Обзор методики анализа защищенности ИС

В целях регламентации работ по организации и проведению мероприятий по выявлению и оценке возможностей уязвимостей в информационных системах (далее – ИС) 25.11.2025 ФСТЭК России утвердила методический документ «Методика анализа защищенности информационных систем» (далее – Методика анализа защищенности, Методика).

Документ отражает развитие регуляторного подхода в сторону большей практической применимости, гибкости и соответствия современным технологиям:

Впервые на уровне открытого методического документа включены требования к анализу защищенности компонентов:

систем с использованием технологий искусственного интеллекта;

контейнерных сред;

микросервисной архитектуры.

Введены требования к управлению рисками на основе экспертной оценки уровней критичности уязвимостей.

Экспертная оценка выявленных уязвимостей проводится с учетом модели угроз безопасности информации (далее – УБИ) заказчика (оператора).

Методика предназначена для организации и проведения работ по анализу защищенности ИС в ходе проведения:

1. Аттестации ИС на соответствие требованиям по защите информации, установленным:

Требованиям о защите информации, содержащейся в государственных ИС, иных ИС государственных органов, государственных унитарных предприятий, государственных учреждений, утвержденные приказом ФСТЭК России от 11.04.2025 № 117.

Требованиям к обеспечению защиты информации, содержащейся в ИС управления производством, используемых предприятиями оборонно-промышленного комплекса, утвержденные приказом ФСТЭК России от 28.02.2017 № 31-дсп.

Требованиям к созданию систем безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ) Российской Федерации и обеспечению их функционирования, утвержденные приказом ФСТЭК России от 21.12.2017 № 235.