Куда я попал?
Методические рекомендации Банка России № 2-МР от 22.01.2025
Методические рекомендации Банка России по проведению тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры организаций финансового рынка
Для проведения оценки соответствия по документу войдите в систему.
Для оценки соответствия
- авторизуйтесь
- авторизуйтесь
Планируемый уровень
Текущий уровень
Группы областей
37
%
Входящая логистика
35
%
Создание продукта
62
%
Исходящая логистика
38
%
Маркетинг, продажа
39
%
Обслуживание клиента
48
%
Инфраструктура
80
%
HR-менеджмент
66
%
Технологии
49
%
Закупки / Снабжение
65
%
Опыт клиента
Список требований
-
1.1. Настоящие Методические рекомендации Банка России разработаны в целях обеспечения единого подхода к реализации кредитными организациями, некредитными финансовыми организациями <1> , субъектами национальной платежной системы, а также бюро кредитных историй (далее при совместном упоминании – организации финансового рынка) обязанности по проведению тестирования на проникновение и анализа уязвимостей информационной безопасности автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования (далее при совместном упоминании – объекты информационной инфраструктуры) в соответствии с подпунктом 3.2 пункта 3 Положения Банка России от 17 апреля 2019 года № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента», абзацем первым подпункта 1.4.5 пункта 1.4 Положения Банка России от 20 апреля 2021 года № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций», абзацем третьим пункта 1.1, абзацем вторым пункта 2.11, пунктами 3.8, 3.9 Положения Банка России от 17 августа 2023 года № 821-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», пунктом 2.3 Положения Банка России от 17 октября 2022 года № 808-П «О требованиях к обеспечению защиты информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке в целях противодействия осуществлению незаконных финансовых операций, обязательных для лиц, оказывающих профессиональные услуги на финансовом рынке, к обеспечению бюро кредитных историй защиты информации, указанной в статье 4 Федерального закона «О кредитных историях», при ее обработке, хранении и передаче сертифицированными средствами защиты, а также к сохранности информации, полученной в процессе деятельности кредитного рейтингового агентства». Настоящие Методические рекомендации Банка России также могут применяться иными некредитными финансовыми организациями и лицами, оказывающими профессиональные услуги на финансовом рынке.
<1> Для целей настоящих Методических рекомендаций Банка России под некредитными финансовыми организациями понимаются некредитные финансовые организации, реализующие усиленный уровень защиты информации, и некредитные финансовые организации, реализующие стандартный уровень защиты информации, в соответствии с Положением Банка России от 20 апреля 2021 года № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций». -
1.2. Организациям финансового рынка рекомендуется определить границы проведения тестирования <2> на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры. Организациям финансового рынка в границы проведения тестирования на проникновение и анализа уязвимостей информационной безопасности рекомендуется включать объекты информационной инфраструктуры, распространяемые клиентам для совершения действий в целях осуществления банковских и (или) иных финансовых операций, а также программное обеспечение, обрабатывающее защищаемую информацию на технологических участках <3> , используемое для приема электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет» (далее – сеть «Интернет») (при наличии соответствующих объектов информационной инфраструктуры), включая:
- веб-приложения дистанционного банковского обслуживания (далее ДБО) физических лиц (далее ФЛ);
- веб-приложения ДБО юридических лиц (далее ЮЛ);
- веб-приложения личных кабинетов клиентов некредитных финансовых организаций;
- мобильные приложения ДБО ФЛ для различных мобильных операционных систем;
- мобильные приложения ДБО ЮЛ для различных мобильных операционных систем;
- мобильные приложения личных кабинетов клиентов некредитных финансовых организаций для различных мобильных операционных систем;
- специализированные клиентские приложения ДБО ФЛ для различных операционных систем;
- специализированные клиентские приложения ДБО ЮЛ для различных операционных систем;
- специализированные клиентские приложения личных кабинетов клиентов некредитных финансовых организаций для различных операционных систем;
- автоматизированные системы, участвующие во взаимодействии с ДБО ФЛ или ЮЛ, в том числе интеграционные системы и API;
- серверы приложений;
- серверы систем управления базами данных.
<2> Для целей настоящих Методических рекомендаций Банка России под границами проведения тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры понимается перечень объектов информационной инфраструктуры, для которых должны проводиться такие тестирование и анализ в соответствии с нормативными актами Банка России.
<3> Для целей настоящих Методических рекомендаций Банка России под технологическими участками понимаются технологические участки, указанные в подпункте 2.4.3 пункта 2.4 Методических рекомендаций Банка России по описанию наименований объектов информационной инфраструктуры от 20 декабря 2023 года № 18-МР. -
1.3. Рекомендуется в целях обеспечения единства подходов к описанию наименований объектов информационной инфраструктуры приводить наименования объектов информационной инфраструктуры, в том числе относящиеся к критичной архитектуре, в соответствии с Методическими рекомендациями Банка России по описанию наименований объектов информационной инфраструктуры от 20 декабря 2023 года № 18-МР.
-
1.6. Организациям финансового рынка рекомендуется проводить тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры самостоятельно в соответствии с главой 4 настоящих Методических рекомендаций Банка России или с привлечением на договорной основе сторонней организации в соответствии с главой 5 настоящих Методических рекомендаций Банка России (далее при совместном упоминании организации финансового рынка и сторонней организации – стороны).
