3.3.1. Работы по внутреннему анализу уязвимостей должны предусматривать выявление уязвимостей программных, программно-аппаратных средств, включая уязвимости сетевых служб и сервисов, системного и прикладного программного обеспечения, расположенных во внутренней инфраструктуре информационной системы, а также уязвимостей, связанных с недостатками их конфигурации.
3.3.2. В целях проведения внутреннего анализа уязвимостей осуществляются:
а) выявление известных уязвимостей в программных, программно-аппаратных средствах, входящих в состав внутренней инфраструктуры информационной системы;
б) выявление уязвимостей конфигурации системного и прикладного программного обеспечения, входящего в состав внутренней инфраструктуры информационной системы;
в) выявление уязвимостей аутентификации, использования паролей, заданных по умолчанию, и устойчивости паролей;
г) выявление уязвимостей кода и конфигурации прикладного программного обеспечения (веб-приложений, мобильных приложений, программного обеспечения, реализующего модели машинного обучения и другого прикладного программного обеспечения).
3.3.3. Внутренний анализ уязвимостей проводится исполнителем:
путем сканирования интерфейсов внутренней инфраструктуры информационной системы, автоматизированных рабочих мест пользователей информационной системы, серверов, телекоммуникационного оборудования, средств защиты информации с использованием средств выявления уязвимостей, иных инструментальных средств, предназначенных для поиска уязвимостей программного кода и конфигурации с использованием пассивных и активных методов анализа уязвимостей в автоматизированном режиме;
путем поиска информации об уязвимостях программных, программно-аппаратных средств, средств защиты информации, входящих в состав информационной системы, в банке данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru), а также в иных базах данных уязвимостей;
путем применения пассивных и активных методов анализа уязвимостей в ручном режиме.
3.3.4. По результатам проведения внутреннего анализа исполнителем формируется перечень уязвимостей внутренней инфраструктуры информационной системы:
а) уязвимости программного обеспечения автоматизированных рабочих мест пользователей информационной системы, серверов, телекоммуникационного оборудования, средств защиты информации;
б) уязвимости конфигурации автоматизированных рабочих мест пользователей информационной системы, серверов, телекоммуникационного оборудования, средств защиты информации;
в) уязвимости системного и прикладного программного обеспечения;
г) уязвимости конфигурации системного и прикладного программного обеспечения (операционных систем, систем управления базами данных, сетевых служб, сервисов, веб-приложений, серверов приложений и иного программного обеспечения);
д) уязвимости конфигурации внутренней сетевой инфраструктуры информационной системы;
е) уязвимости программируемых логических контроллеров, средств автоматизации технологических процессов и "умных" устройств.
3.3.5. Перечень работ, проводимых исполнителем в ходе внутреннего сканирования, приведен в таблице 3.
|
Наименование работы <5> |
||
|
Поиск уязвимостей программного обеспечения телекоммуникационного оборудования и межсетевых экранов |
||
|
Поиск уязвимостей конфигурации сетевых служб и протоколов (ARP, BOOTP, CDP, DTP, LLD, LLMNR, mDNS, MNDP, NDP, STP, SSDP, VRRP и HSRP, VTP и других протоколов) |
||
|
Поиск уязвимостей, связанных с использованием паролей, заданных по умолчанию |
||
|
Поиск уязвимостей механизмов аутентификации (передача аутентификационной информации в открытом виде и других механизмов аутентификации) |
||
|
Поиск уязвимостей управления доступом к файлам и каталогам, к интерфейсам управления сетевыми службами и устройствам |
||
|
Поиск уязвимостей, связанных с отсутствием блокировки учетной записи после неудачных попыток входа |
||
|
Поиск активных сетевых служб, использующих небезопасные протоколы передачи данных (FTP, Telnet, rlogin, rsh, Finger и других служб) |
