ФСТЭК России утвердила правила анализа защищённости: под проверку попали ИИ-системы, контейнеры и промышленная автоматизация. Методика меняет приоритеты, экономику проектов и подход к управлению ИБ-рисками для бизнеса и государственных организаций.
- 1. Введение
- 2. Новые технологии – новые риски
- 3. Кого касаются изменения
- 4. Организация процесса: роли и ответственность
- 5. Внешнее и внутреннее тестирование: от репутационных потерь до остановки производства
- 6. Экономика процесса: гибкость и безопасность анализа защищённости
- 7. Четыре шага от сканирования к устранению
- 8. Система оценки и отчётность: прозрачность и обоснованность
- 9. Дорожная карта для Заказчика
- 10. Переход к зрелой и бизнес-ориентированной безопасности
- 11. Роль экспертизы: как выбрать Исполнителя и не переплатить
- 12. Выводы
Введение
В конце 2025 года ФСТЭК России утвердила «Методику анализа защищённости информационных систем», закрепив требования к тестированию систем с ИИ, контейнерами и промышленным оборудованием на уровне, приближённом к отраслевому стандарту. Что конкретно изменится для ИБ-специалистов, проводящих или заказывающих проведение работ по анализу защищённости, и как новые требования могут повлиять на бюджет и сроки работ?
Новые технологии – новые риски
Утверждённая ФСТЭК России методика отражает развитие регуляторного подхода в сторону большей практической применимости и соответствия современным технологиям ввиду изменения ИТ-ландшафта Заказчиков.
Впервые на уровне открытого методического документа описаны требования к анализу защищённости таких сложных компонентов, как системы с использованием технологий искусственного интеллекта (ИИ), контейнерные среды и микросервисная архитектура. Одновременно введены требования к управлению рисками на основе экспертной оценки уровней критичности уязвимостей, которая проводится с учётом модели угроз безопасности информации конкретного Заказчика.
Нововведение — логичное следствие цифровой трансформации ИТ-ландшафта. Компании активно внедряют контейнеры и микросервисы для гибкости и скорости разработки, экспериментируют с ИИ. Кроме того, экспертная оценка на основе модели угроз позволит сфокусировать ресурсы на уязвимостях критического и высокого уровней опасности.
Для бизнеса и госкомпаний это означает, что под прицел проверки попадают те компоненты, которые часто внедрялись «экспериментально» и жили в полутени ИБ‑процессов. Теперь:
- ИИ‑сервисы, чат‑боты, основанные на машинном обучении, придётся проверять так же системно, как традиционные ИС;
- контейнерные и микросервисные платформы становятся отдельным объектом анализа;
- промышленное оборудование (ПЛК, SCADA, «умные» датчики и контроллеры) включается в сценарии внутреннего анализа, что приводит корпоративные и производственные контуры к единому полю ответственности.
Новая методика адресована не абстрактному рынку, а конкретным категориям организаций с повышенными требованиями к устойчивости и контролю рисков. Регулятор чётко очерчивает круг тех, для кого обновлённые правила становятся обязательными.
Кого касаются изменения
Методика предназначена для организации и проведения работ по анализу защищённости информационных систем (ИС) в ходе проведения аттестации ИС на соответствие требованиям по защите информации, контроля уровня защищённости конфиденциальной информации и оценки соответствия ИС требованиям по защите информации.
Изменения касаются госкомпаний и организаций, оборонно-промышленного комплекса, критической информационной инфраструктуры (КИИ), опасных производственных объектов, подпадающих под перечень приказов ФСТЭК России, таких как №117 от 11.04.2025, №31-дсп от 28.02.2017, №235 от 21.12.2017, №239 от 25.12.2017 и №31 от 14.03.2013.
Организация процесса: роли и ответственность
Процесс оценки цифровой устойчивости строится вокруг двух ключевых ролей. Первая — Заказчик, который определяет границы, предоставляет инвентаризационные сведения об ИС, доступ к внутренней инфраструктуре (при внутреннем сканировании) и модель угроз. Вторая — Исполнитель, то есть организация, имеющая лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации с правом на:
- проведение работ и оказание услуг по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации;
- контроль защищённости конфиденциальной информации от несанкционированного доступа и её модификации в средствах и системах информатизации.
