7.4. ПРЕДСТАВЛЕНИЕ УЧАСТНИКАМИ ИНФОРМАЦИОННОГО ОБМЕНА ДАННЫХ О ВЫЯВЛЕННЫХ УЯЗВИМОСТЯХ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Данные о выявленных уязвимостях информационной безопасности направляются участниками информационного обмена в Банк России в соответствии с частью 2 статьи 9 Федерального закона N 187-ФЗ [2], а также положениями Банка России N 757-П [7], N 683-П [5], N 719-П [6] при выявлении в результате выполнения процедур по контролю отсутствия известных (описанных) уязвимостей информационной безопасности или регулярного тестирования объектов информационной инфраструктуры на предмет проникновений и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры, предусмотренных положениями Банка России N 683-П [5], N 719-П [6], N 757-П [7], уязвимостей информационной безопасности в объектах информационной инфраструктуры, полученных от сторонней организации-поставщика по лицензионному договору или договору поставки, и информация о данной уязвимости информационной безопасности не размещена на официальном сайте организации-поставщика либо прикладном программном обеспечении, распространяемом участником информационного обмена сторонним организациям, а также в случаях, предусмотренных разделом 7.5 настоящего стандарта.

При выявлении указанных условий информирования участники информационного обмена направляют информацию о выявленных уязвимостях информационной безопасности в соответствии со следующими сроками:

- в течение 24 часов с момента самостоятельного выявления уязвимости информационной безопасности;

- в течение 3 дней с момента получения отчета сторонней организации, содержащего информацию об уязвимостях информационной безопасности объектов информационной инфраструктуры.

Форма представления участниками информационного обмена данных о выявленных уязвимостях информационной безопасности (NTF_VLN) приведена в приложении 23 к настоящему стандарту.