;
  • b) po identyfikacji podatności określić związane z nią ryzyko oraz wymagane działania, np. aktualizację podatnych systemów lub wdrożenie innych środków kontrolnych.

Podejmowanie odpowiednich działań

Proces zarządzania aktualizacjami oprogramowania powinien zapewniać instalację najnowszych zatwierdzonych poprawek i aktualizacji aplikacji. Wszystkie zmiany powinny być w pełni testowane i dokumentowane, aby można było je ponownie zastosować w przyszłych aktualizacjach.

W celu zarządzania podatnościami należy:

  • a) podejmować odpowiednie i terminowe działania w odpowiedzi na identyfikację potencjalnych podatności;
  • b) realizować działania zgodnie z kontrolami zarządzania zmianami (zob. 8.32) lub procedurami reagowania na incydenty (zob. 5.26);
  • c) korzystać wyłącznie z aktualizacji pochodzących z legalnych źródeł;
  • d) testować i oceniać aktualizacje przed ich wdrożeniem, aby upewnić się, że są skuteczne i nie powodują nieakceptowalnych skutków ubocznych;
  • e) priorytetowo aktualizować systemy o najwyższym ryzyku;
  • f) opracować rozwiązania naprawcze (np. aktualizacje oprogramowania lub poprawki bezpieczeństwa);
  • g) testować skuteczność wdrożonych środków zaradczych;
  • h) zapewnić mechanizmy weryfikacji autentyczności wdrażanych poprawek;
  • i) jeśli aktualizacja nie jest dostępna lub jej instalacja nie jest możliwa, rozważyć alternatywne środki ochronne, takie jak:
    1. stosowanie obejść sugerowanych przez dostawcę oprogramowania,
    2. wyłączanie usług lub funkcji związanych z podatnością,
    3. modyfikowanie lub dodawanie mechanizmów kontroli dostępu (np. zapory sieciowe),
    4. izolowanie podatnych systemów za pomocą odpowiednich filtrów ruchu (tzw. wirtualne poprawki – virtual patching),
    5. zwiększenie monitorowania w celu wykrycia rzeczywistych ataków,
    6. podnoszenie świadomości o podatności wśród użytkowników.

Dodatkowe kwestie

  • Należy prowadzić dziennik audytowy wszystkich działań podejmowanych w ramach zarządzania podatnościami technicznymi.
  • Proces zarządzania podatnościami powinien być regularnie monitorowany i oceniany pod kątem skuteczności.
  • Skuteczne zarządzanie podatnościami technicznymi powinno być powiązane z procesem zarządzania incydentami, aby przekazywać informacje o podatnościach do funkcji reagowania na incydenty.

Jeśli organizacja korzysta z usług chmurowych dostarczanych przez zewnętrznego dostawcę, zarządzanie podatnościami zasobów chmurowych powinno być zapewnione przez dostawcę usług. Odpowiedzialność za zarządzanie podatnościami powinna być określona w umowie o świadczenie usług chmurowych (zob. 5.23).

Inne informacje

Zarządzanie podatnościami technicznymi może być traktowane jako podfunkcja zarządzania zmianami i korzystać z istniejących procesów oraz procedur związanych z zarządzaniem zmianami (zob. 8.32).

Niektóre aktualizacje mogą nie rozwiązywać problemu w pełni lub powodować negatywne skutki uboczne. W niektórych przypadkach dezinstalacja aktualizacji może być trudna lub niemożliwa.

Jeżeli pełne przetestowanie aktualizacji nie jest możliwe (np. ze względu na koszty lub brak zasobów), organizacja może opóźnić jej wdrożenie w celu oceny ryzyka, bazując na doświadczeniach innych użytkowników.

Więcej informacji o zarządzaniu podatnościami w chmurze można znaleźć w normach ISO/IEC 19086 i ISO/IEC 27017. Szczegółowe informacje o odbieraniu zgłoszeń podatności i publikowaniu poradników można znaleźć w ISO/IEC 29147, a o ich obsłudze i eliminacji w ISO/IEC 30111.