info@ksb-soft.ru
8 800 3333-872
Задать вопрос
/ Обзор новой методики анализа защищенности ИС

Обзор новой методики анализа защищенности ИС


25 ноября 2025 года ФСТЭК России утвердил методику анализа защищенности информационных систем (далее – Методика). Рассмотрим, какие нововведения в процесс анализа защищенности были внесены со стороны регулятора.

1.     Общие положения Методики


Документ описывает работы по проведению анализа защищенности (испытаний систем защиты информации ИС):

  • при аттестации ИС на соответствие требования по защите информации в соответствии со 117, 21, 31 (ред. от 28.02.2017 г и ред. от 14.03.2013 г.), 235 и 239 приказами ФСТЭК России;

  • контроле уровня защищенности конфиденциальной информации от НСД и ее модификации в ИС, проводимого в соответствии с требованиями по защите информации;

  • оценке соответствия ИС требованиям по защите информации и достаточности принимаемых мер по защите информации, реализация которых предусмотрена требованиями по защите информации.

2.     Организация работ по проведению анализа уязвимостей


Руководитель государственного органа принимает решение о проведении анализа уязвимостей (далее – АУ). Заказчик и исполнитель (лицензиат ФСТЭК России) заключают договор – основание о проведении АУ.

В Методике выделены этапы проведения АУ, которые должны быть предусмотрены в договоре:

  • АУ ИС, выполняемый исполнителем.

  • Устранение заказчиком выявленных уязвимостей ИС.

  • Повторный АУ ИС с целью проверки устранения заказчиком уязвимостей ИС.

Работы по АУ разделяются на два вида анализа: внешнее сканирование (С1) и внутреннее (С2). Их можно выполнить удаленно по согласованию с заказчиком и при выполнении мер по обеспечению безопасности.

Внутреннее сканирование проводится от лица привилегированного пользователя. Также дополнительно можно провести исследование путем сканирования без аутентификации. Во время проведения работ заказчик по запросу исполнителя может изменять настройки для проведения АУ (например, добавить исключения в СЗИ).

Исследования проводятся следующими методами:

  • Сравнение наименований, версий ПО и иных атрибутов с базой данных уязвимостей в БДУ ФСТЭК России и иных базах.

  • Выявление уязвимостей на основе анализа поведения ПО путем формирования тестовых запросов и анализа конфигураций настроек.

Исследования проводятся в рамках следующих границ:

  • Внешнее сканирование (С1) включает публичные сетевые адреса, службы и сервисы ИС и ИТКС, доступные из сети «Интернет», а также доменные имена.

  • Внутреннее сканирование (С2) включает ОС, ПО и ПАК, сетевые службы, интерфейсы взаимодействия, сервисы, приложения, образы контейнеров, а также ПЛК, средства автоматизации технологических процессов и «умные» устройства.

Список адресов и для внешнего, и для внутреннего сканирования предоставляется заказчиком, либо выявляется исполнителем в рамках инвентаризации ИС в ходе подготовки.

В состав С2 входят все серверные сегменты (серверы), сетевое оборудование, СЗИ и АРМ входящих в состав ИС.

Результат АУ оформляется в виде отчета (протокола) в котором подтверждается или не подтверждается наличие уязвимостей ИС и возможность использования нарушителем выявленных уязвимостей для реализации угроз безопасности (векторов атак).

Проводить АУ ИС следует средствами выявления уязвимостей, сертифицированными ФСТЭК России. Иные несертифицированные средства (включая open source) могут применяться, однако в отчетной документации необходимо указать обоснование их применения.

3.     Порядок проведения анализа уязвимостей.


В ходе анализа уязвимостей проводится сбор информации:

  1. О наименованиях и версиях ПО и ПАК, входящих в состав ИС.

  2. Сетевой инфраструктуре.

  3. Пользователях.

И иной информации для проведения АУ.

