Куда я попал?
Методика экспресс-оценки уровня кибербезопасности организации РезБез
Framework
5. Управление уязвимостями
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
Процесс не формализован, выполняются отдельные операции процессаОбязательно для уровня кибербезопасности Базовый
-
Процесс формализован частично в верхнеуровневых документах и исполняетсяОбязательно для уровня кибербезопасности Средний
-
Роли по процессу закреплены за участниками, однако функции и обязанности не детализированыОбязательно для уровня кибербезопасности Высокий Средний
-
Процесс формализован в верхнеуровневых документах и исполняетсяОбязательно для уровня кибербезопасности Высокий
-
Показатели (метрики) процесса пересматриваются на регулярной основеОбязательно для уровня кибербезопасности Продвинутый
-
Для оценки процесса установлены и применяются показатели (метрики)Обязательно для уровня кибербезопасности Продвинутый Высокий
-
Все участники процесса знают свои роли и задачиОбязательно для уровня кибербезопасности Продвинутый
-
Документы актуальны и достаточны для работы участников процессаОбязательно для уровня кибербезопасности Продвинутый
-
Процесс формализован, автоматизирован и исполняется в соответствии с регламентамиОбязательно для уровня кибербезопасности Продвинутый
-
Выявление уязвимостей не автоматизировано и не осуществляется на регулярной основеОбязательно для уровня кибербезопасности Базовый
-
Сканирование на наличие уязвимостей осуществляется периодически и покрывает не все критически значимые активыОбязательно для уровня кибербезопасности Средний
-
Осуществляется приоритизация обработки выявленных уязвимостейОбязательно для уровня кибербезопасности Высокий Средний
-
Область сканирования пересматривается на регулярной основе, учитывает результаты анализа недопустимых событий / ключевых рисков КБ, а также данные, получаемые в ходе процесса управления ИТ-активамиОбязательно для уровня кибербезопасности Продвинутый
-
Осуществляется приоритизация обработки выявленных уязвимостей, которая учитывает значимость активов, возможные последствия эксплуатации уязвимости, наличие эксплойта, метрики CVSS и т. п.Обязательно для уровня кибербезопасности Продвинутый
-
В область сканирования включены все активы, обеспечивающие критически значимые процессы организацииОбязательно для уровня кибербезопасности Продвинутый Высокий
-
Осуществляется регулярное сканирование активов на наличие уязвимостей с использованием решения класса vulnerability management (VM)Обязательно для уровня кибербезопасности Продвинутый Высокий
-
Уязвимости не устраняются или устраняются нерегулярно и несвоевременноОбязательно для уровня кибербезопасности Базовый
-
Контроль устранения уязвимостей осуществляется периодическиОбязательно для уровня кибербезопасности Средний
-
Установлены сроки по устранению уязвимостейОбязательно для уровня кибербезопасности Средний
-
Контроль устранения уязвимостей осуществляется на регулярной основеОбязательно для уровня кибербезопасности Высокий
-
Контроль устранения уязвимостей осуществляется на регулярной основе и автоматизирован с помощью решения класса vulnerability management (VM)Обязательно для уровня кибербезопасности Продвинутый
-
Установлены и соблюдаются сроки по устранению уязвимостейОбязательно для уровня кибербезопасности Продвинутый Высокий
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.