КиберОценка

CC6.5: Ограничение доступа к информационным активам

Выявление и устранение уязвимостей информационных активов

Подробное описание

CC6.5 требует от организации выявлять, документировать и устранять уязвимости информационных активов до того, как они будут использованы злоумышленниками. Контроль охватывает процессы vulnerability management: регулярное сканирование инфраструктуры, приоритизацию критичных уязвимостей, применение патчей в установленные сроки и валидацию эффективности исправлений. Для SaaS-платформ это означает непрерывный мониторинг облачных сервисов, контейнеров, зависимостей приложений и автоматизацию процесса устранения уязвимостей.

Практические шаги внедрения

  1. 1

    Внедрить автоматизированное сканирование уязвимостей инфраструктуры (хосты, сети, облачные сервисы) минимум ежемесячно и после значительных изменений

  2. 2

    Настроить SCA (Software Composition Analysis) для непрерывного мониторинга зависимостей приложений и библиотек с интеграцией в CI/CD

  3. 3

    Установить SLA для устранения уязвимостей: критичные — 7 дней, высокие — 30 дней, средние — 90 дней с учётом компенсирующих мер

  4. 4

    Внедрить процесс patch management с тестированием на staging-окружении перед применением в production

  5. 5

    Создать vulnerability register с приоритизацией по CVSS, эксплуатируемости (CISA KEV, EPSS) и критичности затрагиваемых систем

  6. 6

    Настроить автоматические алерты при обнаружении критичных уязвимостей с эскалацией до CISO при пропуске SLA

  7. 7

    Проводить ежеквартальные penetration testing для валидации эффективности программы управления уязвимостями

Типичные нарушения

  • Отсутствие документированного процесса управления уязвимостями или невыполнение установленных SLA для устранения критичных находок (более 50% просрочено)

  • Использование устаревших версий ОС, фреймворков или библиотек с публично известными уязвимостями (например, Log4Shell, Spring4Shell) без компенсирующих мер

  • Vulnerability scanning выполняется нерегулярно (реже ежемесячно) или не охватывает критичные системы (production базы данных, API gateway)

  • Отсутствие приоритизации уязвимостей: все находки обрабатываются одинаково, без учёта реального риска для бизнеса

  • Нет интеграции vulnerability management с change management — патчи применяются без тестирования, вызывая простои

Почему это важно

Эксплуатация известных уязвимостей остаётся главным вектором атак: 60% инцидентов используют CVE старше 2 лет. SOC 2 аудиторы требуют доказательств, что организация оперативно выявляет и устраняет уязвимости до их эксплуатации. Отказ по CC6.5 означает, что клиенты не могут доверять защите своих данных, обрабатываемых в системе.

Проверяемые категории

Information DisclosureOSINTCode Leak

Связанные контроли

Связанные контроли в других фреймворках

Проверьте соответствие автоматически

Используйте инструменты КиберОценка для автоматической проверки соответствия контролям безопасности и получения детальных отчётов по выявленным уязвимостям.

Запустите бесплатный аудит безопасности