Что такое БДУ ФСТЭК и для чего она используется?

БДУ ФСТЭК (Банк данных угроз безопасности информации) — это государственная база данных, поддерживаемая ФСТЭК России, содержащая каталог угроз безопасности информации (УБИ) и уязвимостей программного обеспечения. БДУ используется для: разработки модели угроз по методике ФСТЭК 2021 года, оценки актуальных угроз для информационных систем, управления уязвимостями в соответствии с требованиями регулятора. База доступна бесплатно на сайте bdu.fstec.ru.

Сколько угроз и уязвимостей содержится в БДУ ФСТЭК?

По состоянию на март 2026 года БДУ ФСТЭК содержит 227 угроз безопасности информации (УБИ) и более 85 000 уязвимостей. В июне 2025 добавлены 5 угроз контейнеризации (УБИ.223-227), в декабре 2025 — новый раздел угроз ИИ/ML (prompt injection, data poisoning, хищение моделей). Уязвимости в БДУ имеют перекрёстные ссылки на CVE. База выросла на 12 000+ записей за 2025 год.

Чем БДУ ФСТЭК отличается от CVE и NVD?

БДУ ФСТЭК — российский аналог NVD (National Vulnerability Database). Ключевые отличия: БДУ включает угрозы (УБИ), которых нет в CVE/NVD; содержит уязвимости российского ПО, не всегда попадающие в CVE; описания на русском языке; привязка к требованиям российских регуляторов (ФСТЭК, ФСБ); обязательна для использования при разработке модели угроз по методике ФСТЭК. При этом уязвимости из БДУ сопоставлены с записями CVE.

Обязательно ли использовать БДУ ФСТЭК при разработке модели угроз?

Да, использование БДУ ФСТЭК обязательно при разработке модели угроз по методике ФСТЭК 2021 года. Это требование распространяется на: государственные информационные системы (ГИС), информационные системы персональных данных (ИСПДн), значимые объекты КИИ, автоматизированные системы управления технологическими процессами (АСУ ТП). Для коммерческих организаций, не подпадающих под регулирование, использование БДУ рекомендуется как лучшая практика.

Как пользоваться калькулятором CVSS на сайте БДУ ФСТЭК?

Калькулятор CVSS на bdu.fstec.ru позволяет рассчитать критичность уязвимости по стандарту CVSS v3.1. Для расчёта нужно: перейти в раздел «Калькулятор CVSS», заполнить метрики базовой группы (вектор атаки, сложность, требуемые привилегии, взаимодействие с пользователем, влияние на конфиденциальность, целостность, доступность), при необходимости указать временные и контекстные метрики. Калькулятор выдаст числовую оценку от 0 до 10 и текстовый вектор CVSS.

Есть ли API для доступа к данным БДУ ФСТЭК?

ФСТЭК предоставляет возможность выгрузки данных из БДУ в машиночитаемых форматах (XML, JSON). Прямого REST API с документацией для автоматизированных запросов на момент 2026 года официально не опубликовано, но данные можно получить через экспорт на сайте bdu.fstec.ru. Ряд SGRC-систем, включая КиберОснова, интегрируются с БДУ и автоматически загружают обновления угроз и уязвимостей.

БДУ ФСТЭК России: руководство по базе угроз 2026

БДУ ФСТЭК России (Банк данных угроз безопасности информации) --- центральный инструмент для любого специалиста ИБ, работающего с моделью угроз, управлением уязвимостями или комплаенсом по требованиям регулятора. Ресурс bdu.fstec.ru содержит структурированный каталог из 227 угроз (УБИ) и свыше 85 000 уязвимостей с привязкой к CVE, CVSS-оценками и рекомендациями по устранению. В этом руководстве разбираем структуру базы, практику работы с каждым разделом и конкретные алгоритмы применения БДУ в рабочих процессах ИБ-подразделения.

