Журнал "Information Security/ Информационная безопасность" #4, 2025

4 • ПРАВО И НОРМАТИВЫ Новая методика оценки уровня критичности уязвимостей В июле 2025 г. было опубликовано информационное сообщение ФСТЭК России "Об утверждении методического документа ФСТЭК России "Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств" 1 . Новый методический документ "Мето- дика оценки уровня критичности уязви- мостей программных, программно-аппа- ратных средств" 2 был утвержден ФСТЭК России 30 июня 2025 г. В связи с утвер- ждением новой методики не применяется для оценки уровня критичности уязви- мостей программных, программно-аппа- ратных средств предыдущая версия "Методики оценки уровня критичности уязвимостей программных, программ- но-аппаратных средств", утвержденная ФСТЭК России 28 октября 2022 г. Рассмотрим основные отличия новой методики. l Сфера применения методики расши- рена в том числе на информационные системы государственных унитарных предприятий, государственных учреж- дений. Ранее под действие попадали только государственные информацион- ные системы и значимые объекты кри- тической информационной инфраструк- туры, указанные системы остаются в сфере регулирования методики. l Уточняется, что при определении кри- тичности уязвимостей учитываются результаты контроля уровня защищен- ности, проведенные оператором, вклю- чая тестирование на проникновение, учения (тренировки), мероприятия по проведению эксперимента по повыше- нию уровня защищенности ГИС феде- ральных органов исполнительной власти и подведомственных им учреждений. l В случае, если информационная систе- ма функционирует на базе информа- ционно-телекоммуникационной инфра- структуры центра обработки данных, то оценка уровня критичности уязвимостей программных, программно-аппаратных средств проводится с учетом используе- мой инфраструктуры ЦОД. l В формулу расчета уровня критичности уязвимости программных, программно- аппаратных средств в информационной системе (V) добавлены два новых пока- зателя: Iat – показатель, характеризую- щий возможность эксплуатации уязви- мости программных, программно-аппа- ратных средств в информационных систе- мах; Iimp – показатель, характеризующий последствия эксплуатации уязвимости программных, программно-аппаратных средств в информационных системах. l Ввиду изменения формулы расчета уровня критичности (V), скорректированы значения весовых коэффициентов и оце- нок показателей, определяющих влияние уязвимости на информационную систему. l Пересмотрены значения итоговой оценки уровня критичности уязвимости (V). Так, например, согласно новой мето- дике при итоговой оценке уровня кри- тичности уязвимости V > 8,0 – уязвимо- сти присваивается критический уровень, в предыдущей версии методики крити- ческий уровень присваивался при 7,0 < V < 10,0. Ниже в таблице представлен полный перечень значений итоговой оценки уровня критичности уязвимости. l Уязвимостям в сертифицированных программных, программно-аппаратных средствах защиты присваивается кри- тический уровень (V > 8,0). l Отмечается, что пересчет значения уровня критичности уязвимости должен осуществляться на постоянной основе (по возможности автоматизированными средствами) при выявлении новых све- дений об уязвимости, например, выпуске разработчиком обновлений, устраняющих уязвимость, появление в открытом досту- пе средств эксплуатации уязвимости. Особенности использования ПО, включенного в единый реестр российских программ для ЭВМ и БД Федеральный закон от 31.07.2025 № 325-ФЗ "О внесении изменений в отдельные законодательные акты Рос- сийской Федерации" 3 официально опуб- Обзор изменений в законодательстве июльском обзоре изменений законодательства в области инфор- мационной безопасности рассмотрим новую методику ФСТЭК России по оценке уровня критичности уязвимостей; особенно- сти использования ПО, включенного в единый реестр россий- ских программ для ЭВМ и БД; проекты отраслевых особенно- стей категорирования объектов КИИ; нормативную базу по лицензионному контролю со стороны ФСТЭК России; требова- ния по безопасности информации к средствам обнаружения и реагирования на уровне узла; изменения в правила допуска к государственной тайне; требования к системам видео-конфе- ренц-связи и веб-конференций для ФОИВ; изменения в Поло- жении Банка России по обеспечению защиты при переводе денежных средств и новый ПНСТ по КИИ. В Анастасия Заведенская, независимый эксперт по информационной безопасности Июль-2025 1 https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-5 2 https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-30-iyunya-2025-g 3 http://publication.pravo.gov.ru/document/0001202507310069 Фото: Анастасия Заведенская Наименование уровня критичности уязвимости Итоговая оценка уровня критичности уязвимости по новой методике Итоговая оценка уровня критичности уязвимости по старой методике Критический V > 8,0 7,0 < V < 10,0 Высокий 5,0 < V < 8,0 4,5 < V < 7,0 Средний 2,0 < V < 5,0 1,5 < V < 4,5 Низкий V < 2,0 V < 1,5