Приказы ФСТЭК №117, №21, №239 обязывают проводить анализ уязвимостей — это мера АНЗ.1. Значит, нужен сертифицированный сканер уязвимостей. Но выбор не очевиден: MaxPatrol VM, RedCheck, XSpider, ScanFactory — у каждого своя ниша, своя архитектура, своя цена. В этой статье: требования регулятора к сканированию, обзор четырёх российских сканеров уязвимостей с сертификатом ФСТЭК, сравнительная таблица по ключевым критериям. И главное: почему сканер уязвимостей без SGRC — это просто список CVE, который не помогает ни приоритизировать риски, ни закрыть проверку ФСТЭК.
Требования ФСТЭК к анализу уязвимостей
Нормативная база: где прописана мера АНЗ.1
Анализ уязвимостей — обязательная мера в трёх основных приказах ФСТЭК.
Приказ ФСТЭК №117 (государственные информационные системы): мера АНЗ.1 — «Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей». Мера АНЗ.5 — контроль установки обновлений безопасности. Включены в базовый набор для всех классов защищённости ГИС.
Приказ ФСТЭК №21 (информационные системы персональных данных): мера АНЗ.1 с аналогичной формулировкой. Применяется для ИСПДн с уровнями защищённости УЗ-1 — УЗ-4.
Приказ ФСТЭК №239 (критическая информационная инфраструктура): мера АНЗ.1 обязательна для значимых объектов КИИ всех категорий — первой, второй и третьей. Требует регулярного проведения с документированием. Рядом — АНЗ.5: контроль обновлений операционных систем и прикладного ПО.
По всем трём приказам организация обязана не просто провести сканирование, но и задокументировать результаты и факты устранения уязвимостей. Без этого мера АНЗ.1 считается невыполненной.
Почему нужен именно сертифицированный сканер
Технически сканировать можно любым инструментом — Nessus, OpenVAS, даже самописными скриптами. Но с точки зрения регулятора важно другое.
При аттестации ГИС или проверке КИИ инспектор ФСТЭК запрашивает свидетельство о сертификации средства, которым проводился анализ уязвимостей. Несертифицированный инструмент = невыполненная мера АНЗ.1, даже если сканирование технически проводилось и CVE были найдены.
Сертификат ФСТЭК (профиль защиты ОУД4 или выше) подтверждает:
- корректность алгоритмов детектирования уязвимостей;
- соответствие методике анализа уязвимостей ФСТЭК;
- поддержку базы данных угроз и уязвимостей (БДУ ФСТЭК).
Для организаций с ГИС К1/К2 и значимых объектов КИИ 1-й категории использование сертифицированного ФСТЭК сканера — жёсткое требование, а не рекомендация.
Дополнительный аргумент: российские сканеры с сертификатом ФСТЭК поддерживают проверку по БДУ ФСТЭК — официальной базе уязвимостей ФСТЭК. Инспектор ожидает именно эти идентификаторы (BDU:XXXX-XXXXX), а не только CVE в американском формате.
Обзор российских сканеров уязвимостей
MaxPatrol VM (Positive Technologies)
Полное название: MaxPatrol Vulnerability Management.
Архитектура. Централизованная платформа с агентным и безагентным сбором данных. Архитектура трёхзвенная: сервер управления, сканирующие узлы (могут быть распределены по сегментам сети), консоль управления. Поддерживает изолированные сегменты — сканирующий узел разворачивается внутри, данные передаются на центральный сервер.
Принцип работы. Continuous Vulnerability Management — непрерывный мониторинг. Активы обнаруживаются автоматически, база уязвимостей обновляется регулярно. Новая уязвимость появилась в БДУ или NVD — система автоматически проверяет, затронуты ли активы, без ожидания следующего плановoго сканирования.
Ключевые возможности:
- Приоритизация по ExploitabilityScore с учётом наличия публичных эксплойтов;
- Встроенная поддержка БДУ ФСТЭК;
- Интеграция с MaxPatrol SIEM для корреляции уязвимостей с событиями безопасности;
- Интеграция с PT Network Attack Discovery;
- Покрытие платформ: Windows, Linux, сетевое оборудование, СУБД, веб-приложения;
- API для интеграции с SGRC-платформами.
