Top.Mail.Ru
Мы на Workspace
Наверх
8(863)303-51-41
Заказать звонок
phone phone phone phone
Gendalf Gendalf
Главная  →  Новости  →  ЗПДн 
109

Новая методика ФСТЭК по проверке защищенности информационных систем: как будут проверять?

Полный обзор изменений в требованиях по сканированию уязвимостей согласно 117 и 235 приказам ФСТЭК.. Актуальная информация для специалистов.

Содержание

В конце 2025 года ФСТЭК России утвердил важный документ — новую методику анализа защищенности информационных систем. Этот документ определяет, как теперь будут проходить проверки безопасности данных в организациях.

Для чего применяется новая методика

Методика объясняет, как проводить проверку защищенности информационных систем (тестировать их защиту). Она нужна в трех основных случаях.

  1. Для официальной аттестации системы. Когда нужно доказать, что ваша система соответствует всем требованиям ФСТЭК по защите информации (по таким приказам, как №117, №21, №31, №235, №239).

  2. Для плановой внутренней проверки. Когда вы сами контролируете, насколько хорошо защищена конфиденциальная информация от утечек и несанкционированных изменений.

  3. Для оценки уровня защиты. Когда требуется понять, соответствуют ли ваши системы установленным стандартам безопасности и достаточно ли тех мер защиты, которые уже внедрены.

Решение о начале анализа уязвимостей принимает руководитель организации. Работы выполняет компания с лицензией ФСТЭК России на основании договора.

Основные этапы проверки

Весь процесс делится на три обязательных этапа.

  • Сначала специалисты проводят первичный анализ и находят слабые места.

  • Затем ваша организация эти проблемы устраняет.

  • В завершение проводится повторная проверка, чтобы убедиться, что все уязвимости исправлены.

Эти три шага должны быть четко прописаны в договоре.

Как проходит проверка

Процесс охватывает как внешние, так и внутренние ресурсы. Отдельно важно отметить: если в ходе инвентаризации обнаруживаются неиспользуемые сетевые адреса, домены или сервисы, исполнитель обязан сообщить об этом заказчику, так как они представляют потенциальный риск.

  • Для внешних ресурсов (С1) информация собирается следующими способами.

    • Поиск в интернете данных об IP-адресах и доменах организации с использованием открытых сервисов.

    • Автоматическое сканирование найденных адресов с помощью специальных инструментов.

    • Изучение документации и проведение собеседований с сотрудниками заказчика.

  • Для внутренних ресурсов (С2) применяются аналогичные методы:

    • Сканирование внутренней сети автоматизированными средствами.

    • Анализ конфигураций из систем управления и мониторинга.

    • Интервью с техническими специалистами и изучение документации.

Результаты подготовительного этапа

По итогам инвентаризации формируется полная картина системы, которая включает:

  1. Точный перечень компонентов: Операционные системы, программы, средства защиты и их версии.

  2. Данные об обновлениях: Информация об установленных актуальных обновлениях безопасности.

  3. Схема сети: Подробная архитектура сети с IP-адресами и доменными именами.

  4. Сведения об аутентификации: Информация о том, как организован вход пользователей в систему.

  5. Данные о конфигурациях: Сведения о стандартных настройках систем и приложений.

Цели внешнего и внутреннего анализа

Главные задачи проверки едины для обоих видов анализа:

  • Выявление известных уязвимостей в программном обеспечении.

  • Обнаружение ошибок в настройках конфигураций систем.

  • Поиск слабых мест в аутентификации, таких как стандартные или простые пароли.

  • Обнаружение уязвимостей в коде и настройках веб-приложений, мобильных приложений и систем, использующих машинное обучение.

Особое внимание во внутреннем анализе (С2) уделяется проверке средств контейнеризации.

Оценка найденных уязвимостей

После обнаружения проблем оценивается их критичность по методике ФСТЭК от 30 июня 2025 года. Совместная оценка проводится исполнителем и заказчиком.

Порядок действий в зависимости от уровня угрозы.

  • Критический и высокий уровень. Устранение обязательно и безотлагательно.

  • Средний и низкий уровень. Требуется экспертная оценка возможности реального использования уязвимости злоумышленником.

Если уязвимость среднего или низкого уровня может привести к негативным последствиям, ее необходимо устранить. Если непосредственной угрозы нет, исправление планируется на будущее в рамках регулярного процесса управления уязвимостями. Такие несрочные проблемы не влияют на итоговое заключение текущей проверки.

Итоговое заключение и анализ

После обнаружения недостатков определяется уровень их критичности. Оценка проводится специалистами исполнителя совместно с представителями заказчика, в соответствии с методикой ФСТЭК России от 30 июня 2025 года.

Действия различаются в зависимости от присвоенного уровня опасности

  1. Уязвимости критического и высокого уровня подлежат безусловному и немедленному устранению.

  2. Уязвимости среднего и низкого уровня требуют проведения дополнительной экспертной оценки. Специалисты анализируют, может ли злоумышленник реально использовать данную слабость для атаки на информационную систему.

Если экспертная оценка показывает, что уязвимость может привести к негативным последствиям, заказчик обязан ее устранить.

Если уязвимость не представляет непосредственной угрозы, ее устранение планируется на более поздний срок в рамках регулярного процесса управления уязвимостями, регламентированного Руководством ФСТЭК от 17 мая 2023 года.

Такие уязвимости не являются препятствием для получения положительного заключения по итогам текущего анализа защищенности.

Завершающий этап проверки

После выполнения заказчиком всех необходимых работ по устранению выявленных уязвимостей, исполнитель проводит повторный анализ защищенности. Целью этой проверки является подтверждение того, что все критические недостатки были успешно устранены.

Главное требование: основная проверка должна проводиться с помощью специальных средств, сертифицированных ФСТЭК. Использование других инструментов допускается, но в отчете нужно будет подробно объяснить, почему они понадобились.

Что это значит для организации

Новая методика требует более системного подхода к безопасности.

  • Необходимо планировать не только саму проверку, но и время на исправление проблем

  • Важно поддерживать актуальную документацию по информационным системам

  • Следует обращать внимание на безопасность новых технологий, внедряемых в компании

Проверка безопасности теперь становится не разовым мероприятием, а частью постоянного цикла работ по защите информации.

Проведем анализ защищенности ИС в соответствии с новой методикой ФСТЭК

И предоставим вам качественные результаты.

Оставить заявку
Защита данных Аттестация ИС ФСТЭК
Поделиться  

Рейтинг статьи:

4.9

(на основе 11 голосов)

Читайте также

Как выполнить требования ФСТЭК для подключения к ГИС Профилактика? Отвечаем на вопросы

Тревожный симптом: о чем говорит желание «присматривать» за администраторами данных

Аттестация рабочих мест: как это не повредить, а укрепить систему безопасности

Подписывайтесь на нас в соцсетях

Рейтинг сайта:

4.8

(на основе 569 голосов)

Материалы сайта gendalf.ru носят информационный характер и не являются публичной офертой.
Вы можете использовать материалы данного сайта, при условии наличия ссылки (или гиперссылки) на источник gendalf.ru.
На странице использованы графические материалы: Изображения https://www.freepik.com, иконки www.flaticon.com.

© 1993-2026 ГЭНДАЛЬФ