Oficiálna stránka

Doména kyberportál.slovensko.sk

Nachádzate sa na oficiálnom webovom sídle orgánu verejnej moci SK – Centrálny portál kybernetickej bezpečnosti. Odkazy na jednotlivé webové sídla orgánov verejnej moci nájdete na tomto odkaze .

Táto stránka je zabezpečená

Buďte pozorní a vždy sa uistite, že zdieľate informácie iba cez zabezpečenú webovú stránku verejnej správy SR. Zabezpečená stránka vždy začína https:// pred názvom domény webového sídla.

Domov Znalostná báza Bezpečnostné opatrenia Hodnotenie zraniteľností a bezpečnostné aktualizácie
Znalosť

Hodnotenie zraniteľností a bezpečnostné aktualizácie

Aktualizované 23.09.2024 - Bezpečnostné opatrenia

Kategória I

Nastavenie automatickej aktualizácie operačného systému a aplikácií.

Kategória II

a)
V organizácii správcu zaviesť pravidelné zisťovanie a riešenie efektívnych procesov pravidelného zisťovania a riešenia technických zraniteľností systémov a aplikácií pomocou automatizovaných nástrojov.

b)
Všetky zistené kritické zraniteľnosti sa odstraňujú v čo najkratšom čase, a to najmä implementáciou opravných softvérových balíkov a aktualizácií riadne vydaných dodávateľom systému alebo aplikácie. Uvedené platí aj na systémy dodávané treťou stranou.

c)
Vykonávanie hodnotenie zraniteľností najmenej raz ročne.

d)
Vypracovanie a zavedenie procesu riadenia implementácie bezpečnostných aktualizácií a záplat jednotlivých prvkov informačných technológií verejnej správy v organizácii správcu.

e)
Vytvorenie a udržiavanie inventárneho zoznamu hardvéru a softvéru jednotlivých prvkov informačných technológií verejnej správy vrátane prvkov v správe tretích strán na identifikáciu relevantných zraniteľností a aktualizácií.

f)
Jednotlivé prvky informačných technológií verejnej správy monitorujú zdroje, ktoré poskytujú včasné informácie o nových zraniteľnostiach a bezpečnostných aktualizáciách, ktoré sa vzťahujú na prvky informačných technológií verejnej správy.

g)
Primárnymi zdrojmi na identifikáciu nových zraniteľností a bezpečnostných aktualizácií sú
1.
informácie zo systémov a automatizovaných technológií pre aktualizáciu,
2.
informačný servis výrobcov technológií,
3.
výstupy z bezpečnostných technológií,
4.
výsledky penetračných testov,
5.
oznámenia a varovania orgánov štátnej správy a autorít v oblasti kybernetickej bezpečnosti,
6.
webové stránky a portály spoločností zameraných na publikovanie zraniteľnosti.

h)
Výnimky z implementácie bezpečnostných aktualizácií sa schvaľujú a evidujú manažérom kybernetickej bezpečnosti a informačnej bezpečnosti, ktorý určuje bezpečnostné opatrenia na ochranu pred zneužitím zraniteľnosti, na elimináciu ktorej je bezpečnostná aktualizácia vydaná.

i)
Súbory s bezpečnostnými aktualizáciami sa získavajú výhradne z dôveryhodného zdroja, primárne priamo od výrobcu. Pri nejasnostiach alebo inom zdroji je potrebné porovnanie kontrolných súčtov jednotlivých súborov bezpečnostných aktualizácií s kontrolnými súčtami súborov výrobcu tak, že nedôjde k poskytnutiu škodlivých aktualizácií.

j)
Pred implementáciou aktualizácií sú vykonané opatrenia na možnosť obnovenia pôvodného stavu prvku informačných technológií verejnej správy pred aktualizáciou pri neočakávaných stavoch, chybách alebo odchýlkach od požadovanej funkcionality spôsobených aktualizáciou.

k)
Po implementácii aktualizácie sa aktualizuje prvok informačných technológií verejnej správy verifikovaný, najmä jeho správna funkcionalita.

Kategória III

a)
Preskúmavanie a odstraňovanie zraniteľností sa vykoná najmenej každých šesť mesiacov.

b)
Bezpečnostné a ostatné aktualizácie sa implementuje najmä prostredníctvom automatizovaného nástroja.