Управление уязвимостями информационных систем
Процесс управления уязвимостями по ФСТЭК
6 этапов VM-процесса — от мониторинга до отчётности
Мониторинг и обнаружение
Импорт результатов сканирования (XML, CSV, API) и мониторинг БДУ ФСТЭК. Новые уязвимости автоматически попадают в реестр.
Оценка и приоритизация
Автоматический расчёт приоритета: CVSS × критичность актива × наличие эксплойта. Матрица приоритизации помогает сосредоточиться на главном.
Назначение ответственных
Автоматическое назначение по владельцу актива или типу подразделения. SLA на устранение: Critical — 24 ч, High — 72 ч, Medium — 7 дней.
Устранение (remediation)
Три варианта обработки: установка патча, применение компенсирующей меры, принятие риска. Каждое решение фиксируется в системе.
Контроль и верификация
Повторное сканирование для подтверждения устранения. Автоматический контроль SLA с эскалацией при нарушении сроков.
Отчётность
Дашборды и отчёты для руководства и регулятора: сводка по уязвимостям, % устранено в срок, просроченные, тренды.
Средства управления уязвимостями: сканер ≠ система VM
Сканер уязвимостей (MaxPatrol, Nessus, RedCheck) обнаруживает уязвимости — это один из шести этапов. Система управления уязвимостями организует весь процесс: приоритизация, назначение ответственных, контроль устранения, верификация, отчётность.
КиберОснова — система управления VM-процессом, которая интегрируется со сканерами, а не заменяет их. Данные из сканеров импортируются в единый реестр с привязкой к ИТ-активам и рискам.
Возможности модуля VM в КиберОснова
Автоматизация полного цикла управления уязвимостями
Интеграция с БДУ ФСТЭК и сканерами
Встроенная БДУ ФСТЭК: полный каталог угроз с автообновлением. Импорт результатов сканирования в стандартных форматах. Уязвимости автоматически привязываются к ИТ-активам.
Приоритизация и оценка рисков
Матрица приоритизации: CVSS × критичность актива. Связь с модулем управления рисками — уязвимости влияют на оценку рисков информационных систем.
Назначение и контроль устранения
Автоматическое назначение по владельцу актива. Настраиваемые SLA (Critical — 24 ч, High — 72 ч). Уведомления и эскалация при нарушении сроков.
Генерация регламента VM
КиберОснова генерирует регламент управления уязвимостями по шаблону: роли, этапы, SLA, порядок эскалации. Экспорт в docx/pdf.
Методика управления уязвимостями ФСТЭК
Руководство ФСТЭК по организации процесса управления уязвимостями (2022) устанавливает обязательные требования к VM-процессу в организациях, эксплуатирующих ГИС, ИСПДн и объекты КИИ.
Ключевые требования и как КиберОснова их покрывает:
- Ведение реестра уязвимостей → единый реестр с автоматическим импортом
- Оценка критичности → матрица CVSS × критичность актива
- Назначение ответственных → автоматическое по владельцу актива
- Сроки устранения → настраиваемые SLA с эскалацией
- Отчётность → автоматические отчёты для руководства и регулятора
Регламент управления уязвимостями — что включает
Типовой регламент VM включает: область применения, роли и ответственных, описание процесса по этапам, SLA на устранение, порядок эскалации, формы отчётности.
КиберОснова генерирует регламент управления уязвимостями по шаблону — вы заполняете параметры организации, система формирует готовый документ. Подробнее о модуле документов →
Только сканер vs КиберОснова VM
| Критерий | Только сканер | КиберОснова VM |
|---|---|---|
| Обнаружение | ✓ Сканирование | ✓ Сканеры + БДУ ФСТЭК |
| Приоритизация | Только CVSS | CVSS × критичность актива × эксплойт |
| Назначение задач | Вручную (email/Jira) | Автоматическое по владельцу актива |
| SLA контроль | Нет | Настраиваемые SLA + эскалация |
| Связь с рисками | Нет | ✓ Интеграция с модулем рисков |
| Отчётность по ФСТЭК | Вручную | Автоматические отчёты |
Часто задаваемые вопросы
Запросите демо модуля VM
Полный цикл управления уязвимостями: от обнаружения до контроля устранения.