Управление уязвимостями и обновлениями: жёсткие сроки, которые нужно знать

Продолжение цикла о Приказе ФСТЭК №117. Раньше — внутренние документы, класс защищённости K1–K3, модель угроз. Сегодня — уязвимости, сроки их закрытия и почему обновления нельзя ставить «как придётся».

Что считается уязвимостью простыми словами

Уязвимость — слабость в программе, оборудовании или настройках, которую может использовать нарушитель (ошибка в коде, известный дефект, небезопасная конфигурация).

Примеры для медорганизации:

• известная «дыра» в Windows или СУБД, на которой крутится МИС;
• уязвимость в веб-модуле записи к врачу или личном кабинете;
• критический патч от вендора МИС, который месяц лежит «до выходных»;
• дырка в интеграционном шлюзе (ЕГИСЗ, лаборатория, ОМС);
• устаревший компонент на сервере телемедицины.

Слабый пароль администратора или открытый лишний порт — скорее нарушение ваших стандартов и регламентов, но их тоже закрывают в том же процессе ИБ: выявили → оценили → устранили или скомпенсировали.

Для руководителя и юриста важно: уязвимости есть у всех. Задача — вовремя находить, оценивать и закрывать. №117 задаёт конкретные сроки и порядок (п. 38–39).

Помните: №117 (защита ИС) и 187-ФЗ / КИИ (категорирование) — разные контуры. МИС типичной больницы попадает и туда, и туда: ПДн пациентов + значимый объект КИИ. Сроки по уязвимостям — из №117; при утечке ПДн из‑за незакрытого патча — отдельно 152-ФЗ и ст. 13.11 КоАП.

Сроки устранения: запомните эти цифры

Степень опасности уязвимости определяют по ГОСТ Р 56545-2015 (на это прямо ссылается п. 38 №117). Карточки и описания — в БДУ ФСТЭК: bdu.fstec.ru.

Жёсткие сроки по закону:

• Критическая — устранить или внедрить компенсирующие меры не более чем за 24 часа.
• Высокая — не более 7 календарных дней.
• Средняя и низкая — сроки и порядок вы сами прописываете во внутреннем регламенте с учётом специфики ИС (п. 38).

Критическая — когда злоумышленник может, например, удалённо получить контроль над сервером без пароля или массово зашифровать МИС. Такие закрывают в сутки, а не «после планового обслуживания».

Не успели устранить? Применяете компенсирующие меры: отключить уязвимый сервис, закрыть порт, изолировать сегмент, ограничить доступ вендора, включить WAF/экран. Но это временная мера — патч всё равно нужен.

Важно не путать: 4 недели в приложении к №117 — про восстановление значимых функций ИС при классе K3, а не про срок закрытия «средней» уязвимости. Ориентиры «до 4 недель / до 4 месяцев» для средних и низких — практика рынка, в законе не зафиксированы. В регламенте обоснуйте сами: для K1 и МИС разумно закладывать короче.

Нет в БДУ ФСТЭК

В IT «zero-day» — уязвимость до патча. №117 формулирует иначе: если вы нашли уязвимость, сведения о которой отсутствуют в БДУ ФСТЭК, — за 5 рабочих дней направьте информацию во ФСТЭК (п. 38).

Как: форма на сайте БДУ — bdu.fstec.ru/contacts/vulreport (актуальные контакты — на сайте).

Не скрывайте. Это обязанность оператора, а не «добровольная помощь регулятору». Само по себе уведомление не ведёт к уголовной ответственности. Уголовные риски — при реальном вреде: блокировка МИС, подмена данных в ЭМК, массовая утечка ПДn. Административные — при нарушении требований №117 (ст. 13.12 КоАП).

Порядок работы: не только сроки

П. 38 №117 требует полный цикл, а не «раз в квартал поставили обновления»:

1. Выявление — сканирование, бюллетени вендора МИС, мониторинг БДУ, результаты СЗИ.
2. Оценка критичности — по уровням опасности (ГОСТ).
3. Приоритеты и методы — патч, обходное решение, компенсация.
4. Устранение — в сроки 24 ч / 7 дней / по регламенту.
5. Контроль — проверка, что уязвимость действительно закрыта, запись в журнале.

