Чем система управления уязвимостями отличается от сканера уязвимостей?

Сканер уязвимостей — инструмент обнаружения: проверяет хосты по базам и выдаёт отчёт. Система управления уязвимостями (VM) — процессный инструмент, который покрывает полный цикл: обнаружение, приоритизацию, назначение ответственных, контроль SLA на устранение, верификацию и отчётность. ScanOVAL — типичный бесплатный сканер: находит уязвимости, выдаёт HTML-отчёт. Чтобы превратить этот отчёт в управляемый процесс — нужна VM-платформа. Сканер отвечает «что найдено», VM-система — «что с этим делать, кто отвечает и в какой срок».

Что такое ScanOVAL и зачем его использовать?

ScanOVAL — бесплатный сканер уязвимостей, разработанный АЛТЭКС-СОФТ по заказу ФСТЭК России. Работает на основе OVAL-контента, который формирует и обновляет сам ФСТЭК. Сканирует один хост локально, выдаёт HTML-отчёт с перечнем уязвимостей по БДУ. ScanOVAL — отличная точка входа для небольших организаций и первичного аудита: бесплатно, соответствует требованиям ФСТЭК, не требует инфраструктуры. При инфраструктуре 50+ хостов HTML-отчёты из ScanOVAL импортируются в платформу КиберОснова, где автоматически добавляются SLA, CVSS-приоритизация и генерируются 4 регуляторных документа.

Какие VM-системы сертифицированы ФСТЭК России?

На российском рынке сертификаты ФСТЭК как средство анализа защищённости имеют MaxPatrol VM (Positive Technologies) и RedCheck (АЛТЭКС-СОФТ). ScanOVAL распространяется бесплатно от имени ФСТЭК и используется с официальным OVAL-контентом регулятора — но не является сертифицированным СЗИ. КиберОснова SGRC имеет собственный сертификат ФСТЭК как SGRC-платформа. Сертификация ФСТЭК обязательна при работе с ГИС, ИСПДн и объектами КИИ — проверяйте актуальность сертификата и область его применения.

Как выбрать VM-систему для организации?

При выборе VM-системы оцените шесть критериев: полнота сканирования (протоколы, ОС, контейнеры), поддержка БДУ ФСТЭК и NVD/CVE, возможности приоритизации (учёт контекста, а не только CVSS Base Score), интеграции (SIEM, ITSM, SGRC), наличие сертификации ФСТЭК (если требуется регулятором), совокупная стоимость владения (TCO) — лицензия, инфраструктура, персонал. Для небольших инфраструктур (до 50 хостов) начните с ScanOVAL: это бесплатно и легально. При росте инфраструктуры добавьте SGRC-платформу для оркестрации процесса и генерации документов.

Зачем интегрировать VM-систему с SGRC-платформой?

Интеграция VM с SGRC связывает технические уязвимости с бизнес-рисками и комплаенсом. SGRC-платформа привязывает каждую уязвимость к активу из реестра и его владельцу, автоматически пересчитывает уровень связанных рисков, контролирует SLA с эскалациями, формирует 4 документа для регулятора. КиберОснова принимает HTML-отчёты ScanOVAL, XML-отчёты RedCheck и MaxPatrol VM — и превращает сырые данные в управляемый процесс. Без SGRC VM остаётся изолированным техническим упражнением: сканер нашёл, Excel зафиксировал, срок пропустили.

Какие сроки устранения уязвимостей требует ФСТЭК?

Сроки устранения уязвимостей зависят от нормативного документа. Приказ ФСТЭК №239 (КИИ): критические — 24 часа, высокие — 168 часов (7 дней), средние — 720 часов (30 дней). Приказ ФСТЭК №117 (ГИС): критические — 24 часа, высокие — 168 часов (7 дней). Приказ ФСТЭК №21 (ИСПДн): критические — 72 часа, остальные — 720 часов. КиберОснова автоматически применяет нужный профиль SLA при импорте отчётов сканера и сигнализирует об угрозе нарушения срока.

Поддерживают ли российские VM-решения отечественные ОС?

