Управление уязвимостями ФСТЭК: процесс, требования и примеры

Работаете с ГИС, КИИ или персональными данными? Тогда ФСТЭК требует, чтобы вы управляли уязвимостями. Если не выявлять и не исправлять их вовремя, можно получить предписание или штраф.

Если вам нужно общее понимание управления уязвимостями, прочитайте статью «Все о управлении уязвимостями в 2025 году». Здесь же представлено руководство по управлению уязвимостями ФСТЭК – рассмотрим требования регулятора, процесс их выполнения и рекомендации для подготовки к проверке.

Какие требования ФСТЭК к управлению уязвимостями?

ФСТЭК регулирует управление уязвимостями через три ключевых документа:

Дополнительно: ФСТЭК выпустил Методический документ от 17 мая 2023 года, который дает рекомендации по организации управления уязвимостями. Он не является обязательным, но может быть полезен при внедрении процессов.

Компании, подпадающие под регулирование, должны не просто выявлять уязвимости, но и доказывать, что они их исправляют.

Процесс управления уязвимостями ФСТЭК: как избежать предписания?

Как искать уязвимости?

• Используйте сканеры уязвимостей (например, MaxPatrol VM, OpenVAS, Tenable Nessus).
• Следите за базами уязвимостей (CVE, НКЦКИ, отчеты производителей ПО).
• Проверяйте системы регулярно, а не раз в год перед аудитом.

Пример: В 2023 году при проверке оператора связи ФСТЭК выявил отсутствие регулярного сканирования уязвимостей. Компания использовала устаревшие версии серверного ПО с критичными уязвимостями (CVSS 9.8). Итог – штраф 200 000 рублей и предписание на устранение нарушений в течение 30 дней.

Как оценивать риски?

• Оценивайте, насколько уязвимость опасна (используйте CVSS или внутреннюю систему баллов).
• Приоритизируйте исправления: сначала критичные, потом остальные.
• Исключайте ложные срабатывания, чтобы не тратить время зря.

Как часто проверять?

• КИИ – минимум раз в месяц.
• ГИС и ИСПДн – минимум раз в квартал.

Пример: В одной энергетической компании специалисты выявили 100+ уязвимостей, но ни одна не была исправлена в срок. ФСТЭК обнаружил нарушение при аудите, предписал устранить критичные уязвимости за 14 дней и инициировал повторную проверку.

Как устранять уязвимости?

• Устанавливайте обновления как можно быстрее.
• Если обновиться нельзя – применяйте компенсационные меры (ограничение доступа, сегментация сети).
• Проверяйте, что исправления реально работают (ретестирование).

Пример: В крупном банке обнаружили уязвимость в системе онлайн-банкинга, но не смогли быстро установить патч из-за зависимости от стороннего вендора. В итоге была внедрена WAF-защита, временно закрывшая эксплойт до выхода обновления. Это помогло избежать предписаний.

Как вести отчетность?

• Фиксируйте, какие уязвимости нашли и как их исправили.
• Готовьте отчеты для ФСТЭК, чтобы не было проблем при проверке.

Ошибка: В 2022 году оператор критической инфраструктуры не вел учет устраненных уязвимостей. ФСТЭК при проверке запросил журналы, но компания не смогла их предоставить. Итог – предписание на внедрение процесса управления уязвимостями ФСТЭК и штраф 300 000 рублей.

Чек-лист: готовы ли вы к проверке ФСТЭК?

✔ Утверждены регламенты по управлению уязвимостями ФСТЭК?
✔ Назначены ответственные лица?
✔ Сканирование проводится регулярно (раз в месяц/квартал)?
✔ Используются актуальные базы уязвимостей?
✔ Ведется учет устраненных уязвимостей?
✔ Проверяется эффективность исправлений?
✔ Готовы отчеты для ФСТЭК?
✔ Вся документация в порядке?

Итог

Если ваша компания подпадает под требования ФСТЭК, управление уязвимостями ФСТЭК – это не просто формальность.

Не ждите предписания – проводите сканирование, исправляйте уязвимости, ведите учет.
Так вы избежите штрафов и реально защитите свои системы.

Хотите автоматизировать процесс? Рассмотрите MaxPatrol VM или другие решения.