ГрамотаИБ ГрамотаИБ

УБИ ФСТЭК: расшифровка, список угроз и как посмотреть уязвимости (БДУ)

Редакция ГрамотаИБ · Опубликовано 02.07.2026

Что такое УБИ (угроза безопасности информации) и как расшифровывается аббревиатура, как связаны УБИ и Банк данных угроз (БДУ) ФСТЭК, где посмотреть список угроз и уязвимостей на bdu.fstec.ru и чем угроза (УБИ) отличается от уязвимости (BDU) и международного идентификатора CVE.

Аббревиатура УБИУгроза безопасности информации — Совокупность условий и факторов, создающих опасность нарушения безопасности информации; каталогизируются в БДУ. расшифровывается как угроза безопасности информации. Так называют записи из реестра угроз ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. России с идентификаторами вида УБИ.001. Вместе с реестром уязвимостей они образуют Банк данных угроз (БДУБанк данных угроз безопасности информации ФСТЭК — Государственный реестр угроз (УБИ) и уязвимостей на bdu.fstec.ru; используется при построении модели угроз.) по адресу bdu.fstec.ru. Разберём, что такое УБИ, чем угроза отличается от уязвимости и как посмотреть их списки.

Что такое УБИ

УБИ — это описание типовой угрозы безопасности информации: кто источник (нарушитель), на что направлена угроза, какие последствия. Каждой угрозе присвоен идентификатор вида УБИ.NNN (например, УБИ.001), а также указаны источник угрозы, объект воздействия и нарушаемые свойства безопасности (конфиденциальность, целостность, доступность). Реестр угроз ведёт ФСТЭК России и регулярно пополняет.

Как связаны УБИ и БДУ

Банк данных угроз (БДУ) ФСТЭК — это два связанных реестра на одном сайте:

  • Реестр угроз (УБИ) — каталог угроз с идентификаторами УБИ.NNN; применяется при построении модели угроз;
  • Реестр уязвимостей — конкретные недостатки программного и программно-аппаратного обеспечения с идентификаторами вида BDU:2024-NNNNN, с описанием уязвимого ПО и оценкой опасности.

Подробно про сам банк — в статье «Банк данных угроз ФСТЭК (БДУ)».

Как посмотреть список угроз и уязвимостей ФСТЭК

Списки открыты и доступны бесплатно на сайте bdu.fstec.ru:

  • Угрозы (УБИ) — раздел с перечнем угроз; можно искать по идентификатору, источнику и объекту воздействия, выгружать перечень;
  • Уязвимости — раздел с реестром уязвимостей; поиск по идентификатору BDU, названию продукта и производителю; в записи, как правило, приводятся описание, затронутое ПО, уровень опасности и (при наличии) оценка по методике CVSS.

Эти списки используют как один из основных источников при моделировании угроз и анализе уязвимостей операторы ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств., ГИСГосударственная информационная система — Информационная система, созданная на основании закона или НПА госоргана; меры защиты — по приказу ФСТЭК. и субъекты КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ..

Чем УБИ отличается от уязвимости и CVE

  • УБИ (угроза) — это сценарий: возможность нанести ущерб (например, несанкционированный доступ к данным). Идентификатор УБИ.NNN.
  • Уязвимость — конкретный недостаток в программном обеспечении, которым угроза может воспользоваться. В БДУ идентификатор вида BDU:2024-NNNNN.
  • CVE — международный идентификатор уязвимости (реестр MITRE, США), например CVE-2024-NNNN. Одну и ту же уязвимость часто можно найти и по номеру BDU, и по номеру CVE. Подробнее о банках уязвимостей — в статье «Банки уязвимостей: БДУ, CVE, NVD».