Да, ведущие российские VM-решения работают с сертифицированными отечественными ОС. MaxPatrol VM и RedCheck поддерживают Astra Linux SE, РЕД ОС, ALT Linux, ROSA Linux — все дистрибутивы из реестра российского ПО. ScanOVAL также обновляет OVAL-контент для отечественных ОС, поскольку разрабатывается при участии ФСТЭК. Это критически важно при импортозамещении в рамках требований Указа Президента № 166 и для организаций, переводящих инфраструктуру на российские ОС.

Какие метрики важно отслеживать в VM-процессе?

Ключевые метрики VM-процесса: MTTR — среднее время устранения (цель: критические 95%); SLA Compliance — доля уязвимостей, устранённых в срок (цель > 90%); плотность уязвимостей — количество открытых на актив, тренд должен снижаться; Backlog Aging — число просроченных. Эти метрики должны формироваться автоматически в реальном времени — ручной сбор раз в квартал превращает мониторинг в археологию.

Системы управления уязвимостями: обзор VM-решений на российском рынке

Выбор системы управления уязвимостями (Vulnerability Management, VM) --- одно из ключевых решений для подразделения ИБ. Российский рынок предлагает решения для любого масштаба: от бесплатного ScanOVAL для разового аудита одного хоста до enterprise-платформ и SGRC-оркестраторов для инфраструктур в тысячи узлов. В 2025 году БДУ ФСТЭК содержит свыше 85 000 уязвимостей, и новые записи появляются ежедневно. Без выстроенного VM-процесса накопленный долг по патчингу превращается в инциденты.

Хорошая новость: начать можно бесплатно. ScanOVAL --- официальный сканер ФСТЭК (АЛТЭКС-СОФТ), работает на основе OVAL-контента регулятора, распространяется свободно. Когда инфраструктура вырастает до 50+ хостов и ручная обработка HTML-отчётов становится узким местом, HTML из ScanOVAL импортируется в платформу КиберОснова --- и вы получаете автоматические SLA, CVSS-приоритизацию, 4 документа и дашборд CISO.

В этой статье разбираем, что такое Vulnerability Management как процесс, по каким критериям сравнивать решения, даём сравнительный обзор платформ на российском рынке с таблицами и объясняем, почему VM без интеграции с SGRC остаётся техническим упражнением без бизнес-результата.

Что такое Vulnerability Management и зачем он нужен

VM как процесс, а не продукт

Vulnerability Management --- это не установка сканера. Это непрерывный процесс выявления, оценки, приоритизации, устранения и верификации уязвимостей в ИТ-инфраструктуре. Процесс охватывает серверы, рабочие станции, сетевое оборудование, СУБД, веб-приложения, контейнерные среды и облачные ресурсы. Подробный разбор пяти этапов VM-цикла --- в нашей статье Процесс управления уязвимостями.

Ключевое отличие VM от разового аудита или пентеста --- непрерывность. Новые уязвимости публикуются ежедневно: в 2025 году в NVD добавлялось в среднем 85 CVE в день. Инфраструктура меняется: новые сервисы, обновления, миграции. VM-система должна работать постоянно, а не запускаться раз в квартал перед проверкой регулятора.

Жизненный цикл уязвимости

Каждая уязвимость проходит через пять стадий:

Обнаружение --- сканер или источник (БДУ, NVD, бюллетень вендора) фиксирует уязвимость на конкретном активе.
Оценка --- расчёт критичности по CVSS v3.1/v4.0, анализ наличия эксплойта, определение контекста.
Приоритизация --- ранжирование с учётом ценности актива, ландшафта угроз, компенсирующих мер.
Устранение --- патчинг, компенсирующие меры, изоляция или принятие риска.
Верификация --- повторное сканирование, подтверждение устранения, закрытие тикета.

VM-система должна поддерживать каждую стадию: от автоматического сканирования до контроля SLA на устранение и формирования отчётности о верификации.

