Порядок подачи уязвимости в базу ФСТЭК России: пошаговая инструкция

Порядок подачи уязвимостей во ФСТЭК России регламентируется несколькими нормативными  документами, включая методические рекомендации.

Нормативные требования

Основные источники, которые регулируют этот процесс подачи уязвимостей:

• Методический документ "Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств". ФСТЭК России утвердила Методику оценки уровня критичности уязвимостей программных, программно-аппаратных средств (от 28.10.2022), в которой описываются подходы к классификации уязвимостей и их учету в Банке данных уязвимостей.

• Приказ ФСТЭК России № 76 "Об утверждении требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий". В Приказе № 76 от 02.06.2020 указаны требования к управлению уязвимостями, включая их выявление, учет и устранение. Этот документ особенно важен для организаций, работающих с ГИС, КИИ и ИСПДн.

• Приказ ФСТЭК России № 239 "Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации". Для значимых объектов критической информационной инфраструктуры (КИИ) применяется Приказ № 239 от 25.12.2017, который обязывает операторов выявлять и устранять уязвимости, а также предоставлять отчеты в ФСТЭК.

• Методический документ "Руководство по организации процесса управления уязвимостями в органе (организации)". Хотя этот документ не является обязательным, он содержит рекомендации по организации процессов выявления и устранения уязвимостей, включая их подачу во ФСТЭК.

Порядок подачи уязвимости в БДУ ФСТЭК

Порядок подачи уязвимости в базу данных узявимостей ФСТЭК России регламентируется методическим документом "Регламент включения информации об уязвимостях программного обеспечения и программно-аппаратных средств в банк данных угроз безопасности информации ФСТЭК России".

1. Проверьте, относится ли уязвимость к компетенции ФСТЭК

В первую очередь ФСТЭК рассматривает уязвимости в ПО, которое:

• Используется в государственных информационных системах (ГИС) и информационных системах персональных данных (ИСПДн).
• Входит в состав критической информационной инфраструктуры (КИИ).
• Подпадает под регулирование ФСТЭК (например, средства защиты информации, сертифицированные ведомством).

Также во ФСТЭК можно подать информацию об уязвимостях любого ПО.

2. Подготовьте описание уязвимости

В информации об уязвимости указываются следующие сведения:

• наименование уязвимости и ее описание;
• наименование и версии уязвимого программного обеспечения или программно-аппаратного средства;
• разработчик/производитель (вендор) уязвимого программного обеспечения или программно-аппаратного средства (при наличии);
• тип и идентификатор ошибки в соответствии с общим перечнем ошибок CWE;
• наименования операционных систем и типов аппаратных платформ, для которых актуальна уязвимость;
• базовый вектор и степень опасности уязвимости в соответствии с CVSS v.3.0: Для упрощения можно использовать "Калькулятор CVSS V3";
• порядок проверки уязвимости и подтверждающие материалы (РоС-код, видеодемонстрация или иные);
• контактные данные разработчика (наименование организации и адрес места ее нахождения, должность, фамилию, имя, отчество (при наличии) руководителя организации, наименование подразделения, ответственного за устранение уязвимостей, номер телефона, адрес электронной почты;
• контактная информация исследователя (имя, адрес электронной почты и (или) номер телефона).

3. Отправьте заявку через официальный канал

Информация об уязвимости направляется в Банк данных угроз через раздел «Обратная связь» (bdu.fstec.ru) или на адрес электронной почты [email protected]. 

При выявлении уязвимости в сертифицированном ПО или программно-аппаратном средстве, соответствующем требованиям безопасности информации, необходимо в течение одного рабочего дня направить сведения о ней в центральный аппарат ФСТЭК России. Уведомление отправляется по электронной почте на адрес [email protected] для организации дальнейшей работы с разработчиком по устранению данной уязвимости.

4. Дождитесь ответа и публикации

После отправки:

1. ФСТЭК проверяет уязвимость (может запросить дополнительные данные).
2. Если уязвимость подтверждается, она вносится в Банк данных уязвимостей ФСТЭК.
3. Информация может быть направлена разработчику ПО для исправления.
4. В некоторых случаях ФСТЭК публикует бюллетень с рекомендациями по устранению угрозы.

5. Что делать, если уязвимость критическая?

Если уязвимость представляет серьезную угрозу (например, позволяет удаленно выполнить код), дополнительно можно сообщить о проблеме:

• в ГосСОПКА (систему обнаружения и предотвращения кибератак).
• в ФинЦЕРТ (Центр взаимодействия и реагирования Департамента информационной безопасности, специальное структурное подразделение Банка России)

Важно помнить

• ФСТЭК не занимается bug bounty (вознаграждением за уязвимости).
• Если уязвимость уже опубликована в открытых источниках, ее могут внести в БДУ без вашего участия.
• Соблюдайте ответственное раскрытие - не публикуйте детали до устранения проблемы.

Заключение

Сообщение об уязвимостях в ФСТЭК помогает повысить безопасность государственных и критически важных систем. Если вы нашли уязвимость в регулируемом ПО, следуйте этой инструкции, чтобы передать данные в ведомство и способствовать устранению угрозы.