Глава 3. Рекомендации по проведению анализа уязвимостей информационной безопасности объектов информационной инфраструктуры
3.1. В процессе проведения анализа уязвимостей информационной безопасности объектов информационной инфраструктуры рекомендуется проводить выявление, оценку и устранение уязвимостей информационной безопасности объектов информационной инфраструктуры. Выявление, оценку и устранение уязвимостей рекомендуется проводить на этапах создания и эксплуатации объектов информационной инфраструктуры. Периодичность проведения указанных мероприятий рекомендуется устанавливать на основе нормативных актов Банка России с учетом риск-ориентированного подхода.
3.2. Рекомендуется проводить выявление уязвимостей информационной безопасности объектов информационной инфраструктуры, связанных с ошибками кода в программном обеспечении (общесистемное, прикладное, специальное), а также программном обеспечении средств защиты информации, технических средств.
3.3. Выявление уязвимостей информационной безопасности на объектах информационной инфраструктуры рекомендуется проводить с использованием средств анализа защищенности, прошедших процедуру сертификации не ниже 4 уровня доверия в соответствии с приказом ФСТЭК России от 2 июня 2020 года N 76 "Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий" (далее - приказ ФСТЭК России от 2 июня 2020 года N 76).
3.4. При выявлении уязвимостей информационной безопасности объектов информационной инфраструктуры организациям финансового рынка рекомендуется оценивать уровень критичности уязвимостей, руководствуясь методическим документом "Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств" (утвержден ФСТЭК России 28 октября 2022 года).
3.5. Выявление уязвимостей путем анализа кода программного обеспечения рекомендуется проводить с использованием средств анализа исходного кода, прошедших процедуру сертификации не ниже 4 уровня доверия в соответствии с приказом ФСТЭК России от 2 июня 2020 года N 76.
3.6. Рекомендуется для выявления и описания уязвимостей, информация о которых не включена в средства анализа защищенности, указанные в пункте 3.3 настоящих Методических рекомендаций Банка России, а также для формализованного представления результатов использовать БДУ ФСТЭК России и иные базы данных, указанные в пункте 2.3 настоящих Методических рекомендаций Банка России, содержащие сведения об уязвимостях объектов информационной инфраструктуры.
3.7. При проведении работ по анализу и устранению уязвимостей, выявленных в объектах информационной инфраструктуры, рекомендуется руководствоваться методическим документом "Руководство по организации процесса управления уязвимостями в органе (организации)" (утвержден ФСТЭК России 17 мая 2023 года).
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2025
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2026 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2025 год
- Частичная мобилизация: обзор новостей
- Постановление Правительства РФ N 1875