Регуляторные требования

В России управление уязвимостями --- не рекомендация, а нормативное требование для широкого круга организаций:

Руководство ФСТЭК по управлению уязвимостями --- обязательный порядок для ГИС, ИСПДн, значимых объектов КИИ и АСУ ТП. Определяет этапы процесса, роли участников, требования к срокам.
Приказ ФСТЭК No 17 (ГИС) --- требует регулярного анализа уязвимостей и контроля их устранения.
Приказ ФСТЭК No 21 (ИСПДн) --- аналогичные требования для систем с персональными данными.
Приказ ФСТЭК No 239 (КИИ) --- обязывает выявлять и устранять уязвимости на значимых объектах КИИ.
187-ФЗ --- закрепляет ответственность за безопасность объектов КИИ, включая управление уязвимостями.

Для организаций, подпадающих под регулирование, использование БДУ ФСТЭК как источника данных об уязвимостях --- обязательное условие. VM-система должна поддерживать интеграцию с БДУ, а не только с NVD/CVE.

Критерии выбора VM-системы

Полнота и глубина сканирования

Первый критерий --- что именно система умеет сканировать. Минимальный набор:

Сетевое сканирование --- обнаружение открытых портов, сервисов, версий ПО без установки агентов.
Агентное сканирование --- установка агента на хост для точной проверки установленных пакетов, конфигураций, обновлений.
Веб-приложения --- поиск уязвимостей в веб-сервисах (OWASP Top 10, SQL-инъекции, XSS).
Контейнерные среды --- сканирование Docker-образов, Kubernetes-кластеров, реестров контейнеров.
Отечественные ОС --- поддержка Astra Linux, РЕД ОС, ALT Linux, ROSA Linux. Критически важно в условиях импортозамещения.

Продвинутые системы также сканируют конфигурации (compliance checks), облачные ресурсы (AWS, Yandex Cloud) и IoT/OT-устройства.

⚠️ Для субъектов КИИ: Поддержка Astra Linux, РЕД ОС, ALT Linux — не опция, а обязательное требование при переходе на отечественное ПО. Уточняйте у вендора конкретные версии дистрибутивов и наличие актуального сертификата ФСТЭК для ваших ОС.

Поддержка БДУ ФСТЭК и NVD

VM-система должна работать с двумя основными базами уязвимостей:

БДУ ФСТЭК (bdu.fstec.ru) --- обязательна для организаций под регулированием ФСТЭК. Содержит уязвимости российского ПО, не всегда попадающие в CVE. Описания на русском языке. Подробнее --- в статье БДУ ФСТЭК: руководство по базе угроз. Бесплатный реестр БДУ с CVSS v4.0 и EPSS доступен онлайн.
NVD/CVE --- международная база с максимальным покрытием. Большинство сканеров опираются на CVE как основной идентификатор.

Идеальная система синхронизирует обе базы и сопоставляет идентификаторы BDU и CVE автоматически.

Приоритизация уязвимостей

CVSS Base Score --- отправная точка, но не финальный критерий. Современная VM-система должна учитывать:

Контекст актива --- уязвимость на периметровом сервере с ПДн критичнее, чем та же уязвимость на изолированном тестовом стенде.
Наличие эксплойта --- уязвимость с рабочим PoC в Metasploit требует немедленного реагирования.
Активная эксплуатация --- данные из CISA KEV, Kaspersky ICS CERT, BI.ZONE ThreatIntelligence о фактической эксплуатации в дикой среде.
Компенсирующие меры --- наличие WAF, IPS-правил, сегментации снижает реальный риск.

Системы с контекстной приоритизацией сокращают объём критических задач на 40--60% без увеличения реального риска.

Интеграции

VM-система не работает в вакууме. Необходимые интеграции:

SIEM --- передача событий об обнаруженных уязвимостях для корреляции с инцидентами.
ITSM/ServiceDesk --- автоматическое создание тикетов на устранение с назначением ответственных.
CMDB --- привязка уязвимостей к конкретным активам из реестра. Модуль инвентаризации активов в SGRC решает эту задачу.
SGRC --- связь уязвимостей с рисками, комплаенсом и отчётностью. Подробнее --- в разделе «Интеграция VM с SGRC-платформой» ниже.

Сертификация ФСТЭК

Для операторов ГИС, ИСПДн и объектов КИИ использование сертифицированных средств анализа защищённости --- нормативное требование. Сертификат ФСТЭК подтверждает, что продукт прошёл проверку на соответствие требованиям безопасности и может применяться для защиты информации соответствующего класса.

