ID.RA-1: Идентификация и документирование уязвимостей активов

Подробное описание

Контроль ID.RA-1 устанавливает требование непрерывной идентификации и документирования уязвимостей во всех критически важных активах организации. Процесс включает автоматизированное сканирование с использованием специализированных инструментов (Nessus, Qualys, OpenVAS, Nuclei), анализ баз данных CVE (Common Vulnerabilities and Exposures) и NVD (National Vulnerability Database), а также ручное тестирование на проникновение для выявления логических уязвимостей. Каждая обнаруженная уязвимость должна быть классифицирована по серьёзности (CVSS score), приоритизирована с учётом вероятности эксплуатации (EPSS) и задокументирована в централизованном реестре с указанием затронутых активов, потенциального воздействия и статуса устранения. Эффективная реализация ID.RA-1 создаёт фундамент для программы управления уязвимостями в соответствии с рекомендациями NIST SP 800-30.

Практические шаги внедрения

1. 1

   Разработать политику управления уязвимостями, определяющую частоту сканирования, охват активов, используемые инструменты и процедуры эскалации критических находок

2. 2

   Развернуть систему автоматизированного сканирования уязвимостей с регулярным обновлением базы сигнатур CVE и настройкой профилей сканирования под специфику инфраструктуры (веб-приложения, сетевые устройства, контейнеры)

3. 3

   Настроить интеграцию с потоками threat intelligence для получения актуальной информации о новых уязвимостях, активно эксплуатируемых в атаках (CISA KEV, vendor security advisories)

4. 4

   Создать централизованный реестр уязвимостей с полями: CVE ID, CVSS score, EPSS, затронутые активы, владелец актива, дата обнаружения, статус устранения, целевая дата закрытия

5. 5

   Внедрить процесс приоритизации на основе комбинации факторов: критичность актива, CVSS severity, наличие публичных эксплойтов, доступность из Интернета

6. 6

   Организовать регулярное penetration testing силами внутренней команды или внешних специалистов для выявления сложных уязвимостей, недоступных автоматическим сканерам

7. 7

   Установить метрики эффективности: Mean Time to Detect (MTTD), Mean Time to Remediate (MTTR), процент критических уязвимостей, устранённых в SLA, и регулярно представлять отчётность руководству

Типичные нарушения

• Отсутствие регулярного автоматизированного сканирования: проверки проводятся эпизодически или только перед аудитами, что оставляет окна уязвимости на месяцы

• Игнорирование shadow IT и неучтённых активов: сканированию подвергаются только официально зарегистрированные системы, в то время как test-серверы, legacy-приложения и IoT-устройства остаются вне поля зрения

• Отсутствие централизованного реестра: результаты сканирований хранятся в разрозненных CSV-файлах или email-цепочках без единой точки учёта и отслеживания статуса устранения

• Недостаточная приоритизация: все уязвимости обрабатываются по принципу FIFO без учёта критичности актива и реальной угрозы, что приводит к устранению Low-находок при наличии незакрытых Critical

• Отсутствие валидации после устранения: уязвимости закрываются в трекере без повторного сканирования для подтверждения успешного исправления, что создаёт ложное чувство безопасности

Почему это важно

Проверяемые категории

Связанные контроли