25 ноября 2025 года Федеральная служба по техническому и экспортному контролю (ФСТЭК России) утвердила новый методический документ, регламентирующий порядок проведения анализа защищённости (сканирования уязвимостей) информационных систем.

Ключевые положения документа:

• Чёткая структура: Методика детально описывает все этапы работ — от планирования и сбора информации до внешнего и внутреннего сканирования, оценки рисков и документирования результатов.
• Комплексный подход: Проверка делится на две основные части: внешнее сканирование (моделирует атаки извне, из интернета) и внутреннее сканирование (моделирует действия злоумышленника, уже проникшего в сеть). Особое внимание уделяется безопасности рабочих станций, серверов, средств защиты информации и современных технологий (виртуализация, контейнеры).
• Практическая направленность: Цель анализа — не просто найти уязвимости, но и оценить, может ли реальный нарушитель использовать их для атаки, ведущей к негативным последствиям.
• Роли и ответственность: Определены роли Заказчика (владельца системы) и Исполнителя (лицензированной организации). Заказчик активно участвует в процессе: определяет границы проверки, предоставляет доступы и несёт ответственность за устранение выявленных уязвимостей.
• Обязательное устранение критических уязвимостей: Документ предписывает, что все выявленные уязвимости критического и высокого уровня опасности должны быть устранены Заказчиком в обязательном порядке.

Для кого это важно?
Новая Методика является обязательным руководством к действию для государственных органов, организаций оборонно-промышленного комплекса, операторов критической информационной инфраструктуры (КИИ) и иных субъектов, чьи информационные системы подлежат аттестации или регулярному контролю соответствия требованиям ФСТЭК России.

Более подробную информацию вы можете получить на официальном сайте ФСТЭК России, перейдя по ссылке.