Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Постановление Правительства Амурской области от 17 октября 2023 г. N 879 "Об утверждении Регламента выявления, анализа и устранения уязвимостей в информационных системах, эксплуатируемых в органах исполнительной власти Амурской области, органах местного самоуправления муниципальных образований Амурской области и в подведомственных им учреждениях"
- Приложение. Регламент выявления, анализа и устранения уязвимостей в информационных системах, эксплуатируемых в органах исполнительной власти Амурской области, органах местного самоуправления муниципальных образований Амурской области и в подведомственных им учреждениях
- Приложение. Перечень операций управления уязвимостями в органах исполнительной власти Амурской области, органах местного самоуправления муниципальных образований Амурской области и в подведомственных им учреждениях
Приложение. Перечень операций управления уязвимостями в органах исполнительной власти Амурской области, органах местного самоуправления муниципальных образований Амурской области и в подведомственных им учреждениях
Приложение
к Регламенту
выявления, анализа и устранения уязвимостей
в информационных системах,
эксплуатируемых в органах исполнительной
власти Амурской области, органах местного
самоуправления муниципальных образований
Амурской области и в подведомственных
им учреждениях
Перечень
операций управления уязвимостями в органах исполнительной власти Амурской области, органах местного самоуправления муниципальных образований Амурской области и в подведомственных им учреждениях
Таблица N 1 - операции этапа мониторинга уязвимостей и оценки их применимости
|
N п/п |
Наименование операции |
Описание операции |
Исполнитель операции |
Продолжительность операции |
Входные данные |
Выходные данные |
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
|
1. |
Анализ информации об уязвимости |
Анализ информации из различных источников с целью поиска актуальных и потенциальных уязвимостей и оценки их применимости к информационным системам (далее - ИС), эксплуатируемым в органах исполнительной власти Амурской области, органах местного самоуправления муниципальных образований Амурской области и подведомственных им учреждениях (далее - органы (организации). Агрегирование и корреляция собираемых данных об уязвимостях |
Специалисты подразделения, осуществляющего функции по защите информации в органе (организации) (далее - подразделение ИБ) либо штатный специалист по информационной безопасности (далее - ИБ) органа (организации) |
Не более 2 рабочих дней. Для уязвимостей критического уровня - не более 1 часа. Для уязвимостей высокого уровня - не более 6 часов |
Сведения, содержащиеся в банке данных угроз безопасности информации ФСТЭК России, размещенном в информационно-телекоммуникационной сети Интернет по адресу: bdu.fstec.ru (далее - БДУ), а также иные источники, содержащие сведения об известных уязвимостях. Официальные ресурсы разработчиков программного обеспечения, программно-аппаратных средств и исследователей в области ИБ |
Перечень (список) потенциальных уязвимостей |
|
2. |
Оценка применимости уязвимости |
На основе информации об объектах ИС и их состоянии определяется применимость уязвимости к ИС с целью определения уязвимостей, не требующих дальнейшей обработки (нерелевантных уязвимостей). Оценка применимости уязвимостей производится: 1) на основе анализа данных о системе управления информационной инфраструктурой (далее - ИТ-инфраструктура), полученных из баз данных управления конфигурациями в рамках процесса "Управление конфигурацией"; 2) на основе анализа данных о возможных объектах воздействия, полученных в результате моделирования угроз в рамках процесса "Оценка угроз"; по результатам оценки защищенности, предусмотренной пунктом 6 настоящего Перечня |
Специалисты подразделения ИБ либо штатный специалист по ИБ органа (организации) |
Не более 2 рабочих дней. Для уязвимостей критического уровня - не более 1 часа. Для уязвимостей высокого уровня - не более 6 часов |
