О компании
Услуги
Программное обеспечение
Наш опыт
Мероприятия
Блог
Контакты
+7 (812) 679-50-08

Поиск по сайту:

Санкт-Петербург
О компании
Услуги
Программное обеспечение
Наш опыт
Мероприятия
Блог
Контакты
Главная Блог Статьи Управление уязвимостями на КИИ: на каких документах строить процесс

Управление уязвимостями на КИИ: на каких документах строить процесс

14.04.2026 Статьи

Вопрос, который сегодня волнует каждого специалиста по ИБ на объектах критической информационной инфраструктуры: на основе каких методических материалов выстраивать процесс управления уязвимостями?

Короткий ответ: это система из четырех уровней — Законы → Акты Правительства → Приказы ФСТЭК → Методики ФСТЭК. Ничего лишнего. Всё, что нужно, уже выпущено регулятором.

Разберем по порядку — без воды, но с расстановкой приоритетов.

1. Верхний уровень: законы и постановления

ФЗ-187 от 26.07.2017 — фундамент. Он определяет базовые принципы безопасности КИИ, а главное — полномочия ФСТЭК утверждать перечни типовых отраслевых объектов КИИ (ТОО КИИ) и отраслевые особенности категорирования.

Постановление №1762 от 07.11.2025 — актуальная редакция правил категорирования. Оно вступило в силу 1 января 2026 года. Документ уточняет, какие именно объекты подлежат категорированию (те, что попали в перечни ТОО КИИ), корректирует перечень исходных данных и полномочия комиссии. Если вы не пересматривали категории после 1 января 2026 года — это повод проверить себя.

2. Приказы ФСТЭК: требования, которые нельзя игнорировать

Приказ №239 от 25.12.2017 — классика. Требования к значимым объектам КИИ: управление конфигурацией, обновлениями, реагирование на инциденты. База, с которой всё начиналось.

Приказ №117 от 11.04.2025 — главный документ 2026 года. Он вступил в силу 1 марта и полностью заменил старый Приказ №17. Что изменилось?

  • Сроки стали жестче. Критические уязвимости — 24 часа на устранение. Высокого уровня — 7 дней. Для остальных — сроки определяете сами, но фиксируете в регламенте.

  • Оценка защищенности — не реже двух раз в год. Не «когда вспомним», а по графику.

  • Уведомляйте ФСТЭК. Нашли уязвимость, которой нет в БДУ? У вас 5 рабочих дней, чтобы сообщить.

  • Процессное управление ИБ. Больше никаких «галочек». Нужен реальный работающий процесс, а не стопка бумаг.

  • Кого касается? ГИС, информационные системы госорганов, ГУП, госучреждений, а также муниципальные информационные системы (если с ними работают перечисленные организации).

3. Методики: как делать, а не что делать

Законы и приказы отвечают на вопрос «что?». Методики — на вопрос «как?».

3.1. Руководство от 17.05.2023 — ваш пошаговый план

Полное название: «Руководство по организации процесса управления уязвимостями в органе (организации)». Это основа для вашего внутреннего регламента. Оно предписывает пять обязательных этапов:

  1. Выявить уязвимость.

  2. Оценить её критичность.

  3. Решить, как и в каком порядке устранять.

  4. Устранить.

  5. Проконтролировать, что действительно закрыли.

Процесс должен быть непрерывным. Это не разовая акция «прогнали сканер — успокоились». Это постоянная работа с актуализацией данных об уязвимостях и объектах инфраструктуры.

Первым делом утвердите внутренний регламент на основе этого документа. Без него проверка ФСТЭК начнется с вопроса: «А где ваш процесс?».

3.2. Методика от 30.06.2025 — считаем критичность правильно

«Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств» вводит формулу. Критичность больше не «на глаз»:

V = Icvss × Iinfr × (Iat + Iimp)

Расшифровываем:

  • Icvss — берем у вендора (разработчика ПО). Если не предоставил — считаем сами по калькулятору ФСТЭК.

  • Iinfr — как уязвимость влияет на работу вашей системы.

