"Методические рекомендации Банка России по проведению тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры организаций финансового рынка" (утв. Банком России 22.01.2025 N 2-МР)

1. Раздел "Общие положения"

1. Раздел "Общие положения":

описание объекта оценки;

общее описание проводимых работ;

технологические участки;

краткое описание результатов тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры;

период проведения тестирования на проникновение объектов информационной инфраструктуры;

реквизиты сторон;

Ф.И.О. и должности исполнителей тестирования на проникновение объектов информационной инфраструктуры;

сведения об учетных записях и их ролях, предоставленных для проведения тестирования на проникновение объектов информационной инфраструктуры (при наличии);

дополнительная информация, предоставленная для проведения тестирования на проникновение объектов информационной инфраструктуры;

описание потенциала нарушителя безопасности информации в соответствии с моделью угроз безопасности информации;

определение негативных последствий и (или) недопустимых событий, которые могут быть реализованы в случае эксплуатации уязвимостей;

перечень объектов доступа, в отношении которых возможен несанкционированный доступ с использованием выявленных уязвимостей;

виды тестирования на проникновение объектов информационной инфраструктуры с указанием тестируемых объектов информационной инфраструктуры;

описание области исключений тестирования на проникновение объектов информационной инфраструктуры или сведения об отсутствии таких исключений, а также причины исключения этой области.

Приложение. Отчет по результатам тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры (Рекомендуемая форма) 2. Раздел "Методология проведения тестирования на проникновение объектов информационной инфраструктуры"