Методика предусматривает обязательное включение в договор условий по процедуре анализа, устранению уязвимостей Заказчиком и проведению повторного анализа для проверки принятых мер.
Это формализует и делает прозрачным процесс исправления недостатков. Для Заказчика появляется чёткий регламент взаимодействия с Исполнителем, что снижает риски недопонимания и повышает стоимость всего цикла «тест–исправление–приёмка». Акцент на повторном анализе мотивирует не просто получать отчёт, а реально закрывать уязвимости, повышая общий уровень безопасности ИТ-инфраструктуры.
Внешнее и внутреннее тестирование: от репутационных потерь до остановки производства
В ходе анализа защищённости применяются 2 ключевых вида: внешнее сканирование (С1), имитирующее атаку хакера из интернета на периметр, и внутреннее сканирование (С2), моделирующее действия злоумышленника или инсайдера внутри сети, с доступом к рабочим станциям и серверам.
Особенно важно, что внутреннее сканирование (С2) теперь включает промышленные объекты воздействия (программируемые логические контроллеры (ПЛК), SCADA) и «умные» устройства, что в полной мере соответствует отраслевой специфике и профилю рисков организаций КИИ и промышленного сектора.
Комплексный подход позволяет оценить и усилить безопасность с позиции внешних и внутренних сканирований, что в конечном итоге защищает ключевые бизнес-активы и непрерывность процессов.
Экономика процесса: гибкость и безопасность анализа защищённости
Новая методика не только определяет требования, но и добавляет гибкость, которая напрямую влияет на экономику проектов. Так, она требует от Исполнителя принимать меры по защите своей инфраструктуры, чтобы не стать «троянским конём» для Заказчика, что актуально в свете атак через цепочку поставок.
Для крупных систем допускается анализ не более 30 % типовых рабочих мест, что оптимизирует трудозатраты с сохранением репрезентативности выборки. Также разрешено использовать не только сертифицированные средства выявления уязвимостей, но и инструменты с технической поддержкой, open-source и собственные разработки Исполнителя.
Эти положения влияют на экономику процесса. Выборочный анализ снижает стоимость и время тестирования для крупных распределённых компаний, не жертвуя качеством. Расширение инструментария позволяет Исполнителям применять эффективные и современные средства, повышая качество проверки.
Четыре шага от сканирования к устранению
Порядок проведения анализа защищённости включает сбор исходных данных, внешний анализ, внутренний анализ и, что критически важно, экспертную оценку выявленных уязвимостей в соответствии с методикой оценки уровня критичности уязвимостей ФСТЭК России. На основе этой оценки выявленные уязвимости ранжируются, и для каждой определяются сроки устранения.
Методика позволит бизнесу и госкомпаниям перейти от единовременного и дорогостоящего исправления всех недочётов в ИБ к риск-ориентированному подходу. Заказчик сможет фокусироваться в первую очередь на устранении уязвимостей, которые действительно могут нанести ущерб, а не на формальном «закрытии» всех пунктов в отчёте (протоколе).
Пример: в государственной информационной системе (ГИС) для предоставления цифровых услуг регионального органа власти выявлена уязвимость высокого уровня в модуле личного кабинета граждан, связанном с обработкой персональных данных. Результат: после экспертной оценки по новой методике ФСТЭК России ведомство приоритизирует её устранение перед уязвимостями среднего уровня во внутреннем модуле отчётности, перенаправив ресурсы ИТ‑ и ИБ-подразделений на защиту публичного сервиса.
Система оценки и отчётность: прозрачность и обоснованность
Методика включает градации рисков и устанавливает, что все уязвимости критического и высокого уровней опасности подлежат безусловному устранению. Для уязвимостей среднего и низкого уровней проводится экспертная оценка возможности их использования нарушителем. Отчёт (протокол) по результатам работ должен быть максимально полным и доказательным, содержащим скриншоты, отчёты используемых инструментов и текстовые описания.
Таким образом, создаётся понятная система приоритетов для менеджмента. Руководитель получает не просто технический отчёт (протокол), а структурированный список рисков, ранжированный по степени опасности для ИТ-инфраструктуры Заказчика с чёткими рекомендациями. Это облегчает принятие решений о выделении ресурсов и демонстрирует эффективность ИБ-подразделения менеджменту или федеральному органу. Качественная отчётность выступает в роли элемента должной осмотрительности в случае инцидента ИБ.
