8 800 201-20-70Звонок бесплатный
Контакты it_law_security Поиск
RTM Group » Новости » ФСТЭК России опубликовала Методику анализа защищенности информационных систем

ФСТЭК России опубликовала Методику анализа защищенности информационных систем

26 ноября 2025
ФСТЭК России опубликовала Методику анализа защищенности информационных систем

25 ноября 2025 года ФСТЭК России утвердила методический документ «Методика анализа защищенности информационных систем». Документ разработан в целях установления единого порядка организации и проведения работ по выявлению и оценке уязвимостей в информационных системах (ИС), автоматизированных системах управления (АСУ) и информационно-телекоммуникационных сетях (ИТС).

Методика является обязательной к применению при проведении работ по аттестации объектов информатизации, контроле уровня защищенности конфиденциальной информации, а также при оценке соответствия систем установленным требованиям по защите информации.

Ключевые технические требования

Документ вводит ряд существенных дополнений к процедурам анализа защищенности:

  1. Методика устанавливает детальные перечни проверок для современных технологических стеков, включая средства виртуализации, компоненты контейнеризации (Docker, Kubernetes) и модели машинного обучения (ИИ). В частности, предусмотрен контроль устойчивости ИИ-моделей к искажению поведения через манипуляцию входными данными (промтами)
  2. Одним из этапов анализа защищенности теперь является выявление уязвимостей программного кода, архитектуры и конфигурации с последующей экспертной оценкой возможности их эксплуатации потенциальным нарушителем
  3. Внутренний анализ уязвимостей должен проводиться от лица привилегированного пользователя с правами администратора. Заказчик обязан обеспечить создание тестовых учетных записей и резервирование данных перед началом работ
  4. Приоритетным является использование средств выявления уязвимостей, сертифицированных ФСТЭК России. Использование инструментария собственной разработки или свободно распространяемого ПО допускается только при условии обоснования его необходимости в отчетной документации
  5. Для рабочих мест (АРМ) допускается проверка только 30% от общего количества, если их конфигурация не менялась относительно типовой в процессе эксплуатации
  6. В договорах на проведение работ теперь должны быть зафиксированы три обязательных этапа: первичный анализ, устранение выявленных недостатков заказчиком и повторный контроль (верификация) устранения уязвимостей

Оценка результатов и документирование

Уязвимости критического и высокого уровней опасности подлежат обязательному устранению. Для уязвимостей среднего и низкого уровней допускается принятие решения об их допустимости на основании экспертной оценки вектора атаки и модели угроз конкретной системы.

Результаты работ оформляются в виде отчета или протокола, содержащего данные инвентаризации, описание процесса тестирования, результаты оценки критичности и рекомендации по усилению мер защиты

Выводы для операторов ИС

Утверждение данной Методики систематизирует процесс управления уязвимостями и повышает требования к качеству аттестационных испытаний.

Операторам систем необходимо привести внутренние регламенты безопасности в соответствие с новыми требованиями регулятора, особенно в части инвентаризации активов и контроля настроек конфигурации системного и прикладного ПО.