Метрекомендации ЦБ №2-МР от 22.01.2025 «Методические рекомендации Банка России по проведению тестирования на проникновение и анализа уязвимостей ИБ объектов информационной инфраструктуры организаций финрынка»

Методические рекомендации Центрального банка Российской Федерации от 22.01.2025 № 2-МР «Методические рекомендации Банка России по проведению тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры организаций финансового рынка»

Ссылки

Обзоры документа

Аналитический центр УЦСБ

Центральный банк РФ (далее – Банк России) опубликовал Методические рекомендации от 22.01.2025 2-МР Банка России по проведению тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры организаций финансового рынка.

Рекомендации разработаны в целях обеспечения единого подхода к реализации организациями финансового рынка тестирования на проникновение и анализа уязвимостей автоматизированных систем (далее – АС), программного обеспечения (далее – ПО), средств вычислительной техники, телекоммуникационного оборудования в соответствии с требованиями Положений Банка России Положение БР №683-П от 17.04.2019, Положение БР №757-П от 20.04.2021, Положение БР №821-П от 17.08.2023, Положение БР №808-П от 17.10.2022.

Целями проведения тестирования на проникновение и анализа уязвимостей могут являться:

оценка уровня защищенности объектов информационной инфраструктуры;
обеспечение доверия к объектам информационной инфраструктуры, в том числе входящим в критичную архитектуру.

Согласно документу организациям финансового рынка рекомендуется:

определить границы тестирования и анализа уязвимостей, включить в них объекты информационной инфраструктуры, распространяемые клиентам для совершения финансовых операций и ПО, используемое для приема электронных сообщений, в том числе:
- веб-приложения дистанционного банковского обслуживания (далее – ДБО);
- мобильные приложения ДБО;
- мобильные приложения личных кабинетов клиентов;
- АС, участвующие во взаимодействии с ДБО;
- серверы приложений и систем управления базами данных;
- специализированные клиентские приложения ДБО;
использовать Метрекомендации ЦБ №18-МР от 20.12.2023 при описании наименований объектов информационной инфраструктуры;
перед проведением тестирования на проникновение и анализа уязвимостей разработать:
- техническое задание;
- соглашение об ответственности сторон;
- модель угроз информационной безопасности;
- планы восстановления операционной надежности в случае возникновения нештатных ситуаций;
руководствоваться положениями:
- ГОСТ Р 58143-2018 «Информационная технология. Методы и средства обеспечения безопасности. Детализация анализа уязвимостей ПО в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045. Часть 2. Тестирование проникновения»;
- Профиля защиты прикладного ПО АС и приложений кредитных организаций и некредитных финансовых организаций

Проводить тестирование на проникновение и анализ уязвимостей можно как самостоятельно, так и с привлечением на договорной основе сторонней организации. Результаты рекомендуется оформлять в форме отчета, который будет храниться не менее 5 лет.

Привлекаемая сторонняя организация должна соответствовать следующим требованиям:

наличие действующей лицензии на осуществление деятельности по технической защите конфиденциальной информации для оказания услуг по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
наличие опыта работы по проведению тестирования на проникновение объектов информационной инфраструктуры не менее 3 лет в организациях финансового рынка, подтвержденного не менее чем тремя соответствующими завершенными договорами;
наличие подтвержденного опыта проведения тестирования на проникновение объектов информационной инфраструктуры у привлекаемых специалистов сторонней организации не менее 3 лет.

Отметим, что ООО «УЦСБ» соответствует всем вышеперечисленным требованиям.

Гарант ПРАЙМ

Банк России разработал для финансовых организаций методические рекомендации по тестированию на проникновение и анализу уязвимостей информационной безопасности автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования.

Рекомендуется проводить тестирование и анализ вэб- и мобильных приложений дистанционного банковского обслуживания и личных кабинетов клиентов, специализированных клиентских приложений, серверов приложений и систем управления базами данных.

Тестирование и анализ можно проводить как самостоятельно, так и привлекая стороннюю организацию.

О выявленных инцидентах рекомендуется информировать Банк России.

Текст документа

Быстрый просмотр сохранённой копии

Хаб Злонова

Ссылки

Обзоры документа

Аналитический центр УЦСБ

Гарант ПРАЙМ

Текст документа

Обратные ссылки

Реклама (эксперимент)

Оглавление

Недавние НПА

Обзор изменений в законодательстве ИТ и ИБ за январь 2025 года

Обзор изменений в законодательстве ИТ и ИБ за декабрь 2024 года

ПП-12 от 18.01.2025 «О внесении изменения в ПП-687 от 15.09.2008»

ПП-15 от 18.01.2025 «О внесении изменений в постановление Правительства РФ от 15 июня 2022 г. № 1067»

Реклама (эксперимент)