ScanOVAL ФСТЭК: бесплатный сканер уязвимостей — обзор, установка и ограничения

ScanOVAL — бесплатный сканер уязвимостей от ФСТЭК России. Скачивает OVAL-описания уязвимостей с bdu.fstec.ru, проверяет установленное ПО на локальном компьютере, формирует отчёт. Разработан АЛТЭКС-СОФТ по заказу ГНИИИ ПТЗИ ФСТЭК.

Доступен для Windows и Linux (Astra Linux, ALT, ROSA). В этой статье: что делает ScanOVAL (СканОвал), как установить, как пользоваться, в чём ограничения — и что делать, когда программа нашла уязвимости, но организации нужно не просто найти, а управлять устранением по приказу ФСТЭК №117.

Что такое ScanOVAL и зачем он нужен

ScanOVAL — программа, которая проверяет операционную систему и установленное ПО на наличие известных уязвимостей. Источник данных — OVAL-контент из Банка данных угроз ФСТЭК (bdu.fstec.ru).

OVAL (Open Vulnerability and Assessment Language) — международный стандарт описания уязвимостей, созданный MITRE и развивавшийся совместно с CIS до 2017 года. Каждое OVAL-определение формализует проверку: какая программа, какой версии, на какой ОС содержит уязвимость. ScanOVAL загружает эти определения в формате XML и выполняет проверки на локальной машине.

Что ScanOVAL делает:

• загружает подписанный OVAL-контент с bdu.fstec.ru;
• инвентаризирует установленное ПО на хосте;
• сопоставляет версии ПО с описаниями уязвимостей;
• классифицирует найденные уязвимости по критичности (CVSS);
• формирует HTML-отчёт с идентификаторами БДУ и CVE.

Что ScanOVAL не делает:

• не сканирует удалённые машины по сети;
• не управляет процессом устранения уязвимостей;
• не назначает ответственных и не контролирует сроки;
• не формирует документацию для проверяющего ФСТЭК.

Для разовой проверки одного компьютера — достаточно. Для систематического управления уязвимостями в организации нужны другие инструменты.

Кто разработал ScanOVAL

Правообладатель — ФАУ «ГНИИИ ПТЗИ ФСТЭК России». Фактический разработчик — компания АЛТЭКС-СОФТ (ALTX-SOFT), которая с 2009 по 2017 год ежегодно получала награду CIS «OVAL Repository Top Contributor Award» за вклад в развитие стандарта.

Тот же АЛТЭКС-СОФТ разрабатывает коммерческий сканер RedCheck — это не совпадение. ScanOVAL — бесплатный «входной» продукт с минимальной функциональностью. RedCheck — полноценное решение с сетевым сканированием, агентным режимом и сертификатом ФСТЭК.

Как скачать и установить ScanOVAL

ScanOVAL для Windows

1. Перейдите на bdu.fstec.ru/scanoval.
2. Скачайте установщик (файл .msi).
3. Убедитесь, что установлен .NET Framework 4.8 или новее.
4. Запустите установщик, следуйте стандартным шагам.
5. После установки программа автоматически загрузит актуальный OVAL-контент.

Поддерживаемые версии: Windows 7, 8, 8.1, 10, Server 2008/2008R2/2012/2012R2/2016. Поддержка Windows 11 и Server 2019/2022 на момент публикации не подтверждена — уточняйте на bdu.fstec.ru.

ScanOVAL для Linux

1. Перейдите на bdu.fstec.ru/scanovalforlinux.
2. Выберите версию под вашу ОС: Astra Linux SE 1.6–1.8, ALT 9 или ROSA «Cobalt».
3. Скачайте и установите пакет (.deb или .rpm).

Важно: Linux-версии работают в режиме тестирования. Поддержка ограничена тремя сертифицированными ОС — Ubuntu, CentOS, Debian не поддерживаются.

Обновление OVAL-контента

OVAL-контент обновляется еженедельно на сайте ФСТЭК. Программа загружает обновления автоматически при запуске. Контент подписан электронной подписью ФСТЭК — принимается только подписанный контент. Свои OVAL-определения или контент из OpenSCAP загрузить нельзя.