Что такое БДУ ФСТЭК России

БДУ ФСТЭК (полное название --- Банк данных угроз безопасности информации) --- государственная база данных, которую ведёт ФСТЭК России с 2015 года. База решает две задачи: систематизация угроз безопасности информации и каталогизация уязвимостей программного и аппаратного обеспечения.

Юридическое основание --- приказ ФСТЭК России от 2015 года о создании и ведении банка данных угроз. С выходом Методики оценки угроз 2021 года БДУ стала обязательным источником для формирования перечня актуальных угроз при разработке модели угроз. Для получения общего представления о базе см. определение в глоссарии.

Какие данные содержит БДУ

База состоит из трёх основных разделов:

Каталог угроз (УБИ) --- 227 идентификаторов, включая новые угрозы контейнеризации (УБИ.223-227, июнь 2025) и обновлённый раздел угроз ИИ/ML (декабрь 2025). Каждая угроза описывает сценарий нарушения безопасности информации: источник, объект воздействия, последствия.
Реестр уязвимостей --- более 85 000 записей (рост на 20 000 за 2025 год). Каждая уязвимость привязана к конкретному ПО или оборудованию, имеет оценку критичности по CVSS, статус устранения и перекрёстную ссылку на CVE. Весь реестр доступен для поиска в нашем браузере БДУ.
Справочники и инструменты --- калькулятор CVSS v3.1, классификаторы типов уязвимостей (CWE), справочник вендоров и продуктов, генератор перечня угроз для формирования модели угроз, раздел результатов тестирования обновлений ПО.

Кому обязательно использовать БДУ

Использование БДУ обязательно для операторов:

Государственных информационных систем (ГИС) --- приказ ФСТЭК №117 (с 01.03.2026, заменил Приказ №17)
Информационных систем персональных данных (ИСПДн) --- приказ ФСТЭК No 21
Значимых объектов КИИ --- приказ ФСТЭК No 239, 187-ФЗ
АСУ ТП --- приказ ФСТЭК No 31

Для коммерческих организаций, не подпадающих под перечисленные требования, БДУ рекомендуется как лучшая практика --- особенно раздел уязвимостей для Vulnerability Management.

Каталог угроз УБИ: структура и классификация

Каталог угроз --- ядро БДУ. Каждая угроза имеет уникальный идентификатор вида УБИ.XXX и описывает конкретный сценарий, при котором нарушается конфиденциальность, целостность или доступность информации.

Структура карточки угрозы

Каждая запись УБИ содержит следующие поля:

Идентификатор --- УБИ.001 ... УБИ.227
Наименование --- краткое описание угрозы
Описание --- развёрнутый сценарий реализации
Источник угрозы --- внешний нарушитель, внутренний нарушитель, аппаратная закладка, вредоносное ПО и т.д.
Объект воздействия --- информация, ПО, аппаратное обеспечение, сетевая инфраструктура, средства защиты, персонал
Последствия реализации --- нарушение конфиденциальности (НК), нарушение целостности (НЦ), нарушение доступности (НД)

Классификация угроз по источникам

Угрозы в БДУ классифицируются по нескольким осям. По источникам:

Антропогенные --- действия нарушителя (внешнего или внутреннего). Примеры: УБИ.001 (Угроза автоматического распространения вредоносного кода в грид-системе), УБИ.067 (Угроза неправомерного ознакомления с защищаемой информацией).
Техногенные --- сбои и отказы оборудования, ПО. Примеры: УБИ.015 (Угроза доступа к защищаемым файлам с использованием обходного пути), УБИ.044 (Угроза нарушения изоляции пользовательских данных в облачной системе).
Комбинированные --- сочетание действий нарушителя с эксплуатацией технических недостатков.

Примеры конкретных угроз

Рассмотрим несколько характерных УБИ с точки зрения практического применения:

УБИ.007 --- Угроза воздействия на программы с помощью макросов. Источник: внутренний или внешний нарушитель. Объект: прикладное ПО. Последствия: НК, НЦ. Актуальна для организаций, использующих офисные пакеты с поддержкой макросов, --- практически для всех.

