Объекты критической информационной инфраструктуры Российской Федерации функционируют в условиях повышенных требований к устойчивости и безопасности. Нарушение их работы способно привести к значительным экономическим, социальным и техногенным последствиям. В соответствии с требованиями законодательства в области защиты КИИ, эксплуатирующие организации обязаны обеспечивать выявление, анализ и устранение уязвимостей информационных систем и технологических сегментов.
Современные системы управления уязвимостями основаны на регулярном сканировании инфраструктуры и использовании стандартных метрик, таких как Common Vulnerability Scoring System (CVSS). Однако в условиях КИИ оценка уязвимости только по техническим характеристикам не отражает её реального влияния на функционирование технологического процесса. Уязвимость с высоким баллом CVSS в вспомогательном сегменте может представлять меньшую опасность, чем среднеоценённая уязвимость в узле, обеспечивающем управление технологическим оборудованием.
Таким образом, возникает необходимость разработки методики приоритизации уязвимостей, учитывающей не только техническую опасность, но и технологическую критичность затронутого актива.
Традиционные методы приоритизации уязвимостей характеризуются следующими особенностями:
– ориентация на базовый или временной балл CVSS;
– отсутствие учёта роли актива в технологическом процессе;
– игнорирование каскадных эффектов;
– слабая интеграция с процессами оценки рисков КИИ.
CVSS оценивает параметры эксплуатации (вектор атаки, сложность, привилегии, влияние на конфиденциальность, целостность и доступность), однако не учитывает специфику отрасли, архитектурные особенности объекта КИИ и степень влияния актива на непрерывность технологического процесса.
В результате приоритизация может носить формальный характер и не обеспечивать оптимальное распределение ресурсов на устранение наиболее значимых рисков.
Под технологической критичностью актива понимается степень его влияния на:
- Непрерывность технологического процесса;
- Безопасность персонала и окружающей среды;
- Экономические показатели;
- Выполнение обязательств перед государством и потребителями.
Предлагается оценивать технологическую критичность по совокупности критериев:
– C₁ — влияние на непрерывность производства;
– C₂ — влияние на безопасность;
– C₃ — масштаб потенциального ущерба;
– C₄ — степень взаимосвязанности с другими компонентами.
Каждый критерий оценивается по шкале от 0 до 5. Интегральный показатель технологической критичности T определяется как взвешенная сумма:
T = w₁C₁ + w₂C₂ + w₃C₃ + w₄C₄,
где wᵢ — весовые коэффициенты, определяемые отраслевой спецификой.
1. Базовый показатель уязвимости
Пусть V — нормализованный балл уязвимости, полученный на основе CVSS (в диапазоне 0–1).
2. Вероятность эксплуатации
Вводится коэффициент E, отражающий актуальность угрозы:
E = f(A, M, H),
где:
A — наличие публичных эксплойтов;
M — активность злоумышленников;
H — история эксплуатации.
3. Показатель технологической критичности
T — интегральный показатель критичности актива (0–1).
4. Итоговый показатель приоритета
Предлагается рассчитывать показатель приоритета устранения уязвимости P следующим образом:
P = V × E × T.
Таким образом, приоритет зависит одновременно от:
– технической опасности уязвимости,
– вероятности её эксплуатации,
– технологической значимости актива.
Для обеспечения практической применимости разработанной методики предлагается ввести шкалу категоризации уязвимостей на основе интегрального показателя приоритета P. Данный показатель отражает совокупное влияние технической опасности уязвимости, вероятности её эксплуатации и технологической критичности затронутого актива.
С целью унификации управленческих решений вводится следующая градация уровней приоритета:
– P ≥ 0,7 — критический приоритет.
– Уязвимости данной категории характеризуются высокой вероятностью эксплуатации и значительным влиянием на технологический процесс. Их реализация может привести к остановке производства, нарушению функционирования объектов КИИ либо созданию угрозы безопасности персонала и окружающей среды. Для таких уязвимостей требуется немедленная разработка компенсирующих мер и устранение в минимально возможные сроки, включая применение временных защитных механизмов (изоляция сегмента, ограничение сетевого взаимодействия, усиленный мониторинг).
– 0,4 ≤ P < 0,7 — высокий приоритет.
– Уязвимости данной группы способны оказать существенное влияние на отдельные элементы технологической инфраструктуры, однако их эксплуатация либо менее вероятна, либо не приводит к мгновенным критическим последствиям. Устранение должно планироваться в рамках приоритетного цикла обновлений с контролем сроков выполнения.
– 0,2 ≤ P < 0,4 — средний приоритет.
– Уязвимости оказывают ограниченное влияние на функционирование системы или затрагивают активы средней технологической значимости. Их устранение может осуществляться в плановом порядке с учётом доступности ресурсов и регламентов технического обслуживания.
