Контакты

О центре

Новости

Сервисы

Решения

Услуги

Организация внутреннего Центр мониторинга и реагирования на инциденты ИБ

Построение SOC

Выполнение требований по защите ПДн
в соответствие с 152-ФЗ

Защита персональных данных

Создание централизованной ИБ-системы
на предприятии

Построение СОИБ

Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети

Сетевая безопасность

Минимизация ущерба, выявление причин предотвращение повторных инцидентов

Расследование инцидентов ИБ

Объективная оценка ИБ для повышения уровня киберустойчивости

Аудит ИБ

Внедрение принципов ИБ на всех этапах разработки По от сборки до интеграции и развертывания

Безопасная разработка

Оценка защищенности систем и определение возможных векторов атак

Анализ защищенности

Безопасная разработка в 2026 году

Как 117 приказ ФСТЭК России меняет правила игры и что делать с ИИ

Подробнее

Вперед

Выявление критичных недостатков ИБ и укрепление защиты ИТ-инфраструктуры

Экспресс-повышение уровня защищенности

Подключение к платформе цифрового рубля с полным сопровождением на всех этапах

Цифровой рубль

Выполнение требований 187-ФЗ и организация защиты информационных систем от киберугроз

Комплексная киберзащита субъектов КИИ

Комплексная проверка скрытых признаков компрометации на ИТ-инфраструктуру организации

Compromise Assessment

Предотвращение DDoS-атак любой сложности на уровнях L3 и L4

Анти-DDoS

Безопасная разработка в 2026 году

Как 117 приказ ФСТЭК России меняет правила игры и что делать с ИИ

Подробнее

Вперед

Защита веб-приложений

WAF

Защита конечных точек

EDR

Анализ трафика

NTA

Управление уязвимостями

Sandbox

Автоматизация процессов управления ИБ, рисков и комплаенса

SGRC

Управление учетными записями и доступом

IdM/IGA

Межсетевые экраны нового поколения

NGFW

Управление уязвимостями

Анализ и корреляция событий

SIEM

Вебинары

Разбираем актуальные темы и тренды в рамках кибербезопасности и ИТ

Подробнее

Вперед

Повышение киберграмотности сотрудников

Предотвращение утечек информации

DLP

Многофакторная аутентификация

MFA

Контроль привилегированного доступа

PAM

Управление инцидентами ИБ

IRP/SOAR

Киберразведка

Вебинары

Разбираем актуальные темы и тренды в рамках кибербезопасности и ИТ

Подробнее

Вперед

Комплексное решение для контроля соответствия требованиям ИБ

CheckU

Непрерывный мониторинг и оперативное реагирование на инциденты для минимизации ущерба

УЦСБ SOC

Облачная DevSecOps-платформа
для непрерывного анализа защищенности приложений

Apsafe

CheckU

Решение для внутреннего контроля соответствия требованиям ИБ

Подробнее

Получить рекомендацию

Заполните форму, и специалист Центра кибербезопасности свяжется с вами

Отправить

Нажимая кнопку «Отправить», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года № 152-ФЗ
«О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных

Заказать звонок

Контакты

О центре

Новости

Сервисы

Решения

Услуги

Заказать звонок

Контакты

О центре

Новости

Сервисы

Решения

Сетевая безопасность

Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети

Построение SOC

Организация внутреннего Центр мониторинга и реагирования на инциденты ИБ

Защита персональных данных

Выполнение требований по защите ПДн
в соответствие с 152-ФЗ

Построение СОИБ

Создание централизованной ИБ-системы
на предприятии

Анти-DDoS

Предотвращение DDoS-атак любой сложности на уровнях L3 и L4

Комплексная киберзащита субъектов КИИ

Выполнение требований 187-ФЗ и организация защиты информационных систем от киберугроз

Compromise Assessment

Комплексная проверка скрытых признаков компрометации на ИТ-инфраструктуру организации

Цифровой рубль

Подключение к платформе цифрового рубля с полным сопровождением на всех этапах

Экспресс-повышение уровня защищенности

Выявление критичных недостатков ИБ и укрепление защиты ИТ-инфраструктуры

Расследование инцидентов ИБ

Минимизация ущерба, выявление причин предотвращение повторных инцидентов

Аудит ИБ

Объективная оценка ИБ для повышения уровня киберустойчивости

Безопасная разработка

Внедрение принципов ИБ на всех этапах разработки По от сборки до интеграции
и развертывания