Информация об объектах ИС и их состоянии. Данные, полученные в результате моделирования угроз. Данные, полученные в результате оценки защищенности |
Перечень (список) релевантных уязвимостей |
|
3. |
Принятие решений на получение дополнительной информации |
Запрос дополнительной информации об уязвимости (сканирование объектов ИС, оценка защищенности), если имеющихся данных недостаточно для принятия решений по управлению уязвимостями |
Специалисты подразделения ИБ либо штатный специалист по ИБ органа (организации) |
Не более 2 часов. Для уязвимостей критического уровня - не более получаса. Для уязвимостей высокого уровня - не более 2 часов |
Перечень (список) релевантных уязвимостей |
Решение о получении дополнительной информации |
|
4. |
Постановка задачи на сканирование объектов ИС |
Запрос на внеплановое сканирование объектов ИС в случае недостаточности либо неактуальности имеющихся данных, а также в случае получения информации об уязвимости после последнего сканирования |
Руководитель подразделения ИБ либо штатный специалист по ИБ органа (организации) |
Не более 1 часа с момента принятия решения о сканировании объектов ИС. Для уязвимостей критического уровня и высокого уровня - незамедлительно |
Решение о получении дополнительной информации |
Решение о сканировании объектов ИС |
|
5. |
Сканирование объектов ИС |
Поиск уязвимостей и недостатков с помощью автоматизированных систем анализа защищенности. Выбор объектов ИС и времени сканирования, уведомление заинтересованных подразделений (например, ситуационного центра, подразделения, ответственного за внедрение информационных технологий в органе (организации) (далее - подразделение ИТ) о проведении сканирования и дальнейшее сканирование выбранных объектов ИС на наличие уязвимости |
Специалисты подразделения ИБ либо штатный специалист по ИБ органа (организации) |
Не более 1 рабочего дня. Для уязвимостей критического уровня - не более 4 часов. Для уязвимостей высокого уровня - не более 1 рабочего дня. Продолжительность может быть увеличена в зависимости от объема сканируемых объектов ИС и их технических возможностей |
Решение о сканировании объектов ИС |
Отчет с результатами сканирования |
|
6. |
Оценка защищенности |
Экспертная оценка возможности применения уязвимости к ИС. В ходе оценки защищенности осуществляется проверка возможности эксплуатации уязвимости в ИС органа (организации) с использованием моделирования эксплуатации уязвимости или средства эксплуатации уязвимости, в том числе в ходе тестирования на проникновение (тестирования системы защиты информации путем осуществления попыток несанкционированного доступа (воздействия) к ИС в обход ее системы защиты информации) |
Специалисты подразделения ИБ либо штатный специалист по ИБ органа (организации) |
Не более 1 рабочего дня. Для уязвимостей критического уровня - не более 1 часа. Для уязвимостей высокого уровня - не более 6 часов. Продолжительность может быть увеличена в зависимости от объема оцениваемых объектов ИС |
Решение о получении дополнительной информации |
Отчет с результатами исследования |
Таблица N 2 - операции этапа оценки уязвимостей
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
|
7. |
Получение информации об объектах ИС, подверженных уязвимости |
Получение выборки объектов ИС, подверженных уязвимости |
Специалисты подразделения ИБ либо штатный специалист по ИБ органа (организации) |
Не более 4 часов. Для уязвимостей критического уровня - не более 1 часа. Для уязвимостей высокого уровня - не более 6 часов |
Перечень (список) релевантных уязвимостей |
Перечень объектов ИС, для которых уязвимость релевантна |
|
8. |
Определение уровня опасности уязвимости |
Расчет базовой, контекстной и временной метрик по методике CVSS с использованием калькулятора CVSS V3 или V3.1, размещенного в БДУ |
Специалисты подразделения ИБ либо штатный специалист по ИБ органа (организации) |
Не более 1 часа. Уровень критичности уязвимости определяется подсчетом суммарного количества баллов в соответствии с Методикой оценки уровня критичности уязвимостей программных, программно-аппаратных средств, утвержденной Федеральной службой по техническому и экспортному контролю 28.10.2022 |
