Обзор методики анализа защищенности ИС

В целях регламентации работ по организации и проведению мероприятий по выявлению и оценке возможностей уязвимостей в информационных системах (далее – ИС) 25.11.2025 ФСТЭК России утвердила методический документ «Методика анализа защищенности информационных систем» (далее – Методика анализа защищенности, Методика).

Документ отражает развитие регуляторного подхода в сторону большей практической применимости, гибкости и соответствия современным технологиям:

1. Впервые на уровне открытого методического документа включены требования к анализу защищенности компонентов:

   1. систем с использованием технологий искусственного интеллекта;

   2. контейнерных сред;

   3. микросервисной архитектуры.

2. Введены требования к управлению рисками на основе экспертной оценки уровней критичности уязвимостей.

3. Экспертная оценка выявленных уязвимостей проводится с учетом модели угроз безопасности информации (далее – УБИ) заказчика (оператора).

Область применения

Методика предназначена для организации и проведения работ по анализу защищенности ИС в ходе проведения:

1. Аттестации ИС на соответствие требованиям по защите информации, установленным:

• Требованиям о защите информации, содержащейся в государственных ИС, иных ИС государственных органов, государственных унитарных предприятий, государственных учреждений, утвержденные приказом ФСТЭК России от 11.04.2025 № 117.

• Требованиям к обеспечению защиты информации, содержащейся в ИС управления производством, используемых предприятиями оборонно-промышленного комплекса, утвержденные приказом ФСТЭК России от 28.02.2017 № 31-дсп.

• Требованиям к созданию систем безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ) Российской Федерации и обеспечению их функционирования, утвержденные приказом ФСТЭК России от 21.12.2017 № 235.

• Требованиям по обеспечению безопасности значимых объектов КИИ РФ, утвержденные приказом ФСТЭК России от 25.12.2017 № 239.

• Требования к обеспечению защиты информации в автоматизированных системах управления производственными процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России от 14.03.2013 г. № 31.

2. Контроля уровня защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в ИС, проводимого в соответствии с требованиями по защите информации.

3. Оценки соответствия ИС требованиям по защите информации (испытаний) и достаточности принимаемых мер по защите информации (обеспечению безопасности), реализация которых предусмотрена этими требованиями.

Организация процесса анализа защищенности ИС

Основными участниками процесса анализа защищенности ИС являются:

• заказчик (оператор) ИС или уполномоченное ими лицо, которое принимает решение о необходимости проведения анализа, определяет границы работ, предоставляет исходные данные об ИС, а также обеспечивает резервирование информации и компонентов ИС (при необходимости);

• исполнитель – структурное подразделение или организация, имеющие лицензию на деятельность по технической защите конфиденциальной информации (далее – ТЗКИ) (с правом проведения работ и оказания услуг по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации, по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации), выданную ФСТЭК России.

Методика предусматривает условия и ограничения при проведении анализа уязвимостей, которые подлежат включению в договор или иной документ, на основании которого проводятся испытания, а именно:

1. процедура анализа уязвимостей ИС, выполняемая исполнителем;

2. устранение заказчиком выявленных уязвимостей ИС;

3. повторный анализ с целью проверки принятых мер.

Виды анализа: внешнее и внутреннее сканирование

В ходе анализа уязвимостей применяются:

• внешнее сканирование (С1), в ходе которого исполнителем проводится анализ периметра ИС;

• внутреннее сканирование (С2), в ходе которого исполнителем проводится анализ информационной инфраструктуры, находящейся внутри периметра (внутренней инфраструктуры).

Ключевые отличия видов сканирований приведены в таблице ниже.

Вид сканирования	Внешнее (С1)	Внутреннее (С2)
Месторасположение исполнителя	Удаленно (из сети Интернет)	Внутри периметра ИС посредством локального или удаленного доступа
Объекты анализа	Периметр ИС: телекоммуникационное оборудование, средства защиты информации (далее – СрЗИ), программное обеспечение (далее – ПО), сетевые сервисы и службы, приложения	Внутренняя инфраструктура: автоматизированные рабочие места (далее – АРМ), серверы, телекоммуникационное оборудование, СрЗИ, программируемые логические контроллеры (далее – ПЛК), средства автоматизации технологических процессов (далее – SCADA-системы) и «умные» устройства
Уровень доступа	Публичные интерфейсы (без аутентификации)	Без аутентификации или с использованием учетных записей привилегированных пользователей

Особенности проведения анализа уязвимостей

Практика показывает, что подрядные организации подвергаются атакам через цепочку поставок, что повышает риск компрометации информационной инфраструктуры исполнителя. В связи с этим в информационной инфраструктуре исполнителя, с использованием которой проводится анализ уязвимостей, а также в отношении каналов взаимодействия указанной инфраструктуры с ИС, должны быть приняты меры по защите информации, препятствующие реализации УБИ ИС со стороны инфраструктуры исполнителя или через нее.

