Analyse de vulnérabilité VUAS
Identification et classement de vulnérabilités de sécurité dans les réseaux, systèmes et applications et mitigation ou élimination de leur impact.
Notes d’orientation
Les activités peuvent inclure -- mais ne sont pas limitées à :
- catalogue et classement de ressources (acquis et capacités) technologiques et informationnelles pour supporter une évaluation de vulnérabilité
- attribution d’une valeur quantifiable, ordre de classement et importance aux ressources informationnelles et technologiques
- identification et analyse des vulnérabilités de chaque ressource -- manuellement ou à l'aide d'outils automatisés et de sources d'information
- priorisation, hiérarchisation et classement des risques associés aux vulnérabilités
- évaluation de l’impact commercial
- mitigation ou élimination de vulnérabilités.
Les outils d'évaluation des vulnérabilités comprennent des analyseurs d'applications Web, analyseurs de protocole et analyseurs de réseau.
Niveaux de responsabilité pour cette compétence
2 | 3 | 4 | 5 |
Analyse de vulnérabilité: Niveau 1
Cette compétence n’est généralement pas observée ou pratiquée à ce niveau de responsabilité et de responsabilisation.
Analyse de vulnérabilité: Niveau 2
Entreprend des évaluations de vulnérabilité de routine de faible complexité à l'aide d'outils automatisés et semi-automatisés. Fait remonter les problèmes quand nécessaire. Contribue à documenter le scopage et évaluer les résultats d’évaluations de vulnérabilité.
Analyse de vulnérabilité: Niveau 3
Suit les approches normalisées pour effectuer des évaluations de vulnérabilité élémentaires de systèmes d'information réduits. Facilite la création de catalogues d'informations et d'acquis technologiques pour évaluation de vulnérabilité.
Analyse de vulnérabilité: Niveau 4
Assemble et analyse des catalogues d'informations et acquis technologiques pour l'évaluation de la vulnérabilité. Effectue des évaluations de vulnérabilité et analyses d'impact commercial pour systèmes d'information de complexité moyenne. Contribue à la sélection et au déploiement d'outils et de techniques d'évaluation de la vulnérabilité.
Analyse de vulnérabilité: Niveau 5
Planifie et gère les activités d'évaluation de vulnérabilité au sein de l'organisation. Évalue et sélectionne, examine les outils et techniques d'évaluation de vulnérabilité. Fournit des conseils d'experts et des instructions pour faciliter l'adoption d'approches convenues. Obtient et agit sur les informations de vulnérabilité et effectue des évaluations de risques de sécurité, analyses d'impact commercial et accréditations de systèmes d'information complexes.
Analyse de vulnérabilité: Niveaux 6-7
Cette compétence n’est généralement pas observée ou pratiquée à ces niveaux de responsabilité et de responsabilisation.