При оценке сертификации проверяйте: тип сертификата (СЗИ, средство анализа защищённости), срок действия, класс систем, для которых сертификат применим.

Совокупная стоимость владения (TCO)

Стоимость VM-решения --- не только лицензия. Полная TCO включает:

Лицензирование --- по количеству активов, IP-адресов или пользователей.
Инфраструктура --- серверы для размещения сканера, хранилище данных, сетевые ресурсы.
Персонал --- квалификация специалистов для настройки, эксплуатации и анализа результатов.
Обучение --- время и затраты на обучение команды.
Масштабирование --- стоимость добавления новых активов, площадок, филиалов.

Облачные решения (SaaS) снижают затраты на инфраструктуру, но не подходят для закрытых сегментов и объектов КИИ. On-premise решения требуют выделенных серверов, но обеспечивают полный контроль над данными.

Обзор VM-решений на российском рынке

MaxPatrol VM (Positive Technologies)

MaxPatrol VM --- флагманский продукт Positive Technologies для управления уязвимостями. Объединяет сканирование инфраструктуры и управление активами в одном решении.

Сильные стороны: глубокое агентное и безагентное сканирование, собственная база уязвимостей с поддержкой БДУ ФСТЭК, встроенный модуль asset management с автоматической классификацией активов по значимости, интеграция с экосистемой PT (MaxPatrol SIEM, PT Sandbox, PT NAD). Сертификат ФСТЭК.

Особенности: ориентирован на крупные инфраструктуры (1000+ активов). Требует выделенного сервера (on-premise). Есть модуль HCC (Host Compliance Check) для проверки конфигураций. Политика лицензирования по количеству активов.

Целевая аудитория: крупные предприятия, госсектор, объекты КИИ с развитой ИТ-инфраструктурой.

RedCheck (АЛТЭКС-СОФТ)

RedCheck --- сертифицированный ФСТЭК сканер уязвимостей с акцентом на комплаенс и поддержку отечественного ПО.

Сильные стороны: сертификат ФСТЭК как средство анализа защищённости, полная поддержка отечественных ОС (Astra Linux SE, РЕД ОС, ALT Linux, ROSA), проверка соответствия конфигураций (SCAP/OVAL), интеграция с БДУ ФСТЭК, поддержка стандартов CIS Benchmarks для российского ПО.

Особенности: on-premise развёртывание. Модульная архитектура: базовый сканер + модули (compliance, web, Docker). Есть версия для малого бизнеса с ограниченным количеством активов.

Целевая аудитория: организации с требованиями комплаенса ФСТЭК, проекты импортозамещения, средний и крупный бизнес.

ScanOVAL (АЛТЭКС-СОФТ / ФСТЭК)

ScanOVAL --- бесплатный сканер уязвимостей, разработанный АЛТЭКС-СОФТ при участии ФСТЭК России. Работает на основе официального OVAL-контента ФСТЭК, который обновляется по мере пополнения БДУ. Распространяется с сайта bdu.fstec.ru бесплатно.

Сильные стороны: нулевая стоимость; OVAL-контент поставляется непосредственно ФСТЭК, что обеспечивает актуальность по БДУ; поддержка отечественных ОС (Astra Linux, РЕД ОС, ALT Linux, ROSA); легитимен для регуляторной отчётности. Идеальная точка входа для организаций, начинающих выстраивать процесс управления уязвимостями: нет бюджета — начни с ScanOVAL.

Ограничения: сканирует один хост за сеанс, без централизованного управления. Нет приоритизации, нет SLA, нет генерации документов. HTML-отчёт нужно обрабатывать вручную. При инфраструктуре 50+ хостов ручная обработка отчётов занимает сотни человеко-часов в год.

Следующий шаг: HTML-отчёт ScanOVAL импортируется в модуль управления уязвимостями КиберОснова. Платформа автоматически обогащает данные из БДУ (85 000+ записей), рассчитывает Environmental Score, выставляет SLA по нужному приказу ФСТЭК и генерирует 4 регуляторных документа. Подробно о процессе --- в статье ScanOVAL и ФСТЭК.

Целевая аудитория: все организации под регулированием ФСТЭК, особенно небольшие и средние с ограниченным бюджетом ИБ.