Методика допускает анализ не более, чем 30 % типовых рабочих мест непривилегированных пользователей при условии неизменности их конфигурации по отношению к типовой в процессе эксплуатации. Такой подход позволяет снизить трудозатраты на анализ крупных ИС без снижения качества.

Обращаем внимание, что при проведении работ помимо сертифицированных по требованиям безопасности информации ФСТЭК России средств выявления уязвимостей допускается использование:

• инструментов, имеющих техническую поддержку и возможность адаптации под особенности работ;

• ПО, свободно распространяемое в исходных кодах (open-source-software);

• средств собственной разработки исполнителя.

Размещение инструментария для анализа защищенности в ИС согласуется с заказчиком (оператором). Перед проведением анализа уязвимостей исполнитель проверяет актуальность баз данных уязвимостей, содержащихся в средствах выявления уязвимостей.

Порядок проведения анализа уязвимостей

Методикой определены 4 этапа проведения анализа уязвимостей:

• Этап 1. Сбор исходной информации – инвентаризация сетевых адресов, доменных имен, версий ПО и архитектуры ИС в целом, а также анализ конфигураций, проектной документации и интервьюирование специалистов заказчика.

• Этап 2. Внешний анализ уязвимостей – поиск известных уязвимостей и анализ кода компонентов, доступных из сети «Интернет».

• Этап 3. Внутренний анализ уязвимостей – выявление известных уязвимостей системного и прикладного ПО, уязвимостей аутентификации, а также анализ ПЛК, SCADA-систем и «умных» устройств.

• Этап 4. Оценка выявленных уязвимостей  – экспертная оценка выявленных уязвимостей в соответствии с методическом документом ФСТЭК России от 30.06.2025 «Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств» (далее – Методика оценки уязвимостей).

Система оценки выявленных уязвимостей

Методика анализа защищенности в соответствии с Методикой оценки уязвимостей устанавливает условия работы с выявленными уязвимостями:

• обязательное устранение заказчиком (оператором) всех уязвимостей критического и высокого уровней опасности;

• проведение экспертной оценки возможности использования злоумышленником уязвимостей среднего и низкого уровней опасности.

Отметим, что уязвимости среднего и низкого уровней, которые по результатам оценки не могут быть использованы нарушителем, подлежат устранению в соответствии с методическим документом ФСТЭК России от 17.05.2023 «Руководство по организации процесса управления уязвимостями в органе (организации)».

Документирование результатов анализа уязвимостей

Согласно Методике, по результатам работ должен быть подготовлен комплексный отчет или протокол (при проведении аттестационных испытаний) – (далее – отчет (протокол), в котором приведены:

1. Основание проведения работ, сведения о заказчике и исполнителе работ, сроки и цели работ.

2. Описание инструментария для выявления уязвимостей.

3. Результаты инвентаризации со списком IP-адресов, портов, сервисов и версий ПО.

4. Описание процесса внешнего и внутреннего тестирования.

5. Перечень выявленных уязвимостей с описанием каждой из них.

6. Результаты оценки уязвимостей на основании Методики оценки уязвимостей.

7. Перечень уязвимостей, подлежащих устранению в ходе анализа.

8. Рекомендации по устранению уязвимостей.

9. Результаты повторного анализа уязвимостей.

10. Ограничения и запреты, накладываемые заказчиком.

Состав информации в отчете (протоколе) должен позволять определить перечень выявленных уязвимостей и применяемую методику анализа. Проведенные действия должны быть подтверждены документированными отчетами используемого инструментария, скриншотами, текстовыми описаниями.

Вывод

Таким образом, Методика анализа защищенности формирует практический и риск‑ориентированный подход к выявлению уязвимостей ИС. Она сочетает автоматизированное сканирование с экспертной оценкой, учитывающей архитектуру ИС, используемые технологии, модель угроз заказчика и контекст эксплуатации. Такой подход обеспечивает релевантность результатов, позволяет выявлять критические и высоко-опасные уязвимости, а также корректно оценивать угрозы среднего и низкого уровней.