7. КОНТРОЛЬ УСТРАНЕНИЯ УЯЗВИМОСТЕЙ

N п/п

Наименование операции

Описание операции

1.

Принятие решения о способе контроля

Определение способа контроля устранения уязвимости: проверка объектов на наличие уязвимости (сканирование средствами анализа защищенности) либо оценка защищенности

2.

Проверка объектов на наличие уязвимостей

Выбор объектов и времени сканирования, уведомление заинтересованных подразделений (например, ситуационного центра, подразделения ИТ) о проведении сканирования и дальнейшее сканирование выбранных объектов на наличие уязвимости

3.

Оценка защищенности

Экспертная оценка возможности применения уязвимости к информационным системам.

В ходе оценки защищенности осуществляется проверка возможности эксплуатации уязвимости в информационных системах органа (организации) с использованием PoC или средства эксплуатации уязвимости, в том числе, в ходе тестирования на проникновение (тестирования системы защиты информации путем осуществления попыток несанкционированного доступа (воздействия) к информационным системам в обход ее системы защиты информации)

4.

Выявление отклонений и неисполнений

Анализ результатов контроля устранения уязвимостей (определение корректности устранения уязвимостей и соблюдения сроков)

5.

Разработка предложений по улучшению процесса управления уязвимостями

Определение причин отклонений и неисполнений, разработка на их основе решений по улучшению процесса управления уязвимостями

N п/п

Наименование операции

Описание операции

1.

Определение причин отклонений и (или) неисполнений

Определение причин отклонений и неисполнений операций процесса управления уязвимостями. Возможными причинами являются:

пропуск уязвимости в ходе мониторинга;

ошибки оценки уязвимостей;

нарушения сроков устранения уязвимостей;

недостаточность принятых компенсирующих мер.

Причины отклонений и неисполнений операций процесса управления уязвимостями могут быть дополнены по результатам анализа процесса управления уязвимостями в органе (организации)

2.

Корректировка механизмов мониторинга

Внесение изменений в конфигурацию и алгоритмы средств сбора и обработки данных об уязвимостях

3.

Добавление источника сведений об уязвимостях

Поиск и организация мониторинга новых источников сведений об уязвимостях

4.

Корректировка механизмов оценки уязвимостей

Внесение изменений в процедуру оценки уязвимостей

5.

Повторная оценка уязвимости

Повторное определение уровня критичности уязвимости применительно к информационным системам органа (организации).

Переход к этапу 2 ("Оценка уязвимостей") с дальнейшим выполнением последующих этапов процесса управления уязвимостями

6.

Согласование сроков устранения уязвимости

В случае нарушения сроков устранения уязвимостей новые сроки установки обновления согласуются с подразделением ИТ, сроки реализации компенсирующих мер защиты информации - с ответственными лицами, определенными на этапе 4.

7.

Создание заявки на срочную реализацию компенсирующих мер защиты информации

Заявка на реализацию компенсирующих мер формируется при отсутствии возможности установки обновления либо в случае недостаточности уже принятых компенсирующих мер защиты информации