УБИ.036 --- Угроза исследования механизмов работы программы. Источник: внешний нарушитель с высоким потенциалом. Объект: системное и прикладное ПО. Последствия: НК. Релевантна для разработчиков ПО и организаций с собственными информационными системами.

УБИ.100 --- Угроза нарушения технологического/производственного процесса. Источник: внешний или внутренний нарушитель. Объект: АСУ ТП. Последствия: НД, НЦ. Критическая угроза для объектов КИИ и промышленных предприятий.

УБИ.140 --- Угроза конфликтов между пользователями при совместном доступе к ресурсам. Объект: виртуальная инфраструктура. Актуальна для облачных систем и сред виртуализации.

УБИ.175 --- Угроза «фишинга». Одна из наиболее часто признаваемых актуальной --- по статистике, фишинг остаётся вектором номер один в инцидентах ИБ.

УБИ.223--227 --- Угрозы контейнеризации (июнь 2025). Первое обновление каталога за 5 лет. Пять новых угроз покрывают атаки на контейнерные среды: несанкционированный доступ к контейнеру с повышением привилегий (223), подмена контейнера (224), нарушение изоляции контейнеров (225), внедрение вредоносного кода в контейнер (226), модификация образов контейнеров (227). Актуальны для любой организации, использующей Docker, Kubernetes или аналоги.

Новый раздел: угрозы ИБ в системах ИИ (декабрь 2025)

В декабре 2025 ФСТЭК впервые выделила ИИ как отдельную категорию угроз в БДУ. Раздел охватывает:

Атаки на ML-модели --- отравление обучающих данных (data poisoning), подмена весов модели (LoRA-адаптеры), хищение модели и обучающих данных
Атаки на RAG-системы --- модификация конфигурации retrieval-компонентов, инъекция в системные промпты (prompt injection)
DoS через ИИ --- исчерпание токенов/квот, перегрузка инференса
API-атаки --- извлечение конфиденциальных данных через API модели, искажение поведения модели

Угрозы классифицированы по фазам: инфраструктура разработчика (уязвимости фреймворков, отравление данных) и инфраструктура оператора (prompt injection, DoS, эксфильтрация). Ранее существовавшие угрозы УБИ.218--222, касавшиеся AI/ML, помечены как «утратившие актуальность» и заменены новым разделом.

Приказ ФСТЭК №117 (пп. 60-61) дополнительно устанавливает требования к защите ИИ-систем: контроль обучающих наборов данных, метрики ненадёжности модели, реагирование на инциденты с ИИ.

Нумерация и полнота каталога

Нумерация УБИ не непрерывна: часть идентификаторов зарезервирована, часть исключена при пересмотре. Текущее количество активных угроз --- 227 (после обновления июня 2025). ФСТЭК обновляет каталог без фиксированного расписания: в 2025 году добавлены угрозы контейнеризации и радикально переработан раздел AI/ML.

Для автоматического формирования перечня угроз под конкретную инфраструктуру используйте генератор перечня угроз на портале ФСТЭК или модуль «Модель угроз» в КиберОснова.

Раздел уязвимостей: структура, CVE и поиск

Раздел уязвимостей БДУ --- крупнейшая российская база данных уязвимостей, по объёму сопоставимая с NVD. Содержит свыше 85 000 записей (рост на 12 000+ в 2025 году).

Структура записи об уязвимости

Каждая уязвимость в БДУ содержит:

Идентификатор БДУ --- формат BDU:YYYY-NNNNN (год + порядковый номер)
Идентификатор CVE --- перекрёстная ссылка на запись CVE (при наличии)
Уязвимое ПО --- наименование, версии, вендор
Описание --- суть уязвимости на русском языке
Тип --- классификация по CWE (Common Weakness Enumeration)
Оценка CVSS --- числовой балл и вектор по CVSS v3.1
Уровень критичности --- Critical, High, Medium, Low
Статус --- подтверждена, исправлена вендором, нет патча
Дата публикации и дата обновления
Рекомендации по устранению --- ссылки на патчи, обходные решения

Связь с CVE

Большинство уязвимостей в БДУ имеют перекрёстную ссылку на CVE. Это позволяет сопоставить данные БДУ с результатами сканеров уязвимостей, которые работают с CVE-идентификаторами. Есть и уязвимости без CVE --- это, как правило, уязвимости в российском ПО, не зарегистрированные в MITRE.

