Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Методические рекомендации Банка России № 2-МР от 22.01.2025

Методические рекомендации Банка России по проведению тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры организаций финансового рынка

Глава 5. Рекомендации по проведению тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры с привлечением сторонней организации

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Глава 5. Рекомендации по проведению тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры с привлечением сторонней организации
5.1. Для проведения тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры сторонней организацией рекомендуется привлекать на договорной основе сторонние организации, соответствующие следующим критериям:
- наличие у сторонней организации действующей лицензии на осуществление деятельности по технической защите конфиденциальной информации для оказания услуг, предусмотренных подпунктом «б» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года № 79 «О лицензировании деятельности по технической защите конфиденциальной информации»;
- наличие опыта работы по проведению тестирования на проникновение объектов информационной инфраструктуры не менее 3 лет в организациях финансового рынка, подтвержденного не менее чем тремя соответствующими завершенными договорами (контрактами, соглашениями);
- наличие подтвержденного опыта проведения тестирования на проникновение объектов информационной инфраструктуры у привлекаемых специалистов сторонней организации не менее 3 лет.
5.2. В договорах на проведение работ рекомендуется указывать, что проведение тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры должно соответствовать требованиям нормативных актов Банка России, указанных в пункте 1.1 настоящих Методических рекомендаций Банка России.
5.3. Организациям финансового рынка рекомендуется обеспечить нахождение специалистов сторонней организации и автоматизированных средств, используемых для проведения тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры, на территории Российской Федерации при проведении тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры.
5.4. Организациям финансового рынка рекомендуется допускать к проведению тестирования на проникновение объектов информационной инфраструктуры специалистов сторонней организации, которые не принимали участия на стадиях формирования требований к системе защиты объектов информационной инфраструктуры, проектирования, внедрения и оценки соответствия системы защиты объектов информационной инфраструктуры.

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.