Как пользоваться ScanOVAL: пошаговая инструкция

Шаг 1. Запустите программу. Она загрузит актуальный OVAL-контент с bdu.fstec.ru.

Шаг 2. Нажмите «Начать сканирование». Программа проверит установленное ПО на текущем компьютере.

Шаг 3. Дождитесь завершения (от 5 до 30 минут в зависимости от количества установленных программ).

Шаг 4. Изучите отчёт. Для каждой найденной уязвимости указаны:

• идентификатор БДУ (BDU:YYYY-NNNNN);
• идентификатор CVE (CVE-YYYY-NNNNN);
• уровень критичности по CVSS;
• путь к уязвимому файлу и его версия;
• рекомендации по устранению.

Шаг 5. Экспортируйте результаты в HTML. Других форматов экспорта (PDF, CSV, XML) программа не поддерживает.

Типичные ошибки при работе с ScanOVAL

Ошибка 1: сканирование без обновления OVAL-контента. Если программу не запускали несколько месяцев, первое сканирование покажет устаревшую картину. Перед проверкой убедитесь, что OVAL-контент актуален — программа обновляет его при запуске.

Ошибка 2: игнорирование уязвимостей со средним CVSS. ИБ-специалисты часто фокусируются на критических (9.0+) и пропускают средние (4.0–6.9). Но средняя уязвимость на сервере с персональными данными опаснее критической на изолированном тестовом стенде. CVSS без контекста актива — неполная картина.

Ошибка 3: HTML-отчёт как «документация для ФСТЭК». Инспектор при проверке ФСТЭК спрашивает не только «что нашли?», но и «что сделали?». HTML-файл — это результат сканирования, а не документация процесса устранения. Для закрытия меры АНЗ.1 нужен полный цикл: обнаружение → задача → факт устранения → отчёт.

Ошибка 4: сканирование только перед проверкой. Разовая проверка раз в год не закрывает требования ни одного приказа ФСТЭК. Приказ №117 требует устранять критические уязвимости за 24 часа — без регулярного мониторинга это невозможно.

Нашли уязвимости? КиберОснова поможет приоритизировать их по риску, назначить ответственных и проконтролировать устранение в сроки приказа ФСТЭК №117. Запросить демо →

ScanOVAL и БДУ ФСТЭК: как они связаны

Программа — клиентское приложение, БДУ ФСТЭК — источник данных. Связка работает так:

1. ФСТЭК ведёт базу уязвимостей на bdu.fstec.ru (85 000+ записей).
2. АЛТЭКС-СОФТ формализует описания уязвимостей в OVAL-формате (XML).
3. ФСТЭК подписывает OVAL-контент электронной подписью.
4. Программа скачивает подписанный контент и выполняет проверки.

OVAL-контент покрывает не все уязвимости из БДУ. Покрытие зависит от того, для какого ПО АЛТЭКС-СОФТ подготовил OVAL-определения. Основной фокус — ОС Windows, Astra Linux, ALT, базовые серверные компоненты. Для нишевого российского ПО (1С, Р7-Офис, КриптоПро) покрытие может быть неполным.

Для полной картины уязвимостей организации одного локального сканера недостаточно — нужен сетевой сканер с поддержкой БДУ ФСТЭК и покрытием всей инфраструктуры. Подробнее о структуре и содержании базы: руководство по БДУ ФСТЭК →

ScanOVAL для Linux: Astra Linux, ALT, ROSA

Отдельные версии для Linux доступны на bdu.fstec.ru/scanovalforlinux. Текущее покрытие:

Все Linux-версии работают в режиме тестирования. Это означает: возможны ложные срабатывания, не все уязвимости обнаруживаются, нет гарантированной поддержки от ФСТЭК.