Обратная связь также работает: по CVE-идентификатору можно найти соответствующую запись в БДУ и получить описание на русском языке с привязкой к требованиям ФСТЭК.

Поиск уязвимостей

На сайте bdu.fstec.ru доступен поиск по следующим критериям:

По идентификатору БДУ или CVE
По наименованию ПО или вендора
По уровню критичности (CVSS-оценка)
По дате публикации
По типу уязвимости (CWE)
По статусу устранения

Для систематической работы с большим объёмом уязвимостей ручной поиск неэффективен. Здесь целесообразно использовать выгрузку данных или автоматическую интеграцию через модуль БДУ ФСТЭК в SGRC-системе.

Калькулятор CVSS на bdu.fstec.ru

CVSS (Common Vulnerability Scoring System) --- стандарт оценки критичности уязвимостей. БДУ ФСТЭК предоставляет онлайн-калькулятор CVSS v3.1, позволяющий рассчитать оценку по трём группам метрик.

Базовые метрики (Base Score)

Базовые метрики описывают фундаментальные характеристики уязвимости, не зависящие от времени и среды:

Метрика	Значения	Описание
Attack Vector (AV)	Network, Adjacent, Local, Physical	Откуда можно эксплуатировать уязвимость
Attack Complexity (AC)	Low, High	Сложность условий для эксплуатации
Privileges Required (PR)	None, Low, High	Требуемые привилегии
User Interaction (UI)	None, Required	Нужно ли взаимодействие пользователя
Scope (S)	Unchanged, Changed	Выходит ли воздействие за пределы компонента
Confidentiality (C)	None, Low, High	Влияние на конфиденциальность
Integrity (I)	None, Low, High	Влияние на целостность
Availability (A)	None, Low, High	Влияние на доступность

Временные метрики (Temporal Score)

Временные метрики корректируют базовый балл с учётом текущего состояния:

Exploit Code Maturity --- зрелость эксплойта (Unproven, Proof-of-Concept, Functional, High)
Remediation Level --- наличие исправления (Official Fix, Temporary Fix, Workaround, Unavailable)
Report Confidence --- достоверность информации (Unknown, Reasonable, Confirmed)

Контекстные метрики (Environmental Score)

Контекстные метрики адаптируют оценку под конкретную инфраструктуру организации: модифицированные базовые метрики и требования к конфиденциальности, целостности, доступности конкретной системы.

Пример расчёта

Допустим, обнаружена уязвимость в веб-приложении:

AV: Network (доступна по сети)
AC: Low (не требует специальных условий)
PR: None (без аутентификации)
UI: None (без взаимодействия пользователя)
S: Unchanged
C: High, I: High, A: High

Результат: CVSS 9.8 Critical. Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H.

Такая уязвимость требует немедленного патчинга --- в течение 24 часов по приказу ФСТЭК №117.

Для расчёта CVSS v4.0 с автоматическим определением SLA используйте наш калькулятор CVSS v4.0 — на русском языке, с Environmental-метриками для пересчёта под конкретную среду.

Новая методика оценки критичности уязвимостей (июнь 2025)

30 июня 2025 ФСТЭК утвердила обновлённую методику оценки уровня критичности уязвимостей, заменившую методику 2022 года. Ключевые изменения:

Упрощение CVSS: используется только Base Score по CVSS v3.1; временные и контекстные метрики больше не обязательны
Приоритет вендорских оценок: базовый CVSS-балл от вендора — основной; калькулятор ФСТЭК — только если вендор не предоставил оценку
4 индикатора вместо 2: Icvss (уровень опасности), Iinfr (влияние на инфраструктуру), Iat (реализуемость эксплуатации), Iimp (последствия эксплуатации)
Сдвиг порогов: балл 7.0 теперь = «Высокий» (ранее классифицировался как «Критический»)
Непрерывная переоценка: обязательный автоматический пересчёт критичности при появлении новых данных
Расширенная область: теперь распространяется на ГУПы и госучреждения (не только ГИС и КИИ)