📋 Обратите внимание: ScanOVAL — не СЗИ и не имеет сертификата ФСТЭК как средство защиты информации. Это инструмент инвентаризации уязвимостей по OVAL-контенту регулятора. Не используйте его как основание для аттестации — для этого нужен сертифицированный сканер (RedCheck, MaxPatrol VM).

ScanFactory

ScanFactory --- облачная платформа для непрерывного сканирования внешнего периметра с элементами EASM (External Attack Surface Management).

Сильные стороны: автоматическое обнаружение внешних активов (поддомены, IP-адреса, облачные ресурсы), агрегация результатов нескольких open-source сканеров (Nuclei, Nmap, и др.), SaaS-модель без необходимости в собственной инфраструктуре, удобная визуализация результатов, быстрое развёртывание.

Особенности: фокус на внешнем периметре --- не заменяет внутренний VM-процесс. Не имеет сертификата ФСТЭК. Ограниченные возможности по сканированию внутренней инфраструктуры. Подходит как дополнение к основному VM-решению.

Целевая аудитория: компании, которым нужен контроль внешнего периметра, стартапы, команды с ограниченными ресурсами на ИБ.

Vulns.io

Vulns.io --- российская платформа для управления уязвимостями и патч-менеджмента с агентной и безагентной архитектурой.

Сильные стороны: совмещение VM и патч-менеджмента в одном продукте, поддержка широкого спектра ОС (Windows, Linux, включая отечественные), автоматическое развёртывание патчей, API для интеграций, доступная ценовая политика для среднего бизнеса.

Особенности: относительно молодой продукт на рынке. Активное развитие функциональности. Доступен как облачный сервис и on-premise. Встроенный модуль инвентаризации ПО.

Целевая аудитория: средний бизнес, организации с потребностью в совмещении VM и патч-менеджмента, команды, ищущие баланс функциональности и стоимости.

КиберОснова SGRC — следующий шаг после сканера

КиберОснова --- российская SGRC-платформа, в которой управление уязвимостями является частью комплексной системы ИБ. КиберОснова не сканирует инфраструктуру самостоятельно --- она выступает оркестратором VM-процесса, принимая данные из сканеров.

Как работает импорт: загрузите HTML-отчёт ScanOVAL или XML-отчёт RedCheck / MaxPatrol VM в личный кабинет КиберОснова. Платформа автоматически обогащает каждую уязвимость данными из БДУ ФСТЭК (85 000+ записей), добавляет CVSS v4.0, EPSS-скор и флаг KEV (активная эксплуатация), рассчитывает Environmental Score по одному из 5 профилей и выставляет SLA по нужному приказу ФСТЭК.

Сильные стороны: интеграция VM с управлением рисками, комплаенсом и моделью угроз в единой платформе. Модуль БДУ ФСТЭК с автоматической синхронизацией. Привязка уязвимостей к активам из реестра инвентаризации. Контроль SLA с эскалациями, дашборды для CISO. Генерация 4 регуляторных документов: план устранения, отчёт о состоянии защищённости, журнал уязвимостей, справка для проверки ФСТЭК.

Особенности: требует внешний сканер для обнаружения (ScanOVAL, RedCheck, MaxPatrol VM). Ценность --- в оркестрации: превращает сырой HTML-отчёт в управляемый процесс с SLA, документами и метриками. Подробнее --- на странице решений по автоматизации ИБ и в модуле управления уязвимостями.

Целевая аудитория: организации 50+ хостов, которым нужен не просто сканер, а VM-процесс с привязкой к рискам, SLA по приказам ФСТЭК и документами для регулятора.

