3.1. На этапе мониторинга уязвимостей и оценки их применимости осуществляется выявление уязвимостей на основании данных из следующих источников:
системы управления информационной инфраструктурой (далее - ИТ-инфраструктура);
базы данных управления конфигурациями <2>;
--------------------------------
<2> Системы класса CMDB (англ. Configuration Management Database)
документация на информационные системы;
электронные базы знаний органов (организаций);
б) база данных уязвимостей, содержащаяся в Банке данных угроз безопасности информации (далее - БДУ) ФСТЭК России <3>;
--------------------------------
<3> Адрес сайта БДУ ФСТЭК России: https://bdu.fstec.ru
базы данных, содержащие сведения об известных уязвимостях;
официальные информационные ресурсы разработчиков программных и программно-аппаратных средств и исследователей в области информационной безопасности.
Источники данных могут уточняться или дополняться с учетом особенностей функционирования органа (организации).
3.2. Схема этапа мониторинга уязвимостей и оценки их применимости представлена на рисунке 3.1 <4>.
--------------------------------
<4> В настоящем Руководстве представлены типовые схемы этапов процесса устранения уязвимостей
Рисунок 3.1. - Схема этапа мониторинга уязвимостей
и оценки их применимости
На этапе мониторинга уязвимостей и оценки их применимости выполняются операции, приведенные в таблице 3.1.
|
Анализ информации из различных источников с целью поиска актуальных и потенциальных уязвимостей и оценки их применимости к информационным системам органа (организации). Агрегирование и корреляция собираемых данных об уязвимостях |
||
|
На основе информации об объектах информационных систем и их состоянии определяется применимость уязвимости к информационным системам органа (организации) с целью определения уязвимостей, не требующих дальнейшей обработки (не релевантных уязвимостей). Оценка применимости уязвимостей производится: на основе анализа данных об ИТ-инфраструктуре, полученных из баз данных управления конфигурациями в рамках процесса "Управление конфигурацией"; на основе анализа данных о возможных объектах воздействия, полученных в результате моделирования угроз в рамках процесса "Оценка угроз"; по результатам оценки защищенности (п. 6) |
||
|
Запрос дополнительной информации об уязвимости (сканирование объектов, оценка защищенности), если имеющихся данных недостаточно для принятия решений по управлению уязвимостями |
||
|
Запрос на внеплановое сканирование объектов информационных систем в случае недостаточности либо неактуальности имеющихся данных, а также в случае получения информации об уязвимости после последнего сканирования |
||
|
Поиск уязвимостей и недостатков с помощью автоматизированных систем анализа защищенности. Выбор объектов и времени сканирования, уведомление заинтересованных подразделений (например, ситуационного центра, подразделения ИТ) о проведении сканирования и дальнейшее сканирование выбранных объектов на наличие уязвимости |
||
|
Экспертная оценка возможности применения уязвимости к информационных системах. В ходе оценки защищенности осуществляется проверка возможности эксплуатации уязвимости в информационных системах органа (организации) с использованием PoC <5> или средства эксплуатации уязвимости, в том числе, в ходе тестирования на проникновение (тестирования системы защиты информации путем осуществления попыток несанкционированного доступа (воздействия) к информационной системе в обход ее системы защиты информации) |
--------------------------------
<5> PoC (англ. Proof of Concept, проверка концепции) - моделирование эксплуатации уязвимости
3.3. На основе таблицы 3.1. в органе (организации) должно разрабатываться детальное описание операций, включающее наименование операций, описание операций, исполнителей, продолжительность, входные и выходные данные. Детальное описание операций включается в организационно-распорядительные документы по защите информации органа (организации).
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей