Реестр БДУ ФСТЭК --- главный источник информации об уязвимостях для российских специалистов ИБ. Официальный сайт bdu.fstec.ru содержит более 85 000 записей об уязвимостях и 227 угроз безопасности информации. Благодаря открытости данных ФСТЭК, появляется возможность создавать инструменты, дополняющие официальный источник: с CVSS v4.0, Threat Intelligence и расчётом SLA. В этой статье разбираем, какие задачи решает реестр БДУ ФСТЭК, что нужно специалисту ИБ для ежедневной работы и как бесплатный реестр БДУ на КиберОснова дополняет официальные данные --- CVSS v4.0, EPSS, CISA KEV и автоматический расчёт SLA по приказу ФСТЭК №117.
Что такое БДУ ФСТЭК и зачем нужен реестр уязвимостей
БДУ ФСТЭК (Банк данных угроз безопасности информации) --- государственная база данных, которую ведёт ФСТЭК России с 2015 года. База выполняет две функции: каталогизация угроз безопасности информации (227 идентификаторов УБИ) и ведение реестра уязвимостей программного обеспечения (более 85 000 записей по состоянию на март 2026 года).
Использование БДУ обязательно для четырёх категорий информационных систем:
- ГИС --- государственные информационные системы, приказ ФСТЭК №117 (с 01.03.2026)
- ИСПДн --- информационные системы персональных данных, приказ ФСТЭК №21
- Значимые объекты КИИ --- приказ ФСТЭК №239, 187-ФЗ
- АСУ ТП --- приказ ФСТЭК №31
Для специалиста ИБ реестр уязвимостей БДУ ФСТЭК --- рабочий инструмент, к которому обращаются ежедневно. Поиск уязвимостей по используемому ПО, оценка критичности, формирование отчётов для руководства, расчёт сроков устранения --- всё это операции с данными из БДУ.
Для интенсивной ежедневной работы специалисту ИБ нужны дополнительные инструменты поверх официального источника. Подробный разбор структуры базы --- в нашем руководстве по БДУ ФСТЭК.
Что нужно специалисту ИБ для ежедневной работы с БДУ
Официальный сайт bdu.fstec.ru выполняет важнейшую функцию --- обеспечивает открытый доступ к данным об угрозах и уязвимостях. ФСТЭК России сделал эти данные общедоступными, что позволяет строить дополнительные инструменты для повседневной работы. При этом для интенсивного ежедневного использования специалисту ИБ нужны дополнительные возможности.
Мобильный доступ и скорость работы
При работе вне офиса --- на совещаниях, проверках, в командировках --- важно быстро найти информацию об уязвимости с телефона или планшета. Специалисту нужен:
- Адаптивный интерфейс для мобильных устройств.
- Полнотекстовый поиск по названию ПО, CVE, CWE и описанию в одном запросе.
- Быстрая навигация по результатам с пагинацией.
Эти задачи решает реестр БДУ на КиберОснова --- бесплатный инструмент, синхронизирующий данные с официальным bdu.fstec.ru ежедневно.
Калькулятор CVSS v4.0 для пересчёта под вашу среду
В XML-фиде БДУ ФСТЭК уже содержатся оценки CVSS v4.0 для 3 600+ уязвимостей. Но базовый балл не учитывает контекст вашей организации --- для корректного SLA нужен пересчёт с Environmental метриками.
Почему это критично:
- CVSS v4.0 вводит новые метрики: Automatable (автоматизируемость атаки), Recovery (восстанавливаемость), Value Density (плотность ценных данных), Safety (безопасность людей). Эти метрики напрямую влияют на приоритизацию.
- Пример: уязвимость с CVSS v3.1 = 9.8 (Critical) может получить CVSS v4.0 = 7.5 (High), если атака не автоматизируема и система восстанавливаема. Это меняет SLA с 24 часов на 7 дней по приказу №117.
- NVD (National Vulnerability Database, США) уже перешла на CVSS v4.0 в 2024 году. Российские организации, работающие только с v3.1, завышают критичность части уязвимостей и тратят ресурсы неэффективно.
