Банки уязвимостей: какие существуют и на что ориентируется ФСТЭК (БДУ, CVE, NVD)

Банк (база) уязвимостей — это структурированный реестр известных уязвимостей программных и программно-аппаратных средств: каждой записи присваивается идентификатор, описание, затронутые продукты и оценка опасности. Такие банки нужны, чтобы операторы и разработчики могли отслеживать уязвимости в своих системах, оценивать их критичность и своевременно устранять. Разберём, какие банки уязвимостей существуют и на какой из них ориентируется ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. России.

БДУ ФСТЭК — основной банк для России

Главный отечественный источник — Банк данных угроз безопасности информации (БДУБанк данных угроз безопасности информации ФСТЭК — Государственный реестр угроз (УБИ) и уязвимостей на bdu.fstec.ru; используется при построении модели угроз.) ФСТЭК России по адресу bdu.fstec.ru. Его часто называют «банк угроз ФСТЭК», хотя он состоит из двух связанных реестров:

• Реестр угроз (УБИУгроза безопасности информации — Совокупность условий и факторов, создающих опасность нарушения безопасности информации; каталогизируются в БДУ.) — каталог угроз безопасности информации с идентификаторами вида УБИ.001; применяется при построении модели угроз. Подробнее — в статье «Банк данных угроз ФСТЭК (БДУ)».
• Реестр уязвимостей — собственно банк уязвимостей: записи с идентификаторами вида BDU:2024-NNNNN, с описанием, перечнем уязвимого ПО, типом недостатка и оценкой опасности.

Опасность уязвимости в БДУ оценивается по методике CVSS (на сайте БДУ есть встроенный CVSS-калькулятор), а уровень критичности выражается качественно — критический, высокий, средний или низкий. Порядок такой оценки задан методическим документом ФСТЭК об оценке уровня критичности уязвимостей программных и программно-аппаратных средств.

Международные базы и стандарты

БДУ не существует в вакууме — он соотносится с международной экосистемой идентификации уязвимостей:

• CVE (Common Vulnerabilities and Exposures) — реестр-словарь уязвимостей, который ведёт организация MITRE (США). Задаёт всемирно признанные идентификаторы вида CVE-2024-NNNN… (год и порядковый номер не менее чем из четырёх цифр); сам по себе оценок критичности не содержит.
• NVD (National Vulnerability Database) — национальная база уязвимостей США, которую ведёт NIST. Дополняет записи CVE оценками CVSS, ссылками на типы слабостей (CWE) и перечнем затронутых продуктов (CPE).
• CVSS (Common Vulnerability Scoring System) — не база, а методика балльной оценки опасности уязвимости (от 0 до 10), которую развивает сообщество FIRST. Используется и в NVD, и в БДУ ФСТЭК.
• CWE (Common Weakness Enumeration) — классификатор типов слабостей кода и архитектуры (например, переполнение буфера, SQL-инъекция) с идентификаторами CWE-NNN; ведёт MITRE.
• Базы производителей — бюллетени безопасности конкретных вендоров (операционных систем, СУБД, прикладного ПО) и базы известных эксплуатируемых уязвимостей.

На что ориентируется ФСТЭК

Для российского оператора первичен именно БДУ ФСТЭК. Это не просто перевод зарубежных баз: ФСТЭК ведёт собственный реестр, в который сведения попадают из исследований самой службы, от разработчиков и испытательных лабораторий, а также из открытых международных источников — но с собственной проверкой и оценкой. Записи БДУ при необходимости сопоставляются с идентификаторами CVE, поэтому одну и ту же уязвимость можно найти и по номеру BDU, и по номеру CVE.

Опора на собственный банк объяснима: зарубежные базы (в частности NVD) могут с задержкой или не в полном объёме отражать уязвимости отечественного ПО, а гарантированного доступа к ним нет. Поэтому при защите информации в России отсчёт ведётся от БДУ. Этот же банк ФСТЭК использует в своей работе при сертификации средств защиты — в ходе анализа уязвимостей сертифицируемых продуктов.

Что это значит для оператора ИСПДн, ГИС и КИИ

Работа с уязвимостями — обязательная мера защиты, но в разных приказах ФСТЭК она называется по-разному:

• приказ №21 (ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств.) — анализ уязвимостей отнесён к группе мер АНЗАнализ защищённости — Группа мер защиты: выявление уязвимостей и контроль конфигураций.;
• приказ №239 (значимые объекты КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ.) — это мера АУД.2 в группе аудита безопасности (АУД);
• приказ №117 (ГИСГосударственная информационная система — Информационная система, созданная на основании закона или НПА госоргана; меры защиты — по приказу ФСТЭК., с 1 марта 2026 года вместо №17) — отдельной таблицы мер в приказе нет: анализ уязвимостей вытекает из целей защиты и актуальных угроз, а конкретный состав мер задают методические документы ФСТЭК.

На практике анализ уязвимостей означает: периодически выявлять уязвимости своих систем (в том числе сканерами защищённости), сверять находки с банком данных угроз ФСТЭК, оценивать их критичность и оперативно устранять — прежде всего через установку обновлений безопасности. Сведения об уязвимостях для этого берутся из БДУ; зарубежные базы (CVE, NVD, бюллетени вендоров) используются как дополнительный справочный источник. Те же угрозы и уязвимости из БДУ учитываются при построении модели угроз.

Сравнение банков и стандартов

Коротко

Банков уязвимостей несколько: международные CVE и NVD задают идентификаторы и оценки, CVSS и CWE — это методики и классификаторы, а не базы. Для защиты информации в России опорным является БДУ ФСТЭК (bdu.fstec.ru) — он объединяет реестры угроз и уязвимостей и обязателен к применению при моделировании угроз и анализе уязвимостей по приказам ФСТЭК. ГрамотаИБ помогает определить применимые меры защиты и построить проект модели угроз с опорой на БДУ — попробовать можно в сервисе.