Анализ защищенности

Оценка защищенности систем и определение возможных векторов атак

Услуги

Заказать звонок

Контакты

О центре

Новости

Сервисы

MFA

Многофакторная аутентификация

IRP/SOAR

Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети

NGFW

Межсетевые экраны нового поколения

PAM

Контроль привилегированного доступа

Киберразведка

Повышение киберграмотности сотрудников

WAF

Защита веб-приложений

DLP

Предотвращение утечек информации

SGRC

Автоматизация процессов управления ИБ, рисков и комплаенса

IdM/IGA

Управление учетными записями и доступом

EDR

Защита конечных точек

NTA

Анализ трафика

Sandbox

Сетевые лесочницы

Управление уязвимостями

SIEM

Анализ и корреляция событий

Решения

Услуги

Заказать звонок

Контакты

О центре

Новости

CheckU

Комплексное решение для контроля соответствия требованиям ИБ

УЦСБ SOC

Непрерывный мониторинг и оперативное реагирование на инциденты для минимизации ущерба

Apsafe

Облачная DevSecOps-платформа
для непрерывного анализа защищенности приложений

Сервисы

Решения

Услуги

Главная / О Центре / Новости /Обзор методики анализа защищенности ИС

Обзор методики анализа защищенности ИС

28 января 2026

В целях регламентации работ по организации и проведению мероприятий по выявлению и оценке возможностей уязвимостей в информационных системах (далее – ИС) 25.11.2025 ФСТЭК России утвердила методический документ «Методика анализа защищенности информационных систем» (далее – Методика анализа защищенности, Методика).

Документ отражает развитие регуляторного подхода в сторону большей практической применимости, гибкости и соответствия современным технологиям:

Впервые на уровне открытого методического документа включены требования к анализу защищенности компонентов:

1.1 систем с использованием технологий искусственного интеллекта;
1.2 контейнерных сред;
1.3 микросервисной архитектуры.

2.Введены требования к управлению рисками на основе экспертной оценки уровней критичности уязвимостей.

3.Экспертная оценка выявленных уязвимостей проводится с учетом модели угроз безопасности информации (далее – УБИ) заказчика (оператора).

Область применения

Методика предназначена для организации и проведения работ по анализу защищенности ИС в ходе проведения:

1. Аттестации ИС на соответствие требованиям по защите информации, установленным:

Требованиям о защите информации, содержащейся в государственных ИС, иных ИС государственных органов, государственных унитарных предприятий, государственных учреждений, утвержденные приказом ФСТЭК России от 11.04.2025 № 117.
Требованиям к обеспечению защиты информации, содержащейся в ИС управления производством, используемых предприятиями оборонно-промышленного комплекса, утвержденные приказом ФСТЭК России от 28.02.2017 № 31-дсп.
Требованиям к созданию систем безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ) Российской Федерации и обеспечению их функционирования, утвержденные приказом ФСТЭК России от 21.12.2017 № 235.
Требованиям по обеспечению безопасности значимых объектов КИИ РФ, утвержденные приказом ФСТЭК России от 25.12.2017 № 239.
Требования к обеспечению защиты информации в автоматизированных системах управления производственными процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России от 14.03.2013 г. № 31.

2. Контроля уровня защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в ИС, проводимого в соответствии с требованиями по защите информации.
3. Оценки соответствия ИС требованиям по защите информации (испытаний) и достаточности принимаемых мер по защите информации (обеспечению безопасности), реализация которых предусмотрена этими требованиями.

Организация процесса анализа защищенности ИС

Основными участниками процесса анализа защищенности ИС являются:

заказчик (оператор) ИС или уполномоченное ими лицо, которое принимает решение о необходимости проведения анализа, определяет границы работ, предоставляет исходные данные об ИС, а также обеспечивает резервирование информации и компонентов ИС (при необходимости);
исполнитель – структурное подразделение или организация, имеющие лицензию на деятельность по технической защите конфиденциальной информации (далее – ТЗКИ) (с правом проведения работ и оказания услуг по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации, по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации), выданную ФСТЭК России.

Методика предусматривает условия и ограничения при проведении анализа уязвимостей, которые подлежат включению в договор или иной документ, на основании которого проводятся испытания, а именно:

процедура анализа уязвимостей ИС, выполняемая исполнителем;
устранение заказчиком выявленных уязвимостей ИС;
повторный анализ с целью проверки принятых мер.

Виды анализа: внешнее и внутреннее сканирование

В ходе анализа уязвимостей применяются:

внешнее сканирование (С1), в ходе которого исполнителем проводится анализ периметра ИС;
внутреннее сканирование (С2), в ходе которого исполнителем проводится анализ информационной инфраструктуры, находящейся внутри периметра (внутренней инфраструктуры).

Ключевые отличия видов сканирований приведены в таблице ниже.

Особенности проведения анализа уязвимостей

Практика показывает, что подрядные организации подвергаются атакам через цепочку поставок, что повышает риск компрометации информационной инфраструктуры исполнителя. В связи с этим в информационной инфраструктуре исполнителя, с использованием которой проводится анализ уязвимостей, а также в отношении каналов взаимодействия указанной инфраструктуры с ИС, должны быть приняты меры по защите информации, препятствующие реализации УБИ ИС со стороны инфраструктуры исполнителя или через нее.