Инвентаризация – основа сбора информации. Она охватывает как внешний периметр, так и внутреннюю инфраструктуру.

Отдельно отметим, что в случае выявления неиспользуемых сетевых адресов, служб и сервисов, доменных имен, исполнитель уведомляет об этом заказчика.

Инвентаризация проводится:

  • Для ресурсов внешнего сканирования (С1) путем:

- Поиска в сети «Интернет» информации об IP-адресах и доменных именах, принадлежащих заказчику (использование сервисов типа WHOIS).

- Сканирования IP-адресов и доменных имен с использованием средства выявления уязвимостей и иных инструментов в автоматизированном режиме.

- Интервьюирования специалистов заказчика, изучение документации на ИС.

  • Для ресурсов внутреннего сканирования (С2) путем:

- Сканирования внутренней инфраструктуры с использованием средства выявления уязвимостей и иных инструментов в автоматизированном режиме.

- Анализа конфигураций, содержащейся в контроллерах доменов, средствах сбора и мониторинга событий безопасности и иных системах мониторинга ИС.

- Интервьюирования специалистов заказчика, изучение документации на ИС.

Результатами сбора информации являются:

  • Состав и версии ОС, ПО, СЗИ и сетевых служб и приложений.

  • Наличие актуальных обновлений для ОС, ПО, СЗИ и сетевых служб и приложений.

  • Архитектура (карта) сети передачи данных ИС и ее сегментов (при наличии), включая IP-адреса и доменные имена.

  • Способы и технологии идентификации и аутентификации пользователей ИС, включая типа пользователей и учетные данные.

  • Сведения о типовых конфигурациях ОС, ПО, СЗИ и сетевых служб и приложений.

4.     Внешний и внутренний АУ


Цели внешнего и внутреннего АУ:

  • Выявление известных уязвимостей.

  • Выявление уязвимостей конфигураций.

  • Уязвимости аутентификации, использования паролей, заданных по умолчанию, и устойчивость паролей.

  • Выявление уязвимостей кода и конфигураций ПО (веб-приложения, мобильные приложения, ПО, реализующее модели машинного обучения и другое ПО), доступного из сети «Интернет».

Для С1 и С2 явно указаны технологии, реализующие модели машинного обучения. Для С2 в составе исследуемых ресурсов указаны средства контейнеризации.

5.     Оценка выявленных уязвимостей


На этом этапе оценивается уровень критичности выявленных уязвимостей. Их оценку проводит исполнитель совместно с заказчиком. Руководством для исполнения служит методика оценки уровня критичности уязвимостей ФСТЭК России от 30 июня 2025 года.

В зависимости от уровня критичности уязвимостей нужно предпринимать разные действия:

  1. Критический и высокий уровень опасности: должны быть устранены все уязвимости

  2. Средний и низкий уровень: нужна экспертная оценка возможности использования этих уязвимостей злоумышленниками.

Если результаты оценки говорят о том, что уязвимости среднего и низкого уровня могут привести к возникновению негативных последствий, заказчик должен устранить эти уязвимости.

Если уязвимости не могут привести к реализации негативных последствий, то их также нужно устранить, но после проведения АУ в порядке, установленном в Руководстве по организации процесса управления уязвимостями ФСТЭК России от 17 мая 2023 года. То есть такие уязвимости не будут влиять на положительный результат АУ.

После того, как заказчик устранил выявленные уязвимости, исполнитель повторно проводит АУ для подтверждения результата.

Положительное заключение выдается, если исполнитель подтвердил, что все уязвимости устранены.

Исполнитель выдаст отрицательное заключение из-за наличия хотя бы одной уязвимости, которая может привести к реализации негативных последствий.

23 декабря 2025
Поделиться
Категории
Кейсистемс-Безопасность Контакты:
Адрес: пр. М. Горького, д. 18Б 428000 Чебоксары,
Телефон:88003333872, Электронная почта: support@ksb-soft.ru
Регистрация