-
1.7. Перед проведением тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры в целях реализации мер по минимизации негативных последствий нарушения информационной безопасности объектов информационной инфраструктуры при проведении таких тестирования и анализа организациям финансового рынка рекомендуется разработать и (или) актуализировать следующие документы:
- техническое задание на проведение тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры (далее – ТЗ);
- соглашение об ответственности сторон тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры;
- модель угроз информационной безопасности для объектов информационной инфраструктуры на основе методического документа «Методика оценки угроз безопасности информации» (утвержден ФСТЭК России 5 февраля 2021 года);
- планы восстановления операционной надежности в случае возникновения нештатных ситуаций в ходе проведения тестирования на проникновение объектов информационной инфраструктуры.
-
1.8. Организациям финансового рынка рекомендуется отражать в ТЗ:
- наименование планируемых работ <4>;
- количество планируемых этапов проведения работ;
- срок проведения работ;
- цели проведения работ;
- перечень нормативных актов, указанных в пункте 1.1 настоящих Методических рекомендаций Банка России, во исполнение которых проводятся работы;
- перечень объектов информационной инфраструктуры, подлежащих тестированию на проникновение и анализу уязвимостей информационной безопасности объектов информационной инфраструктуры, с указанием технологических участков;
- перечень объектов информационной инфраструктуры, входящих в границы тестирования, на которых не планируется проводить тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры, с указанием причин, препятствующих проведению тестирования на проникновение (например, ограничение пропускной способности, промежутка времени, в который возможно провести тестирование на проникновение);
- метод проведения тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры, включающий:
- возможные классы атак (поверхности, а также техника и тактика атаки) и уязвимостей;
- методы и инструменты, используемые для проведения тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры;
- перечень баз данных угроз безопасности информации и иные информационные источники для идентификации уязвимостей (примерный перечень приведен в пункте 2.3 настоящих Методических рекомендаций Банка России);
- среды, в которых планируется проведение тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры (например, в тестовой среде, которая соответствует промышленной среде и содержит тестовые данные);
- схемы сетевых подключений объектов информационной инфраструктуры, включая адреса и подсети, подлежащие тестированию на проникновение и анализу уязвимостей информационной безопасности объектов информационной инфраструктуры;
- перечень факторов риска, реализуемых в рамках тестирования на проникновение объектов информационной инфраструктуры (например, угрозы, шантаж работников <5>, воздействие на личные социальные сети и мобильные устройства работников организации финансового рынка);
- события, при наступлении которых незамедлительно прекращается тестирование на проникновение объектов информационной инфраструктуры;
- ожидаемые результаты тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры (например, завершение тестирования при отсутствии уязвимостей, критерии принятия решения о необходимости проведения повторного тестирования на проникновение и (или) анализа уязвимостей и так далее), включая требования к разработке рекомендаций по устранению выявленных уязвимостей информационной безопасности;
- формы отчетных документов;
- сроки и условия проведения повторного тестирования и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры.
<4> Для целей настоящих Методических рекомендаций Банка России под работами понимаются работы по проведению тестирования на проникновение и анализа уязвимостей объектов информационной инфраструктуры.
<5> Для целей настоящих Методических рекомендаций Банка России под работниками понимаются штатные работники организации финансового рынка. -
2.4. Рекомендуется при проведении тестирования на проникновение объектов информационной инфраструктуры учитывать потенциал нарушителя, указанного в модели угроз информационной безопасности. При этом рекомендуется использовать автоматизированные средства, позволяющие моделировать атаки с учетом идентифицированных уязвимостей, указанных в главе 3 настоящих Методических рекомендаций Банка России.
-
3.6. Рекомендуется для выявления и описания уязвимостей, информация о которых не включена в средства анализа защищенности, указанные в пункте 3.3 настоящих Методических рекомендаций Банка России, а также для формализованного представления результатов использовать БДУ ФСТЭК России и иные базы данных, указанные в пункте 2.3 настоящих Методических рекомендаций Банка России, содержащие сведения об уязвимостях объектов информационной инфраструктуры.
-
4.3. Не рекомендуется возлагать на структурное подразделение и работников, указанных в пункте 4.2 настоящих Методических рекомендаций Банка России, функции по обеспечению информационной безопасности объектов информационной инфраструктуры, в отношении которых планируется проведение тестирования на проникновение объектов информационной инфраструктуры.
-
5.1. Для проведения тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры сторонней организацией рекомендуется привлекать на договорной основе сторонние организации, соответствующие следующим критериям:
- наличие у сторонней организации действующей лицензии на осуществление деятельности по технической защите конфиденциальной информации для оказания услуг, предусмотренных подпунктом «б» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года № 79 «О лицензировании деятельности по технической защите конфиденциальной информации»;
- наличие опыта работы по проведению тестирования на проникновение объектов информационной инфраструктуры не менее 3 лет в организациях финансового рынка, подтвержденного не менее чем тремя соответствующими завершенными договорами (контрактами, соглашениями);
- наличие подтвержденного опыта проведения тестирования на проникновение объектов информационной инфраструктуры у привлекаемых специалистов сторонней организации не менее 3 лет.
-
5.2. В договорах на проведение работ рекомендуется указывать, что проведение тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры должно соответствовать требованиям нормативных актов Банка России, указанных в пункте 1.1 настоящих Методических рекомендаций Банка России.
-
6.2. Организациям финансового рынка, которые должны информировать Банк России о выявленных инцидентах в соответствии с нормативными актами Банка России, указанными в пункте 1.1 настоящих Методических рекомендаций Банка России, рекомендуется информировать Банк России о выявленных в рамках проведения тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры инцидентах защиты информации, включенных в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на официальном сайте в сети «Интернет», а также о причинах возникновения инцидента защиты информации, принятых мерах и проведенных мероприятиях по реагированию на инцидент защиты информации.
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.