Современные объекты критической информационной инфраструктуры представляют собой сложные иерархические социотехнические системы, включающие вычислительные узлы общего и специального назначения, промышленные контроллеры, сетевые и телекоммуникационные компоненты, специализированное программное обеспечение, а также средства автоматизации технологических и управленческих процессов. Эти элементы функционируют в тесной взаимосвязи и образуют единое информационно-технологическое пространство, в рамках которого нарушение работы одного компонента может привести к деградации или отказу значительной части системы. Отличительной особенностью объектов КИИ является длительный жизненный цикл, в течение которого архитектура и программная база могут сохраняться без существенных изменений на протяжении многих лет. При этом возможности обновления программного обеспечения и технических средств часто ограничены требованиями непрерывности технологических процессов, сертификацией и необходимостью соблюдения регуляторных норм. Высокая стоимость отказов, выражающаяся в экономическом ущербе, угрозе безопасности персонала или нарушении общественно значимых функций, делает задачи обеспечения информационной безопасности и устойчивости функционирования КИИ особенно критичными.

В указанных условиях управление уязвимостями становится одним из ключевых процессов обеспечения информационной безопасности, напрямую влияющим на устойчивость и надёжность функционирования объектов КИИ. Уязвимости в программном обеспечении, конфигурациях или архитектуре системы могут служить отправной точкой для реализации кибератак, приводящих к нарушению целостности, доступности или корректности работы критически важных компонентов. В отличие от традиционных корпоративных информационных систем, последствия эксплуатации уязвимостей в КИИ могут выходить за рамки информационного ущерба и затрагивать технологические процессы, что требует особого подхода к их выявлению, оценке и управлению.

В соответствии с требованиями законодательства Российской Федерации в области защиты критической информационной инфраструктуры эксплуатирующие организации обязаны организовывать процессы выявления уязвимостей, оценки связанных с ними рисков и реализации мер по их устранению или снижению. Данные процессы должны охватывать как технические, так и организационные аспекты обеспечения безопасности. Однако на практике управление уязвимостями нередко сводится к формальному выполнению регламентированных процедур, включающих периодическое проведение автоматизированного сканирования и ведение реестров выявленных уязвимостей. Такой подход ориентирован преимущественно на соответствие формальным требованиям и не всегда обеспечивает адекватную оценку реального уровня угроз для конкретного объекта КИИ.

Формализация процесса управления уязвимостями без учёта контекста эксплуатации приводит к тому, что результаты сканирования воспринимаются изолированно от архитектурных особенностей системы и условий её функционирования. При этом не учитывается динамика угроз, изменения профиля нарушителя и эволюция методов атак, что снижает практическую ценность получаемых данных. В результате управление уязвимостями утрачивает роль инструмента повышения устойчивости системы и превращается в вспомогательный элемент отчётности.

Одной из ключевых проблем традиционных процессов управления уязвимостями является их ориентированность на количественные показатели, такие как общее число выявленных уязвимостей или уровень их критичности, определяемый по формальным шкалам. В условиях КИИ подобные метрики не всегда отражают реальную степень риска, поскольку одинаковые по формальному уровню уязвимости могут иметь принципиально различное влияние на функционирование системы. Это влияние определяется архитектурой объекта, ролью уязвимого компонента в технологическом процессе, степенью его изолированности и наличием компенсирующих мер защиты. Игнорирование этих факторов приводит к неэффективному распределению ресурсов и концентрации усилий на устранении уязвимостей, не представляющих существенной угрозы для устойчивости и безопасности КИИ.

Дополнительную сложность создаёт ограниченная возможность оперативного устранения уязвимостей в системах критической информационной инфраструктуры. Обновление программного обеспечения, установка патчей или изменение конфигураций часто требуют остановки технологических процессов, проведения регламентных испытаний и согласования с ответственными подразделениями и регуляторами. В ряде случаев устранение уязвимости может быть технически невозможно без модернизации оборудования или изменения архитектуры системы. В результате выявленные уязвимости могут оставаться в системе на протяжении длительного времени, что требует применения альтернативных мер управления рисками, направленных на снижение вероятности их эксплуатации или минимизацию возможных последствий.

К таким мерам относятся сегментация сети, ограничение сетевых взаимодействий, усиление мониторинга событий безопасности, внедрение дополнительных средств обнаружения атак, а также организационные ограничения доступа. Однако применение подобных мер требует чёткого понимания того, какие уязвимости действительно представляют значимую угрозу и какие из них могут быть временно компенсированы без немедленного устранения. Это подчёркивает необходимость перехода от формального подхода к более гибкой и контекстно-ориентированной модели управления уязвимостями.

Совершенствование процесса управления уязвимостями в системах КИИ предполагает переход от инструментально-ориентированного и регламентного подхода к риск-ориентированной модели, учитывающей особенности конкретного объекта, характер обрабатываемых данных и значимость поддерживаемых функций. В рамках такой модели управление уязвимостями рассматривается как непрерывный процесс, интегрированный в общую систему управления информационной безопасностью и жизненный цикл КИИ, а не как разовая или периодическая процедура.

Ключевым элементом усовершенствованного процесса является контекстная оценка уязвимостей, предполагающая анализ не только их технических характеристик, но и роли затронутых компонентов в архитектуре системы, уровня их критичности и возможных последствий эксплуатации уязвимости. Такой анализ позволяет учитывать реальные сценарии атак и их влияние на функционирование КИИ, а также корректно расставлять приоритеты при планировании мер защиты. Контекстная оценка способствует снижению нагрузки на персонал за счёт исключения низкоприоритетных задач и концентрации усилий на уязвимостях, оказывающих наибольшее влияние на уровень риска.

