Недавно более глубоко начал изучать и прорабатывать стандарт NIST SP 800-40 v2 "Creating a Patch and Vulnerability Management Program" . Он мне интересен с точки зрения интеграции его "лучших практик" с решением по управлению уязвимостями Qualys.
Стандарт достаточно интересный, он дает рекомендации по организации процесса управления уязвимостями и мониторингу его эффективности.
Структура стандарта:
Стандарт достаточно интересный, он дает рекомендации по организации процесса управления уязвимостями и мониторингу его эффективности.
Структура стандарта:
- Introduction - Назначение документа и обоснование необходимости внедрения процесса управления уязвимостями.
- Patch and Vulnerability Management Process - рекомендации по созданию группы по управлению уязвимостями (the patch and vulnerability group - PVG), обязанности группы и основные шаги процесса управления уязвимостями.
- Security Metrics for Patch and Vulnerability Management - метрики и оценка эффективности процесса управления уязвимостями.
- Patch and Vulnerability Management Issues -прочие моменты и рекомендации по управлению уязвимостями.
- United States Government Patching and Vulnerability Resources - перечень ресурсов (USA).
- Conclusion and Summary of Major Recommendations - резюме и основные рекомендации.
- Appendix A- Acronyms. Перечень и расшифровка сокращений.
- Appendix B- Glossary. Определения.
- Appendix C- Patch and Vulnerability Resource Types. Описание типов ресурсов, интересных при построении процесса управления уязвимостями.
- Appendix D- Patch and Vulnerability Resources. Перечень ресурсов сети Интернет, сообщающих об уязвимостях и их устранении (для операционных систем и приложений)
- Appendix E- Index.Ссылки на главы стандарта по ключевым словам.