المبدأ 19: مراقبة الثغرات الأمنية والإبلاغ عنها
| الرقم: 43065348 | التاريخ (م): 2022/2/27 | التاريخ (هـ): 1443/7/26 | الحالة: نافذ |
هذه النسخة مترجمة و قد يطرأ عليها تعديلات لاحقا. يجب الاستناد على التعليمات الواردة في الوثيقة الأصلية
يجب على المؤسسات المالية أن تراقب باستمرار الإعلانات عن الثغرات الأمنية الجديدة التي يتم اكتشافها، بالإضافة إلى ثغرات اليوم - صفر التي تستغلها جهات التهديد. ويجب عليهم الإبلاغ عن هذه الثغرات الأمنية إلى الأطراف المعنية داخل المؤسسة (مثل المسؤولين عن إدارة حزم التحديثات والإصلاحات). ويجب أن تتم هذه الاتصالات وفقًا للإجراءات الداخلية للمؤسسات المالية (مثل اتفاقية مستوى الخدمة ومؤشر الأداء الرئيسي).
ويجب على المؤسسة المالية اعتماد نهج قائم على المخاطر يربط بين قيمة الأصول وشدة الثغرات الأمنية ونشاط جهات التهديد من خلال استخدام معلومات وتحليلات التهديدات بهدف حساب تصنيف واقعي للمخاطر. ويجب استخدام هذا التصنيف لتحديد أولويات أنشطة الإصلاح. إضافةً إلى ذلك، يجب على المؤسسة المالية استخدام نهج قائم على المخاطر لتوظيف ضوابط التخفيف، مثل نظام منع التطفل عند عدم القدرة على تصحيح الثغرات الأمنية لتقليل مساحة الهجوم ومنع استغلال الثغرات الأمنية.