5. Standard bezpečnosti pro školy

5.5. Oblast 5: Řízení aktualizací (Patch management)

S rostoucím počtem koncových zařízení a aplikací je spojena i jejich různorodost. Což způsobuje, že správa těchto systémů a softwaru nadměrně zatěžuje IT správce. Neprovedená nebo opomenutá včasná aktualizace může navíc způsobit narušení zabezpečení sítě, incident a finanční škody. Proto je potřeba tuto problematiku správně řešit.

Co je potřeba splnit pro správné nastavení správy aktualizací:

  • Centralizované aktualizace – urychlí a zpřehlední proces aktualizace. Správce nebude muset obcházet jednotlivá zařízení a spouštět na nich aktualizace OS a nainstalovaných aplikací. Současně bude mít přehled, kde aktualizace proběhly a kde ne.
  • Nepoužívat nepodporované verze OS a aplikací – zabraňuje zneužití známých zranitelností. Pokud je to vyžadováno např. z důvodu provozu nějakého staršího zařízení nebo aplikace, je nutné přijmout jiná bezpečnostní opatření, např. zařízení přesunout do izolované VLANy s minimálními prostupy.
  • Provádět pravidelné aktualizace OS a používaných aplikací – zabraňuje zneužití známých zranitelností.
  • Kritické aktualizace doporučujeme provádět v co nejkratším možném čase, aby se předešlo zneužití známých zranitelností. Ostatní aktualizace je možné provádět ve větším časovém rozmezí.
  • Aktualizace provádíme vždy na určitém vzorku zařízení, abychom předešli situaci, kdy nám aktualizace způsobní nefunkčnost zařízení. Pokud je možné zranitelnost opravit jiným způsobem než aktualizací, doporučujeme tuto možnost zvážit.
  • V souvislosti s aktualizacemi je vhodné co nejvíce sjednotit používané typy OS a aplikací.
  • Pro aktualizace je vhodné zvolit čas mimo pracovní dobu, aby se předešlo nedostupnosti služby, případně jiným problémům.

Všechny aplikace i operační systém musí být aktuální. Staré verze s neopravenými zranitelnostmi často bývají terčem útočníků. Zároveň se ujistěte, že vaše zařízení jsou správně nakonfigurována a bezpečnostní funkce zapnuty.

Opravný SW musí být implementován neprodleně po jeho zveřejnění. Kontrola existence záplat a aktualizací aplikací a SW komponent musí probíhat periodicky u všech aktiv, minimálně 1x do měsíce.