Новая методика ФСТЭК от 25.11.2025 распространила обязательный анализ уязвимостей на все основные процедуры оценки защищенности информационных систем.
Раньше можно было ограничиться средством анализа защищенности и сверкой с уязвимостями из банка данных угроз ФСТЭК.
Теперь требования конкретизированы: нужно проводить и внешнее сканирование периметра из-за пределов защищаемого сегмента и внутри инфраструктуры, причём от имени привилегированного пользователя.
Это означает, что исполнитель получает доступ к серверам, АРМ, сетевому оборудованию, средствам защиты информации, а в некоторых случаях даже к программируемым логическим контролерам, средствам автоматизации технологических процессов и и «умным» устройствам.
Объём работ вырос кратно — инвентаризация всех IP, портов, служб, конфигураций, проверка парольных политик, поиск уязвимостей в вебе, мобильных приложениях и даже моделях машинного обучения.
Что это значит для заказчика?
Придётся закладывать больше времени и денег. В договоре теперь явно прописывают три этапа: первичный анализ, устранение уязвимостей, повторный анализ для подтверждения устранения заказчиком выявленных уязвимостей. Заказчик обязан предоставить тестовую учётную запись с правами администратора, доступ к внутренней сети, а при необходимости — разрешить менять настройки СЗИ.
И важный момент: положительное заключение по результатам проведения анализа защищенности дадут, только если нет ни одной критической или высокой уязвимости, а для средних и низких — экспертная оценка покажет, что их нельзя использовать. Если хоть одна серьёзная дыра осталась — заключение отрицательное.
Для лицензиата это тоже серьёзный вызов
Нужны специалисты, которые действительно умеют искать уязвимости вручную, разбираются в конфигурациях, протоколах, веб-безопасности. Заказчик имеет право провести указанные работы самостоятельно. В случае привлечения лицензиата, последний должен иметь лицензию ФСТЭК на техническую защиту конфиденциальной информации с правом аттестационных испытаний. Инструменты — сертифицированные, но, по согласованию с заказчиком, можно добавлять и другие, если в отчёте обосновать, зачем они понадобились.
Отдельно прописывается ответственность за конфиденциальность данных, полученных в ходе анализа защищенности — исполнитель не имеет права ничего выносить или передавать без разрешения. Трудозатраты вырастут в разы, но и результат будет показывать реальный уровень защищённости.
К этому нужно готовиться уже сейчас: закладывать бюджет, планировать время, договариваться с подрядчиком о чётких границах и возможных перерывах в работах. Иначе, по результатам оценки защищенности информационной системы можно получить отрицательное заключение.