Калькулятор CVSS v4.0 на КиберОснова --- единственный бесплатный инструмент на русском языке для расчёта оценки по новому стандарту.
Автоматический расчёт SLA по приказу №117
С 1 марта 2026 года приказ ФСТЭК №117 вступил в силу и установил обязательные сроки устранения уязвимостей (req-38):
| Критичность | CVSS | SLA |
|---|---|---|
| Критическая | 9.0–10.0 | 24 часа |
| Высокая | 7.0–8.9 | 7 дней |
| Средняя | 4.0–6.9 | 30 дней |
| Новая из БДУ | Любой | 5 дней с публикации |
Для специалиста, работающего с сотнями уязвимостей, ручной расчёт сроков по каждой занимает значительное время. Реестр КиберОснова автоматически рассчитывает SLA на основании CVSS-оценки из данных ФСТЭК.
Threat Intelligence: EPSS и CISA KEV
Официальный bdu.fstec.ru содержит исчерпывающие данные об уязвимостях: описание, CVSS-оценка, статус устранения, привязка к CVE. Для дополнительной приоритизации специалисту ИБ полезны международные источники Threat Intelligence:
- EPSS (Exploit Prediction Scoring System) --- модель FIRST.org, рассчитывающая вероятность эксплуатации уязвимости в течение 30 дней. Обновляется ежедневно. Из 85 000+ уязвимостей в БДУ только 2–5% имеют EPSS выше 0.1.
- CISA KEV (Known Exploited Vulnerabilities) --- каталог уязвимостей с подтверждённой эксплуатацией в реальных атаках. Более 1 100 записей по состоянию на март 2026 года.
Реестр КиберОснова объединяет данные ФСТЭК с EPSS и CISA KEV в одном интерфейсе, избавляя от необходимости переключаться между несколькими ресурсами.
Реестр БДУ на КиберОснова --- дополнение к официальному источнику
Реестр БДУ ФСТЭК на КиберОснова --- бесплатный онлайн-инструмент, который ежедневно синхронизирует все записи из официального bdu.fstec.ru и дополняет их аналитикой для повседневной работы специалиста ИБ.
Калькулятор CVSS v4.0 с Environmental метриками
КиберОснова предоставляет калькулятор CVSS v4.0 на русском языке с полной поддержкой всех метрических групп: Base, Threat, Environmental и Supplemental. Данные CVSS v4.0 берутся из официального XML-фида ФСТЭК --- калькулятор позволяет пересчитать базовую оценку с учётом вашей инфраструктуры.
Что это даёт на практике:
- Точнее приоритизация. CVSS v4.0 различает уязвимости, которые v3.1 оценивает одинаково. Две уязвимости с CVSS v3.1 = 9.8 могут получить CVSS v4.0 = 9.2 и 7.1 --- и попасть в разные SLA-категории.
- Учёт контекста организации. Environmental-метрики позволяют скорректировать оценку с учётом того, насколько критичен уязвимый компонент для конкретной ИС. Если уязвимый сервис изолирован в DMZ, оценка снижается.
- Русскоязычный интерфейс. Все метрики и описания на русском языке с пояснениями для каждого значения.
Калькулятор доступен бесплатно, без регистрации, без ограничений на количество расчётов.
SLA по приказу ФСТЭК №117
Каждая уязвимость в реестре КиберОснова автоматически получает расчёт SLA на основании CVSS-оценки и даты публикации:
- Отображается категория критичности (критическая, высокая, средняя, низкая)
- Рассчитывается дедлайн устранения по req-38 приказа №117
- Для новых уязвимостей (опубликованных в БДУ менее 5 дней назад) показывается особый маркер с обратным отсчётом
Это означает, что при открытии карточки уязвимости специалист сразу видит: «Эту уязвимость нужно устранить до [дата], осталось [N] дней». Не нужно вручную рассчитывать сроки и сверяться с текстом приказа.
