Рекомендуемая форма
Отчет по результатам тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры
<Наименование организации финансового рынка>
1. Раздел «Общие положения»:
- описание объекта оценки;
- общее описание проводимых работ;
- технологические участки;
- краткое описание результатов тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры;
- период проведения тестирования на проникновение объектов информационной инфраструктуры;
- реквизиты сторон;
- Ф.И.О. и должности исполнителей тестирования на проникновение объектов информационной инфраструктуры;
- сведения об учетных записях и их ролях, предоставленных для проведения тестирования на проникновение объектов информационной инфраструктуры (при наличии);
- дополнительная информация, предоставленная для проведения тестирования на проникновение объектов информационной инфраструктуры;
- описание потенциала нарушителя безопасности информации в соответствии с моделью угроз безопасности информации;
- определение негативных последствий и (или) недопустимых событий, которые могут быть реализованы в случае эксплуатации уязвимостей;
- перечень объектов доступа, в отношении которых возможен несанкционированный доступ с использованием выявленных уязвимостей;
- виды тестирования на проникновение объектов информационной инфраструктуры с указанием тестируемых объектов информационной инфраструктуры;
- описание области исключений тестирования на проникновение объектов информационной инфраструктуры или сведения об отсутствии таких исключений, а также причины исключения этой области.
2. Раздел «Методология проведения тестирования на проникновение объектов информационной инфраструктуры»:
- описание стадий тестирования на проникновение объектов информационной инфраструктуры в соответствии с ГОСТ Р 58143-2018;
- описание условий и обобщенных результатов проведения тестирования на проникновение объектов информационной инфраструктуры.
3. Раздел «Описание выявленных уязвимостей»:
- общий перечень выявленных уязвимостей и их описание в соответствии с национальным стандартом Российской Федерации ГОСТ Р 56545-2015 «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей»;
- использованный инструментарий тестирования на проникновение объектов информационной инфраструктуры;
- IP-адрес объекта сканирования, DNS-имя (при наличии) и любая дополнительная информация, позволяющая однозначно идентифицировать объекты информационной инфраструктуры или их анализируемую часть.
4. Раздел «Эксплуатация уязвимостей»:
- описание использования шаблонов атак, включая алгоритм шаблона, подтверждающее возможность эксплуатации выявленных уязвимостей;
- дата и время использования шаблонов атак; описание негативных последствий и (или) недопустимых событий, которые могут произойти при успешной реализации выявленных уязвимостей.
5. Раздел «Рекомендации по устранению»:
- описание уязвимостей с указанием их критичности;
- рекомендации по устранению уязвимостей.
