26 Октября, 2011

Про NIST 800-30

Andrey Prozorov
Недавно более глубоко начал изучать и прорабатывать стандарт NIST SP 800-40 v2 "Creating a Patch and Vulnerability Management Program" . Он мне интересен с точки зрения интеграции его "лучших практик" с решением по управлению уязвимостями Qualys.
Стандарт достаточно интересный, он дает рекомендации по организации процесса управления уязвимостями и мониторингу его эффективности.
Структура стандарта:
  1. Introduction - Назначение документа и обоснование необходимости внедрения процесса управления уязвимостями.
  2. Patch and Vulnerability Management Process - рекомендации по созданию группы по управлению уязвимостями (the patch and vulnerability group - PVG), обязанности группы и основные шаги процесса управления уязвимостями.
  3. Security Metrics for Patch and Vulnerability Management - метрики и оценка эффективности процесса управления уязвимостями.
  4. Patch and Vulnerability Management Issues -прочие моменты и рекомендации по управлению уязвимостями.
  5. United States Government Patching and Vulnerability Resources - перечень ресурсов (USA).
  6. Conclusion and Summary of Major Recommendations - резюме и основные рекомендации.
  7. Appendix A- Acronyms. Перечень и расшифровка сокращений.
  8. Appendix B- Glossary. Определения.
  9. Appendix C- Patch and Vulnerability Resource Types. Описание типов ресурсов, интересных при построении процесса управления уязвимостями.
  10. Appendix D- Patch and Vulnerability Resources. Перечень ресурсов сети Интернет, сообщающих об уязвимостях и их устранении (для операционных систем и приложений)
  11. Appendix E- Index.Ссылки на главы стандарта по ключевым словам.