3.4.1. На этапе оценки выявленных уязвимостей проводится оценка уровня критичности выявленных уязвимостей информационной системы и возможности реализации с их использованием угроз безопасности информации (векторов атак), приводящих к возникновению негативных последствий.
3.4.2. В случае если по результатам проведенного анализа не выявлено уязвимостей информационной системы, исполнителем выдается положительное заключение по результатам анализа уязвимостей в информационной системе заказчика (оператора).
3.4.3. В случае если по результатам проведенного анализа выявлены уязвимости информационной системы, исполнителем совместно с заказчиком (оператором) проводится оценка уровня критичности выявленных уязвимостей информационной системы в соответствии с Методикой оценки уровня критичности уязвимостей программных, программно-аппаратных средств, утвержденной ФСТЭК России 30 июня 2025 г.
3.4.4. Заказчиком (оператором) в ходе проведения анализа уязвимостей должны быть приняты меры по устранению всех уязвимостей критического и высокого уровней опасности.
3.4.5. В отношение уязвимостей среднего и низкого уровней опасности исполнитель совместно с заказчиком (оператором) проводит экспертную оценку возможности использования указанных уязвимостей потенциальным нарушителем для реализации угроз безопасности информации (векторов атак), приводящих к возникновению негативных последствий.
Экспертная оценка возможности эксплуатации выявленных уязвимостей проводится с учетом способов реализации угроз безопасности и возможностей нарушителей, содержащихся в модели угроз безопасности информации информационной системы, а также структурно-функциональных характеристик и особенностей функционирования информационной системы.
Для проведения оценки выявленных уязвимостей заказчик (оператор) представляет исполнителю сведения о способах реализации угроз безопасности информации, сценариях реализации угроз безопасности информации, возможностях нарушителей, а также негативных последствиях от реализации угроз безопасности информации (при наличии).
Заказчиком (оператором) в ходе проведения анализа уязвимостей должны быть приняты меры по устранению уязвимостей среднего и низкого уровней опасности, которые по результатам экспертной оценки могут быть использованы потенциальным нарушителем для реализации угроз безопасности информации (векторов атак), приводящих к возникновению негативных последствий.
3.4.6. Уязвимости среднего и низкого уровней опасности, которые по результатам экспертной оценки не могут быть использованы потенциальным нарушителем для реализации угроз безопасности информации (векторов атак), приводящих к возникновению негативных последствий, подлежат устранению заказчиком (оператором) после проведения анализа уязвимостей в порядке, установленном в Руководстве по организации процесса управления уязвимостями в органе (организации), утвержденном ФСТЭК России 17 мая 2023 г.
3.4.7. Исполнителем формируются рекомендации по устранению выявленных в ходе анализа уязвимостей, подлежащих устранению в ходе анализа, и принятию мер защиты информации в части:
обновления программного обеспечения;
изменения архитектуры и конфигурации информационной системы;
реализации дополнительных мер защиты информации и (или) установки дополнительных средств защиты информации.
В случае выявления по результатам инвентаризации исполнителем не используемых (не идентифицированных) заказчиком (оператором) сетевых адресов, портов, служб и сервисов, доменных имен, интерфейсов, заказчик (оператор) принимает меры по ограничению доступа к таким сетевым адресам из сети "Интернет", а также по отключению неиспользуемых служб и сервисов.
3.4.8. С учетом выданных исполнителем рекомендаций заказчик (оператор) проводит работы по реализации мер защиты информации, направленных на устранение выявленных уязвимостей, или приводит обоснования невозможности эксплуатации уязвимостей для реализации угроз безопасности информации (векторов атак), приводящих к возникновению негативных последствий.
Для устранения уязвимостей информационной системы в приоритетном порядке заказчиком (оператором) принимаются меры по обновлению программного обеспечения.
3.4.9. Исполнитель повторно проводит анализ уязвимостей информационной системы с целью подтверждения устранения заказчиком (оператором) выявленных уязвимостей информационной системы.
3.4.10. В случае, если исполнителем подтверждено, что заказчиком (оператором) приняты меры по устранению выявленных уязвимостей информационной системы, исполнителем выдается положительное заключение по результатам анализа уязвимостей информационной системы.
3.4.11. Если по результатам оценки принятых заказчиком (оператором) мер по устранению выявленных уязвимостей выявлена хотя бы одна уязвимость, эксплуатация которой может привести к реализации угроз безопасности информации (векторов атак), приводящих к возникновению негативных последствий, исполнителем выдается отрицательное заключение по результатам анализа уязвимостей в информационной системе заказчика (оператора).
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2025
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2026 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2025 год
- Частичная мобилизация: обзор новостей
- Постановление Правительства РФ N 1875