  • Iat — насколько реально её можно проэксплуатировать.

  • Iimp — что будет, если это случится.

Важный нюанс: методика требует постоянного пересчета уровня критичности. В идеале — автоматизированными средствами. Если вы решили отложить устранение или применить компенсирующие меры — обоснуйте и задокументируйте. Регулятор спросит «почему?».

3.3. Анализ защищенности и пентест: две практические методики

Анализ защищенности (методика от 25.11.2025) — документ открытый. Он используется при аттестации объектов информатизации, контроле защищенности и оценке соответствия требованиям. Что включает:

  • Внешнее и внутреннее сканирование.

  • Анализ ПЛК, SCADA, контейнеров и даже систем с ИИ.

  • Использование сертифицированных средств выявления уязвимостей.

Важно про open-source и собственные разработки: они могут использоваться только в дополнение к сертифицированным средствам, а не вместо них. Сначала сертифицированный инструмент, потом — при необходимости — собственные доработки.

Тестирование на проникновение (пентест) — здесь сложнее. Документ — информационное сообщение ФСТЭК №240/24/4734 от 08.09.2025. И у него гриф «для служебного пользования». Получить его можно только по официальному запросу в ФСТЭК. Учитывайте это при планировании работ.

4. ГосСОПКА: не только уведомлять, но и обмениваться

Взаимодействие с ГосСОПКА — не формальность. В контексте управления уязвимостями это три задачи:

  • Уведомить ФСТЭК о найденной уязвимости (если её нет в БДУ) — в течение 5 рабочих дней.

  • Обмениваться информацией об атаках и угрозах.

  • Координировать реагирование на инциденты.

5. Главный тренд 2026: от «галочек» к реальной устойчивости

ФСТЭК последовательно переходит к риск-ориентированной модели. Что это значит на практике?

  • Непрерывность. Управление уязвимостями — это всегда включенный процесс, а не проектная деятельность.

  • Автоматизация. Постоянный пересчет критичности и мониторинг — по возможности без ручного труда.

  • Доказуемость. Вы не просто показываете документы, а доказываете, что ваша инфраструктура реально устойчива к атакам.

Формальный подход умер. Да здравствует реальная безопасность.

Коротко: что запомнить

  • Процесс управления уязвимостями — непрерывный и по возможности автоматизированный.

  • Критические уязвимости закрываем за 24 часа, высокого уровня — за 7 дней.

  • Оценку защищенности проводим минимум раз в полгода.

  • Уязвимости, которых нет в БДУ, отправляем в ФСТЭК через ГосСОПКА за 5 рабочих дней.

  • Сканируем сертифицированными средствами. Open-source и собственные разработки — только в дополнение к ним, а не вместо.

  • Постановление №1762 о категорировании действует с 1 января 2026 года. Если не пересматривали категории — проверьте.

  • «Галочки» не работают. Работает доказуемая устойчивость.

Сделайте первый шаг к безопасности КИИ

ГК «IT Полюс» имеет лицензию ФСТЭК России на техническую защиту информации и многолетний опыт сопровождения объектов КИИ.

Оставьте заявку на консультацию. Мы проанализируем вашу ситуацию и подготовим структурированный план с перечнем необходимых действий и предварительной оценкой работ.

Другие материалы по теме

ФСТЭК официально включил угрозы ИИ в реестр. Как бизнесу и госсектору действовать уже сейчас?

26.12.2025 Статьи

Свое vs. Реестровое: гид по ПО для объектов КИИ в 2026 году

06.02.2026 Статьи

5 новых приказов ФСБ по КИИ: практические действия для выполнения требований

19.01.2026 Статьи
Мы в социальных сетях:
Вернуться к списку

Для улучшения работы сайта и его взаимодействия с пользователями мы используем файлы cookie и другие сервисы обработки данных в соответствии с принятой Политикой в отношении обработки персональных данных. Продолжая работу с сайтом, вы соглашаетесь с этим. Вы всегда можете отключить файлы cookie в настройках Вашего браузера.

Принять