Как использовать БДУ для разработки модели угроз

Методика оценки угроз безопасности информации ФСТЭК России 2021 года (далее --- Методика 2021) устанавливает обязательный порядок определения актуальных угроз. БДУ --- ключевой источник данных для этого процесса. Для автоматизации полного цикла разработки модели угроз см. модуль «Модель угроз».

Методика ФСТЭК 2021: роль БДУ

Методика 2021 определяет следующий порядок работы с БДУ:

Из каталога УБИ выбираются угрозы, применимые к рассматриваемой информационной системе.
Для каждой выбранной угрозы определяется, существуют ли условия для её реализации (наличие источника, объекта воздействия, канала).
Оценивается вероятность реализации и степень возможного ущерба.
Угроза признаётся актуальной или неактуальной.

БДУ задаёт «вселенную» угроз, из которой отбираются релевантные. Без БДУ модель угроз не соответствует требованиям Методики.

Пошаговый алгоритм отбора угроз из БДУ

Шаг 1. Определение границ системы. Зафиксировать: тип системы (ГИС, ИСПДн, КИИ, АСУ ТП), архитектуру, используемое ПО и оборудование, каналы передачи данных, пользователей и администраторов.

Шаг 2. Определение потенциальных нарушителей. По Методике 2021 выделяются категории: внешний нарушитель с базовым потенциалом, внешний с повышенным, внутренний с базовым и т.д. Для каждой категории --- свои мотивация и возможности.

Шаг 3. Первичная фильтрация УБИ. Из 227 угроз отбираются те, которые:

Имеют источник, соответствующий определённым нарушителям
Направлены на объекты, присутствующие в системе
Приводят к последствиям, значимым для организации

На практике после первичной фильтрации остаётся 40--80 угроз --- в зависимости от сложности системы.

Шаг 4. Оценка возможности реализации. Для каждой отфильтрованной угрозы оценивается: есть ли техническая возможность реализации, достаточен ли потенциал нарушителя, существуют ли компенсирующие меры.

Шаг 5. Оценка ущерба. Определяется степень ущерба: незначительный, умеренный, значительный. Учитываются последствия для бизнес-процессов, нарушение прав субъектов ПДн, угроза жизни и здоровью (для КИИ).

Шаг 6. Формирование перечня актуальных угроз. Угроза актуальна, если возможность реализации оценивается выше минимальной и ущерб --- выше незначительного. Результат фиксируется в документе «Модель угроз».

Практический пример: модель угроз для ИСПДн

Рассмотрим ИСПДн медицинского учреждения, обрабатывающую специальные категории ПДн (сведения о здоровье).

Характеристики системы:

Клиент-серверная архитектура, веб-интерфейс
Подключение к сети Интернет
СУБД PostgreSQL, ОС Linux
50 пользователей, 3 администратора
Обработка биометрических и специальных категорий ПДн

Результат фильтрации (примеры актуальных угроз):

УБИ.175 --- Угроза «фишинга» (внешний нарушитель, 50 пользователей с доступом к почте --- высокая вероятность)
УБИ.067 --- Угроза неправомерного ознакомления с защищаемой информацией (внутренний нарушитель, специальные категории ПДн --- высокий ущерб)
УБИ.007 --- Угроза воздействия на программы с помощью макросов (актуальна при использовании офисных пакетов)
УБИ.071 --- Угроза несанкционированного восстановления удалённой защищаемой информации (специфично для СУБД с медицинскими данными)
УБИ.187 --- Угроза несанкционированного воздействия на систему посредством SQL-инъекции (веб-интерфейс + СУБД --- классический вектор)

Результат: из 227 УБИ для данной ИСПДн актуальными признаны 47 угроз (+ 5 новых угроз контейнеризации, если применяется Docker). Для каждой определены меры защиты в соответствии с приказом ФСТЭК №21.

