SYSTEM ONLINE · build / v1.0 · region / RU · CIS · last index sync / 04.06.2026 / 13:09 UTC
· войти →
cyber-index.ru
исследование 3 июня 2026

Что такое управление уязвимостями: процесс и метрики

Управление уязвимостями (vulnerability management, VM) — это непрерывный процесс, в котором организация находит уязвимости в своих ИТ-активах, оценивает их опасность, расставляет приоритеты и устраняет (или снижает риск) в контролируемые сроки, а затем проверяет, что устранение действительно сработало. Это не разовое сканирование и не пентест, а постоянный цикл «обнаружение → приоритизация → устранение → контроль». **Если коротко:** VM отвечает на вопрос «какие из тысяч известных уязвимостей в нашей инфраструктуре реально опасны прямо сейчас и что чинить в первую очередь». Опираются при этом на оценку критичности (CVSS), контекст актива и данные регуляторов — БДУ ФСТЭК и CVE. Ключевая метрика зрелости — соблюдение SLA на устранение по классам критичности. Ниже разбираем процесс по шагам, метрики и отличие от пентеста. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге систем управления уязвимостями](/rating/vulnerability-management).

9 мин. чтения Блоки данных: 6 Позиции: не продаются Авторы: Ирина Карпова
security context

Визуальный контекст исследования

Изображение помогает быстро считать тему материала: инфраструктура, данные, доступы и контрольные точки, которые важно проверить перед выбором решения.

Тематическое фото для исследования: Что такое управление уязвимостями: процесс и метрики
Тематическая иллюстрация к исследованию: Что такое управление уязвимостями: процесс и метрики. Charlss GonzHu / Pexels
shortlist

Рейтинги подрядчиков по теме исследования

Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.

NGFW, UTM и межсетевые экраны Next-generation firewalls, UTM, классические межсетевые экраны и шлюзы защиты периметра. WAF и API Security Web Application Firewall, защита API, анализ трафика приложений и блокировка атак на веб-сервисы. EPP, EDR, XDR и антивирусная защита Защита рабочих станций и серверов, EPP, EDR, XDR, антивирусная защита, расследование и реагирование на конечных точках. SIEM и log management Сбор, нормализация, хранение и корреляция событий безопасности, SIEM и управление журналами. PAM Privileged Access Management: контроль, изоляция, аудит и ротация привилегированных доступов. DLP Data Loss Prevention: предотвращение утечек данных, контроль каналов передачи и расследование инцидентов.
methodology

Как проверять выводы исследования

Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.

E-E-A-T

Авторы и проверка материала

У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.

Ирина Карпова author Ирина Карпова Редактор методологии и проверки источников

Отвечает за методологию доверительного индекса, проверку источников, редакционные стандарты и риск-сигналы.

  • 9 лет в редакционной аналитике, проверке источников и методологии рейтингов
  • Специализация: due diligence, репутационные сигналы, проверка данных и editorial QA
Experience

Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.

Expertise

В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.

Authoritativeness

Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.

Trust

Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.

Что такое управление уязвимостями простыми словами

Уязвимость — это слабое место в ПО, конфигурации или инфраструктуре, которое злоумышленник может использовать для атаки: непропатченная ОС, устаревшая библиотека, открытый порт, дефолтный пароль, ошибка в настройке. Таких слабых мест в любой реальной сети — тысячи, и число их растёт каждый день вместе с новыми CVE.

Vulnerability management — это управленческая дисциплина и поддерживающий её класс ПО, которые превращают этот бесконечный поток находок в управляемый процесс. Система VM регулярно инвентаризирует активы, сканирует их на известные уязвимости, сопоставляет находки с базами (CVE, БДУ ФСТЭК), оценивает критичность и помогает командам ИТ и ИБ закрывать дыры по приоритету и в срок. Важно: VM работает с **известными** уязвимостями — теми, что уже описаны в публичных базах, — и в этом её сила (масштаб и автоматизация) и её граница (она не ищет неизвестные 0-day и логические ошибки бизнес-логики, это задача пентеста).

Жизненный цикл управления уязвимостями: 5 этапов

  1. 01 Инвентаризация активов

    Нельзя защитить то, чего не видишь. Сначала строится и

  2. 02 Обнаружение уязвимостей

    Сканер (агентный или сетевой) проверяет активы на известные

  3. 03 Приоритизация

    Находки ранжируются: базовая оценка CVSS дополняется контекстом —

  4. 04 Устранение и снижение риска

    Уязвимости передаются ответственным: патч, обновление,

  5. 05 Контроль и отчётность

    Повторное сканирование подтверждает, что уязвимость закрыта

Как оценивают критичность: CVSS, CVE и БДУ ФСТЭК

Чтобы расставить приоритеты, нужна общая шкала опасности. Здесь работают три опорных элемента:

- **CVE** — международный каталог идентификаторов известных уязвимостей (например, CVE-2024-XXXXX). Это «паспорт» уязвимости, по которому её узнают разные системы. - **CVSS** (Common Vulnerability Scoring System) — стандарт оценки опасности по шкале от 0 до 10. Базовая метрика отражает технические свойства (вектор атаки, сложность, влияние на конфиденциальность/целостность/доступность). Принято деление: 0.1–3.9 — низкий, 4.0–6.9 — средний, 7.0–8.9 — высокий, 9.0–10.0 — критический уровень. - **БДУ ФСТЭК** — Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru): отечественный источник по уязвимостям и угрозам. Для значимых объектов КИИ, ГИС и ИСПДн ориентир на БДУ важен наряду с CVE, а ряд российских сканеров изначально синхронизируется с этой базой.

