КиберОценка

A.12.6: Управление техническими уязвимостями

Своевременное получение информации о технических уязвимостях и принятие мер

Подробное описание

Контроль A.12.6 требует создания системы управления жизненным циклом уязвимостей: от получения информации о новых CVE и бюллетенях безопасности до приоритизации, тестирования и внедрения патчей. Организация должна поддерживать актуальный реестр активов с версиями ПО, подписаться на уведомления производителей и CERT-центров, оценивать применимость уязвимостей к своей инфраструктуре и устанавливать SLA на устранение критических уязвимостей (обычно 48-72 часа). Процесс включает risk-based приоритизацию: публично эксплуатируемые уязвимости во внешнем периметре устраняются в первую очередь, даже если их CVSS ниже внутренних.

Практические шаги внедрения

  1. 1

    Создать реестр активов с указанием версий ОС, приложений, библиотек и ответственных за патчинг (привязать к CMDB/инвентаризации)

  2. 2

    Подписаться на рассылки CERT, вендоров (Microsoft Security Update Guide, Oracle Critical Patch Update, GitHub Security Advisories) и настроить агрегацию в единый канал

  3. 3

    Внедрить vulnerability management инструмент (Tenable.sc, Qualys VMDR, OpenVAS) для регулярного сканирования и корреляции с CVE-базами

  4. 4

    Разработать матрицу приоритизации патчей: CVSS + эксплуатируемость (EPSS) + критичность актива + доступность эксплойта в публичных источниках

  5. 5

    Установить SLA на устранение: критические уязвимости публичных сервисов — 48 часов, высокие — 7 дней, средние — 30 дней

  6. 6

    Организовать процесс тестирования патчей в non-production среде перед развёртыванием в продакшне (особенно для legacy-систем)

  7. 7

    Внедрить компенсирующие меры для уязвимостей без патча: виртуальный патчинг на WAF/IPS, сегментация сети, отключение уязвимых функций

Типичные нарушения

  • Отсутствие централизованного источника информации об уязвимостях — администраторы узнают о критических CVE из новостей с опозданием в несколько дней

  • Применение патчей без приоритизации: обновляются внутренние тестовые стенды, игнорируются публичные веб-серверы с RCE-уязвимостями

  • Использование устаревших версий ПО без поддержки (Windows Server 2008, PHP 5.6) и отсутствие плана миграции или компенсирующих контролей

  • Нет процесса для уязвимостей без патча: обнаружена 0-day в продакшн-библиотеке, но не приняты временные меры (WAF-правила, network isolation)

  • Патчи устанавливаются вручную без отслеживания: нет подтверждения применения, системы остаются уязвимыми месяцами после релиза фикса

Почему это важно

Эксплуатация публично известных уязвимостей остаётся основной причиной компрометации: от ransomware-атак через уязвимости в VPN-шлюзах до утечек данных через незакрытые SQL-инъекции. Регуляторы (GDPR Art. 32, PCI DSS Req. 6.2, 152-ФЗ) требуют своевременного патчинга как базовую меру защиты; отсутствие процесса управления уязвимостями квалифицируется как грубое нарушение при расследовании инцидентов и может привести к штрафам и репутационным потерям.

Проверяемые категории

ConfigurationVulnerabilityTechnology StackSupply Chain

Связанные контроли

Связанные контроли в других фреймворках

Проверьте соответствие автоматически

Используйте инструменты КиберОценка для автоматической проверки соответствия контролям безопасности и получения детальных отчётов по выявленным уязвимостям.

Запустите бесплатный аудит безопасности