Что такое анализ защищенности информационных систем и как его проводить — Контур.Эгида

В этой статье

Что такое анализ защищенности информационных систем и как его проводить

26 мая 2026

Анализ защищенности информационных систем — это проверка конкретной информационной системы (ИС) на наличие уязвимостей, ошибок конфигурации, слабых настроек доступа и других проблем, которые могут привести к компрометации системы. Расскажем подробнее, какие задачи он решает, как проводится и на что важно обращать внимание при такой проверке.

Фотография Екатерина Рудая Екатерина Рудая Менеджер продукта

В этой статье:

Что такое анализ защищенности информационных систем

Если дать рабочее определение, анализ защищенности информационных систем — это проверка ИС на наличие уязвимостей и ошибок конфигурации с последующей оценкой возможности их эксплуатации в реальном сценарии атаки. Исполнитель действует по согласованной методике: собирает информацию о системе, ищет слабые места, проверяет возможность их эксплуатации, оценивает потенциальное развитие атаки внутри инфраструктуры и фиксирует результат. В отличие от анализа защищенности всего внешнего или внутреннего периметра, в анализе защищенности ИС фокус делается именно на отдельной информационной системе: например, CRM, ERP, веб-приложении, личном кабинете, корпоративном сервисе или внутреннем портале.

На практике проверка часто включает не только попытку получить первоначальный доступ, но и дальнейшие действия злоумышленника: повышение привилегий, перемещение между системами, закрепление в инфраструктуре, доступ к данным или критичным сервисам. Поэтому анализ защищенности показывает не просто наличие уязвимостей, а то, к каким последствиям они могут привести для бизнеса.

В этом и состоит отличие от обычного анализа уязвимостей информационной системы. Сканер может показать, что в сервисе используется потенциально уязвимая версия ПО. Но без проверки остается неясно, доступна ли уязвимость в конкретной конфигурации, есть ли компенсирующие меры, можно ли получить через нее доступ к данным или повысить привилегии. Тем более что часто сканер дает ложноположительные срабатывания, без человека не обойтись.

Поэтому анализ защищенности информационных систем — это не только и не столько выявление уязвимостей. Его цель — оценить, насколько защищена система от реальных действий нарушителя. В одном случае уязвимость останется техническим замечанием, а в другом — станет первым шагом к компрометации домена, доступу к персональным данным или нарушению работы критичного сервиса.

Подход Суть

Анализ защищенности

Проверка, как можно атаковать

Аудит ИБ

Проверка процессов и соответствия лучшим практикам и регуляторно правовым актам 

Оценка защищенности

Общий термин, который может включать анализ защищенности, аудит ИБ, моделирование угроз и другие способы оценки уровня безопасности 

Важно учитывать, что анализ защищенности не равен реальной атаке один к одному. У злоумышленника может быть больше времени, нелегальные инструменты и возможность долго наблюдать за компанией. У исполнителя есть согласованные сроки, правовые ограничения и обязанность безопасно работать с данными заказчика. Поэтому ценность пентеста не в обещании найти абсолютно все слабые места, а в проверке наиболее вероятных и значимых сценариев атаки.

Анализ защищенности, аудит ИБ и оценка защищенности: в чем разница

В ИБ эти термины часто используют рядом, но задачи у них разные.

Аудит информационной безопасности проверяет, как в компании устроены процессы: есть ли регламенты, назначены ли ответственные, выполняются ли требования, корректно ли настроены политики доступа, обновления, резервное копирование и контроль действий пользователей. Он отвечает на вопрос, как компания управляет защитой информации.

Анализ защищенности ИС отвечает на другой вопрос: что сможет сделать нарушитель при текущем состоянии инфраструктуры. Можно ли попасть во внутреннюю сеть через внешний периметр. Можно ли подобрать или украсть учетные данные. Можно ли, имея права обычного пользователя, получить доступ к критическим системам.

Оценка защищенности информационных систем — более широкое понятие. В него могут входить и аудит, и пентест, и проверка конфигураций, и контроль соответствия требованиям регуляторов.

Зачем проводить анализ защищенности информационной системы

Главная причина — проверка реальных рисков. Бизнесу важно знать не только то, что в системе есть уязвимости, а то, к каким событиям они могут привести. Например, возможна ли утечка персональных данных, доступ к бухгалтерской системе, компрометация учетных записей администраторов, остановка сервиса или обход механизмов контроля.

