АНО ДПО "Международная академия современного образования"

📄 ФСТЭК утвердил новую методику поиска уязвимостей и НДВ (май 2026)

12 мая 2026 года ФСТЭК России утвердил обновленный методический документ — «Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении». Документ заменит предыдущую версию от 25 декабря 2020 года.

🔐 Ключевое нововведение — 6 уровней контроля

Самый низкий — 6-й, самый высокий — 1-й. Уровень определяется требованиями доверия (приказ ФСТЭК № 76 от 02.06.2020).

✅ Что теперь требуется анализировать (п. 2.3)

документацию и исходный код

сборочную среду и систему сборки

дистрибутив

перечень компонентов и образов контейнеров (CycloneDX JSON)

результаты всех процессов разработки по ГОСТ Р 56939‑2024

модульные, интеграционные, регрессионные тесты и фаззинг

и даже тесты, демонстрирующие выполнение функций безопасности

⚙️ Подготовка к исследованиям (Раздел 3)

анализ документации (ПОД.1)

подготовка стенда с контролируемой сборкой (ПОД.2)

обязательный антивирусный контроль (не менее двух сертифицированных средств)

контроль целостности по ГОСТ 34.11‑2012 (Стрибог)

🔬 Типы исследований (Раздел 4)

КАО — анализ архитектуры (статический и динамический)

САО — статический анализ исходного кода (синтаксические деревья, ручная разметка предупреждений)

ДАО — динамический анализ (модульное тестирование + фаззинг)

ЭКО — экспертиза кода (ручной анализ наиболее критичных участков)

⚠️ Важные требования к разметке предупреждений (п. 5.3)

Каждое предупреждение анализатора должно быть прокомментировано содержательно

Фразы «Не эксплуатируемо», «Не несет угроз» и т.п. — не допускаются

Групповая разметка без разбора причин — тоже нарушение

📦 Форматы данных (Приложения 1 и 2)

Перечень компонентов и образов контейнеров — только CycloneDX в JSON (RFC 8259).

Хэши — строго по ГОСТ 34.11‑2012 (256/512 бит).

🗺 Пример анализа поверхности атаки (Приложение 3)

Подробная модель на примере средства «Ромашка» — от внешних интерфейсов до подсистем и требований по уровням контроля.

🎯 Почему это важно

Методика уже обязательна для сертификационных испытаний. Разработчикам рекомендуется использовать её для внутренних процессов по ГОСТ Р 56939‑2024. Объём модифицированного байт-кода более 10 000 инструкций — основание для прекращения исследований (п. 3.2, усиление 1).

💡 Вывод

Новая методика существенно повышает требования к глубине анализа, прозрачности разметки результатов и контролю сборочного процесса. Особый акцент — на интерпретируемые языки, среду исполнения и минимизацию привилегий компонентов.

🔗 Документ вступает в силу с даты утверждения — 12.05.2026. Предыдущая методика (декабрь 2020) прекращает применение.

#ФСТЭК #НДВ #Уязвимости #БезопасностьПО #Сертификация #CycloneDX #ГОСТ34_11 #ИнфоБез

2 минуты

8 июня