2.1. Анализ уязвимостей проводится по решению руководителя государственного органа (организации), являющегося заказчиком создаваемой информационной системы и (или) осуществляющего эксплуатацию информационной системы (далее - заказчик (оператор)), или уполномоченного им лица.
2.2. Работы по анализу уязвимостей проводятся структурным подразделением, специалистами по защите информации заказчика (оператора) и (или) организацией, имеющей лицензию на деятельность по технической защите конфиденциальной информации (с правом проведения работ и оказания услуг по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации, по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации), выданную ФСТЭК России в соответствии с Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79 (далее - исполнитель).
2.3. К проведению анализа уязвимостей допускаются специалисты исполнителя, изучившие положения настоящей Методики, и обладающие компетенциями, необходимыми для проведения работ в соответствии с настоящей Методикой. Ответственность за привлечение к проведению анализа уязвимостей специалистов, обладающих необходимыми знаниями и компетенциями, возлагается на исполнителя.
2.4. Основанием для проведения работ по анализу уязвимостей является заключенный между заказчиком (оператором) и исполнителем договор или иной документ, на основании которого проводится анализ уязвимостей.
Основанием для проведения анализа уязвимостей структурным подразделением, специалистами по защите информации заказчика (оператора), принадлежащих ему информационных систем, является решение (приказ, распоряжение или иной документ) руководителя заказчика (оператора) или уполномоченного им лица на проведение данных работ.
В договоре или ином документе, на основании которого проводится анализ уязвимостей, предусматриваются следующие этапы:
анализ уязвимостей информационной системы, выполняемый исполнителем;
устранение заказчиком выявленных уязвимостей информационной системы;
повторный анализ уязвимостей информационной системы с целью проверки устранения заказчиком (оператором) уязвимостей информационной системы.
2.5. До начала проведения работ по анализу уязвимостей исполнитель по согласованию с заказчиком (оператором) может провести подготовку, которая должна быть направлена на получение необходимых для проведения анализа уязвимостей сведений об информационной системе и информационно-телекоммуникационной инфраструктуре, на базе которой она функционирует, особенностях их эксплуатации. Подготовка предусматривает во взаимодействии с заказчиком (оператором) сбор информации об информационной системе и информационно-телекоммуникационной инфраструктуре, на базе которой она функционирует, особенностях ее эксплуатации и ее пользователях. Полученная информация используется для уточнения границ проведения работ.
2.6. Специалисты заказчика (оператора) и исполнителя, ответственные за оперативное взаимодействие и контроль проведения анализа уязвимостей, осуществляют согласование и контроль времени проведения работ и действий исполнителя и заказчика (оператора) при анализе уязвимостей, контроль за ходом проведения работ, своевременное выявление и решение проблемных вопросов, возникающих при проведении работ.
Специалисты исполнителя, ответственные за оперативное взаимодействие и контроль проведения анализа уязвимостей, должны обладать знаниями о типовых уязвимостях информационных технологий, программных, программно-аппаратных средств, уязвимостях конфигурации и архитектуры информационных систем, способах их выявления и устранения, а также составе и содержании работ, проводимых в ходе анализа уязвимостей в соответствии с настоящей Методикой.
Специалисты заказчика (оператора) должны обладать знаниями о структурно-функциональных характеристиках информационной системы и (или) информационно-телекоммуникационной инфраструктуре, на базе которой она функционирует, составе программных и программно-аппаратных средств, доменной архитектуре, сетевой топологии, применяемых технологиях (системах управления базами данных, виртуализации и контейнеризации, веб-приложениях, мобильных приложениях), а также о способах и средствах защиты информации, применяемых в информационной системе.
2.7. В ходе анализа уязвимостей информационной системы должно выявляться максимально возможное количество уязвимостей в информационной системе.
К уязвимостям информационной системы относятся уязвимости кода, архитектуры и конфигурации информационной системы <3>.
--------------------------------
<3> Национальный стандарт Российской Федерации ГОСТ Р 65546-2015 "Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем".
2.8. В случае, если по результатам анализа исполнителем не выявлено уязвимостей критического и высокого уровней опасности, а также уязвимостей среднего и низкого уровней опасности, которые могут быть использованы потенциальным нарушителем для реализации угроз безопасности информации (векторов атак), приводящих к возникновению негативных последствий, или установлен факт того, что принятые заказчиком (оператором) меры не позволяют потенциальному нарушителю использовать такие уязвимости для реализации угроз безопасности информации (векторов атак), приводящих к возникновению негативных последствий, исполнителем выдается положительное заключение по результатам анализа уязвимостей в информационной системе заказчика (оператора).
Порядок оценки и устранения выявленных уязвимостей информационной системы приведен в разделе 3.4 настоящей Методики.
2.9. Заказчик (оператор) с учетом назначения, архитектуры и особенностей эксплуатации информационной системы в договоре или ином документе, на основании которого проводится анализ уязвимостей, определяет период времени, в течение которого должны быть проведены все работы по анализу уязвимостей в соответствии с настоящей Методикой.