Всё это — во внутреннем регламенте (п. 14 «д» №117). Без регламента на проверке первым делом спросят: «Где процесс и журнал закрытия?»

Обновления: без самодеятельности

Нельзя нажать «обновить всё» в боевой МИС в четверг в 14:00. П. 39 №117 предписывает:

• получать обновления только из официальных источников (вендор МИС, ОС, разработчик СЗИ);
• проверять подлинность и целостность;
• тестировать в изолированной среде — копия МИС, «песочница», не приёмное отделение;
• получить разрешение на внедрение (по регламенту — ответственное лицо / зам по ИБ, установку делает IT или вендор);
• внедрять контролируемо, с записью в журнале;
• бесконтрольная установка не допускается — сисадмин «сам поставил на сервер» = нарушение.

Сроки применения патчей, закрывающих уязвимости, в регламенте согласуют со сроками устранения по уровням опасности и рисками срыва работы МИС (п. 39).

Типичная боль МО: патч может поставить только вендор МИС — это должно быть в регламенте и договоре (следующий выпуск цикла — про подрядчиков).

Что должно быть в документах

Это продолжение выпуска про внутренние документы. Минимум:

В регламенте — порядок управления уязвимостями (выявление, оценка, сроки, компенсация, уведомление в БДУ, контроль) и управления обновлениями (получение, тест, разрешение, внедрение).

В стандартах — типовые конфигурации, запрещённое ПО, требования к тестовому контуру, сроки обновлений по типам систем (сервер МИС, АРМ регистратуры, шлюз интеграции).

Документы утверждает руководитель или ответственное лицо (п. 25). Для медорганизации — заместитель по ИБ (Указ №250, ПП №1272) + ответственный за организацию защиты по №117.

Если регламентов нет — формально нарушены п. 14 и п. 38–39, даже если «антивирус стоит».

Практика для больницы и поликлиники

Критический CVE на сервере МИС — в течение суток: либо патч (после экспресс-теста), либо изоляция сервера / отключение уязвимого модуля + компенсация. «Дождёмся вендора на следующей неделе» — риск, если уровень критический.

Патч от вендора МИС — заявка → тест на копии → согласование зама/ответственного → окно в ночь/выходные → журнал → проверка.

Ransomware — это и доступность (МИС встала), и целостность (ЭМК под угрозой). Незакрытая уязвимость в RDP или VPN вендора — частый вход. Связка с моделью угроз и классом K1–K3 из прошлых выпусков.

Нет штатного ИБ? Сканирование и консультации может вести организация с лицензией ФСТЭК (п. 24), но сроки, решения и ответственность — на операторе (ваша МО).

Что будет, если нарушить сроки или порядок

Ст. 13.12 КоАП — административная ответственность за нарушение требований по защите информации. Для организаций — штрафы обычно десятки–сотни тысяч рублей (зависит от состава и части статьи). Не путайте с ст. 13.11 КоАП по ПДn — там санкции жёстче (до миллионов при серьёзных нарушениях).

Предписание ФСТЭК — с требованием устранить нарушения, в том числе в сжатые сроки.

Если из‑за незакрытой уязвимости утекли данные пациентов — отдельно 152-ФЗ, 13.11, при тяжких последствиях — уголовные риски. Не «за то, что не отправили форму в БДУ», а за факт вреда.

Итог: три правила

1. Знайте сроки: критическая = 24 часа, высокая = 7 дней. Средние и низкие — ваш регламент, для МИС лучше не растягивать.
2. Уязвимости, которых нет в БДУ ФСТЭК, — уведомление во ФСТЭК за 5 рабочих дней.
3. Обновления — только по регламенту: тест, разрешение, журнал. Никакой самодеятельности на боевой МИС.

В следующем выпуске: как безопасно работать с подрядчиками — договор с вендором МИС, изоляция «песочниц», соблюдение вашей Политики защиты информации.

Проверьте готовность по №117 — экспресс-тест и консультация по регламентам уязвимостей и обновлений: synlawtech.ru

Подпишитесь на канал, чтобы не пропустить продолжение серии. Вопросы — в комментариях.