Методика допускает анализ не более, чем 30 % типовых рабочих мест непривилегированных пользователей при условии неизменности их конфигурации по отношению к типовой в процессе эксплуатации. Такой подход позволяет снизить трудозатраты на анализ крупных ИС без снижения качества.

Обращаем внимание, что при проведении работ помимо сертифицированных по требованиям безопасности информации ФСТЭК России средств выявления уязвимостей допускается использование:

инструментов, имеющих техническую поддержку и возможность адаптации под особенности работ;
ПО, свободно распространяемое в исходных кодах (open-source-software);
средств собственной разработки исполнителя.

Размещение инструментария для анализа защищенности в ИС согласуется с заказчиком (оператором). Перед проведением анализа уязвимостей исполнитель проверяет актуальность баз данных уязвимостей, содержащихся в средствах выявления уязвимостей.

Порядок проведения анализа уязвимостей

Методикой определены 4 этапа проведения анализа уязвимостей:

Этап 1. Сбор исходной информации – инвентаризация сетевых адресов, доменных имен, версий ПО и архитектуры ИС в целом, а также анализ конфигураций, проектной документации и интервьюирование специалистов заказчика.
Этап 2. Внешний анализ уязвимостей – поиск известных уязвимостей и анализ кода компонентов, доступных из сети «Интернет».
Этап 3. Внутренний анализ уязвимостей – выявление известных уязвимостей системного и прикладного ПО, уязвимостей аутентификации, а также анализ ПЛК, SCADA-систем и «умных» устройств.
Этап 4. Оценка выявленных уязвимостей – экспертная оценка выявленных уязвимостей в соответствии с методическом документом ФСТЭК России от 30.06.2025 «Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств» (далее – Методика оценки уязвимостей).

Система оценки выявленных уязвимостей

Методика анализа защищенности в соответствии с Методикой оценки уязвимостей устанавливает условия работы с выявленными уязвимостями:

обязательное устранение заказчиком (оператором) всех уязвимостей критического и высокого уровней опасности;
проведение экспертной оценки возможности использования злоумышленником уязвимостей среднего и низкого уровней опасности.

Отметим, что уязвимости среднего и низкого уровней, которые по результатам оценки не могут быть использованы нарушителем, подлежат устранению в соответствии с методическим документом ФСТЭК России от 17.05.2023 «Руководство по организации процесса управления уязвимостями в органе (организации)».

Документирование результатов анализа уязвимостей

Согласно Методике, по результатам работ должен быть подготовлен комплексный отчет или протокол (при проведении аттестационных испытаний) – (далее – отчет (протокол), в котором приведены:

Основание проведения работ, сведения о заказчике и исполнителе работ, сроки и цели работ.
Описание инструментария для выявления уязвимостей.
Результаты инвентаризации со списком IP-адресов, портов, сервисов и версий ПО.
Описание процесса внешнего и внутреннего тестирования.
Перечень выявленных уязвимостей с описанием каждой из них.
Результаты оценки уязвимостей на основании Методики оценки уязвимостей.
Перечень уязвимостей, подлежащих устранению в ходе анализа.
Рекомендации по устранению уязвимостей.
Результаты повторного анализа уязвимостей.
Ограничения и запреты, накладываемые заказчиком.

Состав информации в отчете (протоколе) должен позволять определить перечень выявленных уязвимостей и применяемую методику анализа. Проведенные действия должны быть подтверждены документированными отчетами используемого инструментария, скриншотами, текстовыми описаниями.

Вывод

Таким образом, Методика анализа защищенности формирует практический и риск‑ориентированный подход к выявлению уязвимостей ИС. Она сочетает автоматизированное сканирование с экспертной оценкой, учитывающей архитектуру ИС, используемые технологии, модель угроз заказчика и контекст эксплуатации. Такой подход обеспечивает релевантность результатов, позволяет выявлять критические и высоко-опасные уязвимости, а также корректно оценивать угрозы среднего и низкого уровней.

ООО «УЦСБ», обладая лицензией ФСТЭК России и командой квалифицированных специалистов, способен выполнить полный цикл работ, включая:

проведение внешнего (С1) и внутреннего (С2) сканирования;
экспертную оценку выявленных уязвимостей;
подготовку заключения по результатам работ;
обеспечение соответствия требованиям регулятора.

Чтобы эффективно подготовиться к анализу защищенности ИС и гарантированно получить положительное заключение, необходим четкий план. Для этого мы подготовили структурированный чек-лист, который поможет систематизировать этот процесс. А для получения персональной консультации по применению методики к вашим системам вы можете обратиться к нашим специалистам.

Свяжитесь с экспертами Центра кибербезопасности УЦСБ, чтобы реализовать оптимальный план цифровой защиты вашего бизнеса

Связаться с нами

Подпишитесь на нашу рассылку

Вы будете получать только полезную информацию о кибербезопасности — никакого спама и рекламы

Нажимая кнопку «Подписаться», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных