Этот сайт использует файлы Cookies.
Нажимая ПРИНЯТЬ или продолжая просмотр сайта, Вы даете свое согласие на обработку файлов cookies вашего браузера. Вы можете запретить обработку некоторых типов файлов cookies в настройках вашего браузера. Подробнее
+7 495 786-34-93
+7 495 120-64-46
 

Утверждена новая методика ФСТЭК России для анализа защищённости

ФСТЭК России утвердила Методику анализа защищенности информационных систем (ИС), которая формализует порядок выявления и оценки уязвимостей в ИС, сетях и автоматизированных системах управления (АСУ). Эксперт iTPROTECT Алена Лукашева прокомментировала нововведения.

Методика утверждена 25 ноября 2025 года, информационное сообщение № 240/22/6902 опубликовано 4 декабря 2025 года. Документ применяется при проведении работ по анализу уязвимостей в составе:

  • аттестации ИС на соответствие требованиям по защите информации;

  • контроля уровня защищенности конфиденциальной информации;

  • оценки соответствия ИС требованиям по защите информации (испытаний). 

Фактически Методика прямо привязывается к действующему порядку аттестации по приказу ФСТЭК № 77 и применяется в связке с требованиями по защите информации для ГИС, ЗОКИИ и других категорий систем.

Ключевые положения Методики

Методика делает анализ уязвимостей стандартизированной и обязательной процедурой. Среди основных моментов требований и порядков:

1. Структурированный процесс анализа уязвимостей. Задается единый порядок работ, включающий обязательные виды анализа:

  • внешнее сканирование (С1) — анализ периметра и доступных извне сервисов;

  • внутреннее сканирование (С2) — анализ уязвимостей во внутренней инфраструктуре, включая серверы, сетевое оборудование, СЗИ и рабочие места.

2. Привлекаемые ресурсы. Работы по анализу уязвимостей могут выполнять:

  • специалисты по защите информации заказчика (оператора);

  • организации, имеющие лицензию ФСТЭК России по технической защите конфиденциальной информации (ТЗКИ).

3. Использование сертифицированных средств. При анализе уязвимостей должны применяться сертифицированные средства выявления уязвимостей, иные инструменты могут использоваться только дополнительно.

4. Работа с критичностью уязвимостей. Оценка значимости уязвимостей проводится с учётом действующей Методики оценки уровня критичности уязвимостей программных и программно-аппаратных средств (утверждена ФСТЭК России 30 июня 2025 года). 

Все уязвимости критического и высокого уровня подлежат обязательному устранению, По уязвимостям среднего и низкого уровня проводится экспертная оценка возможности эксплуатации с последующим решением: устранять либо передавать в процесс управления уязвимостями в соответствии с действующим Руководством по организации процесса управления уязвимостями (утверждено ФСТЭК России 17 мая 2023 года). 

5. При анализе АРМ допускается выборка. Можно проводить анализ уязвимостей в отношении 30% типовых рабочих мест, если они однотипны по составу и настройкам.

6. Жёсткие требования к отчетности. Отчетные документы должны включать:

  • отчет (протокол);

  • перечень выявленных уязвимостей с указанием критичности;

  • рекомендации по устранению;

  • результаты повторного анализа уязвимостей

  • итоговое заключение по результатам анализа защищенности.


ФСТЭК России регламентировала подход к анализу защищенности: расширен объём работ и установлены более жёсткие требования к доказательной базе и отчётности. При этом Методика утверждена как методический документ, а не как нормативно-правовой акт. Её применение целесообразно в ситуациях, когда требуется официальное подтверждение соответствия и управляемый, воспроизводимый результат — например, при подготовке к проверкам и представлении материалов регулятору
Алёна Лукашева
Заместитель руководителя департамента консалтинга и аудита iTPROTECT

Де-факто обязательной Методика становится в контуре аттестации объектов информатизации: состав и содержание работ по анализу уязвимостей должны быть включены в программы и методики аттестационных испытаний. Для заказчиков это означает усложнение процедуры аттестации и рост организационных затрат. 

Также 1 марта 2026 года вступают в силу требования 117-го приказа, который обязывает все государственные организации проводить контроль уровня защищенности информации не реже одного раза в три года или после компьютерного инцидента. Отчет по итогам такой проверки необходимо будет направлять во ФСТЭК России.

Государственным органам предстоит выстраивать компетенции по анализу уязвимостей внутри организации либо привлекать подрядчика и обеспечивать условия для проведения работ: предоставлять исходные данные и доступ к инфраструктуре, организовывать устранение выявленных уязвимостей и подтверждать это устранение повторной проверкой.

Нужна консультация по вопросам применения Методики? Напишите нам, и мы поможем.

К новостям
Хотите получать наши новости?
Успейте забрать выгоду
Специальные предложения
на ИБ-продукты от ведущих российских вендоров
Перейти в промо