Сертификация ФСТЭК: да, сертификат ФСТЭК России.
Для кого: крупные организации (от 50 активов), SOC-команды, предприятия с непрерывным мониторингом. Оптимален для субъектов КИИ 1-й категории, где требуется continuous VM с полным документированием.
Позиция на рынке: флагманский продукт Positive Technologies по управлению уязвимостями. Дороже XSpider, но функциональнее по всем параметрам.
RedCheck (АЛТЭКС-СОФТ)
Разработчик: АЛТЭКС-СОФТ — российская компания, специализирующаяся на средствах анализа защищённости.
Архитектура. Клиент-серверная. Сервер RedCheck управляет задачами сканирования, хранит результаты, формирует отчёты. Поддерживает агентный и безагентный режимы: безагентное сканирование по сети, агентное — для изолированных узлов или когда нужно снизить нагрузку на сеть.
Ключевые возможности:
- Нативная поддержка БДУ ФСТЭК как основного источника уязвимостей — важно при взаимодействии с проверяющими;
- Compliance-аудит по OVAL-профилям: проверка настроек ОС, СУБД, сетевого оборудования на соответствие требованиям безопасности;
- Покрытие российского ПО: 1С, Astra Linux, ALT Linux, СУБД PostgreSQL, Apache-решения — существенное преимущество перед западными аналогами;
- Формирование отчётов в формате, привычном для ФСТЭК;
- Интеграция с SIEM через Syslog и API.
Сертификация ФСТЭК: да.
Для кого: госорганы, субъекты КИИ, организации, работающие преимущественно на российском ПО. Оптимален там, где проверяющий ожидает данные именно из БДУ ФСТЭК, а не CVE NVD.
Позиция на рынке: один из самых распространённых сертифицированных сканеров в госсекторе РФ. Баланс функциональности и стоимости.
XSpider (Positive Technologies)
История и позиция. Один из первых российских сканеров уязвимостей, на рынке с начала 2000-х. Предшественник MaxPatrol в линейке Positive Technologies.
Архитектура. Автономный продукт без сложной серверной инфраструктуры. Устанавливается на рабочую станцию или сервер, сканирует сеть по расписанию или по запросу.
Ключевые возможности:
- Обнаружение открытых портов и сервисов;
- Проверка уязвимостей сетевых сервисов, веб-приложений, ОС;
- Периодическое сканирование с отчётами в HTML и XML;
- Поддержка БДУ ФСТЭК;
- Простой интерфейс — минимальный порог входа.
Сертификация ФСТЭК: да.
Для кого: небольшие организации (до 50 активов), которым нужен базовый анализ сетевого периметра и внутренней инфраструктуры. Подходит для выполнения требования АНЗ.1 с ограниченным бюджетом. Continuous VM не поддерживает — только периодическое сканирование.
Ограничение: функциональность ниже MaxPatrol VM, нет агентного сбора, нет встроенной приоритизации по риску. Для средних и крупных организаций возможностей недостаточно.
ScanFactory
Позиция. SaaS-сканер внешнего периметра. Облачная модель доставки — не требует инфраструктуры у клиента.
Архитектура. Облачный сервис с веб-интерфейсом. Сканирование внешнего периметра: домены, IP-адреса, веб-приложения, API. Автоматические уведомления о новых уязвимостях.
Ключевые возможности:
- Быстрый старт: добавил домен — получил отчёт через часы;
- Непрерывный мониторинг внешнего периметра без инфраструктуры;
- API для интеграции с DevSecOps-пайплайнами;
- Автоматические уведомления при обнаружении критических уязвимостей;
- Удобно для организаций с развитым веб-периметром.
Сертификация ФСТЭК: уточнять актуальную информацию на сайте производителя — статус может меняться.
Для кого: DevSecOps-команды, организации с активным веб-периметром, стартапы. Не подходит как основной инструмент для ГИС и КИИ — без подтверждённой сертификации ФСТЭК.
