AlexRedSec
@alexredsec
Совет по стандартам безопасности индустрии платёжных карт (PCI SSC) недавно опубликовал инфографику, иллюстрирующую процесс управления уязвимостями в рамках стандарта PCI DSS
Схема процесса сопровождается также небольшой статьей, разъясняющей ключевые требования стандарта PCI DSS в части приоритизации и устранения уязвимостей
Пожалуй, главное, что подчеркивают авторы в статье: не обязательно "принимать на веру" установленные внешними источниками уровни критичности уязвимостей (по CVSS, EPSS и т.п.), а даже рекомендуется пересматривать или дополнять эти оценки, учитывая контекст: возможность эксплуатации уязвимости в конкретной инфраструктуре и негативное влияние на бизнес-процессы. Главное, чтобы в организации была установлена прозрачная методика оценки рисков и приоритизации, а сами уязвимости устранялись в установленные сроки: для "критичных" – за месяц в соответствии с требованиями стандарта, для остальных – как сами решите.
#cvss #epss #vm #vulnerability #pcidss #prioritization
Схема процесса сопровождается также небольшой статьей, разъясняющей ключевые требования стандарта PCI DSS в части приоритизации и устранения уязвимостей
Пожалуй, главное, что подчеркивают авторы в статье: не обязательно "принимать на веру" установленные внешними источниками уровни критичности уязвимостей (по CVSS, EPSS и т.п.), а даже рекомендуется пересматривать или дополнять эти оценки, учитывая контекст: возможность эксплуатации уязвимости в конкретной инфраструктуре и негативное влияние на бизнес-процессы. Главное, чтобы в организации была установлена прозрачная методика оценки рисков и приоритизации, а сами уязвимости устранялись в установленные сроки: для "критичных" – за месяц в соответствии с требованиями стандарта, для остальных – как сами решите.
#cvss #epss #vm #vulnerability #pcidss #prioritization
👍 10
❤ 2
47 2.2K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram