Продолжу тему о критериях успеха в работах по Анализу Защищённости (АЗ). Если провести детектирование уязвимостей в любой достаточно большой организации, неизбежно обнаружатся критические уязвимости. И это абсолютно нормально, ЕСЛИ для всех обнаруженных уязвимостей выполняются следующие условия:
🔹 В организации уже знали про уязвимость на активе, т.е. обнаруживали её с помощью собственных средств детектирования.
🔹 Уязвимость уже была оценена и ей была присвоена степень критичности.
🔹 Для устранения уязвимости уже была заведена задача на конкретного исполнителя с зафиксированным сроком выполнения (в соответствии с принятым SLA) и этот срок ещё не вышел.
Это значит, что VM-процесс в организации успешно функционирует (по БОСПУУ 😉), и АЗ успешно пройден. 🥇👏
Но если в ходе АЗ были обнаружены уязвимости, для которых перечисленные условия НЕ выполняются, это вызывает вопросы к средствам детектирования уязвимостей, используемым в организации, и к практикам их использования. 😏
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно и моих проектах можете прочитать здесь. Приглашаю подписаться на мой канал @avleonovrus "Управление Уязвимостями и прочее" в MAX или в Telegram. Вы можете обсудить мои посты или задать вопросы в группе ВКонтакте.
And I invite all English-speaking people to another Telegram channel @avleonovcom.
Уведомление: Как определяется успех Анализа Защищённости (АЗ) согласно методике ФСТЭК от 25.11.2025? | Александр В. Леонов