Основные характеристики уязвимости |
Показатель опасности уязвимости ( |
|
9. |
Определение влияния уязвимости на ИС |
Определение влияния уязвимого компонента на защищенность ИС выполняется с использованием результатов процесса "Оценка угроз" (в части сведений о недопустимых негативных последствиях и возможных объектах воздействий), при этом могут быть использованы данные об ИТ-инфраструктуре, полученные из баз данных управления конфигурациями (отдельные результаты из процесса "Управление конфигурацией") |
Специалисты подразделения ИБ либо штатный специалист по ИБ органа (организации) |
Не более 1 часа |
Сведения об объектах воздействия, сведения об объектах инфраструктуры (тип, количество, влияние на защищенность) |
Показатель влияния уязвимости ( |
|
10. |
Расчет критичности уязвимости |
Получение значений уровней критичности обнаруженных уязвимостей |
Специалисты подразделения ИБ либо штатный специалист по ИБ органа (организации) |
Не более 1 часа |
Показатель опасности уязвимости ( |
Сведения об уязвимостях, подлежащих устранению, и уровнях их критичности |
Таблица N 3 - операции этапа определения методов и приоритетов устранения уязвимостей
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
|
11. |
Определение приоритетности устранения уязвимостей |
Определение приоритетности устранения уязвимостей в соответствии с результатами расчета критичности уязвимостей на этапе оценки уязвимостей |
Специалисты подразделения ИБ либо штатный специалист по ИБ органа (организации) |
Не более 1 часа |
Сведения об уязвимостях, подлежащих устранению, и уровнях их критичности |
Приоритет устранения уязвимости |
|
12. |
Определение методов устранения уязвимостей |
Выбор метода устранения уязвимости: установка обновления или применение компенсирующих мер защиты информации |
Специалисты подразделения ИБ либо штатный специалист по ИБ органа (организации) |
Не более 1 часа |
Приоритет устранения уязвимости |
Методика устранения уязвимости |
|
13. |
Принятие решения о срочной установке обновлений |
При обнаружении уязвимости критического уровня может быть принято решение о срочной установке обновления программного обеспечения объектов ИС, подверженных уязвимости |
Руководитель подразделения ИБ либо штатный специалист по ИБ органа (организации) |
Не более 1 часа |
Приоритет устранения уязвимости |
Решение о срочной установке обновления |
|
14. |
Создание заявки на срочную установку обновления |
Заявка на срочную установку обновления направляется на согласование руководителю подразделения ИТ либо при отсутствии подразделения ИТ штатному специалисту, ответственному за внедрение информационных технологий в органе (организации) (далее - штатный специалист по ИТ органа (организации) |
Руководитель подразделения ИБ либо штатный специалист по ИБ органа (организации) |
Незамедлительно после принятия решения |
Решение о срочной установке обновления |
Заявка на срочную установку обновления |
|
15. |
Принятие решения о срочной реализации компенсирующих мер защиты информации |
При обнаружении уязвимости критического уровня может быть принято решение о срочной реализации компенсирующих мер защиты информации в качестве временного решения до установки обновления |
Специалисты подразделения ИБ либо штатный специалист по ИБ органа (организации) |
Не более 1 часа |
Приоритет устранения уязвимости |
Методика устранения уязвимости (применение компенсирующих мер) |
|
16. |
Создание заявки на установку обновления |
Заявка создается в случае, если определено, что установка обновления для устранения данной уязвимости не запланирована |
Руководитель подразделения ИБ либо штатный специалист по ИБ органа (организации) |
Незамедлительно после определения методики |
Методика устранения уязвимости (установка обновления) |
Заявка на установку обновления |
|
17. |
Создание заявки на реализацию компенсирующих мер защиты информации |
