Глобальная система навыков и компетенций для цифрового мира

Оценка уязвимости VUAS

Выявление и классификация уязвимостей безопасности в сетях, системах и приложениях и смягчение или устранение их влияния.

Методические рекомендации:

Деятельность может включать, но не ограничиваться:

  • каталогизация и классификация информационных и технологических ресурсов (активов и возможностей) для поддержки оценки уязвимости
  • присвоение количественной ценности, порядка ранжирования и важности информационным и технологическим ресурсам
  • выявление и анализ уязвимостей каждого ресурса - вручную или с использованием автоматизированных инструментов и источников информации
  • определение приоритетов, подсчет баллов и ранжирование рисков, связанных с уязвимостями
  • оценка влияния на бизнес
  • смягчение или устранение уязвимостей.

Инструменты оценки уязвимостей включают сканеры веб-приложений, сканеры протоколов и сетевые сканеры.

Уровни ответственности за этот навык

2 3 4 5

Оценка уязвимости: Уровень 1

Этот навык, как правило, не соблюдается и не практикуется на этом уровне ответственности и подотчетности.

Оценка уязвимости: Уровень 2

Проводит рутинные оценки уязвимостей низкой сложности с использованием автоматизированных и полуавтоматических инструментов. При необходимости эскалирует проблемы. Участвует в документировании объема и оценке результатов оценки уязвимостей.

Оценка уязвимости: Уровень 3

Следуя стандартным подходам, проводит базовую оценку уязвимости небольших информационных систем. Поддерживает создание каталогов информационных и технологических активов для оценки уязвимости.

Оценка уязвимости: Уровень 4

Составляет и анализирует каталоги информационных и технологических активов для оценки уязвимости. Выполняет оценку уязвимости и анализ влияния на бизнес для информационных систем средней сложности. Участвует в выборе и внедрении инструментов и методов оценки уязвимости.

Оценка уязвимости: Уровень 5

Планирует и управляет деятельностью по оценке уязвимости в организации. Оценивает и выбирает, анализирует инструменты и методы оценки уязвимости. Предоставляет экспертные советы и рекомендации для поддержки принятия согласованных подходов. Получает информацию об уязвимостях и принимает соответствующие меры, проводит оценку рисков безопасности, анализ влияния на бизнес и аккредитацию сложных информационных систем.

Оценка уязвимости: Уровни 6-7

Этот навык, как правило, не соблюдается и не практикуется на этих уровнях ответственности и подотчетности.