Для организаций, которые перешли на Astra Linux или ALT Linux по требованиям импортозамещения, это единственный бесплатный способ проверить ОС на уязвимости из БДУ ФСТЭК. Но для продакшн-инфраструктуры рекомендуется RedCheck — он поддерживает те же ОС со стабильным качеством обнаружения и сертификатом ФСТЭК.

ScanOVAL vs RedCheck vs MaxPatrol VM: сравнение

Ни один сканер не закрывает полный цикл управления уязвимостями. Сканер находит — SGRC управляет: приоритизация по бизнес-риску, назначение ответственных, SLA-контроль, документация для ФСТЭК. Детальное сравнение VM-платформ на российском рынке: Системы управления уязвимостями: обзор и сравнение.

Выбрали сканер, но нет управления результатами? КиберОснова принимает данные из RedCheck и MaxPatrol VM, привязывает уязвимости к активам, контролирует SLA по приказу №117. Записаться на демо →

Подробное сравнение четырёх сертифицированных сканеров: MaxPatrol VM, RedCheck, XSpider, ScanFactory →

Ограничения ScanOVAL: почему его недостаточно

Программа решает одну задачу — находит уязвимости на конкретном хосте. Для организации с десятками или сотнями машин это не масштабируется.

Только локальное сканирование. Чтобы проверить 100 компьютеров, нужно установить программу на каждый, запустить вручную, собрать 100 HTML-отчётов. Централизованного управления нет.

Нет CLI и автоматизации. Невозможно запустить по расписанию, встроить в CI/CD или вызвать из скрипта. Только ручной запуск через GUI.

Нет приоритизации. Программа показывает CVSS-балл, но не знает бизнес-контекст актива. CVSS 9.8 на тестовом стенде и CVSS 9.8 на сервере ПДн — одинаковый приоритет. Реальный риск — принципиально разный.

Нет workflow устранения. Нашли 50 уязвимостей — кто будет устранять? К какому сроку? Кто проконтролирует? Программа не отвечает на эти вопросы.

Нет документации для ФСТЭК. Инспектор при проверке спрашивает: «Покажите результаты анализа уязвимостей и что было сделано». HTML-отчёт — это результат. Но документации об устранении нет.

Нет сертификата ФСТЭК. При аттестации ГИС или проверке КИИ результаты формально не принимаются как доказательство выполнения меры АНЗ.1. За невыполнение — штрафы по ст. 13.12, 13.12.1 КоАП и предписание об устранении.

Уже есть отчёт ScanOVAL? Загрузите HTML в КиберОснова SGRC — система обогатит данными из БДУ, привяжет к вашим ИС и сформирует акт устранения уязвимостей за 5 минут. Попробовать →

ScanOVAL бесплатный — зачем платить за SGRC?

Главный вопрос от организаций, которые уже используют бесплатную программу: «Зачем нам что-то покупать?». Ответ — в масштабе и ответственности.

Масштаб. Программа проверяет одну машину. В организации — 50, 200, 1000 машин. Умножьте время сканирования (30 минут) на количество хостов. Добавьте ручной сбор отчётов. Добавьте ручную приоритизацию. Это неделя работы ИБ-специалиста — и через месяц всё повторять заново.

Формальное соответствие. Без сертификата ФСТЭК результаты не принимаются на проверке. Организации всё равно покупают сертифицированный сканер (RedCheck или MaxPatrol VM). Бесплатная программа не заменяет эту статью расходов.

Управление устранением. Сканер (любой — бесплатный или платный) находит уязвимости, но не управляет процессом их устранения. SGRC-платформа закрывает этот пробел:

Стоимость пропуска. Одна пропущенная критическая уязвимость — потенциальная утечка данных. Штраф за утечку ПДн по 420-ФЗ — оборотный, до 3% выручки. Стоимость SGRC-платформы — на порядки меньше.

Импорт результатов в КиберОснова занимает несколько минут: загрузите HTML-отчёт, система распарсит идентификаторы БДУ и CVE, привяжет к активам из реестра и покажет приоритеты.