EPSS и CISA KEV --- приоритизация уязвимостей
Реестр КиберОснова обогащает каждую запись БДУ ФСТЭК данными Threat Intelligence:
EPSS (Exploit Prediction Scoring System):
- Оценка от 0 до 1 --- вероятность эксплуатации в течение 30 дней
- Обновляется ежедневно из FIRST.org
- Уязвимости с EPSS > 0.5 выделяются визуально --- это сигнал к немедленному реагированию
- Позволяет из тысяч уязвимостей выделить десятки, требующие внимания прямо сейчас
CISA KEV:
- Маркер «В активной эксплуатации» на уязвимостях, входящих в каталог CISA KEV
- Сопоставление через CVE-идентификаторы
- Уязвимость с маркером KEV --- абсолютный приоритет, независимо от CVSS-оценки
Комбинация CVSS + EPSS + KEV даёт трёхмерную модель приоритизации: насколько опасна уязвимость (CVSS), насколько вероятна атака (EPSS), подтверждена ли эксплуатация (KEV).
Полнотекстовый поиск и фильтры
Поиск в реестре КиберОснова работает на двух движках одновременно:
- Полнотекстовый поиск по русскому и английскому тексту --- находит уязвимости по описанию, названию ПО, вендору, CVE-идентификатору в одном запросе
- Фильтры по критичности (CVSS-диапазон), году публикации, вендору, статусу устранения, наличию EPSS/KEV
Примеры запросов:
- «1С:Предприятие» --- все уязвимости в продуктах 1С
- «BDU:2026-00» --- все уязвимости 2026 года
- «CVE-2024-3094» --- поиск по CVE-идентификатору (xz-utils backdoor)
- «Astra Linux критическая» --- уязвимости Astra Linux с высокой критичностью
Результаты возвращаются за доли секунды благодаря индексированному полнотекстовому поиску PostgreSQL.
Дашборд и аналитика
Реестр КиберОснова включает аналитический дашборд с визуализацией:
- Распределение по критичности --- сколько уязвимостей Critical, High, Medium, Low в выбранном периоде
- Динамика публикации --- график новых уязвимостей в БДУ по месяцам и годам
- Топ-10 уязвимого ПО --- продукты с наибольшим числом уязвимостей
- Уязвимости в активной эксплуатации --- выборка по EPSS > 0.5 и CISA KEV
Дашборд полезен для подготовки отчётов руководству и демонстрации текущего состояния ландшафта угроз на совещаниях по ИБ.
Мобильная версия и Schema.org
Реестр БДУ на КиберОснова полностью адаптирован для мобильных устройств. Карточки уязвимостей, поиск, фильтры и дашборд корректно отображаются на экранах от 320px.
Каждая карточка уязвимости размечена по Schema.org --- это означает, что при поиске в Яндексе уязвимость может отображаться с расширенным сниппетом (идентификатор, CVSS-оценка, дата публикации).
Как использовать реестр БДУ ФСТЭК для аудита по приказам ФСТЭК
Реестр БДУ ФСТЭК --- обязательный элемент аудита ИБ по приказам ФСТЭК №117, №21, №239 и №31. Ниже --- конкретный алгоритм работы.
Шаг 1. Инвентаризация ПО. Составьте перечень всего программного и аппаратного обеспечения, используемого в информационной системе. Включите операционные системы, СУБД, серверные приложения, средства защиты, сетевое оборудование.
Шаг 2. Поиск уязвимостей по ПО. Для каждого продукта из перечня выполните поиск в реестре БДУ по названию продукта и версии. Отфильтруйте результаты по статусу «не устранена».
Шаг 3. Приоритизация. Отсортируйте найденные уязвимости по CVSS-оценке (от критических к низким). Обратите внимание на маркеры EPSS и CISA KEV --- уязвимости с этими маркерами должны быть устранены в первую очередь.
Шаг 4. Расчёт SLA. Для каждой неустранённой уязвимости определите дедлайн по приказу №117: критическая --- 24 часа, высокая --- 7 дней, средняя --- 30 дней. Реестр КиберОснова рассчитывает SLA автоматически.
