Введение
Курс на импортозамещение, взятый более десяти лет назад, поспособствовал активному развитию рынка информационной безопасности. Появился широкий выбор решений от различных вендоров. Вместе с тем начала формироваться и собственная регуляторика, поскольку многие мировые практики и стандарты требовали адаптации к российским реалиям.
Сегодня, с учетом постоянного внедрения отечественного ПО и запрета на использование иностранных систем, особую актуальность приобретает «Банк данных угроз безопасности информации» (БДУ) ФСТЭК России. Эту платформу можно назвать национальной альтернативой таким глобальным базам, как CVE и NVD.
В статье рассмотрим ключевые особенности этого инструмента, а также разберем способы практического взаимодействия с ним.
Что такое «Банк данных угроз безопасности информации»
БДУ ФСТЭК — государственный ресурс, созданный для предоставления ИБ‑специалистам достоверных и актуальных сведений об угрозах и уязвимостях. Его главная цель — методическая и информационная поддержка мероприятий по технической защите информации.
Это публичная площадка, доступная любому пользователю. Стоит лишь учитывать, что в связи с активным противодействием госорганов кибератакам иногда возможны трудности при подключении с иностранных IP-адресов.
БДУ функционирует с 2015 года. За время своей работы банк не только накопил солидную базу уязвимостей, но и пополнился новыми разделами.
Ведением БДУ занимается непосредственно Федеральная служба по техническому и экспортному контролю (ФСТЭК России) совместно со своим подведомственным учреждением — Государственным научно-исследовательским испытательным институтом проблем технической защиты информации (ФАУ «ГНИИИ ПТЗИ ФСТЭК России»).
Кроме того, в наполнении базы участвуют производители системного и прикладного ПО, разработчики средств защиты информации (СЗИ), а также компании, оказывающие услуги в сфере ИБ. То есть, обнаружив новую уязвимость, передать сведения о ней для добавления в реестр может любой из участников рынка.
Ресурс включает в себя несколько ключевых блоков.
Угрозы — здесь содержится описание 227 сценариев (по состоянию на 26.03.2026), которые служат базисом для анализа защищенности информационных систем (ГИС, КИИ, ИСПДн). Каждая позиция снабжена собственным идентификатором и информационной карточкой.
Кроме того, в режиме опытной эксплуатации представлен и альтернативный подход к моделированию. В его основе — 11 базовых опасностей, рассматриваемых через призму различных способов реализации. На данный момент это скорее эксперимент, нежели готовый к применению инструмент.
Также недавно этот блок пополнился методикой оценки рисков в системах искусственного интеллекта — все‑таки ФСТЭК России старается идти в ногу со временем.
Уязвимости — в этом разделе собраны сведения о более чем 84 тысячах уязвимостей. Каждая из них также снабжена уникальным идентификатором и карточкой с основными данными, включая рекомендации по исправлению и кросс-ссылки на другие системы классификации.
Передать материалы для пополнения этого реестра может любая организация или физическое лицо в строгом соответствии с «Регламентом». Кроме того, здесь же опубликованы актуальные версии ПО ScanOVAL — автоматизированного сканера безопасности для различных операционных систем.
Тестирование обновлений — блок, который пока функционирует в режиме опытной эксплуатации, но при этом активно пополняется. Поскольку ФСТЭК давно внес безопасную работу с обновлениями в перечень обязательных мер защиты, такой инструмент как раз и призван помочь специалистам в решении этой задачи. Здесь публикуются данные о проверке свежих версий различного системного и прикладного ПО на наличие недекларированных возможностей — которые не были заявлены в функционале ПО, но тем не менее присутствуют и прямо или косвенно создают лазейки (бэкдоры), непосредственно угрожающие безопасности .
Участники — здесь собраны сведения обо всех лицах и компаниях, сообщавших о каких‑либо уязвимостях. Неудивительно, что лидирующие позиции в списке занимают крупнейшие игроки отечественного рынка ИБ — такие, как Positive Technologies, «Ростелеком-Солар» и BI.ZONE.
