Система обнаружения вторжения, не управляемая администраторами системы и сети, может использоваться для мониторинга действий по администрированию системы и сети.

Синхронизация часов

Меры и средства

Часы всех систем обработки информации внутри организации или домена безопасности должны быть синхронизированы с единым эталонным источником времени.

Рекомендации по реализации

Внешние и внутренние требования по представлению, синхронизации и точности времени должны быть задокументированы. Эти требования могут быть правовыми, нормативными, договорными требованиями, соответствием стандарту или требованиями для внутреннего мониторинга. В организации должно быть определено стандартное эталонное время.

Подход организации к получению эталонного времени из внешнего источника и достоверной синхронизации внутренних часов должен быть задокументирован и внедрен.

Корректная установка компьютерных часов важна для обеспечения точности логов аудита, которые могут потребоваться для расследований или как доказательство в случае судебного или дисциплинарного разбирательства. Неточные логи аудита могут затруднить такие расследования и навредить достоверности такого доказательства.

Часы, корректируемые по радиовещанию с помощью национальных атомных часов, могут использоваться как главные часы для систем протоколирования. Сетевой протокол времени может использовать все серверы для синхронизации главных часов.

8.6. Управление техническими уязвимостями

Цель: Предотвратить использование технических уязвимостей.

Управление техническими уязвимостями обеспечивают следующие мероприятия:

– обработка технических уязвимостей;

– ограничение на установку ПО.

Обработка технических уязвимостей

Меры и средства

Информация о технических уязвимостях используемых ИС должна быть получена своевременно, незащищенность организации от уязвимостей оценена и приняты соответствующие меры для обработки связанных с ними рисков.

Рекомендации по реализации

Актуальная и полная инвентаризация активов является необходимым условием эффективного управления техническими уязвимостями. Информация, необходимая для поддержки управления техническими уязвимостями, включает в себя разработчика ПО, номера версии, текущее состояние развертывания (например, какое ПО на какую систему устанавливается) и сотрудников организации, ответственных за ПО.

Идентификация потенциальных технических уязвимостей должна вызвать соответствующее и своевременное действие.

Для обеспечения процесса эффективного управления техническими уязвимостями необходимо выполнить следующие рекомендации:

– в организации необходимо определить и установить роли и обязанности, связанные с управлением техническими уязвимостями, включая мониторинг и оценку риска уязвимостей, исправление ПО (патчинг), слежение за активами и любые требуемые координирующие функции;

– следует определять для ПО и другой технологии информационные ресурсы, которые будут использоваться для выявления значимых технических уязвимостей и обеспечения осведомленности о них; эти ресурсы должны обновляться с учетом изменений в инвентарной описи или нахождения новых или применимых ресурсов;

– необходимо определить временные параметры реагирования на уведомления о потенциально значимых технических уязвимостях;

– после выявления потенциальной технической уязвимости организация должна определить связанные с ней риски и действия, которые необходимо предпринять; эти действия должны включать исправление уязвимых систем или другие меры защиты;

– в зависимости от того, насколько срочно необходимо рассмотреть техническую уязвимость, предпринимаемое действие следует осуществлять в соответствии с мерами по управлению изменениями или процедурами реагирования на инцидент ИБ;

– при наличии возможности установки легального патча следует оценить риски, связанные с его установкой (риски от уязвимости сравнить с риском установки патча);

– перед установкой патчи следует тестировать и оценивать на предмет их эффективности и отсутствия недопустимых побочных эффектов; если нет патчей, следует рассмотреть другие меры защиты, такие как:

• отключение сервисов или возможностей, связанных с уязвимостью;

• адаптирование или добавление средств контроля доступа, например, сетевые экраны или границы;

• расширенный мониторинг для выявления актуальных атак;

• повышение осведомленности об уязвимости;

– следует вести журнал аудита для всех предпринятых процедур;

– следует регулярно проводить мониторинг и оценку процесса управления техническими уязвимостями на предмет его эффективности и действенности;

– в первую очередь надо обращать внимание на системы с высоким уровнем риска;

– процесс управления техническими уязвимостями должен быть совмещен с действиями по управлению инцидентом ИБ, чтобы данные по уязвимостям передавались группе реагирования на инцидент и обеспечивались технические процедуры в случае появления инцидента;