PR.IP-12: Управление уязвимостями

Подробное описание

Контроль PR.IP-12 требует создания и внедрения формализованного процесса управления уязвимостями на протяжении всего жизненного цикла активов. Процесс должен включать регулярное сканирование инфраструктуры, приоритизацию обнаруженных уязвимостей с учётом CVSS (Common Vulnerability Scoring System), EPSS (Exploit Prediction Scoring System) и списков KEV (Known Exploited Vulnerabilities) от CISA, установление SLA на устранение в зависимости от критичности, а также механизм отслеживания статуса remediation и процедуру исключений для случаев, когда патч невозможен. План должен быть задокументирован, регулярно пересматриваться и интегрирован с процессами управления изменениями и patch management согласно NIST SP 800-40.

Практические шаги внедрения

1. 1

   Разработать политику управления уязвимостями с определением ролей, ответственности, SLA на устранение (например, критические — 7 дней, высокие — 30 дней, средние — 90 дней) и процесса escalation

2. 2

   Внедрить автоматизированное сканирование уязвимостей с помощью инструментов vulnerability assessment (Qualys VMDR, Tenable Nessus, OpenVAS, Nuclei) на регулярной основе (еженедельно для критичных систем, ежемесячно для остальных)

3. 3

   Настроить систему приоритизации уязвимостей с учётом CVSS base score, temporal metrics, EPSS вероятности эксплуатации, присутствия в списке CISA KEV и контекста бизнес-критичности актива

4. 4

   Создать централизованный реестр уязвимостей с отслеживанием статуса (обнаружена, в работе, устранена, принят риск), назначенных владельцев, сроков устранения и истории изменений

5. 5

   Установить процедуру compensating controls и risk acceptance для уязвимостей, которые невозможно устранить немедленно (legacy-системы, вендор не выпустил патч, breaking changes)

6. 6

   Интегрировать vulnerability management с процессами patch management, change management и incident response для обеспечения своевременного реагирования на критичные находки

7. 7

   Проводить ежеквартальный review эффективности программы: анализ метрик (Mean Time to Remediate, процент уязвимостей устранённых в SLA, backlog trend), корректировка приоритетов и обновление политики

Типичные нарушения

• Отсутствие формализованного процесса управления уязвимостями: сканирование проводится ad-hoc без чётких SLA, приоритизации и tracking, что приводит к накоплению технического долга и эксплуатации известных уязвимостей

• Приоритизация только по CVSS без учёта EPSS и KEV: уязвимости с высоким CVSS, но низкой вероятностью эксплуатации, устраняются раньше активно эксплуатируемых угроз из списка CISA KEV

• Отсутствие centralized tracking и accountability: результаты сканирований не консолидируются в единый реестр, владельцы уязвимостей не назначены, сроки устранения не контролируются

• Несоблюдение установленных SLA на remediation: критичные уязвимости остаются неустранёнными месяцами из-за отсутствия escalation process или конфликтов с change freeze periods

• Отсутствие процесса исключений и compensating controls: для уязвимостей в legacy-системах не документируется accepted risk, не внедряются компенсирующие меры (сегментация сети, WAF rules, monitoring)

Почему это важно

Проверяемые категории

Связанные контроли