Приказ Федеральной службы по техническому и экспортному контролю от 25.11.2025 № б/н «Методический документ “Методика анализа защищенности информационных систем”»
Ссылки
Выдержка
1.1. Настоящая Методика анализа защищенности информационных систем (далее – Методика) разработана в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085. 1.2. Настоящая Методика определяет организацию, порядок проведения и содержание работ, проводимых в ходе испытаний систем защиты информации информационных систем, автоматизированных систем управления, информационно-телекоммуникационных сетей (далее – информационные системы) в соответствии с подпунктом «б» пункта 16 Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, утвержденного приказом ФСТЭК России от 29 апреля 2021 г. № 77. 1.3. Настоящая Методика предназначена для организации и проведения работ по анализу защищенности информационных систем, целью проведения которого является выявление уязвимостей информационных систем с последующей оценкой возможности их использования нарушителем для реализации угроз безопасности информации (векторов атак), приводящих к возникновению негативных последствий (далее – анализ уязвимостей). 1.4. Настоящая Методика применяется в ходе: а) аттестации информационных систем на соответствие требованиям по защите информации; б) контроля уровня защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в информационных системах, проводимого в соответствии с требованиями по защите информации; в) оценки соответствия информационных систем требованиям по защите информации (испытания) и достаточности принимаемых мер по защите информации (обеспечению безопасности), реализация которых предусмотрена требованиями по защите информации.
Обзоры документа
Аналитический центр УЦСБ
4 декабря 2025 года ФСТЭК России опубликовала информационное сообщение от 04.12.2025 № 240/22/6902 «Об утверждении Методики анализа защищенности ИС».
Методика определяет организацию, порядок проведения и содержание работ, выполняемых в ходе испытаний систем защиты информации ИС, автоматизированных систем управления, информационно-телекоммуникационных сетей.
Методика применяется в ходе:
- аттестации ИС на соответствие требованиям по защите информации;
- контроля уровня защищенности конфиденциальной информации от НСД и ее модификации в ИС, проводимого в соответствии с требованиями по защите информации;
- оценки соответствия ИС требованиям по защите информации (испытания) и достаточности принимаемых мер по защите информации (обеспечению безопасности), реализация которых предусмотрена требованиями по защите информации.
Методика имеет 4 основных этапа проведения анализа уязвимостей:
- сбор исходной информации;
- внешний анализ уязвимостей;
- внутренний анализ уязвимостей;
- оценка выявленных уязвимостей.
По результатам анализа уязвимостей исполнитель составляет отчет (протокол), который должен содержать:
- информацию об использованных средствах выявления уязвимостей;
- результаты инвентаризации ИС;
- перечень и описание выявленных уязвимостей с отчетами средств выявления уязвимостей и иную информацию.
Гарант ПРАЙМ
ФСТЭК утвердила Методику анализа защищенности информационных систем. Она применяется в ходе:
-
аттестации ИС на соответствие требованиям по защите информации;
-
контроля уровня защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в ИС;
-
оценки соответствия ИС требованиям по защите информации (испытания) и достаточности принимаемых мер по защите информации (обеспечению безопасности), реализация которых предусмотрена требованиями по защите информации.
Текст документа
Быстрый просмотр сохранённой копии