Реализация компенсирующих мер, в случае невозможности устранения уязвимостей

1. Определение компенсирующих мер защиты информации, необходимых для нейтрализации уязвимости либо снижения возможных негативных последствий от ее эксплуатации.
2. Привлечение работников других подразделений для реализации компенсирующих мер защиты информации (по согласованию).
3. Реализация организационных мер защиты информации предусматривает:
   • ограничение использования ИТ-инфраструктуры;
   • организация режима охраны (в частности, ограничение доступа к техническим средствам);
   • информирование и обучение персонала органа (организации).
4. Оценка возможности реализации компенсирующих мер с использованием средств защиты информации, выбор средств защиты информации (при необходимости). Выполнение работ по настройке средств защиты информации.
5. Организация постоянного наблюдения и анализа результатов регистрации событий безопасности и иных данных с целью выявления и блокирования попыток эксплуатации уязвимости.
6. Внесение изменений в ИТ-инфраструктуру включает действия по внесению изменений в конфигурации программных и программно-аппаратных средств (в том числе, выведение из эксплуатации).

Пример: Установлен аппаратный межсетевой экран на границе сети с публичным Интернетом. Ограничены входящие соединения по протоколам HTTPS и SSH исключительно с доверенных IP-адресов. Запрещён исходящий трафик на подозрительные адреса.

• Журнал конфигурации firewall.
• Скриншоты web-интерфейса настроек.
• Лог-файлы, показывающие фильтрацию нежелательного трафика.

Пример: Внедрение двухфакторной аутентификации (2FA) для удалённого доступа администраторов к серверному оборудованию. Требование обязательного использования токенов совместно с паролями при доступе к административным интерфейсам.

• Политики безопасности и регламентированные процедуры изменения паролей.
• Протоколы аудита и регистрации успешных и неудачных попыток входа.
• Документы по настройке аутентификационных модулей.

Пример: Интеграция с централизованным решением SIEM (Security Information and Event Management). Настроено автоматическое оповещение операторов SOC (Security Operations Center) при обнаружении аномалий поведения уязвимого компонента.

• Архивы журнала событий безопасности.
• Инструкция по интеграции и мониторинге системы.
• Данные аудита с зафиксированными действиями персонала.

Пример: Проведение регулярной инвентаризации учетных записей и отзыв неиспользуемых полномочий администрирования. Ограничение действий суперпользователей системой RBAC (Role-Based Access Control).

• Список разрешений и ролей сотрудников.
• Результаты тестов оценки адекватности мер.

Пример: Перенос уязвимых веб-приложений в Docker-контейнеры с ограничением доступа к внутренним ресурсам хост-машины.

• Контрольные журналы запуска и завершения контейнера.
• Конфиги и образы контейнеров.
• Документально подтвержденные политики деплоймента и изоляции.

• Опишите необходимые компенсирующие меры защиты.
• В случае использования средств защиты информации, укажите их в модуле Активы и привяжите к карточке как инструмент.
• Вложите необходимые  подтверждающие свидетельства в карточку меры.
• Создайте шаблон регулярной задачи "Проверка реализации компенсирующих мер" с необходимой периодичностью  (например,"еженедельно").
• В случае использования других существующих защитных мер в качестве компенсирующих для устранения уязвимостей, добавьте связь с необходимым документом (требованием) на вкладке "Требования".