– P < 0,2 — низкий приоритет.
– Уязвимости данной категории либо характеризуются низкой вероятностью эксплуатации, либо затрагивают некритичные компоненты инфраструктуры. Их устранение может быть отложено при условии отсутствия изменений в контексте угроз.
Предлагаемая шкала обеспечивает переход от формальной классификации по баллам CVSS к управлению уязвимостями с учётом реального влияния на технологические процессы. Таким образом, приоритет определяется не только технической сложностью атаки, но и её потенциальным воздействием на функционирование объекта КИИ.
Рассмотрим две уязвимости, выявленные в инфраструктуре объекта КИИ.
Уязвимость A:
V = 0,9;
E = 0,8;
T = 0,3.
Интегральный показатель:
P = 0,9 × 0,8 × 0,3 = 0,216.
Данная уязвимость обладает высоким техническим баллом и относительно высокой вероятностью эксплуатации. Однако она затрагивает актив с низкой технологической критичностью (например, вспомогательный сервер отчётности или тестовый сегмент). В результате итоговый приоритет оказывается средним.
Уязвимость B:
V = 0,6;
E = 0,7;
T = 0,9.
Интегральный показатель:
P = 0,6 × 0,7 × 0,9 = 0,378.
Несмотря на более низкий технический балл по сравнению с уязвимостью A, данная уязвимость затрагивает высококритичный элемент, например, контроллер АСУ ТП или узел, обеспечивающий управление технологическим процессом. Высокий показатель T существенно увеличивает итоговый приоритет.
Таким образом, предложенная методика демонстрирует способность корректировать приоритет устранения уязвимостей с учётом их реального влияния на объект КИИ. Это позволяет избежать ситуации, при которой ресурсы расходуются на устранение технически «громких», но технологически малозначимых уязвимостей.
Внедрение предложенной методики приоритизации обеспечивает ряд существенных преимуществ.
Во-первых, достигается интеграция процессов управления уязвимостями и управления рисками КИИ. Приоритет устранения формируется на основе показателей, отражающих не только техническую опасность, но и влияние на технологическую устойчивость.
Во-вторых, обеспечивается обоснованное распределение ресурсов. В условиях ограниченного бюджета и временных ограничений организация получает инструмент для концентрации усилий на действительно критичных направлениях.
В-третьих, снижается вероятность недооценки уязвимостей в технологически значимых узлах. Традиционные методы, ориентированные на CVSS, могут не учитывать особенности отраслевой архитектуры. Предложенный подход устраняет данное ограничение.
В-четвёртых, методика способствует повышению прозрачности управленческих решений. Наличие формализованного интегрального показателя позволяет аргументированно обосновывать сроки устранения уязвимостей перед руководством и регуляторами.
Наконец, использование интегрального показателя P создаёт основу для автоматизации процессов приоритизации в системах класса Vulnerability Management и GRC-платформах.
Несмотря на практическую применимость, методика имеет ряд ограничений.
Во-первых, требуется корректное определение весовых коэффициентов и критериев оценки технологической критичности. Некорректная настройка параметров может привести к искажению итоговых приоритетов.
Во-вторых, необходима регулярная актуализация данных о составе активов и их роли в технологическом процессе. Изменения архитектуры, модернизация оборудования или реорганизация процессов должны отражаться в модели критичности.
В-третьих, методика предполагает наличие актуальной инвентаризации активов и их классификации по уровням значимости. При отсутствии полноты данных расчёт приоритетов может быть недостаточно точным.
В-четвёртых, интегральная модель не исключает экспертной корректировки в исключительных случаях, например, при наличии оперативной информации о целевых атаках.
В работе представлена методика приоритизации уязвимостей в системах критической информационной инфраструктуры, основанная на интеграции технической оценки уязвимости, вероятности её эксплуатации и технологической критичности затронутого актива.
В отличие от традиционных подходов, ориентированных преимущественно на показатели CVSS, предложенная модель учитывает влияние уязвимости на функционирование технологического процесса и устойчивость объекта КИИ в целом.
Использование интегрального показателя приоритета позволяет обеспечить обоснованность решений по устранению уязвимостей, повысить эффективность распределения ресурсов и снизить вероятность реализации значимых инцидентов информационной безопасности.
Предложенный подход может быть использован в рамках процессов управления уязвимостями, управления рисками и обеспечения киберустойчивости объектов критической информационной инфраструктуры.
Литература:
- Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
- ФСТЭК России. Методика оценки угроз безопасности информации, 2021.
- FIRST. Common Vulnerability Scoring System v3.1: Specification Document, 2019.
- ISO/IEC 27005:2022. Information security risk management.
- NIST SP 800–40 Rev. 4. Guide to Enterprise Patch Management Planning.
- NIST SP 800–30 Rev. 1. Guide for Conducting Risk Assessments.
