Про NIST 800-30

Недавно более глубоко начал изучать и прорабатывать стандарт NIST SP 800-40 v2 "Creating a Patch and Vulnerability Management Program". Он мне интересен с точки зрения интеграции его "лучших практик" с решением по управлению уязвимостями Qualys.
Стандарт достаточно интересный, он дает рекомендации по организации процесса управления уязвимостями и мониторингу его эффективности.
Структура стандарта:

1. Introduction - Назначение документа и обоснование необходимости внедрения процесса управления уязвимостями.
   
2. Patch and Vulnerability Management Process - рекомендации по созданию группы по управлению уязвимостями (the patch and vulnerability group - PVG), обязанности группы и основные шаги процесса управления уязвимостями.
   
3. Security Metrics for Patch and Vulnerability Management - метрики и оценка эффективности процесса управления уязвимостями.
   
4. Patch and Vulnerability Management Issues -прочие моменты и рекомендации по управлению уязвимостями.
5. United States Government Patching and Vulnerability Resources - перечень ресурсов (USA).
6. Conclusion and Summary of Major Recommendations - резюме и основные рекомендации.
   
7. Appendix A- Acronyms. Перечень и расшифровка сокращений.
8. Appendix B- Glossary. Определения.
9. Appendix C- Patch and Vulnerability Resource Types. Описание типов ресурсов, интересных при построении процесса управления уязвимостями.
10. Appendix D- Patch and Vulnerability Resources. Перечень ресурсов сети Интернет, сообщающих об уязвимостях и их устранении (для операционных систем и приложений)
11. Appendix E- Index.Ссылки на главы стандарта по ключевым словам.