Зачем это оператору

УБИ и уязвимости из БДУ — это исходные данные для двух обязательных задач:

  • Модель угроз. Из реестра угроз (УБИ) выбираются актуальные для вашей системы угрозы (методика ФСТЭК 2021 года).
  • Анализ уязвимостей. Найденные в своих системах уязвимости сверяются с реестром уязвимостей БДУ и устраняются. Это мера АНЗАнализ защищённости — Группа мер защиты: выявление уязвимостей и контроль конфигураций..1 «Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей» в приказе ФСТЭК №21 (ИСПДн) и мера АУДАудит безопасности — Группа мер защиты значимых объектов КИИ (приказ ФСТЭК №239): регистрация событий безопасности, мониторинг и анализ, в том числе анализ уязвимостей (мера АУД.2)..2 «Анализ уязвимостей и их устранение» в приказе №239 (значимые объекты КИИ).

Главное

УБИ расшифровывается как «угроза безопасности информации» — это записи реестра угроз ФСТЭК с идентификаторами УБИ.NNN. Вместе с реестром уязвимостей (идентификаторы BDU:2024-NNNNN) они образуют Банк данных угроз на bdu.fstec.ru. Угроза (УБИ) — это сценарий нанесения ущерба, уязвимость (BDU) — конкретный недостаток ПО, а CVE — международный идентификатор той же уязвимости. Оба реестра открыты и используются при построении модели угроз и анализе уязвимостей по приказам ФСТЭК.

Частые вопросы

Как расшифровывается УБИ?

УБИ — угроза безопасности информации. Так называют записи реестра угроз ФСТЭК России с идентификаторами вида УБИ.NNN (например, УБИ.001), в которых описаны источник угрозы, объект воздействия и нарушаемые свойства безопасности.

Где посмотреть список угроз и уязвимостей ФСТЭК?

На сайте Банка данных угроз bdu.fstec.ru: в разделе угроз — перечень УБИ с поиском по идентификатору, источнику и объекту воздействия; в разделе уязвимостей — реестр с поиском по идентификатору BDU, названию продукта и производителю. Доступ открытый и бесплатный.

Чем угроза (УБИ) отличается от уязвимости и CVE?

Угроза (УБИ.NNN) — это сценарий нанесения ущерба. Уязвимость — конкретный недостаток ПО, которым угроза может воспользоваться; в БДУ у неё идентификатор вида BDU:2024-NNNNN. CVE — международный идентификатор той же уязвимости (реестр MITRE, США).

Нужно подготовить документы и меры по защите данных под свой профиль?

Собрать в ГрамотаИБ

Аудит информационных систем: как часто, кем и чем регламентирован (ИСПДн, ГИС, КИИ)

Что понимают под аудитом информационных систем в сфере защиты информации, чем он регламентирован и как часто проводится. Разбираем отличия для ИСПДн, ГИС и КИИ, нужен ли аудит для ИСПДн малого бизнеса на уровнях защищённости УЗ-3 и УЗ-4 и можно ли проводить проверку самостоятельно или требуется лицензиат ФСТЭК.

Аттестация рабочего места для подключения к ГИС и ФГИС: нужна ли, что это и как часто

Что требуется для подключения к государственной информационной системе (ГИС) или федеральной ГИС (ФГИС): защищённый канал, сертифицированные средства защиты и аттестованное рабочее место. Разбираем, нужно ли аттестовывать АРМ, что такое аттестация объекта информатизации и кто её проводит, как часто и какой срок действия у аттестата, и нужно ли переделывать аттестацию при переносе рабочего места в другой кабинет или офис.

Требования к ГИС класса защищённости К1

Что такое класс защищённости государственной информационной системы (ГИС), как он определяется и когда системе присваивается высший класс К1, а также какие требования предъявляет К1: полный набор мер защиты, сертифицированные средства защиты информации, приказ ФСТЭК №117 и числовой показатель защищённости КЗИ.

Квалификационные требования к специалистам по информационной безопасности (Указ №250, КИИ)

Какие требования к квалификации предъявляются к сотрудникам по информационной безопасности: профстандарты, лицензионные требования, силы безопасности значимых объектов КИИ (приказ ФСТЭК №235) и Указ Президента №250 с типовым положением (ПП №1272). Какое образование нужно заместителю руководителя по ИБ и работникам подразделения, зачем нужны профессиональная переподготовка и повышение квалификации и при чём здесь перечень программ, согласованных с ФСТЭК.