Методические рекомендации Банка России № 2-МР от 22.01.2025

4.1. Рекомендуется самостоятельно проводить тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры в случаях: 

4.2. В случае если организация финансового рынка принимает решение о самостоятельном проведении тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры, в организации финансового рынка рекомендуется выделить отдельное структурное подразделение или необходимое количество работников в штате, на которых будут возложены функции по тестированию на проникновение и анализу уязвимостей информационной безопасности объектов информационной инфраструктуры. 

4.4. Для самостоятельного проведения тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры организациям финансового рынка рекомендуется назначить не менее двух работников, имеющих опыт в проведении тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры не менее 3 лет, и ежегодно направлять назначенных работников на прохождение курсов повышения квалификации по направлению тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры в организации финансового рынка. Функции по тестированию на проникновение объектов информационной инфраструктуры рекомендуется определить в должностных регламентах (инструкциях) работников. 

4.5. Организациям финансового рынка не рекомендуется привлекать заинтересованных работников (разработчики, владельцы, администраторы и администраторы информационной безопасности объектов информационной инфраструктуры, подлежащих тестированию на проникновение и анализу уязвимостей информационной безопасности объектов информационной инфраструктуры) к тестированию на проникновение и анализу уязвимостей информационной безопасности объектов информационной инфраструктуры.