Моим мысли по этому поводу: Опубликованная ФСТЭК России методика анализа защищенности информационных систем во многом подтверждает тот практико-ориентированный подход, который наша команда применяет при проведении анализа уязвимостей и аттестационных испытаний. Документ закрепляет переход от формального «сканирования ради отчета» к комплексной оценке реальной возможности эксплуатации уязвимостей с учетом архитектуры системы, сценариев атак и модели угроз.

Отдельно стоит отметить, что Методика вводит более взвешенный и рациональный подход к определению границ анализа. В частности, при наличии типовых по составу и конфигурации автоматизированных рабочих мест допускается проведение анализа уязвимостей в отношении 30% таких АРМ. Это позволяет оптимизировать объем работ без потери качества результата и сфокусировать усилия на действительно значимых сегментах инфраструктуры.

Важным практическим шагом является также официально закрепленная возможность использования дополнительных инструментальных средств анализа уязвимостей, включая несертифицированные, свободно распространяемые или собственные разработки исполнителя. При условии обоснования их применения и соблюдения требований Методики это существенно расширяет глубину и качество обследования по сравнению с использованием исключительно сертифицированных сканеров.

Отдельного внимания заслуживает включение в состав анализа требований к выявлению уязвимостей программного обеспечения, реализующего модели машинного обучения. Методика прямо рассматривает риски, связанные с искажением поведения моделей, утечкой данных, манипуляцией обучающими выборками и управлением доступом к ИИ-компонентам. Это отражает понимание регулятором того, что системы с элементами ИИ и ML становятся полноценной частью критичных и значимых информационных систем и требуют такого же строгого и структурированного подхода к обеспечению безопасности, как классические ИС.

В целом, документ формирует четкую методологическую основу для выстраивания зрелого процесса управления уязвимостями: от инвентаризации и технического анализа до экспертной оценки рисков, приоритизации устранения и повторной проверки. Для заказчиков это означает более прозрачные и обоснованные результаты, а для исполнителей — повышение ответственности за качество анализа и практическую применимость выводов. Методика

P.S. Текст готовился для дайджеста нашей компании, где будет использована краткая его версия.

#ФСТЭК #Уязвимости #АудитИБ #ИБ #ИнфомрационнаяБезопасность