Информационное сообщение Федеральной службы по техническому и экспортному контролю от 08.09.2025 № 240/24/4734 «Об утверждении Методики испытаний систем защиты информации информационных систем методами тестирования на проникновение»
Ссылки
Выдержка
В соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, ФСТЭК России 25 июня 2025 г. утверждена Методика испытаний систем защиты информации информационных систем методами тестирования на проникновение (далее — Методика).
Методика определяет организацию, порядок проведения и содержание работ, проводимых в ходе испытаний систем защиты информации информационных систем, автоматизированных систем управления, информационно-телекоммуникационных сетей в соответствии с подпунктом “б” пункта 16 Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, утвержденного приказом ФСТЭК России от 29 апреля 2021 г. N 77, с использованием методов тестирования на проникновение (далее — тестирование на проникновение).
Методика применяется в ходе:
- аттестации информационных систем на соответствие требованиям по защите информации;
- контроля защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в информационных системах, проводимого в соответствии с требованиями по защите информации;
- оценки соответствия информационных систем требованиям по защите информации (испытания) и достаточности принимаемых мер по защите информации (обеспечению безопасности), реализация которых предусмотрена требованиями по защите информации.
Методика применяется для проведения работ по тестированию на проникновение в отношении государственных информационных систем, иных информационных систем государственных органов, государственных унитарных предприятий, государственных учреждений 1, 2 классов защищенности, которые имеют подключение к сети “Интернет” и (или) взаимодействуют с иными информационными системами, в том числе с информационными системами подрядных организаций (за исключением случаев, когда такое взаимодействие реализовано с использованием сети шифровой связи или виртуальных частных сетей с применением сертифицированных шифровальных (криптографических) средств защиты информации).
В иных случаях решение о применении Методики принимает обладатель информации, заказчик, заключивший контракт на создание информационной системы, оператор информационной системы.
Настоящая Методика применяется после проведения работ, подтверждающих реализацию в информационной системе функций безопасности (функционального тестирования), а также после проведения анализа уязвимостей с использованием средств контроля эффективности защиты информации от несанкционированного доступа, обеспечивающих выявление и устранение известных уязвимостей и недостатков системы защиты информации (сканеров уязвимостей).
Методика применяется при аттестации и контроле защищенности, решение о проведении которых принимается после даты утверждения, а также в эксплуатируемых информационных системах.
Текст документа
Быстрый просмотр сохранённой копии