Пентест по методике ФСТЭК

С 8 сентября 2025 года действуют новые правила ФСТЭК России по оценке защищённости информационных систем. Регулятор утвердил документ «Методика испытаний систем защиты информации информационных систем методами тестирования на проникновение». Новая методика устанавливает единый порядок проведения пентеста и делает такие работы обязательными для ряда государственных информационных систем. Для коммерческих организаций она выступает понятным ориентиром по качеству и составу проверки.

Когда применяется методика ФСТЭК

Согласно разъяснениям регулятора, методика используется в следующих случаях:

• при аттестации информационных систем на соответствие требованиям по защите информации;
• при контроле защищённости конфиденциальной информации от несанкционированного доступа и модификации;
• при оценке соответствия информационной системы установленным требованиям по защите информации;
• при проверке достаточности реализованных мер безопасности;
• при проведении тестирования на проникновение для отдельных государственных ИС, ИС органов власти, государственных учреждений и предприятий.

Кому актуален пентест по методике ФСТЭК

Проведение пентеста по методике ФСТЭК актуально для следующих организаций:

• операторов государственных информационных систем, подключённых к сетям общего пользования;
• органов власти, государственных учреждений и унитарных предприятий, эксплуатирующих ИС 1 и 2 классов защищённости;
• организаций, проходящих аттестацию информационных систем;
• коммерческих компаний, которым важно провести тестирование по официальной методике регулятора.

Отдельно такой формат работ востребован у компаний, которые взаимодействуют с государственными структурами, проходят аудит по информационной безопасности или хотят выстроить процесс проверки по формальным требованиям, а не по произвольному сценарию подрядчика.

Нужен ли пентест для ГИС и ИС 2 класса

На практике этот вопрос возникает регулярно. Как правило, пентест требуется, если система подключена к сетям общего пользования, обменивается данными с внешними системами или используется для обработки чувствительной информации.

Чтобы заранее оценить объём работ, сроки и требования к документам, важно понимать, как именно проводится пентест по методике ФСТЭК и какие этапы должны быть завершены до начала испытаний.

Что входит в пентест по ФСТЭК

Методика ФСТЭК фиксирует не только сам этап тестирования на проникновение, но и общую последовательность работ. Пентест проводится как завершающий этап после двух обязательных процедур:

• функционального тестирования — проверки корректной работы внедрённых средств защиты информации;
• анализа уязвимостей — выявления и устранения значимых недостатков безопасности.

Только после этого выполняется моделирование действий нарушителя. В зависимости от условий проекта это может быть сценарий внешнего или внутреннего нарушителя.

Что даёт пентест по методике ФСТЭК

Применение официальной методики даёт несколько практических преимуществ:

1. Устанавливает единые требования к порядку и содержанию работ.
2. Закрепляет пентест как итоговый этап оценки защищённости системы.
3. Повышает достоверность результатов при аттестации, проверке и аудите.

Для заказчика это означает более понятную структуру работ, предсказуемый состав итоговых документов и более сильную доказательную базу при взаимодействии с контролирующими и проверяющими сторонами.

Что получает заказчик по итогам работ

По результатам пентеста подготавливаются материалы, которые позволяют использовать результаты проверки в практической работе и в рамках формальных процедур.

Заказчик получает:

• технический отчёт с описанием применённой методики, инструментов, выявленных уязвимостей и подтверждённых векторов атак;
• рекомендации по устранению недостатков, включая настройки, исправление уязвимостей и возможные компенсирующие меры.