Приказ Федеральной службы по техническому и экспортному контролю от 30.06.2025 № б/н «Методический документ “Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств”»
Ссылки
- Сайт ФСТЭК России
- Официальный текст на сайте в формате PDF
- Сохранённый текст в формате PDF
- Консультант+
- Гарант
Изменяемые документы
- Методика ФСТЭК России от 28.10.2022 (уязвимости) «Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств»
Выдержка
1. Настоящая Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств (далее – Методика) разработана в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю (далее – ФСТЭК России), утверждённого Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.
2. Методика определяет порядок оценки уровня критичности уязвимостей, выявленных в программных, программно-аппаратных средствах информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, в том числе функционирующих на базе информационно-телекоммуникационной инфраструктуры центров обработки данных (далее – информационные системы).
3. Настоящая Методика подлежит применению операторами информационных систем при принятии ими мер по устранению уязвимостей программных, программно-аппаратных средств информационных систем в соответствии с требованиями о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, и требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, а также иными нормативными правовыми актами и методическими документами ФСТЭК России.
4. Меры по устранению уязвимостей в сертифицированных программных, программно-аппаратных средствах защиты информации выполняются
в сроки, установленные настоящей Методикой, с присвоением таким
уязвимостям критического уровня (V > 8,0), а также в соответствии
с эксплуатационной документацией на них и рекомендациями разработчика.
5. В Методике используются термины и определения, установленные национальными стандартами ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения», ГОСТ Р 56545-2015 «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей», ГОСТ Р 56546-2015 «Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем», иными национальными стандартами в области защиты информации и обеспечения информационной безопасности.
6. В связи с утверждением настоящей Методики не применяется
для оценки уровня критичности уязвимостей программных, программно-аппаратных средств Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств, утвержденная ФСТЭК России 28 октября 2022 г.
Справка
30 июня 2025 года Федеральная служба по техническому и экспортному контролю (ФСТЭК России) утвердила новую редакцию «Методики оценки уровня критичности уязвимостей программных, программно-аппаратных средств».
Некоторые положения новой редакции:
- Обновлён подход к категорированию уязвимостей. Внедрена более детализированная шкала оценки, которая учитывает не только технические параметры, но и контекстные факторы, такие как наличие эксплойтов и реальных атак.
- Введена поддержка автоматизированных средств оценки. Это позволяет ускорить процесс анализа уязвимостей и повысить его объективность.
- Обновлены пороговые значения показателей и уточнены критерии оценки риска.
- Установлены строгие сроки принятия мер по устранению уязвимостей с момента проведения оценки. Критические уязвимости нужно устранять в течение 24 часов, высокие — за 7 дней, средние — за 4 недели, а низкие — за 4 месяца.
- Учтены особенности инфраструктуры. Методика предусматривает оценку уязвимостей в центрах обработки данных с учётом их архитектуры и сегментирования сетей, а также детализацию типов компонентов информационных систем, включая межсетевые экраны, шлюзы и системы хранения данных.
Обзоры документа
Гарант ПРАЙМ
Определены новые показатели и порядок оценки уровня критичности уязвимостей, выявленных в программных, программно-аппаратных средствах информсистем, информационно-телекоммуникационных сетей, автоматизированных систем управления, в т. ч. функционирующих на базе инфраструктуры центров обработки данных.
Методика используется операторами информационных систем при принятии ими мер по устранению уязвимостей.
Прежняя методика не применяется.
Текст документа
Быстрый просмотр сохранённой копии