6.3.1
Определенные Требования к Подходу:
Уязвимости в безопасности идентифицируются и управляются следующим образом:
- Новые уязвимости в безопасности идентифицируются с использованием признанных в отрасли источников информации об уязвимостях в безопасности, включая уведомления от международных и национальных команд по реагированию на компьютерные чрезвычайные ситуации (CERT).
- Уязвимостям присваивается уровень риска на основе лучших отраслевых практик и учета потенциального воздействия.
- Ранги риска должны выявлять, как минимум, все уязвимости, которые считаются высокорисковыми или критическими для среды.
- Уязвимости для нестандартного и кастомного программного обеспечения, а также стороннего ПО (например, операционных систем и баз данных) охватываются.
Цель Индивидуального Подхода:
Новые уязвимости системы и программного обеспечения, которые могут повлиять на безопасность данных учетных записей или CDE, мониторятся, каталогизируются и оцениваются с точки зрения риска.
Примечания по применению:
Это требование не выполняется и является дополнением к проведению сканирования уязвимостей в соответствии с Требованиями 11.3.1 и 11.3.2. Это требование касается процесса активного мониторинга источников уязвимостей в отрасли и определения организацией ранга риска, который будет связан с каждой уязвимостью.
Определенные Процедуры Тестирования Подхода:
- 6.3.1.a Изучить политику и процедуры для выявления и управления уязвимостями безопасности, чтобы удостовериться, что процессы определены в соответствии с всеми элементами, указанными в этом требовании.
- 6.3.1.b Провести интервью с ответственными лицами, изучить документацию и наблюдать за процессами, чтобы удостовериться, что уязвимости безопасности идентифицируются и управляются в соответствии с всеми элементами, указанными в этом требовании.
Цель:
Классификация рисков (например, как критические, высокие, средние или низкие) позволяет организациям быстро выявлять, расставлять приоритеты и устранять уязвимости с наибольшим риском, а также снижать вероятность эксплуатации уязвимостей, представляющих наибольшую угрозу.
Надлежащая практика:
Методы оценки уязвимостей и присвоения уровней риска могут различаться в зависимости от среды организации и стратегии оценки рисков.
При присвоении рангов риска организациям рекомендуется использовать формальную, объективную и обоснованную методологию, которая точно отражает риски уязвимостей, относящихся к организации, и приводит к правильному приоритету для их устранения.
Ранжирование риска должно, как минимум, выявлять все уязвимости, которые считаются "высоким риском" для среды. В дополнение к рангу риска уязвимости могут быть признаны "критическими", если они представляют немедленную угрозу для среды, воздействуют на критические системы и/или могут привести к потенциальному компромиссу, если их не устранить. Примеры критических систем могут включать системы безопасности, устройства и системы с публичным доступом, базы данных и другие системы, которые хранят, обрабатывают или передают данные держателей карт.
Процессы управления уязвимостями в организации должны быть интегрированы с другими процессами управления — например, управлением рисками, управлением изменениями, управлением патчами, реагированием на инциденты, безопасностью приложений, а также с правильным мониторингом и журналированием этих процессов. Этот процесс должен включать несколько источников информации об уязвимостях, включая признанные в отрасли базы данных уязвимостей (например, Национальную базу данных уязвимостей США), CERT, RSS-каналы, информацию от поставщиков и третьих сторон, а также уязвимости, выявленные через внутренние и внешние сканирования уязвимостей (Требования 11.3.1 и 11.3.2). Это поможет обеспечить правильное выявление и устранение всех уязвимостей. Процессы должны поддерживать постоянную оценку уязвимостей. Например, уязвимость, изначально идентифицированная как низкий риск, может стать более высокоопасной позже. Кроме того, уязвимости, индивидуально считающиеся низким или средним риском, могут в совокупности представлять высокий или критический риск, если они присутствуют на одной и той же системе или если они эксплуатируются на низкорисковой системе, которая может привести к доступу к CDE.
Примеры:
Некоторые организации, которые выпускают уведомления, чтобы проинформировать о срочных уязвимостях, требующих немедленного патча/обновления, включают национальные команды по реагированию на компьютерные чрезвычайные ситуации (CERT) и поставщиков.
Критерии для ранжирования уязвимостей могут включать критичность уязвимости, указанной в уведомлении от форума команд реагирования на инциденты и безопасность (FIRST) или CERT, учет оценки CVSS, классификацию от поставщика и/или тип затронутых систем.
Дополнительная информация:
Надежные источники информации об уязвимостях включают веб-сайты поставщиков, отраслевые новостные группы, рассылки и т. д. Если программное обеспечение разрабатывается внутри организации, внутренняя команда разработчиков также должна учитывать источники информации о новых уязвимостях, которые могут повлиять на внутренние приложения. Другие методы для обеспечения идентификации новых уязвимостей включают решения, которые автоматически обнаруживают и оповещают при обнаружении необычного поведения. Процессы должны учитывать широко опубликованные эксплойты, а также атаки "нулевого дня", нацеленные на ранее неизвестные уязвимости.
Для нестандартного и кастомного ПО организация может получать информацию о библиотеках, фреймворках, компиляторах, языках программирования и т. д. из публичных доверенных источников (например, специальные ресурсы и ресурсы от разработчиков компонентов). Организация также может независимо анализировать сторонние компоненты и выявлять уязвимости.
Для контроля за внутренне разработанным ПО организация может получать такую информацию из внешних источников. Организация может рассмотреть использование программы "bug bounty", где размещает информацию (например, на своем веб-сайте), чтобы третьи стороны могли сообщать о выявленных уязвимостях.
Внешние источники могут включать независимых исследователей или компании, которые сообщают организации о выявленных уязвимостях, и могут включать такие источники, как Общая система оценки уязвимостей (CVSS) или Методология оценки рисков OWASP.