Ограничение: облачный сервис не подходит для изолированных сегментов сети. Внутренняя инфраструктура не сканируется.
Сравнение сканеров уязвимостей ФСТЭК
Ключевая таблица — перед выбором сканера сверьтесь с требованиями своей организации.
| Критерий | MaxPatrol VM | RedCheck | XSpider | ScanFactory | ScanOVAL |
|---|---|---|---|---|---|
| Сертификат ФСТЭК (СЗИ) | ✅ Да | ✅ Да | ✅ Да | Уточнять | ❌ Нет |
| Цена | Платный | Платный | Платный | Платный | Бесплатно |
| Поддержка БДУ ФСТЭК | ✅ Да | ✅ Да (основной источник) | ✅ Да | Частично | ✅ Да (OVAL) |
| Поддержка CVE NVD | ✅ Да | ✅ Да | ✅ Да | ✅ Да | Частично |
| Continuous VM | ✅ Да | ❌ Нет | ❌ Нет | ✅ Да (периметр) | ❌ Нет |
| Агентное сканирование | ✅ Да | ✅ Да | ❌ Нет | ❌ Нет | ❌ Нет |
| Сетевое / удалённое | ✅ Да | ✅ Да | ✅ Да | ✅ Да | ❌ Только локальный хост |
| Покрытие российского ПО | Высокое | Высокое | Среднее | Среднее | Базовое (ОС) |
| CLI / автоматизация | ✅ Да | ✅ Да | ✅ Да | ✅ Да | ❌ Только GUI |
| Закрывает АНЗ.1 формально | ✅ Да | ✅ Да | ✅ Да | Уточнять | ❌ Нет |
| Целевая аудитория | Enterprise / SOC | Госсектор / КИИ | SMB | DevSecOps | Разовая проверка |
| Модель развёртывания | On-premise | On-premise | On-premise | SaaS | On-premise |
Вывод по таблице. Для субъектов КИИ и ГИС с высоким классом защищённости выбор между MaxPatrol VM и RedCheck. MaxPatrol VM — за непрерывный мониторинг и экосистему Positive Technologies. RedCheck — за нативную работу с БДУ ФСТЭК и широкое покрытие российского ПО. XSpider — разумный выбор для небольших организаций с ограниченным бюджетом. ScanFactory — дополнение для внешнего периметра и DevSecOps. ScanOVAL — бесплатный инструмент для разовых проверок или промежуточного контроля, но не заменяет сертифицированный сканер для формального закрытия АНЗ.1.
Подробнее о работе с банком данных угроз ФСТЭК →
Сканер без SGRC — почему список CVE не работает
Типичная ситуация после сканирования
Сканер запустили, получили отчёт. Допустим, 847 уязвимостей: 12 критических (CVSS 9.0 и выше), 94 высоких, 341 средняя, 400 низких.
Дальше начинаются вопросы, на которые сканер не отвечает.
Кто отвечает за устранение? В отчёте — IP-адреса и CVE. Нет привязки к конкретному активу, нет владельца актива, нет ответственного за устранение. ИБ-специалист должен вручную выяснить, чья это машина, и найти администратора.
Какой реальный приоритет? Сканер ставит CVSS — Universal Severity Score. CVSS 9.8 на тестовом стенде без выхода в интернет и CVSS 9.8 на продакшн-сервере с публичным IP — одинаковый балл. Но реальный риск принципиально разный. Начинать нужно с продакшн-сервера, а сканер об этом не знает.
Что конкретно делать? В отчёте — описание уязвимости и рекомендация «обновить до версии X.X». Нет задачи, нет дедлайна, нет системы контроля. Если устранение займёт 3 месяца — никто не заметит.
Как закрыть проверку ФСТЭК? Инспектор спрашивает: «Вы проводили анализ уязвимостей? Покажите результаты и что было сделано». Отчёт PDF сканера — это результат. Но документации об устранении нет. Мера АНЗ.1 выполнена частично.
Итог: 847 CVE остаются висеть в PDF-файле. Никто не устраняет, никто не контролирует.