Сравнительная таблица VM-решений

Ключевые характеристики: ScanOVAL vs RedCheck vs MaxPatrol VM vs КиберОснова SGRC

Критерий	ScanOVAL	RedCheck	MaxPatrol VM	КиберОснова SGRC
Стоимость	Бесплатно	Платный	Платный	По запросу
Сертификат ФСТЭК (СЗИ)	Нет	Да	Да	Да (SGRC)
Масштаб	1 хост	100+	Enterprise	Импорт из сканеров
Интеграция с БДУ	OVAL-контент ФСТЭК	Да	Да	85 000+ записей
Environmental Score	Нет	Нет	Частично	5 профилей
Генерация документов	Нет	Ограниченно	Нет	4 документа
Импорт отчётов	—	—	—	ScanOVAL, RedCheck, MaxPatrol
Контроль SLA	Нет	Нет	Базовый	Полный, с эскалациями
Отчётность для регулятора	Нет	Да (SCAP)	Частично	Да (ФСТЭК, 152-ФЗ)

Ключевой вывод: ScanOVAL --- точка входа (бесплатно, ФСТЭК-контент, любая инфраструктура). При росте до 50+ хостов добавьте платформу-оркестратор: импортируйте HTML-отчёт ScanOVAL в КиберОснова и получите автоматические SLA, CVSS-приоритизацию и 4 документа.

Расширенное сравнение: все решения

Критерий	ScanOVAL	RedCheck	ScanFactory	Vulns.io	MaxPatrol VM	КиберОснова
Тип продукта	Бесплатный сканер	Сканер + compliance	EASM / периметр	VM + патч-менеджмент	VM-платформа	SGRC с модулем VM
Развёртывание	Локально	On-premise	SaaS	SaaS / On-premise	On-premise	On-premise / SaaS
Агентное сканирование	Нет	Да	Нет	Да	Да	Нет (внешний сканер)
Безагентное сканирование	Да (1 хост)	Да	Да	Да	Да	Нет (внешний сканер)
Поддержка БДУ ФСТЭК	OVAL-контент	Да	Нет	Частично	Да	Да (85 000+ записей)
Сертификат ФСТЭК	Нет	Да (СЗИ)	Нет	Нет	Да (СЗИ)	Да (SGRC)
Приоритизация по контексту	Нет	Ограниченно	Ограниченно	Базовая (CVSS)	Да (asset value)	Да (актив + риск + EPSS/KEV)
Контроль SLA	Нет	Нет	Нет	Базовый	Базовый	Да (полный, с эскалациями)
Импорт в SGRC	Да (→ КиберОснова)	Да (→ КиберОснова)	Нет	Нет	Да (→ КиберОснова)	Нативная
Управление рисками	Нет	Нет	Нет	Нет	Нет	Да (модуль рисков)
Генерация документов	Нет	Ограниченно	Нет	Нет	Частично	4 документа
Дашборды CISO	Нет	Ограниченно	Да	Базовые	Да	Да (VM в контексте всей ИБ)
Стоимость входа	Бесплатно	Средняя	Низкая	Средняя	Высокая	Средняя

Как читать таблицу: каждый продукт решает свою задачу. ScanOVAL --- бесплатный старт. RedCheck и MaxPatrol VM --- сертифицированные сканеры с глубиной обнаружения. ScanFactory --- контроль периметра. Vulns.io --- баланс VM и патчинга. КиберОснова --- оркестрация процесса: принимает данные из любого сканера и переводит их в управляемый SLA-процесс с документами для регулятора.

💡 Сканер — только первый шаг. MaxPatrol VM, RedCheck или ScanOVAL находят уязвимости. КиберОснова принимает их данные, расставляет приоритеты по CVSS с учётом EPSS и KEV, контролирует SLA устранения по приказу ФСТЭК и генерирует документы для регулятора. Как это работает →

Уже используете ScanOVAL или RedCheck? Загрузите отчёт в КиберОснова и получите автоматические SLA по приказам ФСТЭК, CVSS-приоритизацию и 4 документа для регулятора — без ручной обработки. Запросить демо →

Интеграция VM с SGRC-платформой

Зачем VM нужен SGRC

Сканер обнаруживает уязвимости. Но кто будет их устранять? В какие сроки? Как это влияет на риски организации? Как отчитаться перед регулятором? На эти вопросы сканер не отвечает. Здесь нужна SGRC-платформа (Security Governance, Risk and Compliance).

Без SGRC VM-процесс выглядит так: сканер выдаёт отчёт на 500 страниц, аналитик копирует данные в Excel, вручную назначает ответственных через почту, SLA отслеживается в календаре, отчёт для руководства собирается неделю. Даже при 200 активах это 8–12 человеко-часов в неделю только на администрирование процесса. При масштабе 1000+ активов нежизнеспособно.

