Standard upravljanja ranjivostima

Teme:

Standards

9. maj 2012.

Na vrh

Svrha

Ovaj standard utvrđuje minimalne zahtjeve za upravljanje ranjivostima za državne IT sisteme.

Na vrh

Pregled

Država Iowa održava različite podatke u svojim IT sistemima, uključujući povjerljive informacije o klijentima. Da bi se zaštitili podaci i sistemi, potrebno je identificirati i otkloniti ranjivosti u tim sistemima. Skeniranje ranjivosti identificira sigurnosne slabosti unutar sistema i omogućava agencijama da daju prioritet svojim resursima u najkritičnija područja. Pravovremeno otklanjanje ranjivosti ključno je za održavanje dostupnosti, povjerljivosti i integriteta informaciono-tehnoloških (IT) sistema.

Na vrh

Opseg

Ovaj standard se primjenjuje na sve agencije kako je definirano u Poglavlju 8A, Odjeljku 101 Zakona o Iowi. Agencije koje ne učestvuju se podstiču da slijede smjernice u ovom i drugim standardima preduzeća.
Na vrh

Definicije

Odabrani termini korišteni u Standardu za upravljanje ranjivostima preduzeća definirani su u nastavku:

  • Autentificirano skeniranje : Skeniranje ranjivosti provedeno je korištenjem sistemskih podataka za prijavu.
  • Kritične ranjivosti : Ranjivosti koje su dobavljači softvera/hardvera, alat za skeniranje EVMS identificirali kao kritične; ili ranjivosti s CVSS1 ocjenom 9.0 ili višom.
  • Sistem za upravljanje ranjivostima preduzeća (EVMS) : Sistem na nivou cijelog preduzeća za:

    • Softver/hardver za inventuru raspoređen u agenciji,

    • Identifikujte ranjivosti u softveru/hardveru; i

    • Prijavite ranjivosti koristeći zajednički format.

  • Vanjsko skeniranje: Skeniranje ranjivosti provedeno izvan perimetralnog zaštitnog zida organizacije.
  • Interno skeniranje : Skeniranje ranjivosti provedeno unutar perimetralnog zaštitnog zida organizacije.
  • Sanacija: Ispravljanje ranjivosti ili uklanjanje prijetnje. Primjeri sanacijskih mjera uključuju: instalaciju softverske zakrpe, prilagođavanje postavke konfiguracije ili uklanjanje pogođenog softvera.
  • Ranjivost: Greška u softveru ili pogrešna konfiguracija koja uzrokuje slabost u sigurnosti sistema. Zlonamjerni entitet može iskoristiti ranjivosti za kršenje politika - na primjer, za dobijanje većeg pristupa ili dozvola nego što je odobreno na računaru.
  • Skeniranje ranjivosti : Skeniranje radi identifikacije hostova/atributa hostova i povezanih ranjivosti. Zajednički sistem bodovanja ranjivosti (CVSS) http://nvd.nist.gov/cvss.cfm
Na vrh

Elementi

Slijede elementi Sigurnosnog standarda za upravljanje ranjivostima preduzeća.

  1. Inventar : Agencije će voditi inventar hardvera, operativnih sistema i softverskih aplikacija koje se koriste unutar agencije.
  2. Praćenje : Agencije će pratiti sigurnosne izvore za najave ranjivosti, obavještenja o zakrpama i nove prijetnje.
  3. Skeniranja : Agencije će provoditi skeniranje ranjivosti svoje mreže koristeći sistem upravljanja ranjivostima preduzeća (EVMS).
    a. Provode se eksterni, interni i ovjereni skenovi.
    b. Skeniranja se trebaju provoditi najmanje jednom sedmično.
    c. Novi sistemi i aplikacije moraju biti skenirani prije puštanja u produkciju.
  4. Pristup : Administratori servera moraju omogućiti dovoljan administrativni pristup kako bi mehanizam za skeniranje ranjivosti mogao skenirati sve usluge koje se pružaju putem njihovih sistema.
  5. Izuzeci\Autoritet : Izuzeci zaštitnog zida i akreditivi koje EVMS koristi prilikom skeniranja ranjivosti moraju se deaktivirati kada se ne koriste.
  6. Sanacija : Agencije će sanirati identificirane ranjivosti (putem skeniranja, upozorenja dobavljača ili Nacionalne baze podataka o ranjivostima) na sljedeći način:
    a. Visokorizične/Kritične ranjivosti s aktivnim iskorištavanjem : U roku od 5 radnih dana od otkrića/obavijesti;
    b. Visokorizične/Kritične ranjivosti bez aktivnog iskorištavanja : U roku od 10 radnih dana od otkrića/obavijesti;
    c. Ranjivosti srednjeg rizika : U roku od 30 radnih dana od otkrivanja/obavještavanja.
    d. Svi ostali : Prema rasporedu upravljanja sanacijom/zakrpama agencije.
  7. Ranjivosti : Agencije će voditi listu neotklonjenih ranjivosti.
    a. Agencije će mjesečno obavještavati Ured za sigurnost informacija o neotklonjenim ranjivostima.
    b. Agencije će prihvatiti odgovornost za svaku neotklonjenu ranjivost u svojim sistemima.
  8. Obuka: Agencije će obučiti sistem administratore o praćenju i otklanjanju ranjivosti.
Na vrh

Ažuriranja

Ovaj dokument će se preispitivati ​​najmanje svake dvije godine i ažurirati po potrebi.

Na vrh

Datum stupanja na snagu

Ovaj standard stupa na snagu 30. septembra 2012. godine.

Na vrh

Provođenje

Ovaj standard će se provoditi u skladu s Administrativnim zakonikom Iowe 11—25.11(8A).

Na vrh

Varijanca

Član 11 - 25.11(2) Administrativnog zakona Iowe predviđa odstupanja od sigurnosnih standarda. Zahtjevi za odstupanje od bilo kojeg zahtjeva ove politike bit će podneseni u pisanoj formi glavnom službeniku za sigurnost informacija prije implementacije.

Na vrh