Важным направлением совершенствования процесса управления уязвимостями является его интеграция с системами мониторинга и реагирования на инциденты информационной безопасности. Связывание данных об уязвимостях с событиями безопасности, аномалиями и признаками атак позволяет оперативно выявлять попытки эксплуатации уязвимостей и динамически корректировать приоритеты их устранения. Для объектов КИИ такая интеграция имеет особое значение, поскольку своевременное обнаружение и локализация инцидента может предотвратить развитие аварийной ситуации и минимизировать последствия для технологических процессов.

Отдельного внимания требует управление уязвимостями в программном обеспечении, разрабатываемом или модифицируемом для нужд КИИ. Внедрение практик безопасной разработки, а также раннее выявление уязвимостей на этапах проектирования и реализации программных средств позволяют существенно снизить их количество на стадии эксплуатации. Интеграция инструментов статического и динамического анализа в процессы разработки и сопровождения программного обеспечения КИИ способствует повышению общего уровня защищённости и снижению затрат, связанных с устранением дефектов безопасности в условиях эксплуатации.

Совершенствование процесса управления уязвимостями также предполагает формализацию ролей и ответственности участников процесса, а также разработку регламентов, учитывающих специфику эксплуатации объектов КИИ. Чёткое распределение обязанностей между подразделениями информационной безопасности, эксплуатации и разработки позволяет повысить управляемость процесса, обеспечить согласованность действий и снизить риск принятия решений, способных негативно повлиять на устойчивость функционирования системы.

Таким образом, эффективное управление уязвимостями в системах критической информационной инфраструктуры требует комплексного и системного подхода, основанного на учёте рисков, архитектурных особенностей и эксплуатационных ограничений. Переход от формального выполнения требований к осознанному и риск-ориентированному управлению уязвимостями позволяет повысить уровень киберустойчивости КИИ, оптимизировать использование ресурсов и обеспечить более надёжную защиту критически важных объектов в условиях постоянно изменяющегося ландшафта угроз.

Литература:

1. Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (с изменениями на 30 ноября 2025 г.) // КонсультантПлюс. — URL: https://www.consultant.ru/document/cons_doc_LAW_306454/ (дата обращения: 30.11.2025).
2. ФСТЭК России. Приказ от 25.12.2017 № 239 «Требования к защите значимых объектов критической информационной инфраструктуры Российской Федерации» // Официальный сайт ФСТЭК России. — URL: https://fstec.ru/normativnye-dokumenty/311-prikaz-fstek-rossii-ot-25–12–2017–239 (дата обращения: 30.11.2025).
3. ФСТЭК России. Методический документ «Руководство по организации процесса управления уязвимостями в органе (организации)» (утв. 17.05.2023) // Официальный сайт ФСТЭК России. — URL: https://fstec.ru/kii/683-rukovodstvo-po-organizatsii-protsessa-upravleniya-uyazvimostyami (дата обращения: 30.11.2025)
4. ФСТЭК России. Методика «Оценка уровня критичности уязвимостей программных, программно-аппаратных средств» (утв. 30.06.2025) // Официальный сайт ФСТЭК России. — URL: https://fstec.ru/normativnye-dokumenty/695-metodika-ocenki-kritichnosti-uyazvimostey (дата обращения: 30.11.2025)
5. ГОСТ Р 57580.1–2017. Безопасность финансовых (банковских) операций. Защита информации. — Введ. 2018–01–01. — М.: Стандартинформ, 2017. — 24 с.
6. ГОСТ Р 57580.4–2022. Идентификация критичной архитектуры. Управление изменениями. Реагирование на инциденты и восстановление. — Введ. 2023–01–01. — М.: Стандартинформ, 2022. — 40 с.
7. NIST Special Publication 800–40 Rev. 4. Guide to Enterprise Patch Management Technologies. — Gaithersburg, MD: National Institute of Standards and Technology, 2022. — URL: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800–40r4.pdf (дата обращения: 30.11.2025).
8. NIST Special Publication 800–53 Rev. 5. Security and Privacy Controls for Information Systems and Organizations. — Gaithersburg, MD: National Institute of Standards and Technology, 2020. — URL: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800–53r5.pdf (дата обращения: 30.11.2025).
9. CIS Controls v8.1. Center for Internet Security. — 2023. — URL: https://www.cisecurity.org/cis-controls/ (дата обращения: 30.11.2025).
10. Mitre Corporation. Common Vulnerability Scoring System (CVSS) v3.1. — 2019. — URL: https://www.first.org/cvss/v3.1/specification-document (дата обращения: 30.11.2025).
11. Минзов А. С. Риск-ориентированный подход к управлению уязвимостями в критической информационной инфраструктуре // Информационная безопасность. — 2023. — № 4. — С. 88–101.
12. Митяков Е. С., Степанов А. В. Управление уязвимостями в промышленных системах: от сканирования к киберустойчивости // Вопросы кибербезопасности. — 2024. — № 2. — С. 55–69
13. Kim J., Patel S., Lee H. Risk-Based Vulnerability Management in Critical Infrastructure: A Practical Framework // Journal of Cybersecurity and Privacy. — 2023. — Vol. 3, № 2. — P. 112–128
14. Гребенников А. В. Современные подходы к управлению уязвимостями в объектах КИИ // Журнал «Кибербезопасность». — 2025. — № 1. — С. 24–35
15. Boyes H. Cybersecurity for Industrial Control Systems: SCADA, DCS, PLC, HMI, and SIS. — CRC Press, 2022. — 312 p.