С SGRC-платформой: результаты сканирования автоматически импортируются и нормализуются, каждая уязвимость привязывается к активу из CMDB, назначается ответственный, ставится SLA, при приближении к дедлайну --- автоматическая эскалация, метрики доступны в реальном времени.

Из ScanOVAL-отчёта — в управляемый процесс за минуты: загрузите HTML в КиберОснова и получите автоматические SLA по приказам ФСТЭК, CVSS-приоритизацию и 4 документа для регулятора. Запросить демо →

Уязвимости в контексте рисков

Главная ценность интеграции VM + SGRC --- связь уязвимостей с бизнес-рисками. В модуле управления рисками КиберОснова каждый риск имеет привязку к активам, угрозам (из БДУ) и уязвимостям. Обнаружение критической уязвимости на ключевом активе автоматически пересчитывает уровень связанного риска и может инициировать переоценку.

Это позволяет CISO отвечать не на вопрос «сколько уязвимостей мы нашли» (техническая метрика), а на вопрос «как изменился уровень риска» (бизнес-метрика). Второй вопрос --- тот, который задаёт руководство.

Отчётность и комплаенс

SGRC-платформа формирует отчётность по VM-процессу для разных аудиторий:

Для CISO --- дашборд с MTTR, SLA Compliance, покрытием сканирования, трендом backlog. Оперативная картина здоровья процесса.
Для регулятора (ФСТЭК) --- формализованные отчёты о выявленных и устранённых уязвимостях, соблюдении сроков, использовании БДУ. Необходимы при проверках.
Для аудиторов --- журнал действий: кто, когда, какую уязвимость зафиксировал, кому назначил, когда и как устранена, верифицирована ли.
Для руководства --- сводка на одной странице: уровень риска, тренд, ключевые проблемы, запросы ресурсов.

КиберОснова как оркестратор VM

Платформа КиберОснова реализует оркестрацию VM-процесса через несколько взаимосвязанных модулей:

БДУ ФСТЭК --- автоматическая синхронизация базы уязвимостей и угроз. Сопоставление BDU и CVE. Привязка уязвимостей к угрозам УБИ.
Инвентаризация --- реестр активов с классификацией по значимости. Каждая уязвимость привязана к конкретному активу, владельцу и подразделению.
Управление рисками --- автоматический пересчёт рисков при обнаружении новых уязвимостей. Связь VM с реестром рисков.
Система задач --- назначение ответственных, контроль SLA, эскалации, журнал действий.
Дашборды --- метрики VM-процесса в реальном времени: MTTR, покрытие, SLA Compliance, плотность уязвимостей.

Результат: вместо разрозненных инструментов и таблиц --- единый контур управления, в котором VM-процесс прозрачен для всех участников.

Как внедрить процесс управления уязвимостями

Шаг 1. Определить scope и провести инвентаризацию

Нельзя управлять уязвимостями на активах, о которых вы не знаете. Первый шаг --- инвентаризация ИТ-инфраструктуры:

Составить полный реестр активов: серверы, рабочие станции, сетевое оборудование, ПО, облачные ресурсы.
Классифицировать активы по значимости: критические (продуктив с ПДн, КИИ), важные (бизнес-системы), стандартные (рабочие станции), вспомогательные (тестовые среды).
Определить владельцев: каждый актив должен иметь ответственного, который принимает решения об устранении уязвимостей и принятии рисков.
Выявить shadow IT: неучтённые виртуальные машины, dev-серверы, забытые сервисы --- частый источник инцидентов.

Scope VM-процесса определяется на основе инвентаризации. Начинайте с критических активов, расширяя охват по мере созревания процесса.

Шаг 2. Разработать политики и SLA

Для формализации правил, ролей и SLA-матрицы разработайте регламент управления уязвимостями — организационный документ, закрепляющий процедуры и ответственность.

