Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям Методические рекомендации Банк... П.1.8
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Методические рекомендации Банка России № 2-МР от 22.01.2025

Методические рекомендации Банка России по проведению тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры организаций финансового рынка

П.1.8

Для проведения оценки соответствия по документу войдите в систему.

Список требований

  • Глава 1. Общие положения 
  • 1.8. Организациям финансового рынка рекомендуется отражать в ТЗ: 
    • наименование планируемых работ <4>; 
    • количество планируемых этапов проведения работ; 
    • срок проведения работ; 
    • цели проведения работ; 
    • перечень нормативных актов, указанных в пункте 1.1 настоящих Методических рекомендаций Банка России, во исполнение которых проводятся работы; 
    • перечень объектов информационной инфраструктуры, подлежащих тестированию на проникновение и анализу уязвимостей информационной безопасности объектов информационной инфраструктуры, с указанием технологических участков; 
    • перечень объектов информационной инфраструктуры, входящих в границы тестирования, на которых не планируется проводить тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры, с указанием причин, препятствующих проведению тестирования на проникновение (например, ограничение пропускной способности, промежутка времени, в который возможно провести тестирование на проникновение); 
    • метод проведения тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры, включающий: 
      • возможные классы атак (поверхности, а также техника и тактика атаки) и уязвимостей; 
      • методы и инструменты, используемые для проведения тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры; 
      • перечень баз данных угроз безопасности информации и иные информационные источники для идентификации уязвимостей (примерный перечень приведен в пункте 2.3 настоящих Методических рекомендаций Банка России); 
      • среды, в которых планируется проведение тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры (например, в тестовой среде, которая соответствует промышленной среде и содержит тестовые данные); 
      • схемы сетевых подключений объектов информационной инфраструктуры, включая адреса и подсети, подлежащие тестированию на проникновение и анализу уязвимостей информационной безопасности объектов информационной инфраструктуры; 
      • перечень факторов риска, реализуемых в рамках тестирования на проникновение объектов информационной инфраструктуры (например, угрозы, шантаж работников <5>, воздействие на личные социальные сети и мобильные устройства работников организации финансового рынка); 
      • события, при наступлении которых незамедлительно прекращается тестирование на проникновение объектов информационной инфраструктуры;
      • ожидаемые результаты тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры (например, завершение тестирования при отсутствии уязвимостей, критерии принятия решения о необходимости проведения повторного тестирования на проникновение и (или) анализа уязвимостей и так далее), включая требования к разработке рекомендаций по устранению выявленных уязвимостей информационной безопасности; 
      • формы отчетных документов; 
      • сроки и условия проведения повторного тестирования и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры. 
    <4> Для целей настоящих Методических рекомендаций Банка России под работами понимаются работы по проведению тестирования на проникновение и анализа уязвимостей объектов информационной инфраструктуры. 
    <5> Для целей настоящих Методических рекомендаций Банка России под работниками понимаются штатные работники организации финансового рынка. 
Название Severity IP Integral
1111111 111 11 1111 11111111111111111 1111111 1 11111111111111111
 - 
1
 - 
11 111111111 111 1111111111111111111111111 1111 1 11111 1111111
 - 
1
 - 

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.