Этим летом ФСТЭК России ввел в действие новую редакцию «Методики оценки уровня критичности уязвимостей программных, программно-аппаратных средств».
В результате принятия данного документа прекратила свое действие прежняя методика, которая была утверждена ФСТЭК России еще в 2022 году.
Какие изменения произошли?
1. Область применения обновлённой методики стала более конкретизирована - теперь она распространяет своё действие не только на государственный информационные системы и значимые объекты критической информационной инфраструктуры, но и на иные информационные системы госучреждений.
Таким образом применения этой методики накладывается на требования нового приказа ФСТЭК № 117 (а его ключевые изменения мы разбирали ранее).
2. Критические уязвимости должны устраняться в течении нескольких часов (до 24 часов).
В предыдущей редакции про конкретный срок не упоминалось - устранение таких уязвимостей должно было производится в приоритетном порядке.
3. Изменился порядок оценки уровня критичности уязвимостей программных, программно-аппаратных средств - теперь исходными данными для определения критичности могут быть также результаты контроля уровня защищённости с помощью тестирования на проникновение, учения (тренировки) и мероприятий по проведению эксперимента по повышению уровня защищённости ГИС ФОИВ и подведомственных им учреждений, установленные Постановлением Правительства Российской Федерации от 26 марта 2025 г. № 372.
4. Если информационная система функционирует на базе ЦОД (центра обработки данных), то уровень критичности уязвимостей проводится с учетом используемой инфраструктуры ЦОД.
5. Появились новые показатели для расчета уровня критичности.
Теперь расчет уровня критичности производится с учетом 4 показателей:
Показателя, характеризующего уровень опасности уязвимостей (Icvss).
Показателя, характеризующего влияние на функционирование ИС (Iinfr).
Показателя, характеризующего возможность эксплуатации уязвимостей (Iat).
Показателя, характеризующего последствия эксплуатации уязвимости (Iimp).
В предыдущей редакции показателей было всего лишь два:
Показателя, характеризующего уровень опасности уязвимостей (Icvss).
Показателя, характеризующего влияние на функционирование ИС (Iinfr).
6. Изменились и расчеты показателей.
В новой методике для показателя Icvss берется значение, рассчитанное разработчиком ПО и только в случае отсутствия значений в БДУ или иных базах уязвимостей, показатель рассчитывается по калькулятору ФСТЭК России.
Напомним, что в SECURITM доступны сразу 3 каталога уязвимостей – БДУ ФСТЭК России, Каталог уязвимостей НКЦКИ, каталог CVE.
Расчет показателя Iinfr в новой методике остался прежним. Но, при расчете:
учитывается влияние на защищенность периметра сегмента ИС, а не только на влияние всего периметра ИС;
добавлено условие, что, если уязвимости подвержено несколько компонентов ИС, то итоговой оценке показателя присваивается наибольшее из значений.
Новые показатели Iat и Iimp рассчитываются исходя из табличных сведений, которые указываются в карточке уязвимостей (сведения об эксплуатации уязвимости и возможные последствия воздействия при эксплуатации уязвимости).
Таблица итоговой оценки уровня критичности уязвимости в новой методике тоже стала отличаться от предыдущей версии. В новой методике для присвоения уровня критичности значение итоговой оценки должно быть выше.
Например, если в предыдущей методике 2022 года оценка при расчете составляла 7,0, то уязвимости присваивался уровень «Критичный», то теперь при расчете по новой методике – при такой оценке уровень уязвимости считается «Высоким».
Также для весовых коэффициентов всех показателей изменились веса значений.
И вам не придётся самостоятельно разбираться в сложных формулах и нововведениях.
Мы уже обновили модуль VM, внедрив расчёт по обновлённой методике ФСТЭК. Вы можете мгновенно приступить к работе по новым правилам, обеспечив полное соответствие требованиям. А для плавного перехода мы оставили и предыдущую методику 2022 года.
Просто выберите нужную методику в настройках — обо всём остальном позаботились мы.