Ключевой нюанс зрелого VM: **CVSS — это не приоритет, а только вход в приоритизацию.** Уязвимость с CVSS 9.8 на изолированном тестовом стенде без доступа извне может быть менее срочной, чем «средняя» дыра на публичном сервисе с готовым эксплойтом. Поэтому базовую оценку дополняют контекстом актива и данными об эксплуатации.

Уровни критичности по CVSS v3.1

Диапазоны базовой оценки CVSS v3.1 как ориентир для SLA. Это стандартная шкала, а не оценка конкретного продукта; пороги срочности каждая организация настраивает под свой риск-аппетит.

Критический (9.0–10.0) 10 балл
10 балл
Высокий (7.0–8.9) 8,9 балл
8,9 балл
Средний (4.0–6.9) 6,9 балл
6,9 балл
Низкий (0.1–3.9) 3,9 балл
3,9 балл

Метрики управления уязвимостями: на что смотреть

Зрелость VM измеряется не числом найденных уязвимостей, а тем, насколько быстро и предсказуемо организация их закрывает. Базовый набор метрик:

- **SLA на устранение по классам критичности** — целевые сроки закрытия (например, чем выше критичность, тем короче окно). Главный индикатор управляемости процесса. - **MTTR (среднее время устранения)** — сколько в среднем проходит от обнаружения до подтверждённого закрытия, в разрезе по критичности и подразделениям. - **Покрытие сканированием** — доля активов, реально попадающих под регулярное сканирование. Слепые зоны опаснее, чем известные уязвимости. - **Доля просроченных уязвимостей (SLA breach)** — сколько находок «висит» сверх срока; растущий показатель сигналит о нехватке ресурсов или процессных сбоях. - **Остаточный риск** — что осталось незакрытым и почему (принятый риск, компенсирующие меры).

Ориентир по SLA устранения (редакционная оценка)

Критический дни

Особенно при доступности извне и наличии эксплойта — приоритет вне очереди

Высокий до ~2 недель

Плановый патч в ближайшем окне обслуживания

Средний до ~1–3 месяцев

По графику регулярных обновлений

Низкий планово / принятие риска

Закрытие в общем цикле либо осознанное принятие риска

Чем управление уязвимостями отличается от пентеста

Эти понятия часто путают, хотя задачи разные и они дополняют друг друга:

- **VM** — широкий и непрерывный процесс: автоматизированное сканирование на **известные** уязвимости по всему парку активов, регулярно, с приоритизацией и SLA. Отвечает на вопрос «что у нас уязвимо прямо сейчас и в каком объёме». - **Пентест** — точечная и периодическая работа экспертов, которые имитируют действия злоумышленника: ищут в том числе неизвестные уязвимости, ошибки бизнес-логики, цепочки эксплуатации, которые сканер не увидит. Отвечает на вопрос «как именно можно прорваться и до чего реально добраться».

Грубо: VM — это постоянный «термометр» состояния защищённости по площади, а пентест — глубокая выборочная «диагностика» силами людей. Зрелая программа ИБ использует оба: VM держит базовую гигиену и закрывает массу известных дыр, пентест проверяет, что осталось за пределами автоматики. Подробнее о требованиях регуляторов — в материале [управление уязвимостями по требованиям ФСТЭК и БДУ](/research/vm-trebovaniya-fstek-bdu).

Что есть на российском рынке VM

Ниже — ориентир по классу отечественных решений, а не рейтинг. Места, баллы и подтверждённые сигналы смотрите в [рейтинге систем управления уязвимостями](/rating/vulnerability-management). Цель таблицы — показать, какие функции стоит ожидать от зрелой VM-платформы.

Решение (ориентир) Класс Что обычно закрывает
MaxPatrol VM VM-платформа Управление уязвимостями полного цикла с приоритизацией и контролем устранения
RedCheck Сканер защищённости Сканирование на уязвимости и контроль конфигураций, синхронизация с БДУ ФСТЭК
Сканер-ВС Средство анализа защищённости Сетевое сканирование, аудит, сертифицированный инструмент для проверок

Чек-лист зрелости процесса управления уязвимостями

Актуальная инвентаризация активов есть единый перечень с владельцами и бизнес-критичностью, он регулярно обновляется.
Регулярное сканирование заданы периодичность и покрытие; доля активов под сканированием измеряется.
Приоритизация с контекстом не только CVSS, но и доступность извне, наличие эксплойта, критичность актива.
SLA по классам критичности целевые сроки устранения формализованы и согласованы с ИТ.
Связка с устранением находки автоматически уходят ответственным (тикеты/интеграция с ITSM), а не лежат в отчёте.
Контроль закрытия повторное сканирование подтверждает устранение, а не «отметку об устранении».
Метрики и отчётность MTTR, доля просроченных, остаточный риск видны на дашборде.
Ориентир на БДУ ФСТЭК для КИИ/ГИС/ИСПДн учитываются данные БДУ наряду с CVE.
Сравнение вендоров по фактам выбор платформы сверяется с [рейтингом VM](/rating/vulnerability-management).