Ключевое отличие БДУ ФСТЭК от зарубежных аналогов заключается в ориентации на российскую нормативную базу и отечественное ПО.
Если проводить параллель с такими популярными решениями, как CVE и NVD, то база ФСТЭК выступает более комплексным продуктом. Да, количественно уязвимостей в ней пока меньше, чем в CVE. Однако отечественный ресурс предлагает более широкий спектр сведений. Помимо самих уязвимостей, здесь агрегируются данные об угрозах и тестировании обновлений. При этом все описания адаптированы под специфику российского рынка и сопровождаются подробными рекомендациями регулятора.
Требования ФСТЭК к управлению уязвимостями
ФСТЭК России не просто создал БДУ как обособленный ресурс, но и интегрировал его использование в базовые меры информационной безопасности для систем различного типа. Требования к управлению уязвимостями закреплены в приказах ведомства 17 и вступившего в силу 117, а также 21 и 239.
Это означает, что для всех классов защищаемых объектов (ГИС, ИСПДн, ОКИИ) работа должна быть четко выстроена и включать в себя систематическое выявление, анализ и устранение обнаруженных слабостей в защите.
Согласно предписаниям регулятора, процесс управления уязвимостями должен быть задокументирован. Необходимо назначить ответственных лиц и утвердить порядок проведения проверок, включая их периодичность.
В качестве основного источника информации следует использовать БДУ ФСТЭК. При этом правилами не запрещено дополнительно применять и сторонние базы данных в ходе сканирования инфраструктуры.
Управление уязвимостями — процесс непрерывный, требующий регулярных мероприятий. Периодичность проверок зависит от типа информационной системы и ее класса (уровня), однако чаще всего достаточно ежемесячного или ежеквартального контроля.
Для выявления недостатков безопасности применяются комбинированные методы — как автоматизированные инструменты (сканеры), так и ручная экспертная оценка.
Согласно требованиям ФСТЭК России, управление уязвимостями представляет собой непрерывный замкнутый процесс, базирующийся на модели PDCA. Рассмотрим его основные этапы.
1. Идентификация активов. При выстраивании общей системы информационной безопасности, равно как и при анализе уязвимостей, критически важно иметь ясное понимание объектов защиты и правильно определить состав защищаемой инфраструктуры.
На данном этапе проводится инвентаризация серверов, рабочих станций, сетевого оборудования и средств защиты информации. Дополнительно необходимо оценить их доступность для сканирования, а также зафиксировать используемые операционные системы и версии прошивок.
2. Поиск уязвимостей. Здесь непосредственно выполняется сканирование инфраструктуры, оценка конфигураций, а при необходимости — и аудит исходного кода. Для автоматизации процесса применяются специализированные программные решения — различные анализаторы и сканеры. Основным поставщиком сведений выступает БДУ ФСТЭК, однако допускается дополнительное использование сторонних баз данных. Итогом становится сформированный перечень проверенных активов с указанием выявленных недостатков безопасности.
3. Оценка рисков и приоритизация. В БДУ каждой уязвимости присвоен идентификатор, вектор и уровень опасности. На данном этапе анализируется, насколько критично наличие конкретного недостатка для защищаемой инфраструктуры.
Например, брешь с высоким уровнем опасности на изолированном сервере резервного копирования может получить пониженный приоритет. И наоборот — уязвимость со средним показателем риска на публичном веб-сервере потребует первоочередного внимания.
4. Устранение. БДУ содержит базовые сведения о способах нейтрализации выявленных уязвимостей. Чаще всего требуется обновление ПО (установка патчей) или реализация компенсирующих мер — например, настройка межсетевых экранов и средств обнаружения вторжений. Также при работе с высокоприоритетными угрозами может потребоваться изменение конфигурации системы или даже пересмотр ее архитектуры.
