"Методический документ "Руководство по организации процесса управления уязвимостями в органе (организации)" (утв. ФСТЭК России 17.05.2023)

2. ПРОЦЕСС УПРАВЛЕНИЯ УЯЗВИМОСТЯМИ

2.1. Процесс управления уязвимостями включает пять основных этапов (рисунок 2.1).

00000001.png

Рисунок 2.1. - Этапы работ по управлению уязвимостями

На этапе мониторинга уязвимостей и оценки их применимости осуществляется выявление уязвимостей на основании данных, получаемых из внешних и внутренних источников, и принятие решений по их последующей обработке.

На этапе оценки уязвимостей определяется уровень критичности уязвимостей применительно к информационным системам органа (организации).

На этапе определения методов и приоритетов устранения уязвимостей определяется приоритетность устранения уязвимостей и выбираются методы их устранения: обновление программного обеспечения и (или) применение компенсирующих мер защиты информации.

На этапе устранения уязвимостей принимаются меры, направленные на устранение или исключение возможности использования (эксплуатации) выявленных уязвимостей.

На этапе контроля устранения уязвимостей осуществляется сбор и обработка данных о процессе управления уязвимостями и его результатах, а также принятие решений по улучшению данного процесса.

2.2. Процесс управления уязвимостями организуется для всех информационных систем органа (организации) и должен предусматривать постоянную и непрерывную актуализацию сведений об уязвимостях и объектах информационной системы. При изменении статуса уязвимостей (применимость к информационным системам, наличие исправлений, критичность) должны корректироваться способы их устранения.

2.3. Процесс управления уязвимостями связан с другими процессами и процедурами деятельности органа (организации):

мониторинг информационной безопасности - процесс постоянного наблюдения и анализа результатов регистрации событий безопасности и иных данных с целью выявления нарушений безопасности информации, угроз безопасности информации и уязвимостей;

оценка защищенности - анализ возможности использования обнаруженных уязвимостей для реализации компьютерных атак на информационные системы органа (организации);

оценка угроз безопасности информации - выявление и оценка актуальности угроз, реализация (возникновение) которых возможна в информационных системах органа (организации);

управление конфигурацией - контроль изменений, состава и настроек программного и программно-аппаратного обеспечения информационных систем;

управление обновлениями - приобретение, анализ и развертывание обновлений программного обеспечения в органе (организации);

применение компенсирующих мер защиты информации - разработка и применение мер защиты информации, которые применяются в информационной системе взамен отдельных мер защиты информации, подлежащих реализации в соответствии с требованиями по защите информации, в связи с невозможностью их применения.

Схема процесса управления уязвимостями представлена на рисунке 2.2.

2.4. Участниками процесса управления уязвимостями являются:

а) подразделение, осуществляющие функции по обеспечению информационной безопасности (далее - подразделение по защите):

руководитель;

специалист, ответственный за проведение оценки угроз безопасности информации (далее - аналитик угроз);

00000002.jpg

Рисунок 2.2. - Схема процесса управления уязвимостями

специалист, ответственный за проведение оценки защищенности;

специалист, ответственный за внедрение мер защиты информации;

б) подразделение, ответственное за внедрение информационных технологий (далее - подразделение ИТ):

руководитель;

специалист.

По решению руководителя органа (организации) в процессе управления уязвимостями могут быть задействованы другие подразделения и специалисты, в частности, подразделение, ответственное за организацию закупок программных и программно-аппаратных средств, подразделение, ответственное за эксплуатацию инженерных систем.

Распределение операций, реализуемых в рамках процесса управления уязвимостями, по ролям работников подразделений ИТ и подразделения по защите органа (организации) <1>, представлено в таблице 2.1.

--------------------------------

<1> Роли могут распределяться и (или) совмещаться в зависимости от укомплектованности подразделений

Таблица 2.1.

Операции

Подразделение по защите

Подразделение ИТ

Руководитель

Аналитик угроз

Специалист по проведению оценки защищенности

Специалист по внедрению мер защиты информации

Руководитель

Специалист

1

2

3

4

5

6

7

Мониторинг уязвимостей и оценка их применимости

Анализ информации об уязвимостях

+

(О)

+

(И)

Оценка применимости уязвимости

+

(О)

+

(И)

Принятие решений на получение дополнительной информации

+

(ОИ)

Постановка задачи на сканирование объектов

+

(ОИ)

Сканирование объектов

+

(О)

+

(И)

Оценка защищенности

+

(О)

+

(И)

Оценка уязвимостей

Получение информации об объектах, подверженных уязвимости

+

(ОИ)

Определение уровня опасности

+

(ОИ)

Определение влияния на информационные системы

+

(ОИ)

Расчет критичности уязвимости

+

(О)

+

(И)

Определение методов и приоритетов устранения уязвимостей

Определение приоритетности устранения уязвимостей

+

(О)

+

(И)

Определение методов устранения уязвимостей

+

(О)

+

(И)

Принятие решения о срочной установке обновлений

+

(ОИ)

Создание заявки на срочную установку обновления

+

(ОИ)

Создание задания на установку обновлений

+

(ОИ)

Принятие решения о срочной реализации компенсирующих мер защиты информации

+

(ОИ)

Создание задания на реализацию компенсирующих мер защиты информации

+

(ОИ)

Устранение уязвимостей

Согласование установки с руководством подразделения ИТ

+

(ОИ)

+

(У)

Тестирование обновления

+

(О)

+

(И)

Установка обновления в тестовом сегменте

+

(О)

+

(И)

Принятие решения об установке обновления

+

(ОИ)

Установка обновления

+

(О)

+

(И)

Формирование плана установки обновлений

+

(ОИ)

Разработка и реализация компенсирующих мер защиты информации

+

(О)

+

(И)

+

(И)

+

(У)

Разработка и реализация компенсирующих мер защиты информации

Определение мер защиты информации и ответственных за их реализацию

+

(О)

+

(И)

Согласование привлечения работников

+

(ОИ)

+

(У)

Реализация организационных мер защиты информации

+

(ОИ)

+

(У)

Настройка средств защиты информации

+

(О)

+

(И)

+

(У)

Организация анализа событий безопасности

+

(О)

+

(И)

Внесение изменений в ИТ-инфраструктуру

+

(У)

+

(О)

+

(И)

Контроль устранения уязвимостей

Принятие решения о способе контроля

+

(ОИ)

Проверка объектов на наличие уязвимостей

+

(О)

+

(И)

Оценка защищенности

+

(О)

+

(И)

Выявление отклонений и неисполнений

+

(О)

+

(И)

Разработка предложений по улучшению процесса управления уязвимостями

+

(ОИ)

+

(И)

+

(У)

Разработка предложений по улучшению процесса управления уязвимостями

Определение причин отклонений и (или) неисполнений

+

(ОИ)

Корректировка механизмов мониторинга

+

(О)

+

(И)

Добавление источника сведений об уязвимостях

+

(О)

+

(И)

Корректировка механизмов оценки уязвимостей

+

(О)

+

(И)

Согласование сроков устранения уязвимости

+

(ОИ)

+

(У)

Создание заявки на срочную реализацию компенсирующих мер защиты информации

+

(О)

+

(И)

Обозначения:

О - Ответственный - работник, ответственный за завершение выполнения задачи;

И - Исполнитель - работник, непосредственно выполняющий задачу;

У - Участник - работник, участие которого требуется для выполнения задачи

1. Общие положения 3. Мониторинг уязвимостей и оценка их применимости