||
|
Поиск небезопасных версий сетевых протоколов (SMBv1, SSL 2.0/3.0, TLS 1.0, NTLMv1) |
||
|
Поиск недостатков управления доступом к порту служб удаленного доступа |
||
|
Поиск уязвимостей защиты протоколов служб удаленного доступа |
||
|
Поиск иных уязвимостей конфигурации служб удаленного доступа |
||
|
Поиск уязвимостей в программном обеспечении служб удаленного доступа |
||
|
Поиск уязвимостей, связанных с отсутствием проверки и валидации данных |
||
|
Поиск уязвимостей, связанных с недостатками защиты протоколов передачи данных |
||
|
Поиск уязвимостей конфигурации иных сетевых сервисов и служб |
||
|
Поиск уязвимостей программного обеспечения сетевых сервисов и служб |
||
|
Поиск уязвимостей конфигурации домена информационной системы |
||
|
Поиск уязвимостей реализации идентификации и аутентификации пользователей |
||
|
Поиск уязвимостей в программном обеспечении доменных инфраструктурных служб |
||
|
Поиск учетных записей пользователей, заданных по умолчанию, или с простым паролем |
||
|
Поиск уязвимостей, связанных с отсутствием блокировки учетной записи при многократных ошибках ввода пароля |
||
|
Поиск уязвимостей, связанных с применением одинакового пароля для локальных администраторов на всех автоматизированных рабочих местах |
||
|
Поиск присвоения учетным записям пользователей избыточных прав администратора |
||
|
Поиск присвоения учетным записям пользователей избыточных прав на системные каталоги или файлы |
||
|
Поиск неиспользуемых служб и сервисов (Telnet, FTP, rlogin, SNMP без шифрования и других служб и сервисов) |
||
|
Поиск применения устаревших протоколов (SMBv1, NTLMv1, SSL 2.0/3.0, TLS 1.0 и других протоколов) |
||
|
Поиск реализации неограниченного доступа к службам удаленного доступа (RDP, SSH и других служб) для всех IP-адресов |
||
|
Поиск уязвимостей, связанных с отсутствием логирования событий безопасности |
||
|
Поиск уязвимостей, связанных с использованием гостевых или общих папок без ограничений |
||
|
Поиск уязвимостей, связанных с применением автозагрузки с неучтенных машинных носителей |
||
|
Поиск уязвимостей, связанных с отсутствием ограничений для макросов в офисных приложениях |
||
|
Поиск уязвимостей программного обеспечения операционных систем |
||
|
Поиск уязвимостей конфигурации систем управления базами данных |
||
|
Поиск учетных записей пользователей, заданных по умолчанию, или с простым паролем (например, root/sa с пустым паролем) |
||
|
Поиск неограниченного количества подключений с любых IP-адресов (например, root@'%' в MySQL) |
||
|
Поиск уязвимостей, связанных с наличием у пользователей всех прав и полномочий (реализован принцип "Full Access") |
||
|
Поиск уязвимостей, связанных с использованием одинаковых учетных записей для разных приложений |
||
|
Поиск уязвимостей, связанных с наличием у учетных записей прав на изменение системных таблиц |
||
|
Поиск уязвимостей, связанных с реализацией доступа к системе управления базами данных со всех интерфейсов (0.0.0.0) |
||
|
Поиск уязвимостей, связанных с отсутствием ограничений доступа к системе управления базами данных по IP-адресам |
||
|
Поиск уязвимостей, связанных с отсутствием шифрования учетных данных пользователей и защищаемой информации |
||
|
Поиск уязвимостей, связанных с использованием устаревших протоколов или небезопасных параметров SSL/TLS |
||
|
Поиск уязвимостей, связанных с доступностью журналов аудита всем пользователям |
||
|
Поиск уязвимостей, связанных с отсутствием ограничений на число попыток ввода пароля |
||
|
Поиск уязвимостей, связанных с отсутствием контроля доступа пользователей к каталогам, файлам баз данных |
||
|
Поиск иных уязвимостей конфигурации систем управления базами данных |
||
|
Поиск уязвимостей программного обеспечения систем управления базами данных |
||
|
Поиск учетных записей пользователей, заданных по умолчанию, или с простым паролем |
||
|
