Методические рекомендации Банка России № 2-МР от 22.01.2025

3.1. В процессе проведения анализа уязвимостей информационной безопасности объектов информационной инфраструктуры рекомендуется проводить выявление, оценку и устранение уязвимостей информационной безопасности объектов информационной инфраструктуры. Выявление, оценку и устранение уязвимостей рекомендуется проводить на этапах создания и эксплуатации объектов информационной инфраструктуры. Периодичность проведения указанных мероприятий рекомендуется устанавливать на основе нормативных актов Банка России с учетом риск-ориентированного подхода. 

3.2. Рекомендуется проводить выявление уязвимостей информационной безопасности объектов информационной инфраструктуры, связанных с ошибками кода в программном обеспечении (общесистемное, прикладное, специальное), а также программном обеспечении средств защиты информации, технических средств. 

3.3. Выявление уязвимостей информационной безопасности на объектах информационной инфраструктуры рекомендуется проводить с использованием средств анализа защищенности, прошедших процедуру сертификации не ниже 4 уровня доверия в соответствии с приказом ФСТЭК России от 2 июня 2020 года № 76 «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (далее – приказ ФСТЭК России от 2 июня 2020 года № 76). 

3.4. При выявлении уязвимостей информационной безопасности объектов информационной инфраструктуры организациям финансового рынка рекомендуется оценивать уровень критичности уязвимостей, руководствуясь методическим документом «Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств» (утвержден ФСТЭК России 28 октября 2022 года). 

3.5. Выявление уязвимостей путем анализа кода программного обеспечения рекомендуется проводить с использованием средств анализа исходного кода, прошедших процедуру сертификации не ниже 4 уровня доверия в соответствии с приказом ФСТЭК России от 2 июня 2020 года № 76.

3.7. При проведении работ по анализу и устранению уязвимостей, выявленных в объектах информационной инфраструктуры, рекомендуется руководствоваться методическим документом «Руководство по организации процесса управления уязвимостями в органе (организации)» (утвержден ФСТЭК России 17 мая 2023 года).