Заявка на реализацию компенсирующих мер защиты информации формируется при отсутствии возможности установки обновления, а также в случае необходимости принятия мер до устранения уязвимости |
Специалисты подразделения ИБ либо штатный специалист по ИБ органа (организации) |
Незамедлительно после определения методики |
Методика устранения уязвимости (применение компенсирующих мер) |
Заявка на реализацию компенсирующих мер |
Таблица N 4 - операции этапа устранения уязвимостей
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
|
Установка обновлений | ||||||
|
18. |
Согласование установки обновления с руководителем подразделения ИТ либо штатным специалистом по ИТ органа (организации) |
Срочная установка обновлений программного обеспечения предварительно согласовывается с руководителем подразделения ИТ либо штатным специалистом по ИТ органа (организации) |
Руководитель подразделения ИБ либо штатный специалист по ИБ. При участии руководителя подразделения ИТ либо штатного специалиста по ИТ органа (организации) |
Не более 1 часа |
Заявка на срочную установку обновления |
Решение о срочной установке обновлений |
|
19. |
Тестирование обновления |
Выявление потенциально опасных функциональных возможностей, незадекларированных разработчиком программных, программно-аппаратных средств, в том числе политических баннеров, лозунгов, призывов и иной противоправной информации |
Специалисты подразделения ИТ либо штатный специалист по ИТ органа (организации) |
Не более 2 часов. Для уязвимостей критического уровня - не более получаса |
План установки обновлений. Решение о срочной установке обновлений |
Решение о необходимости тестирования |
|
20. |
Установка обновления в тестовом сегменте ИС |
Установка обновлений на выбранном тестовом сегменте ИС в целях определения влияния их установки на ее функционирование |
Специалисты подразделения ИТ либо штатный специалист по ИТ органа (организации) |
Не более 2 часов Для уязвимостей критического уровня - не более получаса |
Решение о необходимости тестирования. Отсутствие результатов тестирований в БДУ |
Информация о корректности и допустимости обновления |
|
21. |
Принятие решения об установке обновления |
В случае, если негативного влияния от установки обновления на выбранном тестовом сегменте ИС не выявлено, принимается решение о его распространении в ИС. В случае обнаружения негативного влияния от установки обновления на выбранном тестовом сегменте ИС дальнейшее распространение обновления не осуществляется, при этом для нейтрализации уязвимости применяются компенсирующие меры защиты информации |
Руководитель подразделения ИТ либо штатный специалист по ИТ органа (организации) |
Не более 1 часа. Для уязвимостей критического уровня - не более получаса |
Информация о корректности и допустимости обновления (положительно) |
Решение об установке обновления |
|
22. |
Установка обновления |
Распространение обновления на объекты ИС |
Специалисты подразделения ИТ либо штатный специалист по ИТ органа (организации) |
С момента выявления: до 24 рабочих часов для уязвимостей критического уровня; до 7 рабочих дней для высокого уровня уязвимостей; до 4 недель для среднего уровня уязвимостей; до 4 месяцев для низкого уровня уязвимостей |
Решение об установке обновления |
Результаты установки обновлений |
|
23. |
Формирование плана установки обновлений |
Уязвимости, для устранения которых не была определена необходимость срочной установки обновлений, устраняются в ходе плановой установки обновлений. Формирование плана обновлений осуществляется с учетом заявок на установку обновлений |
Руководитель подразделения ИТ либо штатный специалист по ИТ органа (организации) |
В течение 24 часов с момента поступления заявки на установку обновления |
Заявка на установку обновления |
План установки обновлений |
|
24. |
Разработка и реализация компенсирующих мер защиты информации |