Шаг 5. Формирование плана устранения. Сгруппируйте уязвимости по продуктам и определите способ устранения: обновление ПО, компенсирующие меры, принятие риска. Зафиксируйте в плане ответственных и сроки.
Шаг 6. Мониторинг. Настройте регулярную проверку реестра БДУ на появление новых уязвимостей в используемом ПО. Для автоматизации этого процесса используйте модуль БДУ ФСТЭК в платформе КиберОснова.
Подробнее о методике управления уязвимостями --- в статье «Методика управления уязвимостями ФСТЭК».
БДУ ФСТЭК vs CVE/NVD: когда использовать какой источник
Специалисты ИБ часто работают параллельно с несколькими базами уязвимостей. Разберём, когда какой источник предпочтительнее.
| Критерий | БДУ ФСТЭК | CVE/NVD (MITRE/NIST) |
|---|---|---|
| Язык | Русский | Английский |
| Количество записей | 85 000+ | 240 000+ |
| Российское ПО | Полное покрытие | Частичное (1С, Astra Linux — есть, остальное — нет) |
| Угрозы (УБИ) | 227 | Нет аналога |
| CVSS | v2 + v3.1 + v4.0 | v2 + v3.1 + v4.0 |
| Юридическая обязательность в РФ | Да (приказы ФСТЭК) | Нет |
| CWE-классификация | Да | Да |
| API | Экспорт XML/JSON | REST API |
Когда использовать БДУ ФСТЭК:
- Разработка модели угроз по методике ФСТЭК 2021 года --- обязательно
- Аудит ГИС, ИСПДн, КИИ, АСУ ТП --- обязательно
- Работа с российским ПО (1С, Astra Linux, PT, Kaspersky, КриптоПро) --- БДУ полнее
- Формирование отчётов для ФСТЭК --- только БДУ-идентификаторы
Когда использовать CVE/NVD:
- Работа с зарубежным ПО (Microsoft, Cisco, VMware, Linux-дистрибутивы) --- NVD полнее и быстрее
- Интеграция со сканерами уязвимостей (Tenable, Qualys, OpenVAS) --- они работают с CVE
- Исследование уязвимостей в open-source --- NVD содержит ссылки на эксплойты и патчи
Оптимальный подход --- использовать оба источника одновременно. Реестр КиберОснова решает эту задачу: каждая запись БДУ содержит привязку к CVE --- обе базы в одном интерфейсе.
Для выбора инструментов сканирования см. обзор сканеров уязвимостей, сертифицированных ФСТЭК.
Автоматизация работы с уязвимостями из БДУ ФСТЭК
Ручная работа с реестром БДУ ФСТЭК --- поиск, оценка, приоритизация, контроль сроков --- неизбежно приводит к ошибкам и пропускам при масштабе инфраструктуры более 50 хостов. Автоматизация решает три задачи.
Задача 1: непрерывный мониторинг
Новые уязвимости в БДУ ФСТЭК публикуются ежедневно. Приказ №117 устанавливает SLA 5 дней для новых уязвимостей. Это означает, что организация должна узнавать о новых уязвимостях в используемом ПО в день их публикации --- иначе SLA будет нарушен.
Платформа КиберОснова SGRC автоматически:
- Загружает новые записи из БДУ ежедневно
- Сопоставляет с инвентаризированным ПО организации
- Создаёт задачу на устранение с рассчитанным SLA
- Уведомляет ответственного
Задача 2: расчёт КЗИ
Приказ ФСТЭК №117 вводит КЗИ (коэффициент защищённости информации) --- формализованный числовой показатель, обязательный для аттестации ГИС (требуется КЗИ ≥ 1.0). Одним из критериев КЗИ является полнота и своевременность устранения уязвимостей. Чем больше уязвимостей устранено в срок, тем выше КЗИ.