Управление уязвимостями после сканирования: что дальше

Сканер нашёл уязвимости. Следующий шаг — превратить список в управляемый процесс:

1. Импортировать результаты в SGRC. Выгрузить HTML-отчёт из программы, загрузить в личный кабинет КиберОснова — платформа распарсит идентификаторы БДУ и CVE. Это не сама программа: ScanOVAL и КиберОснова — разные инструменты.

2. Привязать к активам. SGRC сопоставляет уязвимости с реестром ИТ-активов — видно, какие конкретно серверы и рабочие станции затронуты.

3. Приоритизировать по риску. Не по голому CVSS, а по формуле: критичность × бизнес-ценность актива × наличие эксплойта. Сервер ПДн с CVSS 9.8 — первый в очереди. Тестовый стенд — последний.

4. Назначить ответственных. Автоматически по владельцу актива из реестра. Задача с дедлайном по вашему приказу: для КИИ (№239) критические — 24 часа, высокие — 7 дней; для ГИС (№117) критические — 24 часа, высокие — 3 дня (сроки по приказу ФСТЭК →).

5. Проконтролировать устранение. Дедлайн приближается — напоминание. Просрочен — эскалация руководителю ИБ.

6. Сформировать отчёт для ФСТЭК. Полный цикл: сканирование → задача → факт устранения → документ для проверяющего.

Бесплатная программа находит уязвимости — КиберОснова управляет их устранением. Импорт из любого сканера, приоритизация по риску, SLA-контроль по приказу №117. Запросить демо →

Как читать отчёт ScanOVAL: на что обращать внимание

HTML-отчёт содержит список найденных уязвимостей. Для каждой записи — идентификатор БДУ, CVE, CVSS-балл, затронутое ПО и рекомендация. На практике важно не просто прочитать отчёт, а правильно интерпретировать.

Критичность (CVSS). Уязвимости с CVSS 9.0+ требуют немедленного внимания. Но помните: CVSS не учитывает контекст вашей инфраструктуры. Уязвимость в браузере на машине бухгалтера может быть опаснее уязвимости в серверной компоненте на изолированном стенде.

Идентификатор БДУ vs CVE. Большинство уязвимостей имеют оба идентификатора. При работе с российскими регуляторами приоритет — БДУ (BDU:YYYY-NNNNN). При взаимодействии с вендорами ПО — CVE. Если идентификатор БДУ есть, а CVE нет — значит уязвимость обнаружена в российском ПО и в международные базы не попала.

Рекомендации по устранению. Обычно сводятся к «обновить до версии X.X». Звучит просто, но на практике обновление серверного ПО в ГИС требует тестирования в изолированной среде, согласования с владельцем системы и оформления акта. Без системы управления задачами этот процесс теряется.

Ложные срабатывания. В режиме тестирования (особенно Linux-версии) возможны false positive — отчёт показывает уязвимость, которой фактически нет. Перепроверяйте критические находки вручную: проверьте версию ПО командой в терминале, сверьте с описанием на bdu.fstec.ru.

Что делать с большим количеством находок. Типичный результат сканирования рабочей станции — 20–80 уязвимостей. Сервера с устаревшим ПО — до 200+. Устранять все одновременно невозможно. Приоритизация: начинайте с критических (CVSS ≥9.0) на продуктивных системах, затем высокие (7.0–8.9), затем средние (4.0–6.9). Низкие (< 4.0) — в плановом порядке. SGRC-платформа автоматизирует эту очерёдность с учётом бизнес-ценности каждого актива.

ScanOVAL и требования ФСТЭК: нормативный контекст

Приказы ФСТЭК устанавливают обязательное сканирование уязвимостей — мера АНЗ.1. Для каждого типа информационных систем установлены конкретные сроки устранения уязвимостей с момента обнаружения:

Самые жёсткие сроки — у объектов КИИ по приказу №239: критическую уязвимость нужно устранить за 24 часа. В реальности это означает, что между сканированием и закрытием задачи должны быть минуты, а не дни.

