Новая методика анализа защищенности информационных систем

25 ноября 2025 года ФСТЭК России утвердила Методику анализа защищенности информационных систем (информационное сообщение № 240/22/6902 опубликовано 4 декабря 2025 г.). Документ впервые на уровне методических указаний детально регламентирует порядок выявления и оценки уязвимостей в информационных системах, автоматизированных системах управления (АСУ) и информационно-телекоммуникационных сетях.

Главное изменение: от разрозненных проверок к стандартизированному процессу

Новая Методика делает анализ уязвимостей структурированной и обязательной процедурой в рамках аттестации и контроля защищенности. Документ жестко формализует как состав работ, так и требования к доказательной базе — отчетности, которую необходимо представлять регулятору.

Ключевые положения Методики:

1. Структурированный процесс с обязательными этапами: Внедряется единый порядок работ, включающий два обязательных вида сканирования — внешнее (анализ периметра и сервисов, доступных извне) и внутреннее (анализ всей внутренней инфраструктуры).

2. Квалифицированный исполнитель: Работы по анализу уязвимостей могут выполнять исключительно специалисты по защите информации заказчика или организации, имеющие лицензию ФСТЭК России на техническую защиту конфиденциальной информации (ТЗКИ).

3. Четкие критерии оценки уязвимостей: Оценка значимости уязвимостей проводится по Методике ФСТЭК от 30 июня 2025 г. Уязвимости критического и высокого уровня подлежат обязательному устранению. По уязвимостям среднего и низкого уровня проводится экспертная оценка с принятием решения об устранении либо передаче в процесс управления.

4. Возможность выборочного анализа АРМ: Допускается анализ уязвимостей в отношении 30% типовых автоматизированных рабочих мест (при условии их однотипности по составу и настройкам).

5. Современные технологии: Методика впервые включает требования к анализу защищенности компонентов контейнерных сред и микросервисной архитектуры.

6. Жесткие требования к отчетности: Отчетные документы должны включать протокол, перечень выявленных уязвимостей с указанием критичности, рекомендации по устранению, результаты повторного анализа и итоговое заключение.

Связь с Приказом № 117

Важно отметить, что данная Методика непосредственно связана с вступающим в силу 1 марта 2026 г. Приказом ФСТЭК № 117, который обязывает все государственные организации проводить контроль уровня защищенности информации не реже одного раза в три года. Отчет по итогам такой проверки необходимо будет направлять в ФСТЭК России.

Что это значит для владельцев информационных систем?

Де-факто обязательной Методика становится в контуре аттестации объектов информатизации: состав и содержание работ по анализу уязвимостей должны быть включены в программы и методики аттестационных испытаний. Для заказчиков это означает усложнение процедуры аттестации, рост организационных затрат и необходимость выстраивания системного процесса управления уязвимостями.

При этом Методика утверждена как методический документ, а не нормативно-правовой акт. Ее применение целесообразно в ситуациях, когда требуется официальное подтверждение соответствия и управляемый, воспроизводимый результат — например, при подготовке к проверкам и представлении материалов регулятору.

Наша помощь

Специалисты нашей организации готовы оказать полный спектр услуг по анализу защищенности вашей информационной системы в строгом соответствии с новой Методикой ФСТЭК, включая:

• Проведение внешнего и внутреннего сканирования уязвимостей;

• Оценку критичности выявленных уязвимостей;

• Подготовку всей необходимой отчетности по требованиям регулятора;

• Помощь во включении процедур анализа в программы аттестационных испытаний.

Для получения детальной консультации обращайтесь к нам любым удобным способом.