Для расчёта этого критерия нужно:
- Знать общее количество обнаруженных уязвимостей (из БДУ + из сканера)
- Знать количество устранённых в рамках SLA
- Рассчитать долю устранённых в срок
Без автоматизированной системы, которая фиксирует дату обнаружения, дедлайн SLA и дату устранения каждой уязвимости, расчёт КЗИ невозможен.
Задача 3: формирование отчётов
Отчёт о КЗИ направляется в ФСТЭК периодически. Отчёт должен содержать перечень обнаруженных уязвимостей, сроки устранения, обоснование принятых решений (устранение, компенсация, принятие риска).
Платформа КиберОснова формирует такой отчёт автоматически на основании данных из реестра БДУ и системы управления уязвимостями. Подробнее о возможностях платформы --- на странице модуля БДУ ФСТЭК.
Интеграция с моделью угроз
Данные из реестра БДУ ФСТЭК --- входные данные для модели угроз. Уязвимости определяют, какие угрозы из каталога УБИ актуальны для конкретной информационной системы.
Пример: если в инфраструктуре обнаружены уязвимости веб-приложений (инъекции, XSS), актуальны угрозы из каталога УБИ, связанные с несанкционированным доступом, эксплуатацией уязвимостей ПО и социальной инженерией.
Автоматическая связь «уязвимость → угроза → мера защиты» --- одно из ключевых преимуществ SGRC-платформы перед ручной работой с реестром.
Сводная таблица: что доступно для работы с БДУ ФСТЭК
Итоговое сравнение инструментов:
| Функция | bdu.fstec.ru | Реестр КиберОснова (бесплатно) | КиберОснова SGRC (платно) |
|---|---|---|---|
| Данные об уязвимостях | 85 000+ (первоисточник) | 85 000+ (ежедневная синхронизация) | 85 000+ |
| Угрозы УБИ | 227 | 227 | 227 + связь с мерами |
| CVSS v2/v3/v4.0 | Да | Да | Да |
| Калькулятор CVSS v4.0 с Environmental | --- | Да (на русском) | Да |
| EPSS | --- | Да | Да + алерты |
| CISA KEV | --- | Да | Да + алерты |
| SLA по приказу №117 | --- | Автоматический расчёт | Расчёт + контроль |
| Полнотекстовый поиск (RU + EN) | Фильтрация | Да | Да |
| Мобильная версия | --- | Да | Да |
| Schema.org | --- | Да | Да |
| Автоматический мониторинг | --- | --- | Да |
| Расчёт КЗИ | --- | --- | Да |
| Интеграция со сканерами | --- | --- | Да |
| Формирование отчётов | --- | --- | Да |
Бесплатные инструменты (реестр БДУ и калькулятор CVSS v4.0) доступны без регистрации и ограничений. Для полной автоматизации Vulnerability Management --- запросите демо платформы.
FAQ --- Часто задаваемые вопросы
Чем реестр БДУ на КиберОснова отличается от bdu.fstec.ru?
Реестр БДУ на КиберОснова синхронизирует все 85 000+ записей из официального bdu.fstec.ru ежедневно. Мы дополняем данные ФСТЭК аналитикой: интерактивный калькулятор CVSS v4.0 с Environmental метриками, оценка вероятности эксплуатации EPSS, маркеры CISA KEV, автоматический расчёт SLA по приказу №117, полнотекстовый поиск на русском и английском, адаптивная мобильная версия. Данные из официального реестра не изменяются --- мы добавляем аналитику поверх них.
Что такое CVSS v4.0 и почему это важно для оценки уязвимостей БДУ?
CVSS v4.0 --- четвёртая версия Common Vulnerability Scoring System, выпущенная FIRST.org в ноябре 2023 года. Она точнее предыдущей версии v3.1: введены метрики Automatable (автоматизируемость атаки), Recovery (восстанавливаемость системы), Value Density (плотность ценных данных) и Safety (влияние на безопасность людей). БДУ ФСТЭК уже содержит данные CVSS v4.0 для 3 600+ уязвимостей. Калькулятор CVSS v4.0 на КиберОснова позволяет пересчитать базовую оценку с Environmental метриками под конкретную инфраструктуру.