Ручное выполнение этого процесса занимает 2--4 недели. При использовании SGRC-платформы с интеграцией БДУ --- 2--3 дня, включая согласование.

Использование БДУ для управления уязвимостями (Vulnerability Management)

Помимо моделирования угроз, БДУ --- ценный источник для процесса управления уязвимостями. Процесс VM охватывает полный цикл: обнаружение, приоритизацию, устранение и верификацию. Для системного управления рисками на основе данных об уязвимостях используется модуль управления рисками.

Интеграция БДУ в процесс VM

Стандартный цикл VM с использованием БДУ:

Сканирование --- сканер уязвимостей обнаруживает CVE в инфраструктуре.
Обогащение --- по CVE-идентификатору находится запись в БДУ; добавляется описание на русском языке, статус от ФСТЭК, рекомендации по устранению.
Приоритизация --- на основе CVSS-оценки из БДУ и контекстных метрик (критичность актива) определяется приоритет устранения.
Устранение --- патч, обходное решение или компенсирующая мера.
Верификация --- повторное сканирование, проверка статуса в БДУ.

Мониторинг новых уязвимостей

БДУ обновляется регулярно --- новые уязвимости появляются ежедневно. Для оперативного реагирования критичны:

Мониторинг RSS-ленты бюллетеней ФСТЭК
Автоматическая выгрузка новых записей из БДУ
Сопоставление с активами организации (CMDB)
Приоритизация по критичности актива и CVSS-оценке

Ручной мониторинг 85 000+ уязвимостей невозможен. Автоматизация через SGRC-платформу с интеграцией БДУ решает эту задачу: данные загружаются автоматически, сопоставляются с реестром активов и формируют приоритизированные задачи на устранение.

Важно (Приказ №117): если в ходе эксплуатации обнаружена уязвимость, отсутствующая в БДУ, оператор обязан уведомить ФСТЭК России в течение 5 рабочих дней.

Привязка уязвимостей к нормативным требованиям

Уникальное преимущество БДУ перед чисто техническими базами (CVE, NVD) --- привязка к нормативной базе ФСТЭК. Это позволяет:

Обосновать необходимость патчинга для руководства (ссылка на требования регулятора)
Формировать отчёты для проверок ФСТЭК
Отслеживать выполнение требований приказов №117, 21, 31, 239

Выгрузка данных и API БДУ ФСТЭК

Для автоматизации работы с БДУ ФСТЭК предоставляет несколько способов получения данных.

Форматы выгрузки

На сайте bdu.fstec.ru доступна выгрузка:

XLSX --- для ручного анализа в Excel/LibreOffice. Содержит полный реестр уязвимостей или угроз с фильтрацией.
XML --- машиночитаемый формат для импорта в системы автоматизации. Структурированная схема с полями: идентификатор, описание, CVSS, CVE, статус.
JSON --- альтернативный машиночитаемый формат, удобнее для интеграции с REST-архитектурами.

Состояние API

На момент 2026 года ФСТЭК не опубликовала документированный REST API для программного доступа к БДУ в реальном времени. Доступные подходы:

Периодическая выгрузка --- скачивание полного дампа базы в XML/JSON с последующей загрузкой в локальную систему.
Парсинг RSS --- мониторинг ленты бюллетеней для получения информации о новых уязвимостях.
Интеграция через SGRC --- ряд SGRC-платформ, включая КиберОснова, реализуют автоматическую синхронизацию с БДУ, абстрагируя сложность интеграции.

БДУ ФСТЭК vs CVE vs NVD: сравнительная таблица

Три базы данных --- БДУ ФСТЭК, CVE (MITRE) и NVD (NIST) --- решают схожие задачи, но различаются по охвату, структуре и применимости.