При необходимости заказчиком (оператором) могут быть установлены перерывы в проведении работ. В этом случае исполнителем должны быть прекращены все работы по анализу уязвимостей. Возобновление работ исполнителем осуществляется с достигнутого результата.
2.10. В ходе анализа уязвимостей применяются следующие виды анализа:
а) внешнее сканирование (С1), в ходе которого исполнителем проводится анализ периметра информационной системы. Работы проводятся удаленно из сети "Интернет". В ходе внешнего сканирования выявляются уязвимости телекоммуникационного оборудования, средств защиты информации, программного обеспечения, сетевых сервисов и служб, приложений, размещенных на периметре информационной системы;
б) внутреннее сканирование (С2), в ходе которого исполнителем проводится анализ информационной инфраструктуры информационной системы, находящейся внутри периметра (внутренней инфраструктуры). Заказчик (оператор) предоставляет исполнителю доступ ко внутренней инфраструктуре. В ходе внутреннего сканирования выявляются уязвимости программных, программно-аппаратных средств (автоматизированных рабочих мест, серверов, телекоммуникационного оборудования, средств защиты информации, программируемых логических контроллеров, средств автоматизации технологических процессов и "умных" устройств), расположенных во внутренней информационной инфраструктуре заказчика (оператора).
2.11. Внутреннее сканирование (С2) может проводиться:
локально с предоставлением исполнителю возможности непосредственного подключения его средства вычислительной техники к портам программно-аппаратного средства информационной системы и (или) информационно-телекоммуникационной инфраструктуры, на базе которой она функционирует;
удаленно с предоставлением исполнителю доступа к информационной системе и (или) информационно-телекоммуникационной инфраструктуре, на базе которой она функционирует, с использованием защищенного подключения.
Внутреннее сканирование проводится удаленно с предоставлением исполнителю доступа к информационной системе только по согласованию с заказчиком (оператором). В данном случае исполнитель обязуется принять меры по защите информации в информационной инфраструктуре, задействованной для проведения анализа уязвимостей, а также обеспечить защищенное подключение к информационной системе заказчика (оператора).
Внутреннее сканирование (С2) проводится от лица привилегированного пользователя с административными правами доступа и правами сетевого доступа. В этом случае заказчик (оператор) организует создание соответствующей тестовой привилегированной учетной записи для проведения анализа уязвимостей, которая подлежит удалению (блокированию) заказчиком после завершения проведения испытаний.
Дополнительно внутреннее сканирование (С2) может проводиться путем сканирования без аутентификации исполнителя (например, в отношении прикладного программного обеспечения, являющего самостоятельной разработкой заказчика (оператора), а также иного программного обеспечения, предназначенного для выполнения значимых функций информационной системы).
2.12. В ходе анализа уязвимостей исполнителем применяются следующие методы:
а) сравнение наименований, версий программного обеспечения, а также иных атрибутов с базой данных уязвимостей, размещенных в банке данных угроз безопасности информации ФСТЭК России, а также иных базах данных уязвимостей, (пассивные методы анализа уязвимостей) в автоматизированном режиме;
б) выявление уязвимостей на основе анализа поведения программного обеспечения путем формирования специальных тестовых запросов (активные методы сканирования) и анализа конфигураций и настроек.
2.13. Границы проведения работ при анализе уязвимостей определяются заказчиком (оператором) совместно с исполнителем с учетом пунктов 2.14 и 2.15 настоящей Методики. Перед началом проведения анализа уязвимостей заказчик (оператор) обеспечивает резервирование информации, программных, программно-аппаратных средств информационной системы, включенных в границы проведения работ (при необходимости).
2.14. В границы проведения работ при внешнем сканировании (С1) включаются публичные сетевые адреса, службы и сервисы информационной системы и информационно-телекоммуникационной инфраструктуры, на базе которой она функционирует, доступные из сети "Интернет", а также их доменные имена. Перечень сетевых адресов, портов, служб и сервисов, доменных имен предоставляется заказчиком (оператором) или по согласованию с ним выявляется исполнителем при инвентаризации информационной системы и информационно-телекоммуникационной инфраструктуры, на базе которой она функционирует, в ходе подготовки к анализу уязвимостей.
2.15. В границы проведения работ при внутреннем сканировании (С2) включаются программные и программно-аппаратные средства, в том числе системное и прикладное программное обеспечение, сетевые службы и интерфейсы взаимодействия, сервисы, приложения, образы контейнеров, а также программируемые логические контроллеры, средства автоматизации технологических процессов и "умные" устройства. Перечень программных и программно-аппаратных средств предоставляется заказчиком (оператором) или по согласованию с ним выявляется исполнителем при инвентаризации информационной системы и информационно-телекоммуникационной инфраструктуры, на базе которой она функционирует, в ходе подготовки к анализу уязвимостей. Внутреннему сканированию подлежат все серверные сегменты (серверы), входящие в состав информационной системы, сетевое оборудование и средства защиты информации, а также автоматизированные рабочие места привилегированных и непривилегированных пользователей.