Корректная постановка задачи начинается с определения недопустимых или болезненных для бизнеса событий. Для одной компании критичным будет доступ к клиентским ПДн, для другой — возможность провести действие от имени финансового сотрудника, для третьей — нарушение работы публичного сервиса в сезон высокой нагрузки.

Вторая причина — соответствие требованиям. Проведение пентеста не является прямой обязанностью для компаний, но российская нормативная база требует контролировать защищенность информации и эффективность мер защиты. Например, приказ ФСТЭК №21 включает группу мер по контролю и анализу защищенности персональных данных.

Для государственных и отдельных иных информационных систем действует приказ ФСТЭК №117. В нем прямо указаны мероприятия по выявлению и оценке угроз, контролю конфигураций, управлению уязвимостями и обновлениями. Также документ описывает контроль уровня защищенности, включая автоматизированное и ручное выявление уязвимостей, экспертную оценку возможности их использования, моделирование актуальных угроз и проверку возможности несанкционированного доступа или повышения привилегий.

Третья причина — подготовка к аттестации и проверкам. Методика анализа защищенности информационных систем ФСТЭК от 25 ноября 2025 года предназначена для организации и проведения работ по анализу уязвимостей; в структуре документа отдельно выделены организация работ, порядок проведения анализа, внешний и внутренний анализ уязвимостей, оценка выявленных уязвимостей и документирование результатов.

Какие виды анализа защищенности бывают

На практике анализ защищенности ИБ чаще всего можно разделить по зонам проверки: внешний периметр, внутренняя инфраструктура и персонал (социальная инженерия).

Внешний анализ показывает, можно ли проникнуть в инфраструктуру через публично доступные сервисы: сайты, VPN, почтовые шлюзы, удаленный доступ, тестовые стенды, случайно опубликованные интерфейсы администрирования. Такой формат особенно важен для компаний, у которых бизнес зависит от онлайн-сервисов или есть развитый внешний периметр.

Внутренний анализ защищенности показывает, что сможет сделать нарушитель, если уже оказался внутри сети. Это может быть как внешний атакующий, получивший учетные данные через фишинг; так и недобросовестный подрядчик или сотрудник с избыточными правами. Внутренний пентест часто наиболее показателен для зрелых компаний: основные данные и критичные сервисы обычно находятся внутри инфраструктуры.

Социальная инженерия проверяет, можно ли получить доступ через человека: фишинговое письмо, поддельный запрос, имитацию рабочей коммуникации. Такой сценарий особенно важен там, где сотрудники имеют доступ к чувствительной информации, внутренним системам или финансовым операциям.

Методы анализа защищенности информационных систем

Методика анализа защищенности ИБ зависит от модели нарушителя. Обычно используют три подхода.

При модели черного ящика исполнитель почти ничего не знает о системе. Он действует как внешний злоумышленник: собирает публичную информацию, ищет входные точки и пытается развить атаку. Такой подход реалистичен, но требует больше времени.

При модели серого ящика заказчик заранее передает часть информации: тестовую учетную запись, список доменов, описание сегмента, доступ к определенной среде. Это не снижает ценность проверки, а помогает быстрее дойти до значимых сценариев. Например, так можно смоделировать действия подрядчика, внутреннего пользователя или атакующего, который уже получил логин и пароль.

Белый ящик предполагает полный доступ к информации о системе: архитектуре, коду, настройкам. Для внешнего или внутреннего анализа такой подход используется реже. Он больше подходит для анализа кода, проверки приложений и архитектурного ревью.

В международной практике похожая логика закреплена в руководствах по тестированию безопасности. NIST SP 800-115 описывает планирование и проведение технических проверок ИБ, анализ результатов и разработку мер снижения рисков. OWASP Web Security Testing Guide используется как практический ориентир для тестирования веб-приложений и включает сбор информации, проверку конфигураций, аутентификации, авторизации, сессий, бизнес-логики и API.

Как проводить анализ защищенности информационных систем

Работа начинается с постановки цели. Заказчик и исполнитель фиксируют, какие системы входят в область проверки, какие ограничения есть у проекта и какие сценарии считаются критичными. Это может быть доступ к ПДн, компрометация домена, получение прав администратора, доступ к финансовой системе или возможность повлиять на работоспособность сервиса.

После этого исполнитель собирает исходные данные. Для внешнего периметра это домены, поддомены, IP-адреса, открытые сервисы, публичные утечки, сведения из вакансий и технических описаний. Для внутренней инфраструктуры — топология сети, учетные записи, доменные политики, доступные сервисы, конфигурации и настройки безопасности.