Что меняет SGRC
SGRC берёт результаты сканирования и превращает список CVE в управляемый процесс.
| Этап | Только сканер | Сканер + SGRC |
|---|---|---|
| Получение результатов | Отчёт PDF или CSV | Импорт в реестр уязвимостей |
| Привязка к активу | Нет (только IP) | Автоматически по IP или hostname |
| Бизнес-контекст | Нет | Бизнес-ценность актива из реестра |
| Приоритизация | По CVSS | По риску: CVSS × ценность актива × вектор угрозы |
| Назначение ответственного | Нет | Автоматически по владельцу актива |
| Постановка задачи | Нет | Задача с дедлайном в системе |
| Контроль устранения | Нет | Уведомления, эскалация, статус |
| Документация для ФСТЭК | Отчёт сканера | Полный цикл: сканирование → задача → факт устранения |
| Связь с мерами защиты | Нет | CVE → угроза из БДУ → мера АНЗ.1 в плане защиты |
Результат: из 847 CVE SGRC выделяет 15 задач с реальным приоритетом на ближайший месяц. Остальные — в очереди с обоснованием почему именно такой порядок.
Есть сканер, но нет управления результатами? КиберОснова закрывает этот пробел: импорт из MaxPatrol VM, RedCheck и XSpider, приоритизация по риску актива, автоназначение ответственных. Посмотреть как работает →
Подробнее об управлении рисками ИБ в КиберОснова →
Как сканер и SGRC работают вместе
Конкретный сценарий: от CVE до отчёта ФСТЭК
Вот как выглядит полный цикл управления уязвимостями при интеграции сканера с SGRC.
Шаг 1. Сканирование. MaxPatrol VM или RedCheck проводит плановое сканирование по расписанию — еженедельно для критичных сегментов, ежемесячно для остальных.
Шаг 2. Импорт в SGRC. Результаты экспортируются в CSV или передаются по API. КиберОснова принимает файл и загружает в реестр уязвимостей.
Шаг 3. Привязка к активам. Система сопоставляет IP-адреса и hostname с реестром активов. Уязвимость CVE-2024-XXXXX на сервере 192.168.1.10 → автоматически привязывается к «Сервер БД ИСПДн Кадры» из реестра.
Шаг 4. Оценка риска. SGRC вычисляет приоритет: CVSS-балл уязвимости × бизнес-ценность актива × наличие эксплойта в публичном доступе. Сервер с ПДн сотрудников получает приоритет выше, чем тестовая машина с аналогичной CVE.
Шаг 5. Назначение задачи. Ответственный за актив получает задачу: «Устранить CVE-2024-XXXXX на сервере [название] до [дата]». Дедлайн устанавливается автоматически по уровню критичности.
Шаг 6. Контроль. Система отслеживает статус. Дедлайн приближается — напоминание ответственному. Просрочен — эскалация руководителю ИБ.
Шаг 7. Документация. После устранения — факт фиксируется в системе. По итогам периода формируется отчёт: «Выполнена мера АНЗ.1. Проведено сканирование [дата]. Выявлено уязвимостей: X. Устранено: Y. Остаток с обоснованием: Z».
Этот отчёт — ответ на вопрос инспектора ФСТЭК при проверке.
Связь с моделью угроз и мерами защиты
Уязвимости из сканера — это не просто технические баги, это потенциальные векторы атак из модели угроз организации.
В КиберОснова цепочка выглядит так: уязвимость из сканера → угроза из БДУ ФСТЭК → мера защиты, которая закрывает эту угрозу → статус выполнения меры в плане защиты.
Итог: SGRC видит не отдельные CVE, а целостную картину. Уязвимость влияет на статус меры АНЗ.1, мера входит в план защиты по Приказу №239, план привязан к конкретной информационной системе. Регулятор видит связную документацию, а не разрозненные отчёты.