Разработка и применение мер защиты информации, которые применяются в ИС взамен отдельных мер защиты информации, подлежащих реализации в соответствии с требованиями по защите информации, в связи с невозможностью их установки, обнаружением негативного влияния от установки обновления, а также в случае необходимости принятия мер до устранения уязвимости. К компенсирующим мерам защиты информации могут относиться: организационные меры защиты информации, настройка средств защиты информации, анализ событий безопасности, внесение изменений в ИТ-инфраструктуру |
Специалисты подразделения ИБ либо штатный специалист по ИБ органа (организации). При участии специалистов подразделения ИТ либо штатного специалиста по ИТ органа (организации) |
С момента выявления: до 24 часов для уязвимостей критического уровня; до 7 рабочих дней для высокого уровня уязвимостей; до 4 недель для среднего уровня уязвимостей; до 4 месяцев для низкого уровня уязвимостей |
Заявка на реализацию компенсирующих мер. Информация о корректности и допустимости обновления (отрицательно). Результаты установки обновлений (неудача) |
Результаты применения мер |
|
2. Разработка и реализация компенсирующих мер | ||||||
|
25. |
Определение мер защиты информации и ответственных за их реализацию |
Определение компенсирующих мер защиты информации, необходимых для нейтрализации уязвимости либо снижения возможных негативных последствий от ее эксплуатации. В ходе выполнения данной операции должны быть определены работники, участие которых необходимо для реализации выбранных компенсирующих мер защиты информации |
Специалисты подразделения ИБ либо штатный специалист по ИБ органа (организации) |
До 1 рабочего дня. Для уязвимостей критического уровня - не более 1 часа |
Заявка на реализацию компенсирующих мер. Информация о корректности и допустимости обновления (отрицательно) Результаты установки обновлений (неудача) |
Перечень мер и ответственных лиц |
|
26. |
Согласование привлечения работников |
В случае необходимости привлечения работников других подразделений для реализации компенсирующих мер защиты информации руководитель подразделения ИБ согласует их привлечение с руководителями соответствующих подразделений |
Руководитель подразделения ИБ либо штатный специалист по ИБ органа (организации). При участии руководителя подразделения ИТ либо штатного специалиста по ИТ органа (организации) |
До 1 рабочего дня. Для уязвимостей критического уровня - не более получаса |
Перечень ответственных лиц (в случае привлечения сотрудников других подразделений) |
Перечень ответственных лиц (согласованный) |
|
27. |
Реализация организационных мер защиты информации |
Реализация организационных мер защиты информации предусматривает: 1) ограничение использования ИТ-инфраструктуры; 2) организацию режима охраны (в частности, ограничение доступа к техническим средствам); 3) информирование и обучение персонала органа (организации) |
Специалисты подразделения ИБ либо штатный специалист по ИБ органа (организации). При участии руководителя подразделения ИТ либо штатного специалиста по ИТ органа (организации) |
С момента выявления: до 24 часов для уязвимостей критического уровня; до 7 рабочих дней для высокого уровня уязвимостей; до 4 недель для среднего уровня уязвимостей; до 4 месяцев для низкого уровня уязвимостей |
Перечень мер и ответственных лиц |
Результаты применения мер |
|
28. |
Настройка средств защиты информации |
Оценка возможности реализации компенсирующих мер с использованием средств защиты информации, выбор средств защиты информации (при необходимости). Выполнение работ по настройке средств защиты информации |
Специалисты подразделения ИБ либо штатный специалист по ИБ органа (организации). При участии специалистов подразделения ИТ либо штатного специалиста по ИТ органа (организации) |
С момента выявления: до 24 часов для уязвимостей критического уровня; до 7 рабочих дней для высокого уровня уязвимостей; до 4 недель для среднего уровня уязвимостей; до 4 месяцев для низкого уровня уязвимостей |
Перечень мер и ответственных лиц |
Результаты применения мер |
|
29. |
Организация анализа событий безопасности |
Организация постоянного наблюдения и анализа результатов регистрации событий безопасности и иных данных с целью выявления и блокирования попыток эксплуатации уязвимости |
