Карточка защитной меры

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Централизованная установка обновлений для ОС Windows через WSUS сервер

1 15

Цель: устранение технических уязвимостей в системном и прикладном ПО Microsoft
Для доменной инфраструктуры Windows централизация установки обновлений ОС и продуктов Microsoft (Edge, Office) осуществляется через службу обновлений Windows Server Update Services (WSUS).
Обновления могут устанавливаться автоматически или вручную. Режим обновления может быть различным в зависимости от типа обновляемых активов. Например для ПК - автоматическая установка, а на серверы - вручную администратором.

Могут устанавливаться все обновления или только критические обновления и обновления безопасности.
Настройка режима обновления осуществляется на уровне службы WSUS и на уровне ПК/Серверов через групповые политики домена (GPO).

Рекомендации к заполнению карточки:

Описать политику установки обновлений (объем устанавливаемых обновлений, режим/процедуру установки)
Добавить WSUS сервер(ы) в реестр активов (тип - WSUS) и связать с карточкой как инструменты.
Описать политики (GPO) обновлений. Если GPO ведутся в реестре активов - связать с карточкой меры как инструменты.
Добавить шаблон регулярной задачи на контроль работоспособности WSUS

Область действия: Вся организация

Классификация

Тип

Техническая

Превентивная

Компенсирующая

Реализация

Автоматически

Периодичность

Ежедневно

Ответственный

Не определено

Инструменты

Не определено

Исполнение требований

CIS Critical Security Controls v8 (The 18 CIS CSC):

7.4

7.4 Perform Automated Application Patch Management
Perform application updates on enterprise assets through automated patch management on a monthly, or more frequent, basis.

7.3

7.3 Perform Automated Operating System Patch Management
Perform operating system updates on enterprise assets through automated patch management on a monthly, or more frequent, basis.

Положение Банка России № 787-П от 12.01.2022 "Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг":

п. 6. п.п. 2

6.2. Кредитные организации должны обеспечивать выполнение следующих требований к управлению изменениями критичной архитектуры:

управление уязвимостями в критичной архитектуре, из-за которых могут реализоваться информационные угрозы и которые могут повлечь превышение значений целевых показателей операционной надежности;
планирование и внедрение изменений в критичной архитектуре, направленных на обеспечение недопустимости неоказания или ненадлежащего оказания банковских услуг;
управление конфигурациями (настраиваемыми параметрами) объектов информационной инфраструктуры;
управление уязвимостями и обновлениями (исправлениями) объектов информационной инфраструктуры.

CIS Critical Security Controls v7.1 (SANS Top 20):

CSC 3.4 CSC 3.4 Deploy Automated Operating System Patch Management Tools
Deploy automated software update tools in order to ensure that the operating systems are running the most recent security updates provided by the software vendor.

CSC 3.5 CSC 3.5 Deploy Automated Software Patch Management Tools
Deploy automated software update tools in order to ensure that third-party software on all systems is running the most recent security updates provided by the software vendor.

CSC 11.4 CSC 11.4 Install the Latest Stable Version of Any Security-Related Updates on All Network Devices
Install the latest stable version of any security-related updates on all network devices.

SWIFT Customer Security Controls Framework v2022:

2 - 2.2 Security Updates

2.2 Security Updates

Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":

ОПО.4 ОПО.4 Установка обновлений программного обеспечения

ОПО.0 ОПО.0 Разработка политики управления обновлениями программного обеспечения

ОПО.1 ОПО.1 Поиск, получение обновлений программного обеспечения от доверенного источника

Положение Банка России № 779-П от 15.11.2021 "Обязательные для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке"":

п. 1.5.

1.5. Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, в рамках обеспечения операционной надежности должны обеспечивать выполнение следующих требований в отношении управления изменениями критичной архитектуры:

управление уязвимостями в критичной архитектуре, с использованием которых могут реализоваться информационные угрозы и которые могут повлечь отклонение от значений целевых показателей операционной надежности, указанных в пункте 1.3 настоящего Положения;
планирование и внедрение изменений в критичной архитектуре, направленных на обеспечение непрерывного оказания финансовых услуг;
управление конфигурациями объектов информационной инфраструктуры некредитных финансовых организаций;
управление уязвимостями и обновлениями (исправлениями) объектов информационной инфраструктуры некредитных финансовых организаций.

Стандарт Банка России № РС БР ИББС-2.5-2014 от 01.06.2014 "Менеджмент инцидентов информационной безопасности":

Р. 6 п. 5 п.п. 5

6.5.5. Порядок эксплуатации технических средств должен предусматривать:

описание состава (количество), мест установки, параметров настроек технических средств;
описание состава и требований к реализации организационных мер, необходимых для обеспечения эксплуатации технических средств;
описание правил и процедур эксплуатации технических средств, включая правила и процедуры обновления программного обеспечения технических средств, управления и контроля (мониторинга) параметров их настройки;
описание ролей и состава функций эксплуатирующего персонала и персонала, осуществляющего контроль эксплуатации технических средств;
инструкции пользователей и эксплуатирующего персонала, в том числе персонала, осуществляющего контроль эксплуатации технических средств;
описание правил и процедур контроля доступа эксплуатационного персонала к техническим средствам;
требования к составу и содержанию организационно-распорядительных документов, необходимых для обеспечения эксплуатации технических средств;
требования к составу и содержанию организационных мероприятий, необходимых для обеспечения эксплуатации технических средств, в том числе мероприятий по назначению ролей эксплуатирующего персонала, обучению, информированию и повышению осведомленности эксплуатирующего персонала и пользователей;
описание правил и процедур по обеспечению информационной безопасности при выводе из эксплуатации АБС или по окончании обработки информации.

Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":

ОПО.1 ОПО.1 Поиск, получение обновлений программного обеспечения от доверенного источника

ОПО.4 ОПО.4 Установка обновлений программного обеспечения

ОПО.0 ОПО.0 Регламентация правил и процедур управления обновлениями программного обеспечения

Связанные риски

Риск	Связи
Заражение вредоносным программным обеспечением из-за наличия технических (программных) уязвимостей в ОС Windows Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение	1

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.