Обзор методики анализа защищенности ИС

В целях регламентации работ по организации и проведению мероприятий по выявлению и оценке возможностей уязвимостей в информационных системах (далее – ИС) 25.11.2025 ФСТЭК России утвердила методический документ «Методика анализа защищенности информационных систем» ^[1] (далее – Методика анализа защищенности, Методика).

Документ отражает развитие регуляторного подхода в сторону большей практической применимости, гибкости и соответствия современным технологиям:

1. Впервые на уровне открытого методического документа включены требования к анализу защищенности компонентов:

   1. систем с использованием технологий искусственного интеллекта ^[2];

   2. контейнерных сред;

   3. микросервисной архитектуры.

2. Введены требования к управлению рисками на основе экспертной оценки уровней критичности уязвимостей.

3. Экспертная оценка выявленных уязвимостей проводится с учетом модели угроз безопасности информации (далее – УБИ) заказчика (оператора).

Область применения

Методика предназначена для организации и проведения работ по анализу защищенности ИС в ходе проведения:

1. Аттестации ИС на соответствие требованиям по защите информации, установленным:

• Требованиям о защите информации, содержащейся в государственных ИС, иных ИС государственных органов, государственных унитарных предприятий, государственных учреждений, утвержденные приказом ФСТЭК России от 11.04.2025 № 117 ^[3].

• Требованиям к обеспечению защиты информации, содержащейся в ИС управления производством, используемых предприятиями оборонно-промышленного комплекса, утвержденные приказом ФСТЭК России от 28.02.2017 № 31-дсп.

• Требованиям к созданию систем безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ) Российской Федерации и обеспечению их функционирования, утвержденные приказом ФСТЭК России от 21.12.2017 № 235 ^[4].

• Требованиям по обеспечению безопасности значимых объектов КИИ РФ, утвержденные приказом ФСТЭК России от 25.12.2017 № 239 ^[5].

• Требования к обеспечению защиты информации в автоматизированных системах управления производственными процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России от 14.03.2013 г. № 31 ^[6].

2. Контроля уровня защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в ИС, проводимого в соответствии с требованиями по защите информации.

3. Оценки соответствия ИС требованиям по защите информации (испытаний) и достаточности принимаемых мер по защите информации (обеспечению безопасности), реализация которых предусмотрена этими требованиями.

Организация процесса анализа защищенности ИС

Основными участниками процесса анализа защищенности ИС являются:

• заказчик (оператор) ИС или уполномоченное ими лицо, которое принимает решение о необходимости проведения анализа, определяет границы работ, предоставляет исходные данные об ИС, а также обеспечивает резервирование информации и компонентов ИС (при необходимости);

• исполнитель – структурное подразделение или организация, имеющие лицензию на деятельность по технической защите конфиденциальной информации (далее – ТЗКИ) (с правом проведения работ и оказания услуг по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации, по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации), выданную ФСТЭК России.

Методика предусматривает условия и ограничения при проведении анализа уязвимостей, которые подлежат включению в договор или иной документ, на основании которого проводятся испытания, а именно:

1. процедура анализа уязвимостей ИС, выполняемая исполнителем;

2. устранение заказчиком выявленных уязвимостей ИС;

3. повторный анализ с целью проверки принятых мер.

Виды анализа: внешнее и внутреннее сканирование

В ходе анализа уязвимостей применяются:

• внешнее сканирование (С1), в ходе которого исполнителем проводится анализ периметра ИС;

• внутреннее сканирование (С2), в ходе которого исполнителем проводится анализ информационной инфраструктуры, находящейся внутри периметра (внутренней инфраструктуры).

Ключевые отличия видов сканирований приведены в таблице ниже.

Особенности проведения анализа уязвимостей

Практика показывает, что подрядные организации ^[7] подвергаются атакам через цепочку поставок, что повышает риск компрометации информационной инфраструктуры исполнителя. В связи с этим в информационной инфраструктуре исполнителя, с использованием которой проводится анализ уязвимостей, а также в отношении каналов взаимодействия указанной инфраструктуры с ИС, должны быть приняты меры по защите информации, препятствующие реализации УБИ ИС со стороны инфраструктуры исполнителя или через нее.

Методика допускает анализ не более, чем 30 % типовых рабочих мест непривилегированных пользователей при условии неизменности их конфигурации по отношению к типовой в процессе эксплуатации. Такой подход позволяет снизить трудозатраты на анализ крупных ИС без снижения качества.