Бесплатная программа ФСТЭК помогает технически найти уязвимости, но не закрывает формальное требование из-за отсутствия сертификата и не управляет сроками. Оптимальная связка: сертифицированный сканер (RedCheck / MaxPatrol VM) для формального соответствия + бесплатная программа для промежуточных проверок + SGRC для управления полным циклом.

Обслуживаете КИИ, ГИС или ИСПДн? КиберОснова импортирует HTML-отчёт ScanOVAL, автоматически рассчитывает дедлайны по вашему приказу (239 / 117 / 21 / 17) и формирует акт сканирования + план устранения за 5 минут. Запросить демо →

Итоги: когда использовать ScanOVAL, а когда нужно больше

Программа от ФСТЭК — хорошая стартовая точка. Вот чёткие критерии выбора:

Используйте ScanOVAL, если:

• нужно проверить одну-две машины перед аудитом;
• хотите оценить масштаб проблемы перед закупкой коммерческого сканера;
• работаете с Astra Linux или ALT и хотите бесплатно проверить ОС на уязвимости из БДУ;
• изучаете тему управления уязвимостями и хотите разобраться в формате OVAL.

Переходите на сертифицированный сканер (RedCheck, MaxPatrol VM), если:

• в инфраструктуре больше 10 машин;
• организация — оператор ГИС, ИСПДн или субъект КИИ;
• нужно закрыть меру АНЗ.1 формально для проверяющего ФСТЭК;
• нужно сетевое сканирование без установки программы на каждый хост.

Добавляйте SGRC-платформу, если:

• сканер уже есть, но результаты остаются в PDF-отчётах;
• нужно контролировать SLA по приказу №117 (24ч / 7д / 30д);
• нужна приоритизация по бизнес-риску, а не только по CVSS;
• нужна документация полного цикла для проверяющего: обнаружение → задача → факт устранения;
• нужна связь уязвимостей с моделью угроз и планом мер защиты.

Часто задаваемые вопросы

Где скачать программу бесплатно?

На официальном сайте ФСТЭК: bdu.fstec.ru/scanoval (Windows) и bdu.fstec.ru/scanovalforlinux (Astra Linux, ALT, ROSA). Регистрация не требуется. Для Windows нужен .NET Framework 4.8+.

Есть ли сертификат ФСТЭК у этой программы?

Нет. Программа зарегистрирована в реестре российского ПО, но не сертифицирована как средство защиты информации. Для формального закрытия меры АНЗ.1 при проверке нужен сертифицированный сканер.

Чем программа отличается от RedCheck?

Оба продукта от АЛТЭКС-СОФТ. Бесплатная версия — только локально, только GUI, нет сертификата. RedCheck — сетевое сканирование, агентный режим, сертификат ФСТЭК, OVAL-профили для compliance-аудита, отчёты для регулятора.

Работает ли программа на Astra Linux 1.8?

Да, версия для Astra Linux SE 1.8 доступна на bdu.fstec.ru/scanovalforlinux. Работает в режиме тестирования — возможны ложные срабатывания.

Как связана программа с БДУ ФСТЭК?

Программа использует OVAL-контент — формализованные описания уязвимостей в XML-формате, которые скачиваются с bdu.fstec.ru. Контент обновляется еженедельно и подписан электронной подписью ФСТЭК.

Закрывает ли программа требование АНЗ.1?

Технически находит уязвимости, но без сертификата ФСТЭК результаты формально не принимаются при проверке. Полезна для промежуточных проверок между плановыми сканированиями сертифицированным средством.

Можно ли автоматизировать запуск?

Нет. Программа работает только через графический интерфейс, CLI отсутствует. Запуск по расписанию, из скриптов или через CI/CD невозможен. Для автоматизированного сканирования по расписанию нужен RedCheck (поддерживает CLI и планировщик задач) или MaxPatrol VM (непрерывный мониторинг с автообнаружением новых уязвимостей).

Сколько времени занимает сканирование одного хоста?

От 5 до 30 минут в зависимости от количества установленных программ и версии ОС. Windows-системы с большим числом установленного ПО сканируются дольше. Linux-версии обычно быстрее за счёт меньшего количества проверяемых компонентов.