Управление уязвимостями по ФСТЭК: БДУ, процесс и почему обновление стало риском
Как построить процесс управления уязвимостями (vulnerability management) по требованиям ФСТЭК: анализ уязвимостей как мера защиты (АНЗ в приказе №21, АУД в приказе №239), Банк данных угроз (БДУ), методический документ ФСТЭК 2023 года. Пошаговый процесс — инвентаризация, мониторинг, оценка критичности, устранение и контроль — и почему в текущих условиях само обновление ПО стало отдельным риском.
Уязвимости в программном обеспечении — один из основных путей компьютерных атак, поэтому их выявление и устранение ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. России относит к обязательным мерам защиты. Разберём, как построить процесс управления уязвимостями и почему обновление ПО сегодня само стало риском.
Чем регламентировано
- Меры защиты. Анализ уязвимостей и их устранение — мера АНЗАнализ защищённости — Группа мер защиты: выявление уязвимостей и контроль конфигураций..1 в приказе ФСТЭК №21 (ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств.) и мера АУДАудит безопасности — Группа мер защиты значимых объектов КИИ (приказ ФСТЭК №239): регистрация событий безопасности, мониторинг и анализ, в том числе анализ уязвимостей (мера АУД.2)..2 в приказе №239 (значимые объекты КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ.).
- Источник данных. Банк данных угроз ФСТЭК (БДУ) с реестром уязвимостей и угроз (УБИ).
- Методология. Методический документ ФСТЭК России «Руководство по организации процесса управления уязвимостями в органе (организации)» (утверждён 17 мая 2023 года) описывает этапы работы с уязвимостями.
Процесс управления уязвимостями
- Инвентаризация активов. Составьте и поддерживайте перечень программного и аппаратного обеспечения — без него невозможно понять, что уязвимо.
- Мониторинг уязвимостей. Регулярно сверяйте используемое ПО с реестром уязвимостей БДУБанк данных угроз безопасности информации ФСТЭК — Государственный реестр угроз (УБИ) и уязвимостей на bdu.fstec.ru; используется при построении модели угроз., бюллетенями производителей и базами CVE/NVD; используйте средства анализа защищённости (сканеры уязвимостей).
- Оценка и приоритизация. Оцените критичность уязвимости по уровню опасности и оценке CVSS с учётом условий эксплуатации (доступность из недоверенной сети, наличие эксплойта, значимость актива).
- Устранение. Установите обновление (патч) или, если это невозможно, примените компенсирующие меры (сегментирование, ограничение доступа, отключение уязвимого функционала).
- Контроль. Проверьте, что уязвимость устранена, и зафиксируйте результат; процесс повторяется постоянно.
Почему обновление стало риском
Раньше установка обновлений считалась безусловным благом. Сейчас всё сложнее: обновления иностранного ПО могут быть недоступны или недоверенными, а обновление способно нарушить работу системы или содержать нежелательные изменения. Поэтому обновления проверяют перед установкой — оценивают источник и целостность, тестируют в изолированной среде, а для критичной инфраструктуры отдают предпочтение отечественным сертифицированным решениям с доверенными каналами обновления. Полный отказ от обновлений тоже опасен: неустранённые уязвимости остаются открытой дверью.
Главное
Управление уязвимостями — это непрерывный процесс: инвентаризация, мониторинг по БДУ, оценка критичности, устранение и контроль. Для ИСПДн это мера АНЗ.1 (приказ №21), для значимых объектов КИИ — мера АУД.2 (приказ №239), а порядок описан в методическом документе ФСТЭК 2023 года. В текущих условиях обновление ПО само стало риском: его проверяют, тестируют и применяют осознанно, а на критичной инфраструктуре опираются на отечественные доверенные решения.