Обращаем внимание ^[8], что при проведении работ помимо сертифицированных по требованиям безопасности информации ФСТЭК России средств выявления уязвимостей допускается использование:

• инструментов, имеющих техническую поддержку и возможность адаптации под особенности работ;

• ПО, свободно распространяемое в исходных кодах (open-source-software);

• средств собственной разработки исполнителя.

Размещение инструментария для анализа защищенности в ИС согласуется с заказчиком (оператором). Перед проведением анализа уязвимостей исполнитель проверяет актуальность баз данных уязвимостей, содержащихся в средствах выявления уязвимостей.

Порядок проведения анализа уязвимостей

Методикой определены 4 этапа проведения анализа уязвимостей:

• Этап 1. Сбор исходной информации – инвентаризация сетевых адресов, доменных имен, версий ПО и архитектуры ИС в целом, а также анализ конфигураций, проектной документации и интервьюирование специалистов заказчика.

• Этап 2. Внешний анализ уязвимостей – поиск известных уязвимостей и анализ кода компонентов, доступных из сети «Интернет».

• Этап 3. Внутренний анализ уязвимостей – выявление известных уязвимостей системного и прикладного ПО, уязвимостей аутентификации, а также анализ ПЛК, SCADA-систем и «умных» устройств.

• Этап 4. Оценка выявленных уязвимостей  – экспертная оценка выявленных уязвимостей в соответствии с методическом документом ФСТЭК России от 30.06.2025 «Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств» ^[9] (далее – Методика оценки уязвимостей).

Система оценки выявленных уязвимостей

Методика анализа защищенности в соответствии с Методикой оценки уязвимостей ^[9] устанавливает условия работы с выявленными уязвимостями:

• обязательное устранение заказчиком (оператором) всех уязвимостей критического и высокого уровней опасности;

• проведение экспертной оценки возможности использования злоумышленником уязвимостей среднего и низкого уровней опасности.

Отметим, что уязвимости среднего и низкого уровней, которые по результатам оценки не могут быть использованы нарушителем, подлежат устранению в соответствии с методическим документом ФСТЭК России от 17.05.2023 «Руководство по организации процесса управления уязвимостями в органе (организации)» ^[10].

Документирование результатов анализа уязвимостей

Согласно Методике, по результатам работ должен быть подготовлен комплексный отчет или протокол (при проведении аттестационных испытаний) – (далее – отчет (протокол), в котором приведены:

1. Основание проведения работ, сведения о заказчике и исполнителе работ, сроки и цели работ.

2. Описание инструментария для выявления уязвимостей.

3. Результаты инвентаризации со списком IP-адресов, портов, сервисов и версий ПО.

4. Описание процесса внешнего и внутреннего тестирования.

5. Перечень выявленных уязвимостей с описанием каждой из них.

6. Результаты оценки уязвимостей на основании Методики оценки уязвимостей ^[9].

7. Перечень уязвимостей, подлежащих устранению в ходе анализа.

8. Рекомендации по устранению уязвимостей.

9. Результаты повторного анализа уязвимостей.

10. Ограничения и запреты, накладываемые заказчиком.

Состав информации в отчете (протоколе) должен позволять определить перечень выявленных уязвимостей и применяемую методику анализа. Проведенные действия должны быть подтверждены документированными отчетами используемого инструментария, скриншотами, текстовыми описаниями.

Вывод

Таким образом, Методика анализа защищенности формирует практический и риск‑ориентированный подход к выявлению уязвимостей ИС. Она сочетает автоматизированное сканирование с экспертной оценкой, учитывающей архитектуру ИС, используемые технологии, модель угроз заказчика и контекст эксплуатации. Такой подход обеспечивает релевантность результатов, позволяет выявлять критические и высоко-опасные уязвимости, а также корректно оценивать угрозы среднего и низкого уровней.

ООО «УЦСБ», обладая лицензией ФСТЭК России и командой квалифицированных специалистов, способен выполнить полный цикл работ, включая:

• проведение внешнего (С1) и внутреннего (С2) сканирования;

• экспертную оценку выявленных уязвимостей;

• подготовку заключения по результатам работ;

• обеспечение соответствия требованиям регулятора.

Чтобы эффективно подготовиться к анализу защищенности ИС и гарантированно получить положительное заключение, необходим четкий план. Для этого мы подготовили структурированный чек-лист, который поможет систематизировать этот процесс. А для получения персональной консультации по применению методики к вашим системам вы можете обратиться к нашим специалистам.

Автор: Иван Агафонов, аналитик УЦСБ