Затем проводится поиск уязвимостей. Здесь используются сканеры, ручные проверки, анализ конфигураций, проверка версий ПО, поиск ошибок администрирования. Важно, что на этом этапе результат еще предварительный: часть находок может оказаться ложными срабатываниями или быть закрыта дополнительными средствами защиты.

Следующий этап — верификация и эксплуатация. Исполнитель проверяет, можно ли использовать найденную уязвимость. Иногда одна проблема не дает критичного результата, но цепочка из нескольких слабых мест приводит к серьезному инциденту: например, открытый сервис, слабая учетная запись, устаревшая версия ПО и избыточные права вместе позволяют получить доступ к важной системе.

Дальше оценивается критичность. Технические шкалы вроде CVSS (открытый стандарт для оценки серьезности уязвимостей в программном обеспечении, разработанный международной организацией FIRST) полезны, но их недостаточно. Для бизнеса важнее другое: какие данные затронуты, можно ли остановить процесс, есть ли риск штрафов, потери денег, репутационного ущерба или нарушения обязательств перед клиентами.

Финальный этап — отчет. Хороший отчет не должен быть только техническим реестром уязвимостей. В нем нужен управленческий вывод, описание сценариев атак, подтверждение найденных проблем, оценка рисков и понятная дорожная карта устранения.

Что должно быть в отчете по анализу защищенности

Отчет обычно работает для двух аудиторий. Руководству нужно быстро понять уровень защищенности информационной системы и основные риски. Технической команде нужны детали: где уязвимость, как она была обнаружена, как подтверждена, какой эффект дала эксплуатация и что нужно исправить.

В сильном отчете есть не только перечень уязвимостей, но и логика атаки. Например, с какого внешнего сервиса началась проверка, какие данные удалось получить, как был расширен доступ, какие системы оказались достижимы, какие действия мог бы выполнить нарушитель.

Отдельный блок — рекомендации. Их лучше делить по горизонту внедрения. Быстрые меры могут включать закрытие лишнего доступа, обновление ПО, изменение конфигураций, отключение небезопасных протоколов, пересмотр прав. Более стратегические инициативы могут касаться сегментации сети, пересмотра процессов управления уязвимостями, внедрения многофакторной аутентификации, PAM, мониторинга событий и регулярного контроля конфигураций.

Ретест стоит закладывать сразу. Без него компания получает отчет, но не получает подтверждения, что проблема устранена. Повторная проверка показывает не только техническое исправление, но и способность ИТ и ИБ доводить работу над ошибками до результата.

Инструменты анализа защищенности

Инструменты зависят от типа системы и задач проекта. Для сетевой разведки часто используют Nmap. Для поиска уязвимостей — Nessus, OpenVAS, MaxPatrol, XSpider и другие сканеры. Для проверки веб-приложений применяют Burp Suite и подходы OWASP. Для эксплуатации известных уязвимостей может использоваться Metasploit.

Но инструмент не заменяет эксперта. Один и тот же сканер у разных исполнителей даст разную ценность: один ограничится выгрузкой отчета, другой проверит находки, уберет ложные срабатывания, соберет цепочку атаки и объяснит, какие меры действительно снизят риск.

Базы уязвимостей и открытые источники тоже важны: CVE, бюллетени производителей, Exploit-DB, OWASP Top 10. Но они дают только исходную информацию. В конкретной инфраструктуре критичность зависит от конфигурации, доступности сервиса, прав пользователя и компенсирующих мер.

Анализ защищенности ФСТЭК и международные практики

Методика ФСТЭК важна прежде всего для тех случаев, где анализ защищенности связан с аттестацией, контролем уровня защищенности или оценкой соответствия ИС требованиям по защите информации. Она задает более формализованный порядок работ и документирования результатов.

Приказ ФСТЭК №117 также важен для понимания логики регулятора: защита строится вокруг класса защищенности, уровня значимости информации, актуальных угроз, контроля конфигураций, управления уязвимостями и подтверждения эффективности мер. Документ прямо предусматривает контроль уровня защищенности не реже одного раза в три года или после компьютерного инцидента для соответствующих систем.

Международные стандарты закрывают другие задачи. ISO/IEC 27001 описывает требования к системе управления информационной безопасностью и помогает встроить анализ защищенности в общий цикл управления рисками. NIST SP 800-115 полезен как техническое руководство по тестированию и оценке. OWASP — как прикладная база для проверки веб-приложений и API.

