ФСТЭК России утвердила новую методику проведения тестирования на проникновение
Федеральная служба по техническому и экспортному контролю утвердила новый документ — «Методика испытаний систем защиты информации информационных систем методами тестирования на проникновение». Соответствующее информационное сообщение № 240/24/4734 было опубликовано 8 сентября 2025 г.
Что нового в методике ФСТЭК о проведении пентеста?
Новая методика стандартизирует организацию, порядок и содержание работ по тестированию на проникновение (пентест).
Согласно официальному сообщению, она будет применяться в рамках следующих процессов:
- Аттестация информационных систем (ИС) по требованиям защиты информации
- Контроль защищенности конфиденциальной информации в ИС
- Оценка соответствия ИС и принимаемых мер по защите информации
Для кого методика проведения тестирования на проникновения обязательна?
Методика становится обязательной для государственных информационных систем (ГИС) и других систем госорганов, госпредприятий и госучреждений 1 и 2 классов защищенности, если они подключены к сети общего пользования «Интернет» или взаимодействуют с внешними системами.
В остальных случаях операторы и владельцы информационных систем могут принимать решение о применении методики самостоятельно.
Порядок проведения пентеста
Отметим, что тестирование на проникновение по новой методике должно проводиться после выполнения двух обязательных этапов:
- Проведения функционального тестирования всех реализованных функций безопасности
- Проведения анализа уязвимостей с помощью сканеров и устранения всех известных недостатков системы защиты
Это закрепляет пентест как финальный этап проверки, который должен оценивать уже настроенную и предварительно проверенную систему защиты.
Как получить документ методики проведения пентеста от ФСТЭК?
Методика на данный момент не находится в открытом доступе. Для ее получения необходимо направить официальный запрос в ФСТЭК России в соответствии с порядком, указанным на сайте регулятора.