Специалисты подразделения ИБ либо штатный специалист по ИБ органа (организации) |
С момента выявления: до 24 часов для уязвимостей критического уровня; до 7 рабочих дней для высокого уровня уязвимостей; до 4 недель для среднего уровня уязвимостей; до 4 месяцев для низкого уровня уязвимостей |
Перечень мер и ответственных лиц |
Результаты применения мер |
|
30. |
Внесение изменений в ИТ-инфраструктуру |
Внесение изменений в ИТ-инфраструктуру включает действия по внесению изменений в конфигурации программных и программно-аппаратных средств (в том числе, удаление (выведение из эксплуатации) |
Специалисты подразделения ИТ либо штатный специалист по ИТ органа (организации) |
С момента выявления: до 24 часов для уязвимостей критического уровня; до 7 рабочих дней для высокого уровня уязвимостей; до 4 недель для среднего уровня уязвимостей; до 4 месяцев для низкого уровня уязвимостей |
Перечень мер и ответственных лиц |
Результаты применения мер |
Таблица N 5 - операции этапа устранения уязвимостей
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
|
Контроль установки уязвимости | ||||||
|
31. |
Принятие решения о способе контроля |
Определение способа контроля устранения уязвимости: проверка объектов ИС на наличие уязвимости (сканирование средствами анализа защищенности) либо оценка защищенности |
Специалисты подразделения ИБ либо штатный специалист по ИБ органа (организации) |
До 1 рабочего дня. Для уязвимостей критического уровня - до получаса. Для высокого уровня уязвимостей - до 1 часа |
Результаты применения мер |
Решение о способе контроля |
|
32. |
Проверка объектов ИС на наличие уязвимостей |
Выбор объектов ИС и времени сканирования, уведомление заинтересованных подразделений (например, ситуационного центра, подразделения ИТ) о проведении сканирования и дальнейшее сканирование выбранных объектов ИС на наличие уязвимости |
Специалисты подразделения ИБ либо штатный специалист по ИБ органа (организации) |
До 1 рабочего дня. Для уязвимостей критического уровня - до получаса. Для высокого уровня уязвимостей - до 4 часов |
Решение о способе контроля. Задача на сканирование |
Отчет с результатами исследования |
|
33. |
Оценка защищенности |
Экспертная оценка возможности применения уязвимости к ИС. В ходе оценки защищенности осуществляется проверка возможности эксплуатации уязвимости в ИС органа (организации) с использованием моделирования эксплуатации уязвимостей или средства эксплуатации уязвимости, в том числе в ходе тестирования на проникновение (тестирования системы защиты информации путем осуществления попыток несанкционированного доступа (воздействия) к ИС в обход ее системы защиты информации) |
Специалисты подразделения ИБ либо штатный специалист по ИБ органа (организации) |
До 1 рабочего дня. Для уязвимостей критического уровня - до получаса. Для высокого уровня уязвимостей - до 4 часов |
Решение о способе контроля. Заявка на исследование |
Отчет с результатами исследования |
|
34. |
Выявление отклонений и неисполнений |
Анализ результатов контроля устранения уязвимостей (определение корректности устранения уязвимостей и соблюдения сроков) |
Специалисты подразделения ИБ либо штатный специалист по ИБ органа (организации) |
До 1 рабочего дня. Для уязвимостей критического уровня - до получаса. Для высокого уровня уязвимостей - до 1 часа |
Отчет с результатами исследования |
Сведения об отклонениях, неисполнении |
|
35. |
Разработка предложений по улучшению процесса управления уязвимостями |
Определение причин отклонений и неисполнений, разработка на их основе решений по улучшению процесса управления уязвимостями |
Руководитель подразделения ИБ, специалисты подразделения ИБ либо штатный специалист по ИБ органа (организации) |
До 1 рабочего дня. Для уязвимостей критического уровня - до получаса. Для высокого уровня уязвимостей - до 4 часов |
Сведения об отклонениях, неисполнении |
Решение по улучшению процесса управления уязвимостями |
|
2. Разработка предложений по улучшению | ||||||
|
36. |
