Куда я попал?
Методические рекомендации Банка России № 2-МР от 22.01.2025
Методические рекомендации Банка России по проведению тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры организаций финансового рынка
П.1.8
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
1.8. Организациям финансового рынка рекомендуется отражать в ТЗ:
- наименование планируемых работ <4>;
- количество планируемых этапов проведения работ;
- срок проведения работ;
- цели проведения работ;
- перечень нормативных актов, указанных в пункте 1.1 настоящих Методических рекомендаций Банка России, во исполнение которых проводятся работы;
- перечень объектов информационной инфраструктуры, подлежащих тестированию на проникновение и анализу уязвимостей информационной безопасности объектов информационной инфраструктуры, с указанием технологических участков;
- перечень объектов информационной инфраструктуры, входящих в границы тестирования, на которых не планируется проводить тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры, с указанием причин, препятствующих проведению тестирования на проникновение (например, ограничение пропускной способности, промежутка времени, в который возможно провести тестирование на проникновение);
- метод проведения тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры, включающий:
- возможные классы атак (поверхности, а также техника и тактика атаки) и уязвимостей;
- методы и инструменты, используемые для проведения тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры;
- перечень баз данных угроз безопасности информации и иные информационные источники для идентификации уязвимостей (примерный перечень приведен в пункте 2.3 настоящих Методических рекомендаций Банка России);
- среды, в которых планируется проведение тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры (например, в тестовой среде, которая соответствует промышленной среде и содержит тестовые данные);
- схемы сетевых подключений объектов информационной инфраструктуры, включая адреса и подсети, подлежащие тестированию на проникновение и анализу уязвимостей информационной безопасности объектов информационной инфраструктуры;
- перечень факторов риска, реализуемых в рамках тестирования на проникновение объектов информационной инфраструктуры (например, угрозы, шантаж работников <5>, воздействие на личные социальные сети и мобильные устройства работников организации финансового рынка);
- события, при наступлении которых незамедлительно прекращается тестирование на проникновение объектов информационной инфраструктуры;
- ожидаемые результаты тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры (например, завершение тестирования при отсутствии уязвимостей, критерии принятия решения о необходимости проведения повторного тестирования на проникновение и (или) анализа уязвимостей и так далее), включая требования к разработке рекомендаций по устранению выявленных уязвимостей информационной безопасности;
- формы отчетных документов;
- сроки и условия проведения повторного тестирования и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры.
<4> Для целей настоящих Методических рекомендаций Банка России под работами понимаются работы по проведению тестирования на проникновение и анализа уязвимостей объектов информационной инфраструктуры.
<5> Для целей настоящих Методических рекомендаций Банка России под работниками понимаются штатные работники организации финансового рынка.
Название | Severity | IP | Integral | |
---|---|---|---|---|
1111111 111 11 1111 11111111111111111 1111111 1 11111111111111111 |
-
|
1 |
-
|
|
11 111111111 111 1111111111111111111111111 1111 1 11111 1111111 |
-
|
1 |
-
|
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.