Оставить заявку
Заполните форму, и мы свяжемся с вами в ближайшее время
Задать вопрос Технической поддержке
Заполните форму, и мы свяжемся с вами в ближайшее время
Начиная пользоваться Сайтом, Вы считаетесь принявшими условия Пользовательского Соглашения и соглашаетесь на обработку данных о Вас АО «ЭЛВИС‑ПЛЮС», сервисами Яндекс.Метрика в порядке и целях, указанных в этом Соглашении, и в соответствии с Политикой обработки персональных данных. Если Вы не согласны с этими условиями, покиньте Сайт
ФСТЭК России совершенствует методический аппарат по аттестации объектов информатизации
22.12.2025
Булаев Михаил Александрович, ведущий консультант-аналитик
На конференции «Актуальные вопросы защиты информации», проведённой 14 февраля 2024 г. в рамках ежегодного ТБ-форума, ФСТЭК России анонсировала разработку трёх методических документов, которые устанавливают методические подходы для проведения инструментальных проверок, которые должны производиться при аттестации объектов информатизации, порядок которой устанавливается приказом ФСТЭК России от 29 апреля 2021 г. № 77. К этим проверкам относятся:
- тестирование функций безопасности (функциональное тестирование) системы защиты;
- анализ уязвимостей с использованием средств контроля эффективности защиты информации от несанкционированного доступа;
- испытание системы защиты информации путем осуществления попыток несанкционированного доступа (воздействия) в обход системы защиты информации с использованием средств тестирования.
В рамках реализации этих планов 12 декабря этого года ФСТЭК России опубликовала на своём сайте Методический документ «Методика анализа защищенности информационных систем», утверждённый ФСТЭК России 25 ноября 2025 г.
Методика устанавливает порядок (процедуру) выявления (анализа) уязвимостей информационных систем с последующей оценкой возможности их использования нарушителем для реализации угроз безопасности информации (векторов атак).
Методика устанавливает порядок (процедуру) выявления (анализа) уязвимостей информационных систем с последующей оценкой возможности их использования нарушителем для реализации угроз безопасности информации (векторов атак).
Методика может применяться в ходе:
а) аттестации ИС (основное применение), в случае проведения аттестации на соответствие требованиям, установленным следующими нормативными актами:
в) оценки соответствия ИС требованиям по защите информации (испытания) и достаточности принимаемых мер по защите информации), реализация которых предусмотрена требованиями по защите информации.
Основной областью применения Методики являются случаи, когда аттестация ИС в соответствии с нормативными документами ФСТЭК России является обязательной или аттестация проводится по решению владельца ИС на соответствие перечисленным выше требованиям.
а) аттестации ИС (основное применение), в случае проведения аттестации на соответствие требованиям, установленным следующими нормативными актами:
- Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, утвержденные приказом ФСТЭК России от 11 апреля 2025 г. № 117;
- Требования к обеспечению защиты информации, содержащейся в информационных системах управления производством, используемых предприятиями оборонно-промышленного комплекса, утвержденные приказом ФСТЭК России от 28 февраля 2017 г. № 31;
- Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденные приказом ФСТЭК России от 21 декабря 2017 г. № 235;
- Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом ФСТЭК России от 25 декабря 2017 г. № 239;
- Требования к обеспечению защиты информации в автоматизированных системах управления производственными процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России от 14 марта 2013 г. № 31;
- Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. № 21.
в) оценки соответствия ИС требованиям по защите информации (испытания) и достаточности принимаемых мер по защите информации), реализация которых предусмотрена требованиями по защите информации.
Основной областью применения Методики являются случаи, когда аттестация ИС в соответствии с нормативными документами ФСТЭК России является обязательной или аттестация проводится по решению владельца ИС на соответствие перечисленным выше требованиям.
Что устанавливает новый методический аппарат?
В ходе выявления (анализа) уязвимостей должны применяться следующие виды анализа:
а) внешнее сканирование (С1), в ходе которого исполнителем проводится анализ периметра информационной системы из сети «Интернет»;
б) внутреннее сканирование (С2).