Как выбрать исполнителя

При выборе подрядчика нужно смотреть не только на цену и список инструментов. Анализ защищенности предполагает доступ к чувствительной информации, поэтому важны лицензии, репутация, процессы защиты данных и опыт команды.

Для работ, связанных с технической защитой конфиденциальной информации, нужно учитывать лицензирование. Приказ ФСТЭК №117 отдельно указывает, что для проведения мероприятий по защите информации могут привлекаться специализированные организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации.

На пресейле стоит спрашивать, как исполнитель будет проводить анализ внешнего периметра, как проверяет внутреннюю инфраструктуру, как работает с ложными срабатываниями, что входит в отчет, будет ли ретест, как хранятся данные проекта, кто имеет к ним доступ и когда они удаляются.

Риск слабого подрядчика не ограничивается плохим отчетом. Возможны утечка данных, некорректное воздействие на продуктивные системы, незамеченные критичные уязвимости или формальная проверка, которая не дает заказчику практической пользы.

Сертификаты специалистов могут быть дополнительным аргументом, но не должны заменять оценку команды. Важно поговорить не только с менеджером, но и с теми, кто будет проводить работы: попросить описать подход к внешнему или внутреннему пентесту, работу с ложными срабатываниями, формат отчета и правила хранения данных проекта.

Нужно ли готовиться к анализу защищенности

Специально улучшать инфраструктуру перед анализом не стоит. Иначе проверка покажет не реальное состояние, а красивую картинку. Достаточно согласовать границы, оформить договор, определить контактных лиц и режим взаимодействия на случай, если тесты повлияют на работу систем.

Для аудита информационной безопасности подготовка нужна сильнее: могут потребоваться регламенты, политики, интервью с ИТ, ИБ и бизнес-подразделениями. Для анализа защищенности главная задача заказчика — корректно определить область проверки и не мешать исполнителю увидеть инфраструктуру такой, какая она есть.

Итог

Анализ защищенности информационных систем — это практическая оценка того, насколько инфраструктура устойчива к действиям нарушителя. Он помогает выявить уязвимости, проверить возможность их эксплуатации, оценить бизнес-риски и сформировать понятный план повышения уровня защищенности.

Регулярный анализ защищенности особенно важен после изменений в инфраструктуре, внедрения новых сервисов, инцидентов, подготовки к аттестации или пересмотра модели угроз. Формальное соответствие требованиям снижает регуляторные риски, но реальную устойчивость показывает только проверка на практике.

В качестве бонуса составили для вас чек-лист готовности к анализу защищенности

Чек-лист: готовность к проведению анализа защищенности

Область Что проверить Почему это важно

Цель анализа

Определены ли критичные сценарии: доступ к ПДн, финансовым системам, домену

Без цели анализ защищенности ИС превращается в общий поиск уязвимостей без привязки к бизнесу

Границы проверки

Есть список доменов, IP-адресов, сервисов, сегментов сети

Позволяет избежать ситуации, когда часть инфраструктуры не попала в анализ

Тип анализа

Определен формат: внешний, внутренний, социальная инженерия

От этого зависит методика анализа защищенности и сценарии атак

Модель нарушителя

Выбран подход: черный, серый или белый ящик

Влияет на глубину проверки и реалистичность результатов

Ответственные лица

Назначен контакт со стороны ИТ/ИБ и бизнеса

Обеспечивает оперативное взаимодействие и контроль работ

Доступы (при необходимости)

Подготовлены учетные записи, VPN-доступ, описание инфраструктуры

Требуется для внутреннего анализа защищенности и сценариев серого ящика

Юридическое оформление

Подписан договор, согласовано ТЗ, есть разрешение на тестирование

Исключает риски трактовки работ как несанкционированного доступа

Ограничения и риски

Определены критичные системы и допустимый уровень воздействия

Помогает избежать влияния на продуктивные сервисы

Мониторинг на время работ

Настроен контроль событий и действий

Позволяет отследить влияние анализа защищенности на систему

План работы с результатами

Есть ресурс и план устранения уязвимостей

Без этого результаты анализа защищенности ИБ не дают эффекта

Ретест

Запланирована повторная проверка после устранения проблем

Показывает, повысился ли уровень защищенности информационной системы

Фотография Екатерина Рудая Екатерина Рудая Менеджер продукта
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться