Řízení technických zranitelností. V rámci provozní podpory ICT musí být realizováno řízení technických zranitelností. To zahrnuje jak technické zranitelnosti spojené s bezpečnostním nastavením jednotlivých zařízení, tak s aplikací bezpečnostních záplat a aktualizací operačních systémů a všech softwarových aplikací. Postupy nápravy odhalených zranitelností se řídí kategorizací zařízení (v souladu s dopady jeho vyřazení či kompromitace pro informační bezpečnost jako celek), které je danými zranitelnostmi zasaženo. Náprava odhalených zranitelností může zahrnovat některé z následujících kroků: • Nasazení patchů nebo upgrade zranitelného software (plán implementace by měl zahrnovat testování patchů/upgrade) • Náhrada software obsahujícího zranitelnosti za jinou aplikaci • Konsolidace prostředí nebo přesun do jiného prostředí • Změna konfigurace systému: o Znepřístupnění nebo vypnutí zranitelných služeb o Znepřístupnění nebo vypnutí specifických zranitelných funkcí nebo schopností v rámci dané služby • Nastavení, změna nebo užití silnějších (komplexnějších) hesel • Omezení přístupu pomocí firewallu nebo filtrů • Zvýšený monitoring zaměřený na detekci anomálií • Zvýšení vědomí uživatelů o dané zranitelnosti V závislosti na naléhavosti, se kterou je třeba technickou zranitelnost řešit, by měla být opatření k odstranění zranitelnosti aplikována buď v souladu s pravidly standardního změnového řízení, nebo případně s pravidly pro řešení bezpečnostních incidentů či jinými eskalačními postupy. V případě zranitelností s vysokou mírou rizika a rozsáhlým dopadem do ICT infrastruktury stanoví Manažer kybernetické bezpečnosti ve spolupráci se správci dotčených technických aktiv s přihlédnutím k průběžnému provoznímu riziku a možnostem jeho zmírnění předpokládaný časový harmonogram nápravy. Tato povinnost se týká zejména zranitelností, které jsou aktivně zneužívány, nebo u kterých toto zneužití bezprostředně hrozí. Mezi hlavní možnosti zmírnění rizika patří např. nasazení patchů zranitelných systémů, znepřístupnění či vypnutí služeb, nasazení filtrů na hranici perimetru. Konečné rozhodnutí o způsobu řešení dané situace přijme Manažer kybernetické bezpečnosti a následně jej komunikuje všem dotčeným pracovníkům odpovídajícím způsobem. Povinností Manažera kybernetické bezpečnosti a Garantů technických aktiv je zejména: • Náprava či zmírnění dopadů technických zranitelností s ohledem na kategorizaci dotčených zařízení • Správa programu řízení technických zranitelností pro svěřenou oblast • Posouzení míry rizika ...
