Zarządzanie Podatnościami i Patchowaniem
1. Proces Zarządzania Podatnościami
Organizacja stosuje ciągły proces identyfikacji, oceny, priorytyzacji i usuwania podatności w systemach IT/OT. Kryteria CVSS (Common Vulnerability Scoring System) są podstawą priorytyzacji działań remediacyjnych.
2. Skanowanie Podatności
| Zakres skanowania | Częstotliwość | Narzędzie | Odpowiedzialny |
|---|---|---|---|
| Wszystkie systemy IT (sieć wewnętrzna) | ▸ [co tydzień]min. 1×/miesiąc | ▸ [np. Tenable Nessus / Qualys / OpenVAS / Rapid7] | ▸ Admin IT / CISO |
| Serwisy i aplikacje webowe | ▸ [co tydzień]min. 1×/miesiąc | ▸ [np. OWASP ZAP / Burp Suite / Acunetix] | ▸ Admin IT / CISO |
| Systemy OT/ICS | ▸ [co kwartał + po każdej zmianie]min. 2×/rok | ▸ [narzędzie pasywne dedykowane OT, np. Claroty / Dragos] | ▸ Admin OT / CISO |
| Zasoby dostępne z Internetu (zewnętrzne) | ▸ [co tydzień]min. 1×/miesiąc | ▸ [skanowanie zewnętrzne / ASM] | ▸ CISO |
3. Klasyfikacja i SLA Patchowania
| Poziom CVSS | Wynik CVSS | Nazwa | Termin patchowania (SLA) | Termin dla systemów OT |
|---|---|---|---|---|
| Krytyczny | 9.0 – 10.0 | Critical | ▸ 72 godzinymax. 72h – KSC | ▸ [np. 7 dni z izolacją]niezwłocznie z kompensatą |
| Wysoki | 7.0 – 8.9 | High | ▸ [30 dni]max. 30 dni | ▸ [np. 60 dni z kontrolą kompensującą] |
| Średni | 4.0 – 6.9 | Medium | ▸ [90 dni]max. 90 dni | ▸ [np. 180 dni] |
| Niski | 0.1 – 3.9 | Low | ▸ [180 dni]max. 180 dni lub akceptacja | ▸ [w kolejnym oknie serwisowym] |
| Brak | 0.0 | None/Info | Brak SLA – decyzja CISO | — |
Podatności Zero-Day
Dla aktywnie eksploatowanych podatności zero-day (potwierdzony exploit in-the-wild) – patch lub kontrola kompensująca w ciągu ▸ [24 godziny]max. 72h zgodnie z KSC niezależnie od wyniku CVSS. Śledzenie: CISA KEV (Known Exploited Vulnerabilities), NVD, CERT Polska, komunikaty dostawców.
4. Kontrole Kompensujące
Jeśli patch nie może być wdrożony w SLA (np. brak okna serwisowego, brak patcha od dostawcy), wymagane jest wdrożenie tymczasowej kontroli kompensującej:
- Izolacja podatnego systemu (VLAN, firewall rule),
- Wyłączenie podatnej funkcji/usługi,
- Wzmocniony monitoring systemu,
- Ograniczenie dostępu do minimum.
Każde odstępstwo od SLA musi być zatwierdzone przez CISO i udokumentowane w Rejestrze Ryzyk (DOC-003).
5. Testy Penetracyjne
| Typ testu | Zakres | Częstotliwość | Wykonawca | Wymagania wobec wykonawcy |
|---|---|---|---|---|
| Zewnętrzny test penetracyjny | Usługi dostępne z Internetu | ▸ [co roku]min. 1×/rok – NIS2 | ▸ [zewnętrzna firma – wymagana niezależność] | ▸ [np. OSCP certified, doświadczenie branżowe] |
| Wewnętrzny test penetracyjny | Sieć wewnętrzna, AD, aplikacje | ▸ [co roku]min. 1×/rok | ▸ [zewnętrzna firma lub wewnętrzny red team] | ▸ |
| Pentest aplikacji webowych | Aplikacje publiczne (OWASP Top 10) | ▸ [po każdej dużej wersji + 1×/rok] | ▸ [zewnętrzna firma] | ▸ |
Wyniki testów penetracyjnych są poufne (klasyfikacja: TAJNE) i przekazywane wyłącznie CISO i zarządowi. Stwierdzone podatności remediowane wg SLA z sekcji 3.
6. Źródła Informacji o Podatnościach
- NVD (National Vulnerability Database): nvd.nist.gov
- CISA KEV (Known Exploited Vulnerabilities): cisa.gov/known-exploited-vulnerabilities-catalog
- CERT Polska: cert.pl/ostrzeżenia
- Komunikaty bezpieczeństwa dostawców (Microsoft Patch Tuesday, Adobe, Apple, itp.)
- ▸ [dodatkowe ISAC / sektorowe źródła informacji]
7. Historia Zmian
| Wersja | Data | Autor | Opis | Zatwierdził |
|---|---|---|---|---|
| ▸ 1.0 | ▸ DD.MM.RRRR | ▸ | ▸ Pierwsze wydanie | ▸ Zarząd |