Следующий шаг

Разобрались с процессом — переходите к выбору инструмента: **[рейтинг систем управления уязвимостями →](/rating/vulnerability-management)**. Полезно прочитать рядом: [рейтинг российских систем управления уязвимостями 2026](/research/reyting-rossiyskih-vm-2026), [чем заменить Tenable Nessus и Qualys](/research/zamena-nessus-qualys-skanery) и [управление уязвимостями по требованиям ФСТЭК и БДУ](/research/vm-trebovaniya-fstek-bdu).

Частые вопросы

Чем управление уязвимостями отличается от обычного сканирования?

Сканирование — это один шаг (обнаружение). Управление уязвимостями — весь цикл вокруг него: инвентаризация, приоритизация находок, устранение в срок по SLA и контроль закрытия. Разовый скан без процесса даёт длинный отчёт, который никто не закрывает; VM делает работу управляемой и измеримой.

Это то же самое, что пентест?

Нет. VM — широкий непрерывный процесс по поиску и закрытию **известных** уязвимостей по всему парку активов. Пентест — периодическая ручная работа экспертов, которые ищут в том числе неизвестные дыры и цепочки атак. Зрелая программа ИБ использует и то, и другое.

Что важнее при приоритизации — CVSS или контекст?

Оба, но CVSS — только вход. Базовая оценка опасности дополняется контекстом: доступен ли актив извне, есть ли публичный эксплойт и факты эксплуатации, насколько актив критичен для бизнеса. «Средняя» уязвимость на публичном сервисе с эксплойтом может быть срочнее «критической» на изолированном стенде.

Нужно ли ориентироваться на БДУ ФСТЭК, а не только на CVE?

Для значимых объектов КИИ, государственных информационных систем и ИСПДн — да: БДУ ФСТЭК (bdu.fstec.ru) важен наряду с CVE, а сертифицированные российские сканеры с ним синхронизируются. Для остальных это полезный дополнительный источник по актуальным для РФ угрозам.

С чего начать внедрение управления уязвимостями?

С инвентаризации активов и базового регулярного сканирования, затем — приоритизация с контекстом, SLA по классам критичности и контроль закрытия через повторный скан. Параллельно сравните платформы в рейтинге VM по подтверждённым сигналам.

verification

Источники и метод проверки

Управление уязвимостями (vulnerability management, VM) — это непрерывный процесс, в котором организация находит уязвимости в своих ИТ-активах, оценивает их опасность, расставляет приоритеты и устраняет (или снижает риск) в контролируемые сроки, а затем проверяет, что устранение действительно сработало. Это не разовое сканирование и не пентест, а постоянный цикл «обнаружение → приоритизация → устранение → контроль». **Если коротко:** VM отвечает на вопрос «какие из тысяч известных уязвимостей в нашей инфраструктуре реально опасны прямо сейчас и что чинить в первую очередь». Опираются при этом на оценку критичности (CVSS), контекст актива и данные регуляторов — БДУ ФСТЭК и CVE. Ключевая метрика зрелости — соблюдение SLA на устранение по классам критичности. Ниже разбираем процесс по шагам, метрики и отличие от пентеста. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге систем управления уязвимостями](/rating/vulnerability-management).

source Единый реестр российского ПО Минцифры России source Государственный реестр сертифицированных средств защиты информации ФСТЭК России source Банк данных угроз безопасности информации (БДУ) ФСТЭК России
Рейтинг систем управления уязвимостями Сравнить поставщиков по подтверждённым сигналам Рейтинг российских систем управления уязвимостями 2026 Чем заменить Tenable Nessus и Qualys: российские сканеры Управление уязвимостями по требованиям ФСТЭК и БДУ
next step

Сравнить подрядчиков по рейтингу

Исследование помогает сформулировать критерии. Для короткого списка используйте категории рейтинга и карточки компаний.

Рейтинг систем управления уязвимостями
NGFW, UTM и межсетевые экраны Next-generation firewalls, UTM, классические межсетевые экраны и шлюзы защиты периметра. WAF и API Security Web Application Firewall, защита API, анализ трафика приложений и блокировка атак на веб-сервисы. EPP, EDR, XDR и антивирусная защита Защита рабочих станций и серверов, EPP, EDR, XDR, антивирусная защита, расследование и реагирование на конечных точках. SIEM и log management Сбор, нормализация, хранение и корреляция событий безопасности, SIEM и управление журналами. PAM Privileged Access Management: контроль, изоляция, аудит и ротация привилегированных доступов. DLP Data Loss Prevention: предотвращение утечек данных, контроль каналов передачи и расследование инцидентов.