ГрамотаИБ ГрамотаИБ

Управление уязвимостями по ФСТЭК: БДУ, процесс и почему обновление стало риском

Редакция ГрамотаИБ · Опубликовано 04.07.2026

Как построить процесс управления уязвимостями (vulnerability management) по требованиям ФСТЭК: анализ уязвимостей как мера защиты (АНЗ в приказе №21, АУД в приказе №239), Банк данных угроз (БДУ), методический документ ФСТЭК 2023 года. Пошаговый процесс — инвентаризация, мониторинг, оценка критичности, устранение и контроль — и почему в текущих условиях само обновление ПО стало отдельным риском.

Уязвимости в программном обеспечении — один из основных путей компьютерных атак, поэтому их выявление и устранение ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. России относит к обязательным мерам защиты. Разберём, как построить процесс управления уязвимостями и почему обновление ПО сегодня само стало риском.

Чем регламентировано

  • Меры защиты. Анализ уязвимостей и их устранение — мера АНЗАнализ защищённости — Группа мер защиты: выявление уязвимостей и контроль конфигураций..1 в приказе ФСТЭК №21 (ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств.) и мера АУДАудит безопасности — Группа мер защиты значимых объектов КИИ (приказ ФСТЭК №239): регистрация событий безопасности, мониторинг и анализ, в том числе анализ уязвимостей (мера АУД.2)..2 в приказе №239 (значимые объекты КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ.).
  • Источник данных. Банк данных угроз ФСТЭК (БДУ) с реестром уязвимостей и угроз (УБИ).
  • Методология. Методический документ ФСТЭК России «Руководство по организации процесса управления уязвимостями в органе (организации)» (утверждён 17 мая 2023 года) описывает этапы работы с уязвимостями.

Процесс управления уязвимостями

  1. Инвентаризация активов. Составьте и поддерживайте перечень программного и аппаратного обеспечения — без него невозможно понять, что уязвимо.
  2. Мониторинг уязвимостей. Регулярно сверяйте используемое ПО с реестром уязвимостей БДУБанк данных угроз безопасности информации ФСТЭК — Государственный реестр угроз (УБИ) и уязвимостей на bdu.fstec.ru; используется при построении модели угроз., бюллетенями производителей и базами CVE/NVD; используйте средства анализа защищённости (сканеры уязвимостей).
  3. Оценка и приоритизация. Оцените критичность уязвимости по уровню опасности и оценке CVSS с учётом условий эксплуатации (доступность из недоверенной сети, наличие эксплойта, значимость актива).
  4. Устранение. Установите обновление (патч) или, если это невозможно, примените компенсирующие меры (сегментирование, ограничение доступа, отключение уязвимого функционала).
  5. Контроль. Проверьте, что уязвимость устранена, и зафиксируйте результат; процесс повторяется постоянно.

Почему обновление стало риском

Раньше установка обновлений считалась безусловным благом. Сейчас всё сложнее: обновления иностранного ПО могут быть недоступны или недоверенными, а обновление способно нарушить работу системы или содержать нежелательные изменения. Поэтому обновления проверяют перед установкой — оценивают источник и целостность, тестируют в изолированной среде, а для критичной инфраструктуры отдают предпочтение отечественным сертифицированным решениям с доверенными каналами обновления. Полный отказ от обновлений тоже опасен: неустранённые уязвимости остаются открытой дверью.

Главное

Управление уязвимостями — это непрерывный процесс: инвентаризация, мониторинг по БДУ, оценка критичности, устранение и контроль. Для ИСПДн это мера АНЗ.1 (приказ №21), для значимых объектов КИИ — мера АУД.2 (приказ №239), а порядок описан в методическом документе ФСТЭК 2023 года. В текущих условиях обновление ПО само стало риском: его проверяют, тестируют и применяют осознанно, а на критичной инфраструктуре опираются на отечественные доверенные решения.

Частые вопросы

Где брать данные об уязвимостях?

В Банке данных угроз ФСТЭК (реестр уязвимостей на bdu.fstec.ru), а также в международных базах CVE/NVD. Найденные в своих системах уязвимости сверяют с реестром и устраняют.

Обязательно ли устанавливать все обновления?

Нет. Обновления оценивают на источник и целостность, тестируют и применяют осознанно; где патч невозможен — используют компенсирующие меры. Но и полный отказ от обновлений опасен: неустранённые уязвимости остаются открытой дверью.

Нужно подготовить документы и меры по защите данных под свой профиль?

Собрать в ГрамотаИБ

Модель угроз ФСТЭК пошагово: как разработать по методике 2021 года

Пошаговый порядок разработки модели угроз безопасности информации по методике ФСТЭК России 2021 года: от определения негативных последствий и объектов воздействия к оценке нарушителей, способам и сценариям реализации угроз и определению их актуальности. Что использовать (Банк данных угроз, УБИ), как оформить и когда актуализировать модель.

Что такое СЗИ простыми словами: виды, классы и сертификация ФСТЭК

Простое объяснение, что такое средства защиты информации (СЗИ): чем они отличаются от криптосредств (СКЗИ), какие бывают виды (межсетевой экран, антивирус, система обнаружения вторжений, средство защиты от несанкционированного доступа), что такое сертификация и уровни доверия ФСТЭК и когда обязательно применять именно сертифицированные средства.

Импортозамещение СЗИ и ПО: запрет иностранного, реестр отечественного и что делать оператору

Кого и с каких сроков касается запрет иностранных средств защиты информации и программного обеспечения: Указ Президента №250 (СЗИ из недружественных государств), Указ №166 и 187-ФЗ (иностранное ПО на значимых объектах КИИ), реестр российского ПО и госзакупки. Практические шаги для оператора по переходу на отечественные сертифицированные решения.

Когда информационная система становится ГИС: признаки, кто определяет статус и последствия

Что делает информационную систему государственной (ГИС): признаки по 149-ФЗ, кто и как определяет статус, и какие наступают правовые и технические последствия — обязательная классификация (К1–К3), аттестация, сертифицированные средства защиты и требования приказов ФСТЭК №17 и №117. Разбираем и частую путаницу: делает ли подключение к чужой ФГИС вашу систему государственной.