Дорожная карта для Заказчика
Чтобы систематизировать процесс и получить положительное заключение от регулятора, нужен чёткий план. В помощь — пошаговый чек-лист, подготовленный экспертом УЦСБ на основании новой методики. Следуя ему, Заказчик анализа защищённости сможет оптимизировать взаимодействие с Исполнителем и уверенно пройти все этапы.
Таблица 1. Чек-лист для получения положительного заключения по результатам анализа защищённости ИС
|
Этап |
Действия Заказчика |
Нормативная ссылка |
|
До анализа |
|
пп. 2.1, 2.2, 2.4, 2.13 |
|
При проведении внутреннего сканирования |
|
п. 2.11 |
|
При проведении внешнего сканирования |
Предоставить/согласовать перечень публичных IP-адресов, портов, служб и сервисов, доменных имён |
п. 2.14 |
|
По завершению первичного анализа |
Устранить:
|
пп. 3.4.4, 3.4.5 |
|
Повторный анализ |
|
пп. 3.4.8, 3.4.9 |
|
После повторного анализа |
|
пп. 2.8, 2.22 |
После успешного повторного анализа Заказчик получает итоговый документ — положительное заключение. Оно свидетельствует, что выявленные уязвимости взяты под контроль, а бизнес-процессы защищены от актуальных угроз.
Переход к зрелой и бизнес-ориентированной безопасности
Новая методика анализа защищённости формирует практический и риск-ориентированный подход к выявлению уязвимостей. Она описывает процедуры сканирования ИТ-инфраструктуры и порядок оценки выявленных уязвимостей, учитывающие специфику деятельности Заказчика. Такой подход обеспечит релевантность результатов и позволит компаниям рационально распределить свои ИБ-бюджеты, сфокусировав внимание на противодействии актуальным угрозам безопасности информации.
Для Заказчиков это означает переход на новый уровень зрелости: ИБ-процессы становятся управляемым инструментом снижения операционных рисков. Внедрение принципов новой методики позволяет не только выполнить формальные требования ФСТЭК России, но и построить более устойчивую к киберугрозам ИТ-инфраструктуру, что напрямую влияет на устойчивость бизнеса в целом.
Роль экспертизы: как выбрать Исполнителя и не переплатить
Компаниям, подпадающим под действие требований ФСТЭК России, стоит начать с аудита ИТ-ландшафта. При выборе Исполнителя для проведения анализа защищённости стоит обращать внимание не только на наличие лицензии ФСТЭК России, но и на следующие признаки зрелости:
- наличие компетенций в области современных архитектур (облачные технологии, контейнеры, микросервисы, промышленный сегмент);
- умение выстраивать процесс по новой методике: от подготовки договора до сопровождения повторного анализа;
- знание отраслевых специфик.
По оценке экспертов УЦСБ, в ближайшие годы можно ожидать:
- усиление внимания федеральных органов к качеству анализа защищённости, а не только к формальному наличию отчёта (протокола);
- рост спроса на специалистов, способных «переводить» технические результаты сканирований на язык рисков, процессов и денег;
- постепенное сближение требований по анализу защищённости в «классическом» ИТ‑ландшафте и в технологических средах — в единую практику управления цифровой устойчивостью.
Заказчики, которые начнут выстраивать работу по новой методике уже сейчас, смогут не только провести анализ с предсказуемыми трудозатратами, но и использовать требования ФСТЭК как повод для оздоровления своей ИТ‑инфраструктуры и снижения операционных рисков.
Выводы
Новая методика ФСТЭК России фиксирует переход от формального поиска уязвимостей к риск-ориентированной модели анализа защищённости. Проверка ИС всё больше фокусируется на реальных сценариях ущерба, критичных активах и бизнес-последствиях, а не на механическом выполнении чек-листов.
Для Заказчиков это означает рост прозрачности и управляемости ИБ-процессов, но одновременно — более высокие требования к подготовке, взаимодействию с Исполнителем и качеству устранения уязвимостей. Отчёт по анализу перестаёт быть «итоговым документом» и становится инструментом принятия решений. В выигрыше окажутся организации, которые используют методику как основу для выстраивания зрелой системы управления цифровыми рисками.
