3.2.1. Работы по внешнему анализу уязвимостей должны предусматривать выявление уязвимостей сетевых служб и сервисов, системного и прикладного программного обеспечения, доступных из сети "Интернет", в том числе уязвимостей, связанных с недостатками их конфигураций.
3.2.2. В целях проведения внешнего анализа уязвимостей осуществляется:
а) выявление известных уязвимостей программного обеспечения сетевых служб, сервисов, программных, программно-аппаратных средств, интерфейсы которых доступны из сети "Интернет";
б) выявление уязвимостей конфигурации сетевых протоколов, системного и прикладного программного обеспечения, интерфейсы которых доступны из сети "Интернет";
в) выявление уязвимостей аутентификации, использования паролей, заданных по умолчанию, и устойчивости паролей;
г) выявление уязвимостей кода и конфигурации прикладного программного обеспечения (веб-приложений, мобильных приложений, программного обеспечения, реализующего модели машинного обучения и другого прикладного программного обеспечения), доступных из сети "Интернет".
3.2.3. Внешний анализ уязвимостей проводится исполнителем:
путем сканирования интерфейсов сетевой инфраструктуры информационной системы, приложений с использованием средств выявления уязвимостей, иных инструментальных средств, предназначенных для поиска уязвимостей программного кода и конфигурации с использованием пассивных и активных методов анализа уязвимостей в автоматизированном режиме;
путем поиска информации об уязвимостях программных, программно-аппаратных средств, средств защиты информации, находящихся на периметре информационной системы, в банке данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru), а также в иных базах данных уязвимостей в автоматизированном режиме;
путем применения пассивных и активных методов анализа уязвимостей в ручном режиме.
3.2.4. По результатам проведения внешнего анализа исполнителем формируется перечень уязвимостей периметра информационной системы, включающий:
а) уязвимости программного обеспечения телекоммуникационного оборудования и межсетевых экранов, находящихся на периметре информационной системы;
б) уязвимости конфигурации сетевой инфраструктуры периметра информационной системы;
в) уязвимости сетевых служб, сервисов, веб-серверов, приложений, мобильных приложений, систем управления базами данных, операционных систем, прокси-серверов и иного программного обеспечения, интерфейсы которых доступны из сети "Интернет";
г) уязвимости, связанные с недостатками конфигурации сетевых служб, сервисов, веб-приложений, мобильных приложений, систем управления базами данных, операционных систем, прокси-серверов и иного программного обеспечения, интерфейсы которых доступны из сети "Интернет".
3.2.5. Перечень работ, проводимых исполнителем в ходе внешнего сканирования, приведен в таблице 2.
|
Наименование работы <4> |
||
|
Поиск уязвимостей программного обеспечения телекоммуникационного оборудования и межсетевых экранов |
||
|
Поиск уязвимостей конфигурации сетевых служб и протоколов (HTTP, HTTPS, SMTP, SSH, NTP, IPSec, SNMP, DNS, FTP, RDP, RPC, PPTP, NetBIOS, Telnet, SIP, POP3, IMAP и других протоколов) |
||
|
Поиск уязвимостей, связанных с использованием паролей, заданных по умолчанию |
||
|
Поиск уязвимостей механизмов аутентификации (например, применение протокола Telnet вместо SSH) |
||
|
Поиск уязвимостей управления доступом к интерфейсам управления сетевых служб |
||
|
Поиск уязвимостей, связанных с отсутствием блокировки учетной записи пользователей после неудачных попыток входа |
||
|
Поиск активных сетевых служб, использующих небезопасные протоколы передачи данных (FTP, Telnet, rlogin, rsh, Finger) |
||
|
Поиск безопасных версий сетевых протоколов (SMBvl, SSL 2.0/3.0, TLS 1.0, NTLMvl) |
||
|
Поиск недостатков управления доступом к порту служб удаленного доступа |
||
|
Поиск уязвимостей в программном обеспечении служб удаленного доступа |
||
|
Поиск уязвимостей, связанных с отсутствием проверки и валидации данных |
||
|
Поиск уязвимостей, связанных с недостатками защиты протоколов передачи данных |
||
|
Поиск уязвимостей конфигурации иных сетевых сервисов и служб |
||
|
Поиск уязвимостей программного обеспечения сетевых сервисов и служб |
||
|
Поиск уязвимостей идентификации и аутентификации пользователей |
||
|
Поиск уязвимостей управления доступом пользователей к ресурсам |
||
|
Поиск уязвимостей, связанных с возможностью запуска произвольного программного кода |
||
|
Поиск уязвимостей в управлении ресурсами, доступными веб-приложению |
||
|
Поиск уязвимостей, связанных с недостатками проверки вводимых данных |
||
|
Поиск неправильной конфигурации приложения (например, включенный режим отладки) |
||
|
Поиск уязвимостей в программном обеспечении веб-приложений (например, в веб-сервере, CMS, фреймворках и иных компонентах) |
||
|
Поиск уязвимостей конфигурации доменных инфраструктурных служб |
||
|
Поиск уязвимостей реализации идентификации и аутентификации пользователей |
||
|
Поиск уязвимостей в реализации функций идентификации и аутентификации пользователей |
||
|
Поиск уязвимостей, связанных с небезопасным хранением данных на мобильном устройстве |
||
|
Поиск уязвимостей, связанных с возможностью запуска произвольного программного кода |
||
|
Поиск уязвимостей, связанных с некорректной работой с памятью |
||
|
Поиск уязвимостей программного обеспечения мобильных приложений |
||
|
Поиск уязвимостей, позволяющих исказить поведение модели машинного обучения путем формирования специальных запросов (промптов) |
||
|
Поиск уязвимостей, связанных с использованием для обучения модели машинного обучения модифицированных данных или наборов данных |
||
|
Поиск уязвимостей, позволяющих в результате ответа модели машинного обучения получить конфиденциальную информацию |
||
|
Поиск уязвимостей контроля и управления данными, используемыми моделью машинного обучения |
||
|
Поиск уязвимостей, позволяющих модифицировать обучающие наборы данных |
||
|
Поиск уязвимостей управления доступом к модели машинного обучения |
||
|
Поиск уязвимостей механизмов фильтрации и контроля входных и выходных данных модели машинного обучения |
||
|
Поиск прочих уязвимостей конфигурации модели машинного обучения |
||
--------------------------------
<4> Если в информационной системе не применяются информационные технологии, приведенные в наименовании работы не проводятся.
Знаком "+" отмечены необходимые работы для каждого из видов анализа.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2025
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2026 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2025 год
- Частичная мобилизация: обзор новостей
- Постановление Правительства РФ N 1875