В случае наличия в информационной системе типовых по составу и структуре автоматизированных рабочих мест непривилегированных пользователей и при условии, что конфигурация таких автоматизированных рабочих мест не изменялась относительно типовой в процессе эксплуатации информационной системы, допускается проводить анализ уязвимостей в отношении 30 процентов мест.
2.16. Состав и содержание работ по анализу уязвимостей, проводимых в соответствии с настоящей Методикой в рамках аттестации информационной системы, в ходе оценки соответствия информационной системы или контроля защищенности информации от несанкционированного доступа включается в программу и методики аттестационных испытаний, приказ, распоряжение руководителя заказчика (оператора) или уполномоченного им лица на проведение работ (в случае проведения работ структурным подразделением, специалистами по защите информации) или в иной документ, на основании которого исполнителем проводятся испытания.
2.17. В информационной инфраструктуре исполнителя, с использованием которой проводится анализ уязвимостей, а также в отношении каналов взаимодействия указанной инфраструктуры с информационной системой должны быть приняты меры по защите информации, препятствующие реализации угроз безопасности информации информационной системы со стороны инфраструктуры исполнителя или через инфраструктуру исполнителя.
2.18. Заказчик (оператор) во время проведения анализа уязвимостей по запросу исполнителя может изменять отдельные настройки в программных, программно-аппаратных средствах информационной системы, в том числе в средствах защиты информации, если это необходимо исполнителю для проведения анализа уязвимостей.
Заказчик (оператор) осуществляет сбор данных о событиях, связанных с внесением изменений в отдельные настройки программных, программно-аппаратных средств информационной системы, в том числе средств защиты информации.
2.19. По результатам проведения анализа уязвимостей исполнитель предоставляет заказчику (оператору) разработанный в соответствии с разделом 4 настоящей Методики отчет (протокол), в котором подтверждается или не подтверждается наличие уязвимостей информационной системы и возможность использования потенциальным нарушителем выявленных уязвимостей для реализации угроз безопасности информации (векторов атак).
2.20. При проведении анализа уязвимостей информационной системы применяются сертифицированные по требованиям безопасности информации ФСТЭК России средства выявления уязвимостей.
При проведении анализа уязвимостей дополнительно могут применяться иные инструментальные средства, функциональные возможности которых обеспечивают реализацию положений настоящей Методики, имеющие техническую поддержку и возможность адаптации (доработки) под особенности проводимых работ, либо свободно распространяемые в исходных кодах, либо средства собственной разработки, не имеющие каких-либо ограничений по их применению, адаптации (доработке) на территории Российской Федерации.
Допускается использовать средства выявления уязвимостей, принадлежащие исполнителю, и (или) по согласованию с исполнителем средства выявления уязвимостей заказчика (оператора).
Размещение в тестируемой информационной системе или подключение к ней средств выявления уязвимостей и инструментальных средств исполнителя согласовывается заказчиком (оператором).
Информация об используемых в системе средствах выявления уязвимостей, инструментальных средствах включается в отчет (протокол), содержащий результаты анализа уязвимостей. Исполнитель приводит в отчете (протоколе) обоснование необходимости применения иных инструментальных средств и сведения о работах по анализу уязвимостей, для которых используются иные инструментальные средства.
Перед проведением анализа уязвимостей исполнитель проверяет актуальность баз данных уязвимостей, содержащихся в средствах выявления уязвимостей.
2.21. При использовании средств выявления уязвимостей, инструментальных средств для анализа уязвимостей исполнитель обязан принять все возможные меры по недопущению нарушения функционирования информационной системы и информационно-телекоммуникационной инфраструктуры, на базе которой она функционирует.
2.22. После завершения анализа уязвимостей заказчик (оператор) должен обеспечить удаление из информационной системы и информационно-телекоммуникационной инфраструктуры, на базе которой она функционирует, используемых средств выявления уязвимостей, инструментальных средств (в случае их установки исполнителем при проведении анализа уязвимостей), а также обеспечить изменение конфигурации программного обеспечения до исходной (базовой) конфигурации (в случае внесения изменений).
2.23. Исполнитель обязан обеспечить конфиденциальность информации, полученной в ходе анализа уязвимостей, в соответствии с договором или иным документом, на основании которого проводился анализ уязвимостей, и с учетом нормативных правовых актов Российской Федерации.
Исполнитель не должен без разрешения заказчика (оператора) отчуждать на внешние машинные носители информации или передавать, распространять по сети "Интернет" любую информацию, относящуюся к проводимому анализу и информационным системам. Исполнитель не должен использовать информацию, полученную в ходе проведения анализа уязвимостей, ни для каких целей, кроме как для реализации договора или иного документа, на основании которого проводился анализ уязвимостей.
2.24. Действия исполнителя по анализу уязвимостей в информационной системе не должны создавать угрозы безопасности информации для иных информационных систем.
2.25. Условия и ограничения при проведении анализа уязвимостей, предусмотренные настоящей Методикой, подлежат включению в договор или иной документ, на основании которого проводятся испытания.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2025
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2026 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2025 год
- Частичная мобилизация: обзор новостей
- Постановление Правительства РФ N 1875