КиберОценка

RS.MI-3: Устранение уязвимостей

Вновь выявленные уязвимости устраняются или документируются как принятые риски

Подробное описание

RS.MI-3 определяет процесс обработки вновь выявленных уязвимостей через три возможных пути: устранение (установка патчей, изменение конфигурации), внедрение компенсирующих контролей (например, виртуальный патчинг через WAF) или формальное принятие риска с документированием обоснования. Контроль требует установления SLA для устранения уязвимостей различных уровней критичности и отслеживания метрики MTTR (среднее время устранения). Особое внимание уделяется уязвимостям из каталога CISA KEV (Known Exploited Vulnerabilities), которые активно эксплуатируются злоумышленниками и требуют приоритетного реагирования. Эффективная реализация RS.MI-3 минимизирует окно возможностей для атак и снижает вероятность реализации угроз через известные векторы.

Практические шаги внедрения

  1. 1

    Разработайте политику управления уязвимостями с определением SLA для устранения (например, критичные — 24 часа, высокие — 7 дней, средние — 30 дней)

  2. 2

    Внедрите систему приоритизации уязвимостей на основе критичности CVSS, доступности эксплойтов, бизнес-контекста и наличия в каталоге CISA KEV

  3. 3

    Создайте процесс тестирования и развёртывания патчей с разделением на критичные (emergency patching) и плановые обновления

  4. 4

    Определите компенсирующие контроли для уязвимостей, которые невозможно устранить немедленно (виртуальный патчинг через WAF, сегментация сети, ужесточение правил доступа)

  5. 5

    Внедрите формализованный процесс принятия рисков с требованиями к документированию обоснования, сроков пересмотра и одобрения руководством

  6. 6

    Настройте автоматический мониторинг метрик MTTR, процента устранённых уязвимостей в рамках SLA и количества принятых рисков

  7. 7

    Интегрируйте процесс устранения уязвимостей с системой управления изменениями (Change Management) и планами непрерывности бизнеса

Типичные нарушения

  • Отсутствие документированных SLA для устранения уязвимостей различных уровней критичности или систематическое нарушение установленных сроков

  • Принятие рисков без формального процесса одобрения, документирования обоснования или установления срока пересмотра решения

  • Игнорирование уязвимостей из каталога CISA KEV или отсутствие процесса приоритизации активно эксплуатируемых уязвимостей

  • Отсутствие компенсирующих контролей для уязвимостей, которые невозможно устранить патчами (legacy-системы, производственное оборудование)

  • Недостаточное отслеживание метрик устранения уязвимостей (MTTR, backlog, процент соблюдения SLA) и отсутствие регулярной отчётности руководству

Почему это важно

Задержка в устранении известных уязвимостей является одной из основных причин успешных кибератак — злоумышленники активно сканируют публично доступные системы в поисках непропатченных уязвимостей, особенно из списка CISA KEV. Эффективное реагирование на выявленные уязвимости существенно сокращает окно возможностей для атак и снижает вероятность компрометации критичных активов. Формализованный процесс принятия рисков обеспечивает осознанное управление остаточными рисками и предотвращает накопление технического долга в области безопасности.

Проверяемые категории

Leaked Credentials

Проверьте соответствие автоматически

Используйте инструменты КиберОценка для автоматической проверки соответствия контролям безопасности и получения детальных отчётов по выявленным уязвимостям.

Запустите бесплатный аудит безопасности