1.1. Настоящие Методические рекомендации Банка России разработаны в целях обеспечения единого подхода к реализации кредитными организациями, некредитными финансовыми организациями <1>, субъектами национальной платежной системы, а также бюро кредитных историй (далее при совместном упоминании - организации финансового рынка) обязанности по проведению тестирования на проникновение и анализа уязвимостей информационной безопасности автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования (далее при совместном упоминании - объекты информационной инфраструктуры) в соответствии с подпунктом 3.2 пункта 3 Положения Банка России от 17 апреля 2019 года N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента", абзацем первым подпункта 1.4.5 пункта 1.4 Положения Банка России от 20 апреля 2021 года N 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций", абзацем третьим пункта 1.1, абзацем вторым пункта 2.11, пунктами 3.8, 3.9 Положения Банка России от 17 августа 2023 года N 821-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", пунктом 2.3 Положения Банка России от 17 октября 2022 года N 808-П "О требованиях к обеспечению защиты информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке в целях противодействия осуществлению незаконных финансовых операций, обязательных для лиц, оказывающих профессиональные услуги на финансовом рынке, к обеспечению бюро кредитных историй защиты информации, указанной в статье 4 Федерального закона "О кредитных историях", при ее обработке, хранении и передаче сертифицированными средствами защиты, а также к сохранности информации, полученной в процессе деятельности кредитного рейтингового агентства". Настоящие Методические рекомендации Банка России также могут применяться иными некредитными финансовыми организациями и лицами, оказывающими профессиональные услуги на финансовом рынке.
--------------------------------
<1> Для целей настоящих Методических рекомендаций Банка России под некредитными финансовыми организациями понимаются некредитные финансовые организации, реализующие усиленный уровень защиты информации, и некредитные финансовые организации, реализующие стандартный уровень защиты информации, в соответствии с Положением Банка России от 20 апреля 2021 года N 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций".
1.2. Организациям финансового рынка рекомендуется определить границы проведения тестирования <2> на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры. Организациям финансового рынка в границы проведения тестирования на проникновение и анализа уязвимостей информационной безопасности рекомендуется включать объекты информационной инфраструктуры, распространяемые клиентам для совершения действий в целях осуществления банковских и (или) иных финансовых операций, а также программное обеспечение, обрабатывающее защищаемую информацию на технологических участках <3>, используемое для приема электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет") (при наличии соответствующих объектов информационной инфраструктуры), включая:
--------------------------------
<2> Для целей настоящих Методических рекомендаций Банка России под границами проведения тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры понимается перечень объектов информационной инфраструктуры, для которых должны проводиться такие тестирование и анализ в соответствии с нормативными актами Банка России.
<3> Для целей настоящих Методических рекомендаций Банка России под технологическими участками понимаются технологические участки, указанные в подпункте 2.4.3 пункта 2.4 Методических рекомендаций Банка России по описанию наименований объектов информационной инфраструктуры от 20 декабря 2023 года N 18-МР.
веб-приложения дистанционного банковского обслуживания (далее - ДБО) физических лиц (далее - ФЛ);
веб-приложения ДБО юридических лиц (далее - ЮЛ);
веб-приложения личных кабинетов клиентов некредитных финансовых организаций;
мобильные приложения ДБО ФЛ для различных мобильных операционных систем;
мобильные приложения ДБО ЮЛ для различных мобильных операционных систем;
мобильные приложения личных кабинетов клиентов некредитных финансовых организаций для различных мобильных операционных систем;
специализированные клиентские приложения ДБО ФЛ для различных операционных систем;
специализированные клиентские приложения ДБО ЮЛ для различных операционных систем;
специализированные клиентские приложения личных кабинетов клиентов некредитных финансовых организаций для различных операционных систем;
автоматизированные системы, участвующие во взаимодействии с ДБО ФЛ или ЮЛ, в том числе интеграционные системы и API;
серверы систем управления базами данных.