Дополнительно: меры защиты информации по приказам ФСТЭК — полный разбор →
Сканер уязвимостей часто работает в связке с SIEM: SIEM фиксирует события, сканер находит слабые места, SGRC управляет устранением. О разнице между SIEM и SGRC, и зачем нужны оба инструмента: SIEM и SGRC: в чём разница →
Уже есть сканер? КиберОснова добавит управление результатами: импорт из RedCheck и MaxPatrol VM, реестр уязвимостей, приоритизация по риску, отчёт для ФСТЭК. Запросить демо →
Итоги: как выбрать сканер уязвимостей
Анализ уязвимостей по ФСТЭК — это не опция, а мера АНЗ.1, обязательная для ГИС, ИСПДн и КИИ. Нужен сертифицированный ФСТЭК сканер.
Выбор сканера зависит от масштаба инфраструктуры и задач:
- MaxPatrol VM — непрерывный мониторинг, крупные организации, SOC;
- RedCheck — госсектор и КИИ, нативная работа с БДУ ФСТЭК, российское ПО;
- XSpider — небольшие организации, базовый анализ, ограниченный бюджет;
- ScanFactory — внешний периметр, DevSecOps, облачная модель.
Главная ошибка — считать, что сканер = управление уязвимостями. Сканер находит CVE. Управление — это приоритизация, назначение, контроль устранения и документация. Без SGRC список CVE остаётся списком.
КиберОснова принимает данные из MaxPatrol VM, RedCheck и XSpider, привязывает уязвимости к активам из реестра, оценивает риск с учётом бизнес-контекста и формирует документацию для проверяющего ФСТЭК.
Посмотрите, как это работает на демо →
Как выбрать сканер: чеклист для ИБ-специалиста
Перед покупкой ответьте на пять вопросов:
-
Нужен ли сертификат ФСТЭК? Если организация — субъект КИИ, оператор ГИС или ИСПДн с высоким уровнем защищённости, ответ — да. Без сертификата мера АНЗ.1 формально не выполнена.
-
Сколько активов в инфраструктуре? До 50 — хватит XSpider. От 50 до 500 — RedCheck или MaxPatrol VM. Свыше 500 — MaxPatrol VM с распределённой архитектурой.
-
Есть ли изолированные сегменты? Если да — облачный ScanFactory не подходит. Нужен on-premise сканер с агентным режимом: RedCheck или MaxPatrol VM.
-
Какая ОС на серверах? При преобладании Astra Linux, ALT Linux, российского ПО — RedCheck имеет преимущество по покрытию. MaxPatrol VM также поддерживает российские ОС, но RedCheck исторически сильнее в этом направлении.
-
Нужен ли Continuous VM? Если организация хочет узнавать об уязвимостях не раз в месяц, а в день публикации — нужен MaxPatrol VM с непрерывным мониторингом. RedCheck и XSpider работают в режиме периодического сканирования.
После выбора сканера следующий шаг — интеграция с SGRC для управления результатами. Сканер находит уязвимости, SGRC превращает их в управляемые задачи с ответственными и дедлайнами. Подробнее об организации полного VM-процесса по руководству ФСТЭК: Методика управления уязвимостями ФСТЭК. Управление результатами сканирования в единой платформе: модуль управления уязвимостями КиберОснова.
Выбрали сканер, но не знаете, как управлять результатами? Покажем связку RedCheck + КиберОснова или MaxPatrol VM + КиберОснова на реальном примере. Записаться на демо →
Часто задаваемые вопросы
Зачем нужен сертификат ФСТЭК у сканера уязвимостей?
При аттестации ГИС и аудите КИИ инспектор ФСТЭК проверяет, какими средствами проводится анализ уязвимостей — это мера АНЗ.1 по Приказам №117, №21, №239. Если сканер не сертифицирован ФСТЭК, организация формально не выполняет требование, даже если технически сканирование проводилось. Сертификат подтверждает корректность алгоритмов обнаружения, соответствие методике ФСТЭК и возможность предъявить документы на проверке. Без сертификата — риск предписания об устранении нарушения.
Что такое RedCheck и кто его разрабатывает?
