"Методический документ "Руководство по организации процесса управления уязвимостями в органе (организации)" (утв. ФСТЭК России 17.05.2023)

5. ОПРЕДЕЛЕНИЕ МЕТОДОВ И ПРИОРИТЕТОВ УСТРАНЕНИЯ УЯЗВИМОСТЕЙ

5.1. На этапе определения методов и приоритетов устранения уязвимостей решаются задачи:

определения приоритетности устранения уязвимостей;

выбора методов устранения уязвимостей: обновление программного обеспечения и (или) применение компенсирующих мер защиты информации.

На этапе определения методов и приоритетов устранения уязвимостей выполняются операции, приведенные в таблице 5.1.

Таблица 5.1.

N п/п

Наименование операции

Описание операции

1.

Определение приоритетности устранения уязвимостей

Определение приоритетности устранения уязвимостей в соответствии с результатами расчета критичности уязвимостей на этапе оценки уязвимостей (этап 4)

2.

Определение методов устранения уязвимостей

Выбор метода устранения уязвимости: установка обновления или применение компенсирующих мер защиты информации

3.

Принятие решения о срочной установке обновлений

При обнаружении критической уязвимости может быть принято решение о срочной установке обновления программного обеспечения объектов информационных систем, подверженных уязвимости

4.

Создание заявки на срочную установку обновления

Заявка на срочную установку обновления направляется на согласование руководителю подразделения ИТ

5.

Принятие решения о срочной реализации компенсирующих мер защиты информации

При обнаружении критической уязвимости может быть принято решение о срочной реализации компенсирующих мер защиты информации в качестве временного решения до установки обновления

6.

Создание заявки на установку обновления

Заявка создается в случае, если определено, что установка обновления для устранения данной уязвимости не запланирована

7.

Создание заявки на реализацию компенсирующих мер защиты информации

Заявка на реализацию компенсирующих мер защиты информации формируется при отсутствии возможности установки обновления, а также в случае необходимости принятия мер до устранения уязвимости

5.2. Для организации устранения уязвимостей между работниками подразделения защиты и подразделения ИТ предварительно согласовываются:

сроки установки обновлений, устраняющих уязвимости;

форма и способы передачи информации об уязвимостях.

5.3. На основе таблицы 5.1. в органе (организации) должно разрабатываться детальное описание операций, включающее наименование операций, описание операций, исполнителей, продолжительность, входные и выходные данные. Детальное описание операций включается в организационно-распорядительные документы по защите информации органа (организации).

5.4. Схема этапа определения методов и приоритетов устранения уязвимостей представлена на рисунке 5.1.

00000005.jpg

Рисунок 5.1. - Схема этапа определения методов

и приоритетов устранения уязвимостей

4. Оценка уязвимостей 6. Устранение уязвимостей