Банк России утвердил «Методические рекомендации Банка России по проведению тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры организаций финансового рынка» от 22 января 2025 года №2-МР.
Методические рекомендации Банка России разработаны в целях обеспечения единого подхода к реализации кредитными организациями, некредитными финансовыми организациями, субъектами национальной платежной системы, а также бюро кредитных историй (организации финансового рынка) обязанности по проведению тестирования на проникновение и анализа уязвимостей информационной безопасности автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования.
Содержание документа следующие:
Глава 1. Общие положения
Глава 2. Рекомендации по проведению тестирования на проникновение объектов информационной инфраструктуры
Глава 3. Рекомендации по проведению анализа уязвимостей информационной безопасности объектов информационной инфраструктуры
Глава 4. Рекомендации по самостоятельному проведению тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры
Глава 5. Рекомендации по проведению тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры с привлечением сторонней организации
Глава 6. Информирование Банка России о результатах проведения тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры
Глава 7. Заключительные положения
Результаты тестирования на проникновение и анализа уязвимостей информационной безопасности рекомендуется оформлять отчетом, форма которого приведена в приложении к Методическим рекомендациям.
Отчет рекомендуется оформлять в электронном виде в формате, не допускающем его редактирования, и подписывать усиленной квалифицированной электронной подписью руководителя сторонней организации, сертификат ключа проверки которой действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен (электронными подписями работников организации финансового рынка, на которых возложено проведение тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры) (п.1.13).
При оформлении отчета на бумажном носителе рекомендуется использовать сквозную нумерацию страниц, прошивать отчет нитью, не имеющей разрывов, и скреплять печатью организации с указанием количества листов в заверительной надписи, подписанной руководителем сторонней организации (работниками организации финансового рынка, на которых возложено проведение тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры). Также рекомендуется присваивать отчету регистрационный номер.
Рекомендуемый срок хранения отчета не менее 5 лет.
Мой комментарий: Требования к оформлению отчета на бумажном носителе содержит уникальную норму в отношении ниток, которыми нужно прошивать отчет. Я проверила по справочно-правовой системе Консультант Плюс - ни в одном действующем нормативно-правовом акте такого требования нет! :) Аналогичные положения можно найти лишь:
- В нескольких недействующих нормативных актах самого Банка России 2003-2014 годов,
- В разработанном Банком России стандарте ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия», п.1.13, см. https://protect.gost.ru/document1.aspx?control=31&baseC=6&id=230678
Источник: Консультант Плюс
https://www.consultant.ru/document/cons_doc_LAW_497220/
Комментариев нет:
Отправить комментарий