Каверзные вопросы к онлайн-конференции AM Live по Vul­ner­a­bil­i­ty Management‑у. Те вопросы, которые сейчас программе заявлены и на которые я отвечал (Часть 1, Часть 2, Часть 3), как по мне слишком базовые и поверхностные. Мне было бы интересно узнать ответы VM-вендоров на следующие 5 вопросов, в основном касающихся недавних инициатив регуляторов:

1. Вы предоставляете информацию об уязвимостях (идентификаторы CVE, БДУ), которые может детектировать ваше VM-решение, чтобы клиенты (текущие и потенциальные) могли оценить полноту базы детектов вашего VM-решения?

2. Вы согласны, что бесплатный сканер ScanOVAL ФСТЭК может рассматриваться как эталонное средство детектирования уязвимостей для хостов под управлением Win­dows и отечественных Lin­ux-ов?

3. Ваше VM-решение позволяет проводить приоритизацию уязвимостей с использованием "Методики оценки уровня критичности уязвимостей программных, программно-аппаратных средств" ФСТЭК?

4. Когда ваше VM-решение рекомендует установку апдейтов западного софта, учитывается ли при этом "Методика тестирования обновлений безопасности программных, программно-аппаратных средств" ФСТЭК? Является ли тестирование обновлений по методике частью VM-процесса?

5. Что вы думаете о проекте "Руководства по управлению уязвимостями программного обеспечения и программно-аппаратных средств в органе (организации)" ФСТЭК? Ваше VM-решение позволит работать по этому процессу?