Вчера на сайте ФСТЭК был опубликован важный VM-ный документ - "Методика анализа защищённости информационных систем" от 25 ноября 2025 г. Основное назначение методики - описать работы по анализу защищённости (выявлению уязвимостей) при аттестации объектов информатизации (77 приказ), а конкретно в ходе:
🔹 аттестации информационных систем (ИС) на соответствие требованиям по защите информации (ЗИ);
🔹 контроля уровня защищённости конфиденциальной информации от НСД и её модификации в ИС;
🔹 оценки соответствия ИС требованиям по ЗИ (испытания) и достаточности принимаемых мер по ЗИ (обеспечению безопасности).
Кроме того, это (первая? 🤔) попытка регулятора определить, что такое Анализ Защищённости (АЗ) как услуга.
Особенно интересны:
🔻 Раздел 3.4. Оценка выявленных уязвимостей. Здесь определяются критерии успешности АЗ.
🔻 Таблицы 2 и 3, содержащие перечни работ в ходе внешнего и внутреннего сканирования и, фактически, определяющие требования к функциональности средств АЗ. 😉
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте.
And I invite all English-speaking people to another telegram channel @avleonovcom.