25 июня 2025 года ФСТЭК России утвердила Методику испытаний систем защиты информации информационных систем методами тестирования на проникновение (информационное сообщение № 240/24/4734 опубликовано 8 сентября 2025 г.) . Документ впервые на уровне методических указаний детально регламентирует порядок проведения пентестов в рамках аттестации, контроля защищенности и оценки соответствия информационных систем требованиям по защите информации.
Главное изменение: пентест становится обязательным этапом аттестации для ряда систем
Новая Методика делает тестирование на проникновение структурированной и, в ряде случаев, обязательной процедурой. Документ жестко формализует как состав работ, так и требования к доказательной базе, которую необходимо представлять регулятору.
Ключевые положения Методики:
-
Обязательность применения: Пентест по новой Методике в обязательном порядке проводится при аттестации государственных информационных систем (ГИС) и систем госорганов, государственных унитарных предприятий и учреждений 1 и 2 классов защищенности, которые подключены к сети «Интернет» или взаимодействуют с иными информационными системами . Для остальных систем решение о применении Методики принимает обладатель информации или оператор системы.
-
Двухэтапная подготовка: Тестирование на проникновение должно проводиться после выполнения двух обязательных этапов:
-
проведения функционального тестирования всех реализованных функций безопасности;
-
проведения анализа уязвимостей с помощью сканеров и устранения всех известных недостатков системы защиты.
-
-
Критичность результатов: Если в ходе пентеста специалисты получат доступ к информационной системе, показатель защищенности оценивается в 0 баллов по одному или нескольким показателям. Это требует незамедлительного устранения выявленных проблем и повторного тестирования.
-
Связь с оценкой защищенности: Результаты пентестов теперь являются обязательной частью доказательной базы при полугодовой оценке показателя защищенности. Отсутствие результатов пентестов или выявленные в ходе них критические уязвимости могут привести к получению «красного» уровня защищенности.
-
Область применения: Методика предназначена для испытаний систем защиты информации информационных систем, автоматизированных систем управления (АСУ) и информационно-телекоммуникационных сетей в соответствии с Порядком аттестации (Приказ ФСТЭК № 77).
Связь с Приказом № 117 и новой Методикой анализа защищенности
Важно отметить, что данная Методика является логическим продолжением регуляторных изменений 2025 года и формирует комплексный подход к выявлению уязвимостей и тестированию защищенности. Совместно с вступающим в силу 1 марта 2026 г. Приказом ФСТЭК № 117 документ обязывает организации проводить контроль уровня защищенности с обязательным включением процедур пентеста.
Что это значит для владельцев информационных систем?
Для организаций, подпадающих под обязательное применение Методики, это означает:
-
Усложнение процедуры аттестации и рост затрат на проведение квалифицированных пентестов;
-
Необходимость выстраивания системного процесса управления уязвимостями с обязательным подтверждением устранения недостатков;
-
Риск получения нулевых показателей при формальном подходе к защите информации без практического подтверждения эффективности мер.
Фактически регулятор переходит от проверки наличия средств защиты к оценке их реальной эффективности в условиях смоделированной атаки.
Наша помощь
Специалисты нашей организации готовы оказать полный спектр услуг по проведению тестирования на проникновение в строгом соответствии с новой Методикой ФСТЭК, включая:
-
планирование и проведение пентестов с учетом требований к этапности;
-
подготовку всей необходимой отчетности по требованиям регулятора;
-
повторное тестирование после устранения выявленных уязвимостей;
-
помощь во включении процедур пентеста в программы аттестационных испытаний.
Для получения детальной консультации обращайтесь к нам любым удобным способом.
Нет комментариев
Добавить комментарий