В соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085, ФСТЭК России 25 ноября 2025 г. утверждена Методика анализа защищенности информационных систем (далее — Методика).
В статье кратко рассмотрены основные положения Методики.
Сфера применения
Методика применяется при аттестации информационных систем (ИС), контроле уровня защищенности и оценке соответствия ИС требованиям по защите информации.
Объекты проведения анализа уязвимостей
- государственные ИС, иные ИС государственных органов, государственных унитарных предприятий, государственных учреждений (приказ ФСТЭК России от 11 апреля 2025 г. № 117);
- ИС управления производством, используемые предприятиями оборонно-промышленного комплекса (приказ ФСТЭК России от 28 февраля 2017 г. № 31);
- значимые объекты критической информационной инфраструктуры Российской Федерации (приказы ФСТЭК России: от 21 декабря 2017 г. № 235, от 25 декабря 2017 г. № 239);
- автоматизированные системы управления производственными процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды (приказ ФСТЭК России от 14 марта 2013 г. № 31);
- информационные системы персональных данных (приказ ФСТЭК России от 18 февраля 2013 г. № 21).
Основание для проведения работ
- приказ, распоряжение или иной документ при самостоятельном проведении;
- договор или иной документ заключенный между заказчиком (оператором) и исполнителем, содержащий следующие этапы:
- анализ уязвимостей информационной системы, выполняемый исполнителем;
- устранение заказчиком выявленных уязвимостей информационной системы;
- повторный анализ уязвимостей информационной системы с целью проверки устранения заказчиком (оператором) уязвимостей информационной системы.
Порядок проведения анализа уязвимостей
- сбор исходной информации;
- внешний анализ уязвимостей;
- внутренний анализ уязвимостей;
- оценка выявленных уязвимостей.
По результатам сбора исходной информации формируются следующие исходные данные, необходимые для проведения внешнего и внутреннего сканирования:
- cостав и версии системного и прикладного программного обеспечения, средств защиты информации, а также сетевых служб и приложений;
- наличие актуальных обновлений системного и прикладного программного обеспечения, средств защиты информации, а также сетевых служб и приложений;
- архитектура (карта) сети передачи данных информационной системы и ее сегментов (при наличии), включая перечень IP-адресов, доменных имен;
- способы и технологии идентификации и аутентификации пользователей информационной системы, включая типы пользователей, учетные данные пользователей;
- сведения о типовых конфигурациях системного и прикладного программного обеспечения, средств защиты информации, а также сетевых служб и приложений (при их наличии).
Внешнее и внутренние сканирование
№ | Виды анализа | Описание | Методы анализа | Объекты анализа |
1 | Внешнее сканирование (С1) | Анализ уязвимостей ИС из сети «Интернет». Выполняется удаленно без доступа внутрь периметра ИС. | • сравнение наименований, версий программного обеспечения, а также иных атрибутов с базой данных уязвимостей, размещенных в банке данных угроз безопасности информации ФСТЭК России, а также иных базах данных уязвимостей, (пассивные методы анализа уязвимостей) в автоматизированном режиме; • выявление уязвимостей на основе анализа поведения программного обеспечения путем формирования специальных тестовых запросов (активные методы сканирования) и анализа конфигураций и настроек. | • публично доступные IP-адреса и доменные имена; • сетевые службы и сервисы, размещённые на периметре ИС (веб-серверы, почтовые серверы, DNS, FTP, RDP/SSH и др.); • интерфейсы прикладного программного обеспечения (API, веб-приложения), доступные извне; • службы удалённого доступа и управления |
2 | Внутреннее сканирование (С2) | Анализ уязвимостей ИС изнутри периметра, с доступом к внутренней ИТ-инфраструктуре. Может выполняться как локально, так и удалённо (при наличии защищённого подключения и только по согласованию с заказчиком). | • серверы и автоматизированные рабочие места (физические и виртуальные); • сетевое оборудование (маршрутизаторы, коммутаторы); • системы хранения данных и СУБД; • ОС и прикладное ПО (офисные программы, CRM, ERP и др.); • средства защиты информации (СЗИ), развёрнутые внутри ИС; • средства виртуализации и контейнеризации (VMware, Hyper-V, Docker, Kubernetes и др.); • мобильные приложения (если используются); • «умные» устройства(если используются); • системы ИИ/машинного обучения (если применяются); • программируемые логические контроллеры (ПЛК) (в АСУ ТП); • учётные записи пользователей, политики аутентификации |
Примечания:
- необходимый перечень работ указан в п.3.2.5 (таблица 2 для С1) и п.3.3.5 (таблица 3 для С2) Методики;
- границы для каждого типа сканирования обязательно согласовываются между заказчиком (оператором) и исполнителем до начала работ (п. 2.5., 2.13. – 2.15. Методики);
- внутреннее сканирование (С2) проводится от лица привилегированного пользователя с административными правами доступа и правами сетевого доступа. В этом случае заказчик (оператор) организует создание соответствующей тестовой привилегированной учетной записи для проведения анализа уязвимостей, которая подлежит удалению (блокированию) заказчиком после завершения проведения испытаний (п. 2.11. Методики);
- состав и содержание работ по анализу уязвимостей, проводимых в рамках аттестации ИС, в ходе оценки соответствия ИС или контроля защищенности информации от несанкционированного доступа включается в программу и методики аттестационных испытаний, приказ, распоряжение руководителя заказчика (оператора) или уполномоченного им лица на проведение работ (в случае проведения работ структурным подразделением, специалистами по защите информации) или в иной документ, на основании которого исполнителем проводятся испытания.