Поиск возможности доступа к интерфейсам управления из любой сети (подсети) |
||
|
Поиск уязвимостей, связанных с отсутствием ограничений на количество ресурсов, выделяемых виртуальным машинам (CPU, память) |
||
|
Поиск уязвимостей, связанных с использованием общих каталогов для хранения информации разного уровня конфиденциальности |
||
|
Поиск бесконтрольного использования снимков состояний (снапшотов) виртуальных машин |
||
|
Поиск уязвимостей конфигурации виртуальных коммутаторов и маршрутизаторов |
||
|
Поиск отсутствия фильтрации трафика между виртуальными машинами |
||
|
Поиск уязвимостей программного обеспечения средств виртуализации |
||
|
Поиск уязвимостей, связанных с возможностью запуска контейнеров с флагом --privileged |
||
|
Поиск уязвимостей, связанных с возможностью монтирования чувствительных директорий хостовой операционной системы (/etc, /var/run/docker.sock) |
||
|
Поиск уязвимостей, связанных с возможностью запуска процессов внутри контейнера от имени привилегированных учетных записей (root) |
||
|
Поиск уязвимостей, связанных с применением образов контейнеров, содержащих уязвимости |
||
|
Поиск уязвимостей, связанных с отсутствием у контейнеров ограничений по ресурсам (--cpus, --memory) |
||
|
Поиск уязвимостей, связанных с возможностью запуска контейнеров в hostNetwork/hostPID режиме |
||
|
Поиск уязвимостей, связанных с отсутствием политик сетевого взаимодействия между контейнерами |
||
|
Поиск уязвимостей, связанных с отсутствием ограничений по доступу к сервисам, содержащимся в контейнерах (NodePort/LoadBalancer) |
||
|
Поиск уязвимостей программного обеспечения средств контейнеризации |
||
|
Поиск уязвимостей идентификации и аутентификации пользователей |
||
|
Поиск уязвимостей управления доступом пользователей к ресурсам |
||
|
Поиск уязвимостей, связанных с возможностью запуска произвольного программного кода |
||
|
Поиск уязвимостей в управлении ресурсами, доступными веб-приложению |
||
|
Поиск уязвимостей, связанных с недостатками проверки вводимых данных |
||
|
Поиск уязвимостей, связанных с неправильной конфигурацией приложения (например, включенный режим отладки) |
||
|
Поиск уязвимостей в программном обеспечении веб-приложений (например, в веб-сервере, CMS, фреймворках и иных компонентах) |
||
|
Поиск уязвимостей конфигурации прикладного программного обеспечения (офисные программы, интернет-браузеры, системы электронного документооборота и другое программное обеспечение) |
||
|
Поиск ошибок, позволяющих исказить поведение обученной модели машинного обучения путем формирования специальных запросов (промптов) |
||
|
Поиск уязвимостей, связанных с использованием для обучения модели машинного обучения модифицированных данных или наборов данных |
||
|
Поиск уязвимостей, позволяющих в результате ответа модели машинного обучения получить конфиденциальную информацию |
||
|
Поиск уязвимостей контроля и управления данными, используемыми моделью машинного обучения |
||
|
Поиск уязвимостей, позволяющих модифицировать обучающие наборы данных |
||
|
Поиск уязвимостей управления доступом к модели машинного обучения |
||
|
Поиск уязвимостей механизмов фильтрации и контроля входных и выходных данных модели машинного обучения |
||
|
Поиск прочих уязвимостей конфигурации модели машинного обучения |
||
|
Поиск уязвимостей программного обеспечения библиотек, фреймворков, используемых для разработки модели машинного обучения |
||
|
Поиск уязвимостей программного обеспечения модели машинного обучения |
||
--------------------------------
<5> Если в информационной системе не применяются информационные технологии, приведенные в наименовании работы не проводятся.
Знаком "+" отмечены необходимые работы для каждого из видов анализа.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2025
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2026 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2025 год
- Частичная мобилизация: обзор новостей
- Постановление Правительства РФ N 1875