Параметр	БДУ ФСТЭК	CVE (MITRE)	NVD (NIST)
Оператор	ФСТЭК России	MITRE Corporation (США)	NIST (США)
Язык	Русский	Английский	Английский
Количество уязвимостей	85 000+	250 000+	250 000+
Каталог угроз (УБИ)	Да (227)	Нет	Нет
Угрозы ИИ/ML	Да (раздел 12.2025)	Нет	Нет
Оценка CVSS	Да (v3.1)	Нет (только идентификатор)	Да (v3.1, v4.0)
Привязка к CWE	Да	Частично	Да
Российское ПО	Полный охват	Частичный	Частичный
Нормативная привязка (РФ)	Да (приказы ФСТЭК)	Нет	Нет
API	Выгрузка XML/JSON	REST API	REST API (NVD API 2.0)
Обязательность для РФ	Да (ГИС, ИСПДн, КИИ)	Нет	Нет
Перекрёстные ссылки	CVE	---	CVE
Калькулятор CVSS	Да	Нет	Да
Лицензия	Бесплатно	Бесплатно	Бесплатно

Когда использовать какую базу

Только БДУ --- при разработке модели угроз по Методике ФСТЭК 2021, при подготовке к проверкам ФСТЭК, при работе с российским ПО не представленным в CVE.

БДУ + NVD --- оптимальная комбинация для полноценного VM: БДУ даёт нормативный контекст и российскую специфику, NVD --- максимальный охват уязвимостей и актуальный API.

Только CVE/NVD --- допустимо для коммерческих организаций, не подпадающих под регулирование ФСТЭК, работающих исключительно с зарубежным ПО. Но даже в этом случае использование БДУ даёт преимущество русскоязычных описаний и привязки к CWE.

Практические рекомендации по работе с БДУ

Ниже --- набор конкретных рекомендаций для различных ролей в ИБ-подразделении.

Для CISO и руководителей ИБ

Встроить БДУ в политику управления уязвимостями. Зафиксировать в документе: БДУ --- обязательный источник для оценки уязвимостей наряду с результатами сканирования. Это закрывает требования регулятора и упрощает подготовку к проверкам.
Определить SLA на устранение по CVSS-оценке. Рекомендуемые сроки:
- Critical (9.0--10.0) --- 24--48 часов
- High (7.0--8.9) --- 7 дней
- Medium (4.0--6.9) --- 30 дней
- Low (0.1--3.9) --- 90 дней или принятие риска
Автоматизировать. При объёме инфраструктуры свыше 50 узлов ручная работа с БДУ нецелесообразна. SGRC-платформа с интеграцией БДУ сокращает трудозатраты на порядок.

Для аналитиков модели угроз

Начинать с актуализации каталога. Перед началом работы над моделью угроз убедитесь, что используете актуальную версию каталога УБИ. ФСТЭК обновляет его без фиксированного расписания.
Документировать обоснование исключения. Для каждой УБИ, признанной неактуальной, зафиксировать обоснование: «отсутствует объект воздействия», «отсутствует источник угрозы с достаточным потенциалом» и т.д. Это требование Методики 2021 и предмет проверки.
Использовать перекрёстные ссылки. Связывайте УБИ с конкретными уязвимостями из раздела уязвимостей БДУ --- это усиливает обоснованность модели и демонстрирует связь между теоретическими угрозами и практическими уязвимостями.

Для специалистов по Vulnerability Management

Настроить автоматическое сопоставление CVE --- БДУ. Сканеры уязвимостей выдают CVE-идентификаторы. Автоматическое обогащение данными из БДУ (русскоязычное описание, статус ФСТЭК, рекомендации) повышает качество отчётов и ускоряет принятие решений.
Отслеживать уязвимости без CVE. В БДУ есть уязвимости российского ПО, которых нет в CVE/NVD. Если ваша инфраструктура включает такое ПО, мониторинг БДУ --- единственный способ узнать об этих уязвимостях.
Использовать контекстные метрики CVSS. Базовый CVSS-балл одинаков для всех. Контекстные метрики позволяют адаптировать оценку: уязвимость с CVSS 9.8 в изолированной тестовой среде и в продуктивном веб-сервисе --- это разные приоритеты. Калькулятор CVSS на bdu.fstec.ru поддерживает все группы метрик.