Политика управления уязвимостями --- документ, утверждённый руководством, который определяет:

Частоту сканирования --- еженедельно для критических активов, ежемесячно для стандартных.
SLA на устранение --- максимально допустимое время от обнаружения до верификации. Значения по приказам ФСТЭК: критические (CVSS 9.0–10.0) --- 24 часа; высокие (7.0–8.9) --- 168 часов (7 дней) по №239 и №117; средние (4.0–6.9) --- 720 часов (30 дней); низкие (0.1–3.9) --- по решению организации. Для ИСПДн (приказ №21): критические — 72 часа, остальные — 720 часов.
Порядок эскалации --- кому и когда эскалировать при нарушении SLA.
Процедуру принятия риска --- кто имеет право принять риск вместо устранения, как документировать решение, когда пересматривать.
Требования к верификации --- обязательное повторное сканирование после устранения.

SLA должны быть амбициозными, но достижимыми. Нереалистичные сроки при текущих ресурсах --- гарантия формального нарушения процесса.

Шаг 3. Выстроить взаимодействие ИБ и ИТ

VM-процесс работает на стыке подразделений ИБ и ИТ. ИБ выявляет и приоритизирует уязвимости, ИТ --- устраняет. Без формализованного взаимодействия процесс буксует на согласованиях.

Рекомендации:

Единый канал коммуникации --- система задач (не электронная почта). Каждая уязвимость --- тикет с ответственным, дедлайном и статусом.
Регулярные встречи --- еженедельный VM-комитет ИБ + ИТ: обсуждение критических уязвимостей, блокеров устранения, ресурсных запросов.
Разделение ответственности --- ИБ отвечает за обнаружение, оценку и приоритизацию. ИТ --- за техническое устранение. Владелец системы --- за принятие остаточного риска.
Обратная связь --- ИТ сообщает о проблемах с патчами (несовместимость, необходимость окна обслуживания), ИБ корректирует приоритеты.

Шаг 4. Определить метрики и настроить мониторинг

Без метрик VM-процесс превращается в формальность. Определите целевые показатели:

Метрика	Целевое значение	Частота измерения
MTTR (Critical)	< 24 часа	Еженедельно
MTTR (High)	< 168 часов (7 дней)	Еженедельно
Покрытие сканирования	> 95% активов	Ежемесячно
SLA Compliance	> 90%	Еженедельно
Плотность уязвимостей	Тренд на снижение	Ежемесячно
Backlog (просроченные)	Тренд на снижение	Еженедельно

Метрики должны быть автоматическими, не ручными. Ручной сбор раз в квартал --- это не мониторинг, а археология. SGRC-платформа формирует дашборд с метриками в реальном времени и позволяет выявлять негативные тренды до того, как они станут проблемой.

Шаг 5. Запустить и итерировать

VM --- не проект с конечной датой, а непрерывный процесс. После запуска:

Проведите первое полное сканирование и обработайте результаты. Не пытайтесь устранить всё сразу --- начните с критических уязвимостей на критических активах.
Через месяц оцените метрики: MTTR, SLA Compliance, покрытие. Скорректируйте SLA, если они нереалистичны.
Через квартал расширьте scope: добавьте классы активов, которые не были охвачены на первом этапе.
Раз в полгода пересматривайте политику VM с учётом накопленного опыта, изменений в инфраструктуре и требований регулятора.

Зрелость VM-процесса растёт постепенно. Уровень 1 --- ежеквартальное сканирование с ручной обработкой. Уровень 5 --- непрерывный мониторинг с автоматической приоритизацией, контролем SLA и интеграцией с управлением рисками. Большинство организаций находятся на уровне 2--3 и имеют чёткий путь к зрелости через автоматизацию.

Стратегия VM для российских организаций проста: начните с бесплатного ScanOVAL --- официального сканера ФСТЭК. Это легально, бесплатно и даёт первые данные о состоянии защищённости. При росте инфраструктуры до 50+ хостов добавьте платформу: импортируйте HTML-отчёты из ScanOVAL в КиберОснова и получите автоматические SLA, CVSS-приоритизацию с EPSS и KEV, 4 документа для регулятора и дашборд CISO.

КиберОснова объединяет данные из любого сканера с управлением рисками, БДУ ФСТЭК, инвентаризацией активов и комплаенсом в единый контур. Запросите демо и посмотрите, как VM-процесс работает в связке с остальными процессами ИБ. Подробнее о методике --- в статье Методика управления уязвимостями ФСТЭК.