Средства, применяемые при сканировании
- при проведении анализа уязвимостей ИС применяются сертифицированные по требованиям безопасности информации ФСТЭК России средства выявления уязвимостей;
- дополнительно могут применяться иные инструментальные средства, функциональные возможности которых обеспечивают реализацию положений Методики, имеющие техническую поддержку и возможность адаптации (доработки) под особенности проводимых работ, либо свободно распространяемые в исходных кодах, либо средства собственной разработки, не имеющие каких-либо ограничений по их применению, адаптации (доработке) на территории Российской Федерации.
Допускается использовать средства выявления уязвимостей, принадлежащие исполнителю, и (или) по согласованию с исполнителем средства выявления уязвимостей заказчика (оператора).
Оценка и устранение уязвимостей
№ | Уровень критичности | Действие заказчика (оператором) | Действие исполнителя |
1 | Критический/ Высокий | Устранение уязвимости в ходе проведения анализа (п.3.4.4. Методики). | Формирование рекомендаций по устранению выявленных уязвимостей и принятию мер защиты информации в части: • обновления программного обеспечения (приоритетно); • изменения архитектуры и конфигурации информационной системы; • реализации дополнительных мер защиты информации и (или) установки дополнительных средств защиты информации. (п. 3.4.7. Методики). Повторное проведение анализа уязвимостей ИС с целью подтверждения устранения заказчиком (оператором) выявленных уязвимостей ИС (п. 3.4.9. Методики). |
2 | Средний/Низкий с возможностью использования потенциальным нарушителем | Участие в экспертной оценке возможности использования, предоставление исполнителю необходимой информации. Устранение уязвимости в ходе проведения анализа (п.3.4.5. Методики). | Участие в экспертной оценке возможности использования, принятие решения о возможности использования уязвимости. Формирование рекомендаций по устранению выявленных уязвимостей и принятию мер защиты информации в части: • обновления программного обеспечения (приоритетно); • изменения архитектуры и конфигурации ИС; • реализации дополнительных мер защиты информации и (или) установки дополнительных средств защиты информации. (п. 3.4.7. Методики); Повторное проведение анализа уязвимостей ИС с целью подтверждения устранения заказчиком (оператором) выявленных уязвимостей ИС (п. 3.4.9. Методики). |
3 | Средний/Низкий без возможности использования потенциальным нарушителем | Участие в экспертной оценке возможности использования. Устранение уязвимости после проведения анализа в порядке, установленном в Руководстве по организации процесса управления уязвимостями в органе (организации), утвержденном ФСТЭК России 17 мая 2023 г. (п.3.4.6. Методики). | Участие в экспертной оценке возможности использования, принятие решения о невозможности использования уязвимости. |
Результат сканирования – отчёт (протокол)
По результатам проведения анализа уязвимостей исполнителем разрабатывается отчет или протокол (при проведении аттестационных испытаний) (п. 4.1. Методики).
Отчет (протокол) должен содержать (п. 4.2. Методики):
- сведения об основании для проведения работ, наименования заказчика и исполнителя работ, сроки проведения работ, их цели и задачи;
- информация об используемых средствах выявления уязвимостей, а также инструментальных средствах;
- результаты инвентаризации информационной системы, включающие перечень адресов, портов, сетевых служб, сервисов, интерфейсов, а также перечень программного обеспечения, содержащегося в ИС;
- краткое описание процесса проведения внешнего и внутреннего тестирования;
- перечень выявленных уязвимостей ИС, а также описание выявленных уязвимостей с приложением отчетов, сформированных средствами выявления уязвимостей;
- результаты оценки критичности выявленных уязвимостей ИС;
- перечень выявленных уязвимостей ИС, подлежащих устранению в ходе анализа уязвимостей, с обоснованием необходимости их устранения для предотвращения реализации угроз безопасности информации (векторов атак), приводящих к возникновению негативных последствий;
- рекомендации исполнителя по устранению выявленных уязвимостей ИС;
- результаты повторного анализа уязвимостей ИС, проводимого с целью подтверждения устранения заказчиком (оператором) выявленных уязвимостей ИС;
- ограничения, которые заказчик (оператор) накладывает на действия исполнителя в ходе анализа уязвимостей ИС (например, запреты на определенные виды работ, исключение объектов ИС из границ проведения работ, непредставление требуемой информации или доступа для подключения к ИС).
