Kilka uwag o zarządzaniu podatnościami

Zagadnienia związane z zarządzaniem bezpieczeństwem informacji są obecnie jednymi z najważniejszych (i najmodniejszych) kwestii w świecie tzw. nowych technologii. Jednym z elementów zarządzania bezpieczeństwem informacji jest zarządzanie podatnościami (ang. Vulnerability Management – VM). Norma słownikowa ISO/IEC 27000 definiuje podatność jako słabość zasobu (ang. asset) lub zabezpieczenia (ang. control), która może być wykorzystana przez co najmniej jedno zagrożenie (ISO/IEC 27000:2018-3.77). Definicję tę powtarza ISO/IEC 27002:2022-3.1.38. Norma ISO/IEC 27001:2013 mówi o zarządzaniu podatnościami w załączniku normatywnym A.12.6, zaś najnowsza wersja normy (ISO/IEC 27002:2022) w rozdziale 8 w podrozdziale 8.8. Management of technical vulnerabilities. Procesowi dostarczania informacji o podatnościach (ang. vulnerability disclosure) poświęcona jest norma ISO/IEC 29147, zaś procesowi obsługi (ang. handling) podatności przez dostawców (ang. vendor) – norma ISO/IEC 30111. Podobnie jak w innych obszarach zastosowań technik informatycznych, sposób zarządzania podatnościami w rzeczywistych firmach jest wynikową międzynarodowych standardów, poszczególnych metodyk (ang. methodologies) czy ram postępowania (ang. frameworks) – często związanych z grupami producentów czy mniej lub bardziej formalnymi organizacjami i stowarzyszeniami oraz stosowania konkretnych narzędzi i produktów komercyjnych implementujących (a niejednokrotnie adaptujących w sposób dość swobodny) te standardy i metodyki. Taka sytuacja ma miejsce dlatego, że nie ma uniwersalnej szczegółowej metody zarządzania podatnościami. Istnieją oczywiście wskazówki, jak budować odpowiednie procesy zarządzania w organizacji (np. Palmers 2013; Carnegie Mellon University 2016; Defense Lead 2020; NIST SP 800-40 Rev. 3), niemniej są one dość ogólne.