4.1. По результатам проведения анализа уязвимостей исполнителем разрабатывается отчет или протокол (при проведении аттестационных испытаний) (далее - отчет (протокол)), в котором содержатся сведения о порядке проведения работ, их результатах, а также информация об информационной системе, целях, условиях и границах проведения работ, используемых для анализа методах и средствах.
4.2. Отчет (протокол) должен содержать:
а) сведения об основании для проведения работ, наименования заказчика и исполнителя работ, сроки проведения работ, их цели и задачи;
б) информация об используемых средствах выявления уязвимостей, а также инструментальных средствах;
в) результаты инвентаризации информационной системы, включающие перечень адресов, портов, сетевых служб, сервисов, интерфейсов, а также перечень программного обеспечения, содержащегося в информационной системе;
г) краткое описание процесса проведения внешнего и внутреннего тестирования;
д) перечень выявленных уязвимостей информационной системы, а также описание выявленных уязвимостей с приложением отчетов, сформированных средствами выявления уязвимостей;
е) результаты оценки критичности выявленных уязвимостей информационной системы;
ж) перечень выявленных уязвимостей информационной системы, подлежащих устранению в ходе анализа уязвимостей, с обоснованием необходимости их устранения для предотвращения реализации угроз безопасности информации (векторов атак), приводящих к возникновению негативных последствий;
з) рекомендации исполнителя по устранению выявленных уязвимостей информационной системы;
и) результаты повторного анализа уязвимостей информационной системы, проводимого с целью подтверждения устранения заказчиком (оператором) выявленных уязвимостей информационной системы;
к) ограничения, которые заказчик (оператор) накладывает на действия исполнителя в ходе анализа уязвимостей информационной системы (например, запреты на определенные виды работ, исключение объектов информационной системы из границ проведения работ, непредставление требуемой информации или доступа для подключения к информационной системе).
4.3. Состав и содержание информации в отчете (протоколе) должны обеспечивать заказчику (оператору) возможность установить перечень выявленных уязвимостей информационной системы, определить состав и сроки проведенных работ по выявлению и устранению уязвимостей, а также методов анализа уязвимостей в соответствии с настоящей Методикой. Описанные действия должны быть подтверждены документированными материалами, указывающими на поиск уязвимостей информационной системы (отчетами, скриншотами, текстовыми описаниями).
4.4. Отчет (протокол) подписывается специалистами исполнителя, которые проводили анализ уязвимостей. Организация и руководитель структурного подразделения, проводившие анализ уязвимостей и разработавшие отчет (протокол), несут ответственность за качество и объективность проведенных работ.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2025
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2026 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2025 год
- Частичная мобилизация: обзор новостей
- Постановление Правительства РФ N 1875