Для ИТ-администраторов

Подписаться на бюллетени ФСТЭК. RSS-лента бюллетеней содержит информацию о критических уязвимостях с рекомендациями по оперативному устранению.
Проверять БДУ при обновлении ПО. Перед обновлением --- убедиться, что новая версия закрывает известные уязвимости из БДУ. После обновления --- зафиксировать устранение в системе учёта.
Формировать отчёты по устранённым уязвимостям. Для подготовки к аудитам и проверкам нужна история: какие уязвимости были обнаружены, когда устранены, каким способом. Привязка к идентификаторам БДУ делает отчёт понятным для проверяющих из ФСТЭК.

Типичные ошибки при работе с БДУ

Разберём ошибки, которые встречаются на практике.

Ошибка 1: Формальный подход к модели угроз

«Взять все 227 УБИ и признать актуальными» --- встречается при формальном подходе. Проверяющие из ФСТЭК обращают внимание на обоснованность: если в модели угроз ИСПДн, не подключённой к интернету, признана актуальной угроза «фишинга» --- это вопрос.

Ошибка 2: Игнорирование обновлений каталога

Каталог УБИ обновляется. Модель угроз, построенная на каталоге двухлетней давности, может не учитывать новые угрозы. Методика 2021 требует периодического пересмотра модели --- в том числе с учётом обновлений БДУ.

Ошибка 3: Отсутствие связи между угрозами и уязвимостями

Модель угроз и Vulnerability Management часто существуют как изолированные процессы. Между тем, связка «УБИ --- уязвимость --- мера защиты» --- это именно то, что делает модель угроз рабочим инструментом, а не формальным документом.

Ошибка 4: Ручная работа при большом объёме

Ручная обработка 227 угроз и сопоставление с 85 000+ уязвимостей --- задача, которая при добросовестном подходе занимает месяцы. Автоматизация через SGRC-платформу --- не вопрос удобства, а вопрос практической реализуемости.

Калькулятор CVSS v4.0

Для оценки критичности уязвимостей из БДУ используйте CVSS v4.0 калькулятор — на русском языке с автоматическим расчётом SLA по приказу ФСТЭК №117 (24 часа для критических, 7 дней для высоких, 30 дней для средних).

Поиск по реестру БДУ

Весь реестр БДУ ФСТЭК доступен в браузере уязвимостей — поиск по идентификатору, ПО, критичности и году. Фильтры по наличию эксплойта и статусу исправления.

Итоги

БДУ ФСТЭК --- это не «ещё одна база уязвимостей». Это нормативно значимый инструмент, обязательный для использования при разработке модели угроз и рекомендуемый для управления уязвимостями. Каталог из 227 угроз (включая контейнеризацию и ИИ/ML) и 85 000+ уязвимостей, привязка к CVE, русскоязычные описания, обновлённая методика оценки критичности 2025 года --- всё это делает БДУ незаменимым ресурсом для специалиста ИБ в России.

Три ключевых вывода:

Для модели угроз --- БДУ обязательна по Методике 2021. Алгоритм: определить границы системы, определить нарушителей, отфильтровать УБИ, оценить актуальность, задокументировать.
Для VM --- БДУ дополняет CVE/NVD российской спецификой, русскоязычными описаниями и нормативной привязкой. Оптимальная комбинация --- БДУ + NVD.
Для автоматизации --- при объёме инфраструктуры свыше 50 узлов ручная работа с БДУ нецелесообразна. Модуль БДУ ФСТЭК в составе SGRC-платформы решает задачу автоматической синхронизации, сопоставления с активами и приоритизации.

Если вы строите или модернизируете процесс управления уязвимостями и моделирования угроз --- запросите демо КиберОснова. Покажем интеграцию с БДУ на реальных данных.

БДУ ФСТЭК России: полное руководство по базе данных угроз и уязвимостей

Часто задаваемые вопросы