Что такое EPSS и как он помогает при работе с БДУ ФСТЭК?
EPSS (Exploit Prediction Scoring System) --- модель FIRST.org, которая рассчитывает вероятность эксплуатации уязвимости в течение 30 дней по шкале от 0 до 1. Модель обучена на данных реальных атак и обновляется ежедневно. Для специалистов ИБ, работающих с БДУ ФСТЭК, EPSS решает проблему приоритизации: из 85 000+ уязвимостей в реестре только 2–5% имеют EPSS выше 0.1, то есть реально эксплуатируются. КиберОснова --- единственная российская платформа, отображающая EPSS для записей БДУ ФСТЭК.
Какие SLA на устранение уязвимостей устанавливает приказ ФСТЭК №117?
Приказ ФСТЭК №117 (req-38) устанавливает обязательные сроки устранения уязвимостей для операторов ГИС: критические (CVSS 9.0–10.0) --- 24 часа, высокие (CVSS 7.0–8.9) --- 7 дней, средние (CVSS 4.0–6.9) --- 30 дней, новые уязвимости из БДУ ФСТЭК --- 5 дней с момента публикации. Реестр БДУ на КиберОснова автоматически рассчитывает SLA для каждой уязвимости по её CVSS-оценке, показывая дедлайн и оставшееся время. Без такой автоматизации отслеживание сроков по тысячам уязвимостей невозможно.
Что такое CISA KEV и зачем его отслеживать в контексте БДУ ФСТЭК?
CISA KEV (Known Exploited Vulnerabilities Catalog) --- реестр Агентства по кибербезопасности США, содержащий уязвимости с подтверждённой эксплуатацией в реальных атаках. По состоянию на март 2026 года каталог содержит более 1 100 записей. Для российских организаций KEV ценен тем, что атаки не знают государственных границ: уязвимость, эксплуатируемая против американских организаций, будет использована и против российских. КиберОснова сопоставляет записи БДУ ФСТЭК с CISA KEV через CVE-идентификаторы и маркирует такие уязвимости значком --- это сигнал для немедленного реагирования.
Можно ли использовать реестр БДУ на КиберОснова для разработки модели угроз?
Да. Методика оценки угроз ФСТЭК 2021 года требует использовать БДУ как источник актуальных угроз и уязвимостей при разработке модели угроз. Реестр на КиберОснова содержит полный каталог из 227 угроз (УБИ) и 85 000+ уязвимостей --- те же данные, что и на bdu.fstec.ru. Дополнительно можно фильтровать уязвимости по ПО, вендору и критичности, чтобы сформировать перечень актуальных уязвимостей для конкретной ИС. Результаты экспортируются для включения в документ модели угроз.
Как часто обновляется реестр БДУ на КиберОснова?
Реестр синхронизируется с официальным bdu.fstec.ru ежедневно в автоматическом режиме. При появлении новых записей или обновлении существующих (изменение CVSS-оценки, статуса устранения, привязки к CVE) изменения отражаются в течение суток. Дополнительные данные --- EPSS-оценки и статус CISA KEV --- обновляются также ежедневно из первоисточников (FIRST.org и cisa.gov). Это означает, что при публикации критической уязвимости в БДУ ФСТЭК вы увидите её на КиберОснова не позднее следующего дня с уже рассчитанными SLA, CVSS v4.0 и EPSS.
Реестр БДУ на КиберОснова бесплатный или платный?
Реестр БДУ ФСТЭК, калькулятор CVSS v4.0, поиск и фильтры --- полностью бесплатные инструменты, доступные без регистрации. Мы считаем, что доступ к информации об уязвимостях не должен быть за paywall. Платная подписка на платформу КиберОснова SGRC нужна для расширенных функций: интеграция реестра с системой управления уязвимостями, автоматический расчёт КЗИ по приказу №117, управление инцидентами, учёт СКЗИ, формирование комплаенс-отчётов. Бесплатные инструменты не имеют ограничений по количеству запросов.
