Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Установка обновлений для ОС Linux

Цель: устранение технических уязвимостей в операционных системах Linux.
Варианты реализации: вручную или автоматически (например, с использованием unattended-upgrades).

Возможный алгоритм действий:
  1. Установка обновлений на тестовой среде, проверка работоспособности.
  2. Предварительное резервное копирование хостов, по необходимости. Например, для критичных серверов.
  3. Предупреждение владельцев обновляемых активов, планирование и согласование времени проведения обновлений.
  4. Проведение обновления.
  5. Проверка работоспособности обновленной ОС и размещенных на ОС прикладных приложений/систем.
Процедура может быть совмещена с иными профилактическими мероприятиями - контролем установленных средств защиты, проверкой конфигурации на соответствие требованиям безопасности и т.п. 
Инструкции для обновлений от производителей операционных систем: Red Hat EL, Ubuntu, Debian.
Команды для обновления приложений в Ubuntu:
  • Получение актуальных версий пакетов sudo apt update
  • Вывод списка затрагиваемых пакетов apt list --upgradable
  • Выполнение обновления всех пакетов sudo apt upgrade или sudo apt full-upgrade
    • upgrade - устанавливает самые новые версии всех пакетов доступные в репозиториях. Использует все репозитории их /etc/apt/souces.list и /etc/apt/souces.list.d/*. Происходит обновление только установленных пакетов, если же для обновления пакета необходимо установить или удалить другой пакет, такие пакеты обновлены не будут.
    • full-upgrade - поддерживается умное разрешение зависимостей для новых версий пакетов, конфликтующие пакеты могут быть удалены, а новые, дополнительные - установлены.
Рекомендации к заполнению карточки:
  • Описать политику установки обновлений (объем устанавливаемых обновлений, режим/процедуру установки). В карточке или как ссылку на внешний документ.
  • Если обновления устанавливаются вручную - создать шаблон регулярной задачи на проведение обновлений.
Классификация
Тип
Техническая ? Технические (логические) меры Технологические решения, реализуемые для снижения вероятности реализации рисков безопасности.
Превентивная ? Превентивные меры Направлены на предотвращение совершения злонамеренных действий, блокируя или останавливая кого-либо, или что-либо.
Компенсирующая ? Компенсирующие меры Обеспечивают альтернативные варианты защиты, когда иные меры либо невозможно, либо слишком дорого реализовать.
Реализация
Вручную
Периодичность
Ежемесячно
Ответственный
Не определено
Инструменты
Не определено

Исполнение требований

CIS Critical Security Controls v8 (The 18 CIS CSC):
7.4
7.4 Perform Automated Application Patch Management
Perform application updates on enterprise assets through automated patch management on a monthly, or more frequent, basis. 
7.3
7.3 Perform Automated Operating System Patch Management
Perform operating system updates on enterprise assets through automated patch management on a monthly, or more frequent, basis. 
Положение Банка России № 787-П от 12.01.2022 "Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг":
п. 6. п.п. 2
6.2. Кредитные организации должны обеспечивать выполнение следующих требований к управлению изменениями критичной архитектуры:
  • управление уязвимостями в критичной архитектуре, из-за которых могут реализоваться информационные угрозы и которые могут повлечь превышение значений целевых показателей операционной надежности;
  • планирование и внедрение изменений в критичной архитектуре, направленных на обеспечение недопустимости неоказания или ненадлежащего оказания банковских услуг;
  • управление конфигурациями (настраиваемыми параметрами) объектов информационной инфраструктуры;
  • управление уязвимостями и обновлениями (исправлениями) объектов информационной инфраструктуры.
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
ЦЗИ.12
ЦЗИ.12 Контроль размещения и своевременного обновления на серверном и сетевом оборудовании ПО средств и систем защиты информации, прикладного ПО, ПО АС, системного ПО и сигнатурных баз средств защиты информации, в том числе с целью устранения выявленных уязвимостей защиты информации
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
АНЗ.2 АНЗ.2 Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 3.4 CSC 3.4 Deploy Automated Operating System Patch Management Tools
Deploy automated software update tools in order to ensure that the operating systems are running the most recent security updates provided by the software vendor.
CSC 3.5 CSC 3.5 Deploy Automated Software Patch Management Tools
Deploy automated software update tools in order to ensure that third-party software on all systems is running the most recent security updates provided by the software vendor.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
АНЗ.2 АНЗ.2 Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации
SWIFT Customer Security Controls Framework v2022:
2 - 2.2 Security Updates
2.2 Security Updates
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ОПО.4 ОПО.4 Установка обновлений программного обеспечения
ОПО.3 ОПО.3 Тестирование обновлений программного обеспечения
ОПО.0 ОПО.0 Разработка политики управления обновлениями программного обеспечения
ОПО.1 ОПО.1 Поиск, получение обновлений программного обеспечения от доверенного источника
Положение Банка России № 779-П от 15.11.2021 "Обязательные для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке"":
п. 1.5.
1.5. Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, в рамках обеспечения операционной надежности должны обеспечивать выполнение следующих требований в отношении управления изменениями критичной архитектуры:
  • управление уязвимостями в критичной архитектуре, с использованием которых могут реализоваться информационные угрозы и которые могут повлечь отклонение от значений целевых показателей операционной надежности, указанных в пункте 1.3 настоящего Положения;
  • планирование и внедрение изменений в критичной архитектуре, направленных на обеспечение непрерывного оказания финансовых услуг;
  • управление конфигурациями объектов информационной инфраструктуры некредитных финансовых организаций;
  • управление уязвимостями и обновлениями (исправлениями) объектов информационной инфраструктуры некредитных финансовых организаций.
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ОПО.1 ОПО.1 Поиск, получение обновлений программного обеспечения от доверенного источника
ОПО.4 ОПО.4 Установка обновлений программного обеспечения
ОПО.3 ОПО.3 Тестирование обновлений программного обеспечения

Связанные риски

Риск Угроза Уязвимость Тип актива Связи
Несанкционированное сетевое подключение к ОС из локальной сети из-за наличия технических (программных) уязвимостей в ОС Linux
НСД
Несанкционированное сетевое подключение к ОС из локальной сети
НСД
Наличие технических (программных) уязвимостей ОС Linux 1
Повышение привилегий в ОС из-за наличия технических (программных) уязвимостей в ОС Linux
Повышение привилегий Целостность
Повышение привилегий в ОС
Повышение привилегий Целостность
Наличие технических (программных) уязвимостей ОС Linux 1
Заражение вредоносным программным обеспечением из-за наличия технических (программных) уязвимостей в ОС Linux
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Заражение вредоносным программным обеспечением
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Наличие технических (программных) уязвимостей ОС Linux 1