1.3. Рекомендуется в целях обеспечения единства подходов к описанию наименований объектов информационной инфраструктуры приводить наименования объектов информационной инфраструктуры, в том числе относящиеся к критичной архитектуре, в соответствии с Методическими рекомендациями Банка России по описанию наименований объектов информационной инфраструктуры от 20 декабря 2023 года N 18-МР.
1.4. Целями проведения тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры могут являться:
оценка уровня защищенности объектов информационной инфраструктуры;
обеспечение доверия к объектам информационной инфраструктуры, в том числе входящим в критичную архитектуру.
1.5. Задачами проведения тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры могут являться:
выявление уязвимостей, определение способов эксплуатации уязвимостей или выявление нарушений функций безопасности объектов информационной инфраструктуры организации финансового рынка, которые могут привести к возникновению негативных последствий нарушения информационной безопасности;
разработка предложений по устранению уязвимостей информационной безопасности;
идентификация риска информационной безопасности (в том числе выявление нарушений (риска нарушения) требований к обеспечению защиты защищаемой информации или обеспечению операционной надежности), включая случаи, когда реализация такого риска приводит к совершению операций без добровольного согласия клиента, а также описание его влияния на уровень защищенности и формирование возможных решений по минимизации риска.
1.6. Организациям финансового рынка рекомендуется проводить тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры самостоятельно в соответствии с главой 4 настоящих Методических рекомендаций Банка России или с привлечением на договорной основе сторонней организации в соответствии с главой 5 настоящих Методических рекомендаций Банка России (далее при совместном упоминании организации финансового рынка и сторонней организации - стороны).
1.7. Перед проведением тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры в целях реализации мер по минимизации негативных последствий нарушения информационной безопасности объектов информационной инфраструктуры при проведении таких тестирования и анализа организациям финансового рынка рекомендуется разработать и (или) актуализировать следующие документы:
техническое задание на проведение тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры (далее - ТЗ);
соглашение об ответственности сторон тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры;
модель угроз информационной безопасности для объектов информационной инфраструктуры на основе методического документа "Методика оценки угроз безопасности информации" (утвержден ФСТЭК России 5 февраля 2021 года);
планы восстановления операционной надежности в случае возникновения нештатных ситуаций в ходе проведения тестирования на проникновение объектов информационной инфраструктуры.
1.8. Организациям финансового рынка рекомендуется отражать в ТЗ:
наименование планируемых работ <4>;
--------------------------------
<4> Для целей настоящих Методических рекомендаций Банка России под работами понимаются работы по проведению тестирования на проникновение и анализа уязвимостей объектов информационной инфраструктуры.
количество планируемых этапов проведения работ;
перечень нормативных актов, указанных в пункте 1.1 настоящих Методических рекомендаций Банка России, во исполнение которых проводятся работы;
перечень объектов информационной инфраструктуры, подлежащих тестированию на проникновение и анализу уязвимостей информационной безопасности объектов информационной инфраструктуры, с указанием технологических участков;
перечень объектов информационной инфраструктуры, входящих в границы тестирования, на которых не планируется проводить тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры, с указанием причин, препятствующих проведению тестирования на проникновение (например, ограничение пропускной способности, промежутка времени, в который возможно провести тестирование на проникновение);
метод проведения тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры, включающий:
возможные классы атак (поверхности, а также техника и тактика атаки) и уязвимостей;
методы и инструменты, используемые для проведения тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры;
перечень баз данных угроз безопасности информации и иные информационные источники для идентификации уязвимостей (примерный перечень приведен в пункте 2.3 настоящих Методических рекомендаций Банка России);
среды, в которых планируется проведение тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры (например, в тестовой среде, которая соответствует промышленной среде и содержит тестовые данные);
схемы сетевых подключений объектов информационной инфраструктуры, включая адреса и подсети, подлежащие тестированию на проникновение и анализу уязвимостей информационной безопасности объектов информационной инфраструктуры;
перечень факторов риска, реализуемых в рамках тестирования на проникновение объектов информационной инфраструктуры (например, угрозы, шантаж работников <5>, воздействие на личные социальные сети и мобильные устройства работников организации финансового рынка);
--------------------------------
<5> Для целей настоящих Методических рекомендаций Банка России под работниками понимаются штатные работники организации финансового рынка.