Определение причин отклонений и (или) неисполнений |
Определение причин отклонений и неисполнений операций процесса управления уязвимостями. Возможными причинами являются: 1) пропуск уязвимости в ходе мониторинга; 2) ошибки оценки уязвимостей; нарушения сроков устранения уязвимостей; 3) недостаточность принятых компенсирующих мер. Причины отклонений и неисполнений операций процесса управления уязвимостями могут быть дополнены по результатам анализа процесса управления уязвимостями в органе (организации) |
Руководитель подразделения ИБ либо штатный специалист по ИБ органа (организации) |
До 1 рабочего дня. Для уязвимостей критического уровня - до получаса. Для высокого уровня уязвимостей - до 1 часа |
Сведения об отклонениях, неисполнении |
Возможные результаты: 1) отсутствие сведений об уязвимости в ходе мониторинга; 2) ошибки оценки уязвимостей; 3) нарушения сроков устранения уязвимостей; 4) невозможность установки обновления; 5) недостаточность принятых мер |
|
37. |
Корректировка механизмов мониторинга |
Внесение изменений в конфигурацию и алгоритмы средств сбора и обработки данных об уязвимостях |
Специалисты подразделения ИБ либо штатный специалист по ИБ органа (организации) |
До 1 рабочего часа. Для уязвимостей критического уровня и высокого уровня уязвимостей - незамедлительно |
Отсутствие сведений об уязвимости в ходе мониторинга |
Заявка на срочную установку обновлений |
|
38. |
Добавление источника сведений об уязвимостях |
Поиск и организация мониторинга новых источников сведений об уязвимостях |
Специалисты подразделения ИБ либо штатный специалист по ИБ органа (организации) |
До 1 рабочего часа. Для уязвимостей критического уровня и высокого уровня уязвимостей - незамедлительно |
Отсутствие сведений об уязвимости в ходе мониторинга |
Заявка на срочную установку обновлений |
|
39. |
Корректировка механизмов оценки уязвимостей |
Внесение изменений в процедуру оценки уязвимостей |
Специалисты подразделения ИБ либо штатный специалист по ИБ органа (организации) |
До 1 рабочего дня. Для уязвимостей критического уровня - до получаса. Для высокого уровня уязвимостей - до 1 часа |
Ошибки оценки уязвимостей |
Методика устранения уязвимости (скорректированная) - в этап определения методов и приоритетов устранения уязвимостей |
|
40. |
Повторная оценка уязвимости |
Повторное определение уровня критичности уязвимости применительно к ИС органа (организации). Переход к этапу оценки уязвимостей с дальнейшим выполнением последующих этапов процесса управления уязвимостями |
Специалисты подразделения ИБ либо штатный специалист по ИБ органа (организации) |
До 1 рабочего дня. Для уязвимостей критического уровня - до получаса. Для высокого уровня уязвимостей - до 1 часа |
Ошибки оценки уязвимостей |
Переоценка критичности уязвимости - в этап оценки уязвимостей |
|
41. |
Согласование сроков устранения уязвимости |
В случае нарушения сроков устранения уязвимостей новые сроки установки обновления согласуются с подразделением ИТ, сроки реализации компенсирующих мер защиты информации - с ответственными лицами, определенными на этапе устранения уязвимостей |
Руководитель подразделения ИБ либо штатный специалист по ИБ органа (организации) |
До 1 рабочего дня. Для уязвимостей критического уровня и высокого уровня уязвимостей - незамедлительно |
Нарушения сроков устранения уязвимостей |
Новый срок установки обновлений - в этап контроля устранения уязвимостей |
|
42. |
Создание заявки на срочную реализацию компенсирующих мер защиты информации |
Заявка на реализацию компенсирующих мер формируется при отсутствии возможности установки обновления либо в случае недостаточности уже принятых компенсирующих мер защиты информации |
Специалисты подразделения ИБ либо штатный специалист по ИБ органа (организации) |
До 1 рабочего часа. Для уязвимостей критического уровня и высокого уровня уязвимостей - незамедлительно |
Невозможность установки обновления. Недостаточность принятых мер |
Заявка на срочную реализацию компенсирующих мер защиты информации - в этап устранения уязвимостей |