Обновлённая методика оценки критичности уязвимостей ФСТЭК от 30.06.2025. Документ выложили вчера. Большая новость для всех VM-щиков России. Думаю мы будем ещё долго обсуждать тонкости новой версии методики. 🙂 Но начнём с главного - кардинального снижения зависимости от CVSS! 🎉👏
🔹 Больше не требуется использовать временную и контекстную метрику CVSS. 👋 Для расчёта потребуется только CVSS Base score, который можно брать из NVD/Mitre, от вендора или ресёрчера.
🔹 Бесполезного перехода на CVSS v4 не случилось. 👍🔥 Закреплена версия CVSS 3.1. Но в случае отсутствия оценки по 3.1 допускается использовать другую версию CVSS.
Фактически реализовано то, что я предлагал в ОСОКА: фиксируем базовые метрики CVSS v3(.1), а вместо временных и контекстных метрик CVSS вводим свои простые и автоматизируемые. 😉
Новые компоненты:
🔻 Iat - наличие эксплоитов и фактов эксплуатации вживую
🔻 Iimp - "последствия эксплуатации" (= тип уязвимости)
Я очень доволен. 😇
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно и моих проектах можете прочитать здесь. Приглашаю подписаться на мой канал @avleonovrus "Управление Уязвимостями и прочее" в MAX или в Telegram. Вы можете обсудить мои посты или задать вопросы в группе ВКонтакте.
And I invite all English-speaking people to another Telegram channel @avleonovcom.
Уведомление: Как определяется успех Анализа Защищённости (АЗ) согласно методике ФСТЭК от 25.11.2025? | Александр В. Леонов
Уведомление: Коллеги из КИТ выложили сегодня "Аналитический отчёт по ключевым изменениям в законодательстве за 2025 год", в котором есть раздел про У