события, при наступлении которых незамедлительно прекращается тестирование на проникновение объектов информационной инфраструктуры;
ожидаемые результаты тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры (например, завершение тестирования при отсутствии уязвимостей, критерии принятия решения о необходимости проведения повторного тестирования на проникновение и (или) анализа уязвимостей и так далее), включая требования к разработке рекомендаций по устранению выявленных уязвимостей информационной безопасности;
сроки и условия проведения повторного тестирования и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры.
1.9. При проведении тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры рекомендуется руководствоваться в том числе следующими документами:
соглашение сторон о разрешении тестирования на проникновение и анализа уязвимостей информационной безопасности адресов и подсетей, в том числе относящихся к критичной архитектуре;
соглашение сторон о неразглашении конфиденциальной информации;
перечень средств защиты информации, используемых на объектах информационной инфраструктуры, с регламентами их работы (используемыми настройками);
правила выделения учетных записей для специалистов <6>, привлекаемых к тестированию на проникновение и анализу уязвимостей информационной безопасности объектов информационной инфраструктуры (в случае необходимости);
--------------------------------
<6> Для целей настоящих Методических рекомендаций Банка России под специалистами понимаются работники сторонней организации, не находящиеся в штате организации финансового рынка.
парольные политики, применяемые на объектах информационной инфраструктуры;
инструкции пользователей к объектам информационной инфраструктуры;
инструкции администраторов к объектам информационной инфраструктуры;
график работы работников организации финансового рынка.
1.10. Организациям финансового рынка при проведении тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры рекомендуется руководствоваться положениями национального стандарта Российской Федерации ГОСТ Р 58143-2018 "Информационная технология. Методы и средства обеспечения безопасности. Детализация анализа уязвимостей программного обеспечения в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045. Часть 2. Тестирование проникновения" (далее - ГОСТ Р 58143-2018).
1.11. Кредитным организациям и некредитным финансовым организациям при проведении тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры рекомендуется руководствоваться подпунктом 7.2.6 пункта 7.2 "Оценка уязвимостей (AVA)" методического документа "Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций", опубликованного на официальном сайте Банка России <7> в сети "Интернет".
--------------------------------
<7> http://www.cbr.ru/content/document/file/132666/inf_note_feb_0422.pdf.
1.12. Результаты тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры рекомендуется оформлять отчетом по результатам тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры (далее - отчет), форма которого приведена в приложении к настоящим Методическим рекомендациям Банка России. К отчету рекомендуется прилагать материалы об объектах информационной инфраструктуры, предоставленные организацией финансового рынка в соответствии с ТЗ.
1.13. Отчет рекомендуется оформлять в электронном виде в формате, не допускающем его редактирования, и подписывать усиленной квалифицированной электронной подписью руководителя сторонней организации, сертификат ключа проверки которой действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен (электронными подписями работников организации финансового рынка, на которых возложено проведение тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры).
При оформлении отчета на бумажном носителе рекомендуется использовать сквозную нумерацию страниц, прошивать отчет нитью, не имеющей разрывов, и скреплять печатью организации с указанием количества листов в заверительной надписи, подписанной руководителем сторонней организации (работниками организации финансового рынка, на которых возложено проведение тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры). Также рекомендуется присваивать отчету регистрационный номер.
Рекомендуемый срок хранения отчета не менее 5 лет.
1.14. Результаты тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры рекомендуется доводить до сведения заместителя руководителя организации финансового рынка, ответственного за обеспечение информационной безопасности в организации финансового рынка, в том числе ответственного за обнаружение, предупреждение и ликвидацию последствий компьютерных атак, и реагирование на компьютерные инциденты <8>.
--------------------------------
<8> Указанная роль предусмотрена в постановлении Правительства Российской Федерации от 15.07.2022 N 1272 "Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)".
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2026
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2026 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2026 год
- Частичная мобилизация: обзор новостей
- Постановление Правительства РФ N 1875