5. Верификация. Обязательным этапом выступает контрольное сканирование. Оно необходимо для того, чтобы убедиться в эффективности принятых мер нейтрализации и исключить риск появления новых уязвимостей в системе защиты.
6. Составление отчета. Заключительная стадия — документирование. Фиксацию результатов можно вести параллельно с каждым пройденным шагом или же выполнить в самом финале. В итоговом документе отражается перечень исследованных активов, выявленные уязвимости, принятые меры по их нейтрализации и конечное состояние защищенности инфраструктуры.
Подобные материалы могут запрашиваться при проверках регулятора. Кроме того, их подготовка обязательна для оценки показателей состояния технической защиты информации — эта процедура строго регламентирована для значимых объектов КИИ.
Подробнее — в документе «Методика оценки показателя состояния технической защиты информации в информационных системах и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» от 11 ноября 2025 года.
Как использовать БДУ при построении модели угроз
Построение модели угроз — обязательный шаг при проектировании системы защиты, поскольку важно четко понимать, каким именно опасностям предстоит противостоять ИТ-инфраструктуре. В этом процессе БДУ вновь выступает главным источником данных, однако здесь фокус смещается — с уязвимостей на угрозы.
В ходе построения модели требуется выяснить, какие именно риски актуальны для исследуемой ИТ-инфраструктуры. В соответствующем разделе БДУ «Угрозы» уже представлен структурированный справочник таких типовых угроз.
Согласно утвержденной «Методике оценки угроз безопасности информации», данная процедура включает шесть ключевых шагов.
- Прогнозирование негативных последствий.
- Инвентаризация защищаемых активов.
- Выявление источников опасности и оценка потенциала возможных нарушителей.
- Анализ доступных способов атаки.
- Расчет вероятности инцидентов и формирование итогового перечня актуальных угроз.
- Детальная проработка сценариев их реализации.
Сведения из БДУ служат отправной точкой для описанной процедуры. Помимо этого, в качестве базовой информации выступают результаты анализа уязвимостей — они применяются непосредственно при оценке возможных сценариев атак.
Подробнее о процессе моделирования мы говорили в статьях:
Чем может помочь Selectel
Чтобы упростить клиентам задачу по оценке защищенности инфраструктуры, в Selectel предусмотрена услуга «Анализ уязвимостей». Подробности представлены в официальной документации.
В рамках этого сервиса мы берем на себя значительную часть работ. Наши специалисты выполняют проверку сертифицированным сканером, результаты которого легитимны для аттестации информационных систем, и формируют отчет с рекомендациями по устранению проблем. При аудите используются данные из БДУ ФСТЭК и других профильных баз.
На стороне заказчика остается лишь приоритизация рисков (некоторые из них могут быть неактуальны из-за архитектурных особенностей конкретной системы), нейтрализация выявленных недостатков и запуск контрольного сканирования.
Если говорить о применении БДУ для моделирования угроз, то Selectel берет этот реестр за основу при защите собственных информационных систем, прошедших аттестацию или процедуру оценки эффективности.
Руководствуясь «Методикой оценки угроз безопасности» ФСТЭК, мы в Selectel тщательно анализируем свою инфраструктуру, на базе которой предоставляем клиентам услуги. По каждой из них подготовлена выписка из модели, которую можно использовать для комплексной оценки возможных каналов утечки информации. Запросить необходимые материалы можно через обращение в службу технической поддержки.
Заключение
БДУ ФСТЭК — это в первую очередь базовый инструмент, обеспечивший ИБ‑специалистов исходными данными для качественного анализа угроз и уязвимостей.
Важно, что ресурс не был заброшен после запуска — он непрерывно развивается. В базу регулярно добавляют свежий функционал, новые разделы и актуальные сведения о возникающих рисках. Для большинства экспертов отрасли, чья деятельность связана с аналитикой и комплаенсом, такая государственная площадка стала поистине незаменимым помощником.
