Управление обновлениями


Инструкция по управлению обновлениями программного обеспечения


Общие положения

Настоящая инструкция устанавливает порядок и правила создания, изменения, блокировки обновлений программного обеспечения в информационных системах организации.

Требования настоящей инструкции распространяются на сотрудников отдела Информационных Технологий.

Контроль исполнения требований данной инструкции возлагается на администратора информационной безопасности организации.

Несвоевременная или неконтролируемая установка обновлений программного обеспечения может привести к нарушению информационной безопасности в информационных системах из-за уязвимостей программного обеспечения. Эти уязвимости могут быть использованы для осуществления атак на информационные системы организации как внутри так и с наружи сети  организации, с целью прерывания деятельности или хищения конфиденциальной информации. Также в этом случае возможно снижение функциональности программного обеспечения организации.

Управление обновлениями заключается в контроле за состоянием программного обеспечения в рабочей среде, а также за переносом программных средств из тестовой в рабочую среду.

Инструкция разработана на основании рекомендаций информационной безопасности.


Комплекс требований

Уязвимости безопасности программного обеспечения сторонних производителей должны устраняться обновлениями (патчами) безопасности этих производителя не позднее 30 дней со дня их выхода.

Администратор информационной безопасности должен информировать системных администраторов о новых обновлениях безопасности. Информацию о них он должен получать из следующих источников, но не ограничиваясь (возможно использование дополнительных источников информации):

Ежемесячно администратором информационной безопасности (или заменяющим его лицом) осуществляется сканирование программного обеспечения на предмет выявления неустановленных обновлений. Отчет о сканировании должен включаться в ежемесячный отчет о состоянии информационной безопасности. Для данного сканирования допустимо, но не ограничиваясь, использование следующего программного обеспечения:.

  • MBSA  — Уязвимости продуктов Microsoft
  • Nessus - Tenable Network Security
  • xSpider  -   Security Scanner

Результаты сканирования должны быть проанализированы и занесены в еженедельный проверочный лист. В случае выявления уязвимости, составляется письменный отчет и направляется ответственному за данное устройство с указанием уязвимостей.

На новые средства вычислительной техники перед вводом их в рабочую среду информационной системы должны устанавливаться все необходимые обновления безопасности на всё установленное программное обеспечение.

Должен существовать инвентаризационный лист используемого программного обеспечения, а также список разрешенного программного обеспечения для возможности мониторинга уязвимостей.

Ежемесячный и еженедельный отчет не должен содержать ни одного программного продукта с незакрытой уязвимостью, для которой выпущено обновление более 30 дней назад или не было принято решение об исключении из требований данного стандарта с занесением результатов в проверочный лист.

Администратор информационной безопасности обязан осуществлять анализ текущего состояния рабочей среды, отслеживать новые уязвимости безопасности, своевременное информировать администраторов.

Администраторы серверов и сетевых устройств обязаны своевременно тестировать, устанавливать обновления и осуществлять их регистрацию, а также осуществлять контроль за появлением новых функциональных обновлений (добавляющих функционал или решающих проблему с функциональностью).

С целью минимизации рисков возможной несовместимости установленного обновления с установленным программным обеспечением, необходимо:

  • протестировать обновления на определенной заранее группе персональных компьютеров и серверов;
  • в течении 3-5 рабочих дней произвести мониторинг с целью выявления возможной несовместимости установленного обновления безопасности программного обеспечения.

Ответственность

Виновные в нарушении условий настоящей Инструкции несут ответственность в соответствии с законодательством Российской Федерации, трудовым договором, должностной инструкцией.


Заключительные положения

Общий текущий контроль исполнения настоящей инструкции осуществляет администратор информационной безопасности.

Администратор информационной безопасности поддерживает настоящую инструкцию в актуальном состоянии.

Изменения и дополнения в настоящую инструкцию утверждаются директором организации.

Инструкция вступает в силу с момента утверждения директором организации. 


Скачать - кнопка

Скачать ZIP файл (17704)


Пригодились документы — поставь «лайк» или поддержи сайт материально:

11+

Добавить комментарий

Свернуть меню