Главная → Новости → Новая методика ФСТЭК для проверки информационных систем: что изменилось в подходе?

Новая методика ФСТЭК для проверки информационных систем: что изменилось в подходе?

В конце 2025 года ФСТЭК России представила обновленную методику анализа защищенности информационных систем. Документ задает четкие требования к тому, как теперь должны проводиться проверки безопасности данных в частных компаниях и государственных структурах.

Когда применяется методика

Новая версия методики описывает порядок тестирования защищенности ИТ-инфраструктуры и определяет, в каких случаях проводить анализ уязвимостей.

  1. Для официальной аттестации системы. Когда организации нужно подтвердить соответствие требованиям ФСТЭК по защите информации – например, по приказам №117, №21, №31, №235 и №239.

  2. Для плановой внутренней проверки.Когда компания самостоятельно оценивает, насколько надежно защищены данные от утечки или несанкционированного доступа.

  3. Для оценки уровня защиты. Когда требуется понять, соответствуют ли текущие меры безопасности нормативным стандартам и нужны ли дополнительные решения.

Решение о запуске такого анализа уязвимостей остается за руководителем организации. Сами же работы выполняет подрядчик с действующей лицензией ФСТЭК на основе договора.

Основные этапы проверки

Процесс аудита информационной безопасности состоит из трех ключевых шагов:

  1. Первичный анализ. Сканер уязвимостей помогает специалистам выявить слабые места и потенциальные риски.

  2. Устранение проблем. Компания проводит необходимые корректировки и усиливает защиту системы.

  3. Контрольная проверка. Повторный аудит подтверждает, что все выявленные уязвимости устранены, и система соответствует требованиям ФСТЭК.

Эти этапы обязательно фиксируются в договоре между организацией и подрядчиком, проводящим проверку.

Как проходит проверка: этапы и цели анализа уязвимостей

Процедура анализа охватывает все активы компании – как внешние, так и внутренние ресурсы. В процессе инвентаризации нередко выявляются забытые домены, IP-адреса или неиспользуемые веб-сервисы. Исполнитель обязан уведомить заказчика о таких находках, поскольку они часто становятся потенциальными каналами для кибератак.

Проверка внешних ресурсов (категория С1)

Для оценки защищенности внешнего периметра используются сканеры уязвимостей ФСТЭК, а также другие инструменты сетевого анализа.

Сбор данных проводится несколькими методами:

  • Поиск в открытых источниках информации о доменах и IP-адресах компании.

  • Автоматическое сканирование выявленных адресов профессиональными средствами – вплоть до специализированных платформ анализа инфраструктуры.

  • Изучение документации, общение с ответственными сотрудниками и уточнение архитектуры сети.

Проверка внутренних ресурсов (категория С2)

Для внутренней инфраструктуры применяются схожие подходы проверки:

  • Сканирование корпоративных сетей автоматизированными средствами поиска уязвимостей.

  • Анализ данных, полученных из систем мониторинга, журналов событий и панелей централизованного управления.

  • Интервью с инженерами и аудит конфигураций ИТ-компонентов.

Итоги инвентаризации

После завершения подготовительного этапа формируется полное описание системы, включающее:

  • Список используемых операционных систем, программ и защитных средств с указанием версий.

  • Информацию о применяемых обновлениях безопасности.

  • Подробную схему сети с актуальными IP-адресами и доменными именами.

  • Сведения о механизмах аутентификации и уровнях доступа пользователей.

  • Описание стандартных конфигураций систем и приложений.

Цели анализа уязвимостей

Вне зависимости от категории ресурсов цели проверки остаются общими:

  • Обнаружить известные уязвимости в программном обеспечении.

  • Найти ошибки конфигурации и слабые места в настройках систем.

  • Проверить качество аутентификации и устранить использование слабых или стандартных паролей.

  • Найти проблемы в коде и параметрах веб-сервисов, мобильных приложений и решений с элементами машинного обучения.

Особое внимание при внутреннем тестировании (С2) уделяется контейнеризированным средам – именно там часто скрываются неочевидные уязвимости и ошибки конфигурации.

Как оценивают уязвимости и что это значит для компаний

После выявления проблем все найденные уязвимости оценивают по актуальной методике ФСТЭК России от 30 июня 2025 года, которая задает формализованный подход к определению уровня критичности.

Оценка проводится совместно: подрядчик предлагает свой вывод, а представители заказчика учитывают особенности конкретной системы и бизнес-процессов.

Логика действий в зависимости от уровня угрозы

Дальнейшие шаги определяются присвоенным уровнем критичности:

  • Уязвимости критического и высокого уровней подлежат обязательному и максимально оперативному устранению, откладывать их закрытие нельзя.

  • Для уязвимостей среднего и низкого уровня требуется дополнительная экспертная оценка, чтобы понять, может ли злоумышленник реально воспользоваться обнаруженной слабостью.

Если анализ показывает, что даже «несильная» уязвимость способна привести к утечке данных, остановке сервиса или другим негативным последствиям, ее также включают в план обязательного устранения. Если же слабость не создает прямой и актуальной угрозы, ее исправление переносится в плановый процесс управления уязвимостями и не мешает получить положительное заключение по текущей проверке.

Итоговое заключение и повторная проверка

По результатам анализа формируется итоговое заключение, где фиксируются все найденные уязвимости, их критичность и рекомендации по устранению.

После того как заказчик выполнит необходимые работы, подрядчик проводит повторный контрольный анализ, чтобы подтвердить, что критические и высокие уязвимости действительно устранены.

Ключевое техническое требование: основная часть работ по выявлению уязвимостей должна выполняться специалистами, которые будут использовать сканеры уязвимостей ФСТЭК, то есть сертифицированных средств автоматизированного анализа защищенности.

Дополнительные инструменты можно подключать, но в отчете потребуется пояснить, для каких задач они применялись и почему было недостаточно сертифицированного варинта ответа и сканер уязвимостей отсутствовал.

Что меняется для компаний

Новая методика делает анализ уязвимостей и работу со степенью критичности не разовой формальностью, а частью постоянного цикла управления безопасностью.

Для организаций это означает:

  1. Нужно заранее планировать не только саму проверку, но и ресурсы на оперативное устранение критичных и высоких уязвимостей в требуемые сроки.

  2. Важно поддерживать в актуальном состоянии документацию по информационным системам, чтобы результаты сканирования корректно увязывались с реальной архитектурой.

  3. Придется уделять больше внимания безопасности новых технологий – контейнеризации, систем с машинным обучением и облачных компонентов, которые теперь напрямую попадают в контур анализа.

В итоге проверка превращается в регулярный управляемый процесс: выявление, оценка критичности, устранение и контроль исправлений закрепляются как непрерывный цикл работы по защите информации.

Мы проведем анализ защищенности вашей ИС строго по новой методике ФСТЭК России

Вы получите подробный, понятный и обоснованный отчет: перечень уязвимостей, оценка критичности, рекомендации по устранению и результаты повторной проверки после внедрения защитных мер

Оставить заявку

Узнайте больше о наших мероприятиях и образовательных программах. Присоединяйтесь к сообществу профессионалов!

Смотреть все мероприятия
Вернуться к списку
К предыдущей К следующей