Утверждено единое «Руководство по управлению уязвимостями»

В мае ФСТЭК опубликовала методические рекомендации «Руководство по организации процесса управления уязвимостями» для госструктур и организаций, в том числе относящихся к субъектам КИИ, являющихся операторами ИТ / автоматизированных систем. В документе учтены все актуальные законодательные требования, предъявляемые к защите информации и обеспечению безопасности.

Данное руководство призвано упорядочить процесс управления уязвимостями, в нем подробно прописаны состав и содержание работ. В рамках методического документа рассмотрены все этапы:

• выявление и оценка применимости уязвимостей;
• определение уровня критичности, в том числе вычисление уровня опасности с использованием базовой, временной и контекстной метрик;
• выбор способов и приоритетов устранения выявленных уязвимостей;
• устранение или исключение возможности использования выявленных рисков;
• контроль качества выполненных работ (объект заново проверяется, оценивается уровень защищенности, выявляются отклонения или неработающие схемы, предоставляются рекомендации).

Ознакомиться с документом можно на сайте ФСТЭК России.