ФСТЭК утвердила новую методику выявления уязвимостей: SBOM и 6 уровней доверия

Новый документ заменил закрытую методику 2020 года и впервые стал публично доступным. Ключевое нововведение — обязательный учёт программных компонентов через SBOM (Software Bill of Materials) в формате CycloneDX, что позволяет отслеживать зависимости и уязвимости на всех уровнях. Введены шесть уровней доверия к компонентам ПО, от «максимального доверия» до «недоверенного». Для разработчиков СЗИ и безопасного ПО это означает необходимость полной прозрачности состава продукта, включая open source-компоненты. Лаборатории теперь обязаны проверять не только функциональность, но и корректность SBOM, а также оценивать риски кибератак на заимствованные компоненты. Документ вступил в силу в июне 2026 года и напрямую связан с требованиями приказа №9, который обязывает разработчиков уведомлять ФСТЭК об изменениях в open source в течение 5 дней.