Заключение в части практического применения Методики
1. Методика не устанавливает жёстких временных рамок для выполнения работ. Согласно п. 2.9, период проведения анализа определяется заказчиком по согласованию с исполнителем и фиксируется в договоре или внутреннем распоряжении. При этом заказчик вправе устанавливать перерывы в проведении работ, при которых все работы исполнителем приостанавливаются. Это означает, что фактическая длительность анализа зависит от готовности заказчика: предоставления доступов, устранения выявленных уязвимостей, организации взаимодействия. В случае задержек со стороны оператора сроки могут увеличиваться неограниченно, что критично при проведении аттестации ИС.
2. На практике уязвимости, связанные с использованием небезопасных протоколов (SSL 2.0/3.0, TLS 1.0, SSHv1, SMBv1 и др.), часто включаются в БДУ ФСТЭК России с присвоением уровней «критический» или «высокий».
Методика не предусматривает исключений для случаев, когда уязвимости связаны с технической невозможностью устранения, например:
- использование устаревшего оборудования (промышленные контроллеры, медицинские приборы, встроенные системы), не поддерживающего обновление ПО;
- зависимость от проприетарного ПО поставщика, который не выпускает обновлений;
- отсутствие совместимости с современными протоколами у сторонних систем-партнёров.
При этом, согласно п. 3.4.4 Методики «Заказчиком (оператором) в ходе проведения анализа уязвимостей должны быть приняты меры по устранению всех уязвимостей критического и высокого уровней опасности». Это положение формулируется как обязательное и безусловное требование.
Следовательно, если уязвимость связана с использованием старого протокола и остаётся доступной для потенциального нарушителя (даже теоретически), то заказчик формально не может выполнить требование п. 3.4.4, поскольку устранение технически невозможно. Компенсирующие меры (например, межсетевые экраны, сегментация) не отменяют самого факта наличия уязвимости, если она остаётся в конфигурации системы, но являются единственным решением в данной ситуации. При этом подтверждением невозможности реализации уязвимости должен стать результат тестирования на проникновение, которое также проводится в обязательном порядке в большинстве случаев при проведении аттестации ИС.
Приложение № 1 Предполагаемый алгоритм действий по Методике (при наличии уязвимостей)
№ | Действие | Описание |
1 | Инициация проведения анализа уязвимостей | – Решение руководителя организации (заказчика) – Заключение договора или внутренний приказ |
2 | Подготовительный этап | – Определение границ проведения работ – Сбор исходной информации об ИС: • состав и версии СПО и ППО, СЗИ, сетевых служб и приложений; • наличие актуальных обновлений СПО и ППО, СЗИ, сетевых служб и приложений; • архитектура сети, IP-адреса, доменные имена; • способы и технологии идентификации и аутентификации, включая типы и учетные данные пользователей; • сведения о типовых конфигурациях СПО и ППО, СЗИ, сетевых служб и приложений; – Согласование перечня тестируемых компонентов |
3 | Внешнее (удалённое) сканирование (С1) | – Анализ периметра ИС из сети «Интернет» – Поиск уязвимостей в веб-сервисах, сетевых протоколах, DNS, почтовых службах |
4 | Внутреннее (локальное/удаленное) сканирование (С2) | – Анализ внутренней инфраструктуры: • Серверы, рабочие станции, СУБД • Сетевые устройства, ПО, контейнеры • ОС, средства защиты ИС, прикладные системы |
5 | Идентификация уязвимостей | – Формирование перечня найденных уязвимостей (по результатам С1 и С2) |
6 | Оценка выявленных уязвимостей | – Классификация по уровням: • Критическая/Высокая/Средняя/Низкая – Экспертная оценка (для средних и низких); – Формирование рекомендаций по устранению |
7 | Планирование устранения уязвимостей | – Устранение в ходе проведения работ по анализу уязвимостей: • Критические, высокие • Средние и низкие, признанные эксплуатируемыми – Устранение после проведения анализа уязвимостей в соответствии с порядком, установленным в Руководстве по организации процесса управления уязвимостями в органе (организации), утвержденном ФСТЭК России 17 мая 2023 г.: • Средние и низкие, признанные неэксплуатируемыми |
8 | Повторное проведение анализа уязвимостей | – Повторное сканирование (С1 и/или С2) – Подтверждение устранения уязвимостей |
9 | Формирование отчёта (протокола) | – Разработка отчёта или протокола (при проведении аттестационных испытаний) содержащего: • Сведения о порядке проведения работ • Информацию об ИС, целях, условиях и границах проведения работ • Результат проведения работ |