Методика анализа защищённости информационных систем
Методический документ «Методика анализа защищённости информационных систем», утверждён ФСТЭК России 25.11.2025 (заменил редакцию мая 2024 года).
25.11.2025ГИС / ЗОКИИметодический документ
Новая редакция. Заменила версию мая 2024 года: добавлены системы с ИИ, контейнерные среды, промышленное оборудование (ПЛК/SCADA), риск-ориентированный подход.
1 Что это и зачем
Это «инструкция, как проверять защищённость». Документ определяет организацию, порядок и содержание работ по анализу защищённости информационных систем, АСУ и сетей. Цель — найти уязвимости и оценить, может ли ими воспользоваться нарушитель. По сути это методология контролируемого тестирования на проникновение и поиска слабых мест.
2 Кого касается
Применяется при анализе защищённости государственных информационных систем (ГИС), значимых объектов КИИ, систем госкомпаний, оборонной промышленности и опасных производственных объектов. Анализ проводит организация — лицензиат ФСТЭК на техническую защиту конфиденциальной информации (либо собственное подразделение оператора). Это та самая методология, по которой на практике проводят оценку защищённости — в том числе в контуре требований Указа № 250 (прямой нормой-основанием Указ при этом не является).
3 Как проводится
Инвентаризация: сбор исходных данных, использование модели угроз заказчика.
Внешний анализ (С1): проверка периметра из интернета — внешние сетевые адреса, доменные имена, доступные сервисы, оборудование и СЗИ; имитация атаки внешнего нарушителя.
Внутренний анализ (С2): моделирование действий внутреннего нарушителя / инсайдера.
Оценка уязвимостей по уровню критичности (по отдельной методике ФСТЭК от 30.06.2025), с опорой на Банк данных угроз (БДУ ФСТЭК).
Для крупных систем допускается выборка (не более 30% типовых АРМ); разрешены open-source и собственные средства — несертифицированные с обоснованием.
4 Что на выходе и сроки
Комплексный отчёт: результаты инвентаризации, описание тестирования, перечень уязвимостей, оценка критичности и рекомендации.
Уязвимости критического и высокого уровня подлежат безусловному устранению; средние/низкие — экспертная оценка эксплуатируемости.
Цикл: первичный анализ → устранение → повторный анализ → заключение.
Периодичность в самой методике не задана — её определяют профильные акты (для ГИС по приказу № 117 — не реже 1 раза в 3 года).
≡Простыми словамиЭто правила, по которым «белые хакеры»-лицензиаты проверяют вашу систему: смотрят снаружи (из интернета) и изнутри, находят дыры, оценивают их опасность и выдают отчёт. Критичные и высокие дыры обязательно закрыть, потом — повторная проверка.
5 Статус и связи
Действующий методический документ ФСТЭК от 25.11.2025. Тесно связан с порядком аттестации (приказ ФСТЭК № 77 от 29.04.2021) и требованиями к защите ГИС (приказ № 117, с 01.03.2026). Оценка критичности уязвимостей — по методике ФСТЭК от 30.06.2025; исходные сведения об угрозах — из БДУ ФСТЭК.