1. Milleks see dokumentide pakett on?

Haavatavuste haldus on koht, kus infoturve muutub päriselt praktiliseks.

See ei ole poliitika.
See on operatsioon.

Ilma selleta:

• kriitilised augud jäävad märkamatuks
  
• paikamised venivad “kunagi” tasemele
  
• auditil puudub tõend
• riskid ei ole juhitud, vaid ignoreeritud

See pakett aitab sul:

• tuvastada haavatavusi süsteemselt (skanner + ohuteave)
  
• hinnata ja prioritiseerida need (CVSS + kontekst)
  
• määrata selged parandamise tähtajad
  
• dokumenteerida kõik – ka erandid
  
• luua tõend, mida audiitor ja regulaator päriselt ootavad
  

2. Kellele sobib?

See pakett on mõeldud organisatsioonidele, kes:

• peavad vastama NIS2, KüTS või ISO 27001 nõuetele
  
• tahavad lõpetada “patchime siis kui aega on” lähenemise
  
• kasutavad skannerit… aga ei juhi tulemusi
  
• või ei kasuta üldse skannerit, aga teavad, et peaks
  

Sobib eriti:

• infoturbejuhile (CISO)
  
• IT-adminile / IT-juhile
  
• juhtkonnale, kes vastutab riskide eest
  
• organisatsioonile, kes tahab kontrolli, mitte lootust
  

3. Mida saad?

See pakett ei ole lihtsalt dokumentide komplekt.
See on täielik haavatavuste halduse süsteem.

Pakett sisaldab:

3.1. Haavatavuste halduse dokumentide juhend

• selgitab kogu süsteemi loogika
  
• annab täitmise järjekorra (mida teha esimesena)
  
• välistab segaduse ja topelttööd
  

3.2. Haavatavuste halduse poliitika vorm

• määrab reageerimisajad
  
• sätestab rollid ja vastutuse
  
• seob haavatavused riskihaldusega
  

3.3. Haavatavuste halduse protseduuri vorm

• samm-sammuline tegevusjuhis
  
• skaneerimine, hindamine, paikamine, eskalatsioon
  
• sisaldab Patch Tuesday protsessi
  

3.4. Haavatavuste halduse registri vorm

• kõik haavatavused ühes kohas
  
• CVE, CVSS, tähtajad, staatus
  
• erandite register koos kompensatsioonmeetmetega

4. KKK

Meil ei ole haavatavuste skannerit. Kuidas alustada? Skanner on abivahend, mitte eeltingimus — eeltingimus on protsess. Alusta tasuta lahendustest: OpenVAS on avatud lähtekoodiga, Microsoft Defender sisaldab haavatavuste halduse funktsioone Microsofti keskkondades ja CERT-EE teavitused on tasuta ning väärtuslikud. Pakett töötab kõikide nende lahendustega.

Kas peame kõiki CVE-sid jälgima? Ei — see oleks võimatu, neid avaldatakse üle 60 päevas. Jälgi ainult neid, mis puudutavad sinu kasutatavat tarkvara ja süsteeme. Selleks on kaks head viisi: tootjate turvateavitused (tasuta, täpne) ja haavatavuste skanner (automatiseerib filtreerimise). Protseduur selgitab mõlemat.

Kas peame kõiki süsteeme kohe skaneerima? Mitte korraga. Alusta kriitilisematest — avalikud serverid, autentimissüsteemid, andmebaasid. Sisevõrgu töötajate seadmed on järgmised. Regulatiivne miinimum on: kriitilised süsteemid vähemalt kord kvartalis, kogu keskkond vähemalt kord aastas.

5. Õiguslik teave

Dokument on näidismaterjal ja praktiline töövahend, mis vajab kohandamist vastavalt organisatsiooni tegevusele, struktuurile ja riskitasemele. Dokument ei kujuta endast õigusnõustamist ega asenda ametlikke juhiseid või järelevalveasutuse nõudeid.

Toote kasutamisel kehtivad Defending Data litsentsitingimused ja kasutus- ja ostutingimused.

6. Taganemisõigus

Digitaalse sisu puhul ei kohaldu 14-päevane taganemisõigus, kui tarbija on andnud nõusoleku sisu koheseks edastamiseks (VÕS § 53 lg 4).

Defending Data dokumendid on loodud juhatuse, mitte bürokraatia jaoks.