ФСТЭК России ввел в действие новую редакцию «Методики оценки уровня критичности уязвимостей программных, программно-аппаратных средств».
В результате утверждения данного документа прекращает свое действие прежняя методика, утверждённая ФСТЭК России 28 октября 2022 года.
Рассмотрим нововведения в методическом документе от 30 июня 2025 года.
Какие изменения произошли?
Область применения обновлённой методики более конкретизирована. В отличие от редакции 2022 года, помимо ГИС и ЗОКИИ, добавлены ИС государственных унитарных предприятий и госучреждений.
То есть применение методики теперь распространяется не только на ГИС, но и на иные информационные системы госучреждений.
Уязвимостям в сертифицированных ПО и ПАК должен присваиваться уровень V > 8,0, и устраняться такие уязвимости должны в установленные в настоящем методическом документе сроки.
В предыдущей редакции устранение таких уязвимостей должно было производится в приоритетном порядке.
Теперь оператор может получить результаты контроля уровня защищённости с помощью тестирования на проникновение, учения (тренировки) и мероприятий по проведению эксперимента по повышению уровня защищённости ГИС ФОИВ и подведомственных им учреждений, установленные ПП 372 от 26.03.2025.
Появилось дополнение, что в случае, если ИС функционирует на базе ЦОД, то уровень критичности уязвимостей проводится с учетом используемой инфраструктуры ЦОД.
Расчет уровня критичности производится с учетом:
-
Показателя, характеризующего уровень опасности уязвимостей (Icvss).
-
Показателя, характеризующего влияние на функционирование ИС (Iinfr).
-
Показателя, характеризующего возможность эксплуатации уязвимостей (Iat).
-
Показателя, характеризующего последствия эксплуатации уязвимости (Iimp).
В редакции 2022 года показателей было всего два:
-
Показателя, характеризующего уровень опасности уязвимостей (Icvss).
-
Показателя, характеризующего влияние на функционирование ИС (Iinfr).
Расчет показателя Icvss также изменился. Если в редакции 2022 года подразумевалось производить расчет самостоятельно при помощи калькулятора в БДУ ФСТЭК, то в редакции 2025 года для Icvss берется значение, рассчитанное разработчиком (вендором) ПО и только в случае отсутствия значений в БДУ или иных базах уязвимостей, показатель рассчитывается по калькулятору ФСТЭК России.
Также в редакции 2022 года Icvss подразумевал три метрики:
-
Базовая – отражает основные характеристики уязвимостей, влияющие на доступность, целостность и конфиденциальность, которые не изменяются с течением времени и не зависят от среды функционирования.
-
Временная – отражает характеристики уязвимостей, которые изменяются со временем, но не зависят от среды функционирования.
-
Контекстная – отражает среду функционирования.
В редакции 2025 года для Icvss такие метрики не обозначены.
Расчет показателя Iinfr в новой редакции остался прежним за исключением того, что при расчете:
-
показателя, характеризующего влияние уязвимого компонента, помимо влияния на защищённость периметра ИС, также учитывается влияние на защищенность периметра сегмента ИС;
-
показателя, характеризующего тип компонента ИС добавлено условие, что в случае, если уязвимости подвержено несколько компонентов ИС, то итоговой оценке показателя присваивается наибольшее из значений.
Также для весовых коэффициентов показателей изменились как наименование, так и сами веса значений.
Показатели Iat и Iimp рассчитываются исходя из табличных сведений, которые указываются в карточке уязвимостей.
Таблица итоговой оценки уровня критичности уязвимости в редакции 2025 года отличается от 2022 года. В новой методичке для присвоения уровня критичности значение итоговой оценки должно быть выше.
Например, если в методичке 2022 года оценка составляет 7,0, то уязвимости присваивается уровень «Критичный», то в методичке 2025 года при той же оценке уровень уязвимости считается «Высоким».
В соответствии с новой версией методички пересчет уровня критичности уязвимостей должен осуществляться на постоянной основе (по возможности автоматизированными средствами).
В части принятия мер защиты информации, направленных на устранение уязвимостей, в обоих документах регламентированы одинаковые сроки по устранению.