Dodatak I - Sigurnosne zakrpe

Svrha

Svrha politike upravljanja sigurnosnim zakrpama je reguliranje procesa otklanjanja skrivenih pogrešaka operacijskih sustava i programskih paketa.

Pravovremeno otklanjanje postojećih pogrešaka operacijskih sustava i programskih paketa sprječava moguću štetu zbog širenja virusa, crva, zlonamjernih kodova i ostalih napada na sigurnost, koji za posljedicu imaju smanjenje operativnosti, integriteta i povjerljivosti informacijskog sustava.

Upravljanje sigurnosnim zakrpama

Administrator je odgovoran brinuti osobno ili oformiti grupu zaduženu za upravljanje programskim zakrpama.

Zadatak upravljanja programskim zakrpama je redovna kontrola ažurnosti verzija operacijskih sustava i kritičnih programskih paketa, te dokumentiranje zatečenog stanja. Sukladno provedenoj kontroli, potrebno je poduzeti adekvatne mjere pomoću postojećih mehanizama za primjenu programskih zakrpi i/ili instalaciju novih verzija. Privremeno rješenje može uključivati ukidanje nepotrebnog servisa i/ili promjenu konfiguracijskih parametara.

Preporuka redovitosti kontrola je svakih mjesec dana za Windows okruženje, svaka tri mjeseca za mrežne uređaje i centralna računala; i/ili češće, ovisno o pokazateljima na neispravan rad nekih servisa ili dobivenim/objavljenim upozorenjima od strane proizvođača i odgovarajućih izvora.

Ukoliko postoji mogućnost, poželjno je da se instalacija zakrpa provodi centralizirano - s jednog računala istodobno na sva računala informacijskog sustava. Ako ovakav način instaliranja zakrpa nije moguć, potrebno je osmisliti mehanizme kojima će se osigurati instalacija zakrpa na svako računalo sustava.

Administrator prije odobrenja treba proučiti pripadajuću dokumentaciju i po mogućnosti testirati programsku zakrpu na izdvojenoj testnoj okolini koja je što sličnija produkcijskoj okolini.

Za kritična računala (poslužitelje i računala na kojima su instalirane aplikacije neophodne za normalni tijek poslovnih procesa) prije same instalacije programske zakrpe, potrebno je napraviti sigurnosnu kopiju koja osigurava povratak na staro.

Odgovorne osobe obavezni su voditi ažurnu i jedinstvenu evidenciju primijenjenih programskih zakrpa na računalima. U evidenciju se upisuju i one programske zakrpe koje se nisu mogle primijeniti na računala zbog neadekvatne verzije instaliranog softvera i/ili posebnosti instaliranih aplikacija, čija funkcionalnost, nakon primjene istih, ne bi bila moguća.