RedCheck — отечественный сканер уязвимостей от компании АЛТЭКС-СОФТ. Сертифицирован ФСТЭК России. Поддерживает сканирование по БДУ ФСТЭК и CVE NVD, работает с OVAL-профилями для проверки соответствия политикам безопасности. Есть агентный и безагентный режимы. Широко используется в госорганах, субъектах КИИ и организациях, обрабатывающих персональные данные. Хорошо покрывает российское ПО (Astra Linux, ALT Linux, 1С), что критично при проверке по БДУ ФСТЭК — главной базе уязвимостей для регуляторов.
Чем MaxPatrol VM отличается от MaxPatrol 8?
MaxPatrol VM (Vulnerability Management) — современная платформа непрерывного управления уязвимостями от Positive Technologies, построена на концепции Continuous VM: активы обновляются автоматически, уязвимости приоритизируются по ExploitabilityScore и бизнес-контексту актива. MaxPatrol 8 — более ранний продукт с акцентом на compliance-сканирование и периодические проверки. Для новых проектов рекомендуется MaxPatrol VM: он лучше интегрируется с MaxPatrol SIEM и PT NAD, поддерживает масштабируемую архитектуру для крупных инфраструктур.
Что такое XSpider и для кого он подходит?
XSpider — сетевой сканер уязвимостей от Positive Technologies, один из первых российских продуктов в этом классе, на рынке с начала 2000-х. Сертифицирован ФСТЭК. Специализируется на сканировании сетевого периметра: обнаружение портов, анализ сервисов, поиск уязвимостей. Простой интерфейс, периодическое сканирование. Подходит небольшим организациям, которым нужен базовый анализ без полноценного Continuous VM. По функциональности уступает MaxPatrol VM, но дешевле и проще во внедрении.
Нужно ли проводить анализ уязвимостей по Приказу ФСТЭК №239?
Да, обязательно для значимых объектов КИИ. Мера АНЗ.1 (анализ уязвимостей информационной системы) и АНЗ.5 (контроль установки обновлений) входят в базовый набор мер для всех категорий значимости — первой, второй и третьей. Сканирование должно проводиться регулярно с документированием результатов. По Приказу №239 требуется использование сертифицированных ФСТЭК средств для государственных ИС и КИИ. Результаты сканирования и факты устранения уязвимостей должны быть задокументированы для предъявления инспектору на проверке.
Что такое БДУ ФСТЭК и как оно связано со сканером уязвимостей?
БДУ ФСТЭК (банк данных угроз, bdu.fstec.ru) — официальная российская база уязвимостей ФСТЭК России. Содержит описания уязвимостей в формате BDU с привязкой к российским продуктам. Российские сканеры (RedCheck, MaxPatrol VM) поддерживают проверку по БДУ — это важно при демонстрации мер перед проверяющим: инспектор ожидает данные в формате БДУ. SGRC КиберОснова работает с обеими базами и позволяет связать уязвимость с угрозой из модели угроз организации.
Как управлять результатами сканирования, чтобы не утонуть в списках CVE?
Сканер выдаёт сотни уязвимостей без контекста: нет привязки к владельцу актива, нет бизнес-риска, нет дедлайна устранения. SGRC-платформа принимает результаты сканирования, автоматически привязывает каждую CVE к активу из реестра, оценивает риск с учётом бизнес-ценности актива, приоритизирует список и назначает задачу ответственному. Факт устранения фиксируется. В итоге вместо 500 CVE — управляемая очередь задач с дедлайнами и отчётом для ФСТЭК о выполненных мерах АНЗ.1.
Можно ли использовать несколько сканеров одновременно?
Да, и на практике это встречается: например, RedCheck для внутренней инфраструктуры (хорошая поддержка БДУ ФСТЭК) и ScanFactory для внешнего периметра (быстрый SaaS-старт). Проблема при использовании нескольких сканеров — разрозненные отчёты без единой картины. SGRC решает это: данные из нескольких источников импортируются в единый реестр уязвимостей, дубли устраняются, приоритизация проводится централизованно. Организация видит общую карту уязвимостей по всей инфраструктуре, а не отдельные PDF-отчёты.
