Устранение уязвимости в СЗИ - Форум по вопросам информационной безопасности

Коллеги, нужна Ваша помощь.

Согласно 76 Приказу ФСТЭК ("Уровни доверия"). В случае выявления недостатка в СЗИ разработчик должен выполнить:

1) разработку компенсирующих мер по защите информации или ограничений по применению средства, а также доведение информации о недостатках и указанных мерах и ограничениях до потребителей не позднее 72 часов с момента выявления недостатка;
2) доработку средства, в том числе разработку обновлений программного обеспечения средства, или разработка мер по защите информации, нейтрализующих недостаток, в срок не более 60 дней с момента выявления недостатка.

Допустим в ПО СЗИ был выявлен недостаток и в качестве компенсирующих мер по защите информации были разработаны организационные меры, которые нейтрализуют возникшие угрозы.

Во втором пункте говориться про разработку мер по защите информации, которыми по факту можно считать разработанные, в соответствии с первым пунктом, компенсирующие меры.

Соответственно, если компенсирующие меры устраняют возникшие угрозы и во втором пункте говорится про некие абстрактные меры по защите информации, то возникает вопрос...
Какие дополнительные работы должен проделать Разработчик СЗИ в соответствии со вторым пунктом (при условии, что компенсирующие меры нейтрализуют угрозу)? Может тогда просто достаточно компенсирующих мер и больше ничего не надо делать?

В моём понимании "меры, устраняющие недостаток" и "компенсирующие меры" не обязательно должны быть одними и теми же. Они могут быть и совпадающими, если это явно не запрещено. Но по логике они могут быть и разными. Если рассматривать защиту как способ понижения риска до приемлемой величины, для каких-то ситуаций есть пространство для маневра. Грубый пример - можно поставить firebox на отдел и им сегментировать, можно сертифицировать циску, стоящую на периметре. Формально и то и другое МЭ, может быть даже одного и того же класса. При отсутствии требований к эшелонированной защите, эффект достигается одинаковый в вероятностях реализации угроз. Компенсирующие меры выбираются из "пространства для маневра". Другой пример. Случился пожар. имущество эвакуировали, сейф его больше не защищает (недостаток функционирования СЗИ), приставили охрану на пункт эвакуации (компенсирующая мера), но пока ОПС не отремонтитруют, здание не восстановят и имущество не вернут в сейф, эта компенсирующая мера не считается мерой устранения недостатка функционирования СЗИ.