Анализ уязвимостей предусматривает следующие этапы проведения:
а) сбор исходной информации;
б) внешний анализ уязвимостей;
в) внутренний анализ уязвимостей;
г) оценка выявленных уязвимостей.
Для каждого этапа анализа уязвимостей Методика устанавливает подробный перечень проводимых работ.
При проведении анализа уязвимостей ИС должны применяться сертифицированные по требованиям безопасности информации ФСТЭК России средства выявления уязвимостей.
В ходе выявления (анализа) уязвимостей должны применяться следующие виды анализа:
а) внешнее сканирование (С1), в ходе которого исполнителем проводится анализ периметра информационной системы из сети «Интернет»;
б) внутреннее сканирование (С2).
Анализ уязвимостей предусматривает следующие этапы проведения:
а) сбор исходной информации;
б) внешний анализ уязвимостей;
в) внутренний анализ уязвимостей;
г) оценка выявленных уязвимостей.
Для каждого этапа анализа уязвимостей Методика устанавливает подробный перечень проводимых работ.
При проведении анализа уязвимостей ИС должны применяться сертифицированные по требованиям безопасности информации ФСТЭК России средства выявления уязвимостей.
По результатам проведения внешнего анализа формируется перечень уязвимостей периметра ИС, включающий:
- уязвимости программного обеспечения телекоммуникационного оборудования и межсетевых экранов, находящихся на периметре информационной системы;
- уязвимости конфигурации сетевой инфраструктуры периметра информационной системы;
- уязвимости сетевых служб, сервисов, веб-серверов, приложений, мобильных приложений, систем управления базами данных, операционных систем, прокси-серверов и иного программного обеспечения, интерфейсы которых доступны из сети «Интернет»;
- уязвимости, связанные с недостатками конфигурации сетевых служб, сервисов, веб-приложений, мобильных приложений, систем управления базами данных, операционных систем, прокси-серверов и иного программного обеспечения, интерфейсы которых доступны из сети «Интернет».
- По результатам проведения внутреннего анализа исполнителем формируется перечень уязвимостей внутренней инфраструктуры информационной системы:
- уязвимости программного обеспечения автоматизированных рабочих мест пользователей информационной системы, серверов, телекоммуникационного оборудования, средств защиты информации;
- уязвимости конфигурации автоматизированных рабочих мест пользователей информационной системы, серверов, телекоммуникационного оборудования, средств защиты информации;
- уязвимости системного и прикладного программного обеспечения;
- уязвимости конфигурации системного и прикладного программного обеспечения (операционных систем, систем управления базами данных, сетевых служб, сервисов, веб-приложений, серверов приложений и иного программного обеспечения);
- уязвимости конфигурации внутренней сетевой инфраструктуры информационной системы;
- уязвимости программируемых логических контроллеров, средств автоматизации технологических процессов и «умных» устройств.
В случае, если по результатам проведенного анализа выявлены уязвимости ИС, исполнителем совместно с заказчиком (оператором) проводится оценка уровня критичности выявленных уязвимостей в соответствии с «Методикой оценки уровня критичности уязвимостей программных, программно-аппаратных средств», утвержденной ФСТЭК России 30 июня 2025г.
Устанавливается жёсткое требование: заказчиком (оператором ИС) в ходе проведения анализа уязвимостей должны быть приняты меры по устранению всех уязвимостей критического и высокого уровней опасности.
При проведении аттестационных испытаний по результатам анализа уязвимостей должен разрабатываться протокол, в котором отражаются сведения о порядке проведения работ, их результатах, а также информация об ИС, целях, условиях и границах проведения работ, используемых для анализа методах и средствах.
Устанавливается жёсткое требование: заказчиком (оператором ИС) в ходе проведения анализа уязвимостей должны быть приняты меры по устранению всех уязвимостей критического и высокого уровней опасности.
При проведении аттестационных испытаний по результатам анализа уязвимостей должен разрабатываться протокол, в котором отражаются сведения о порядке проведения работ, их результатах, а также информация об ИС, целях, условиях и границах проведения работ, используемых для анализа методах и средствах.