Приказ Департамента информационных технологий и связи Ямало-Ненецкого автономного округа от 01.09.2023 N 112-ОД "Об утверждении Регламента по организации процесса управления уязвимостями в исполнительных органах, органах местного самоуправления, подведомственных им учреждениях, организациях и предприятиях Ямало-Ненецкого автономного округа"

В целях повышения защищенности информационной инфраструктуры органов власти Ямало-Ненецкого автономного округа приказываю:

1. Утвердить прилагаемый Регламент по организации процесса управления уязвимостями в исполнительных органах, органах местного самоуправления, подведомственных им учреждениях, организациях и предприятиях Ямало-Ненецкого автономного округа.

2. Определить государственное казённое учреждение "Ресурсы Ямала" оператором централизованной подсистемы анализа защищенности.

3. Генеральному директору государственного казённого учреждения "Ресурсы Ямала":

3.1. обеспечить выполнение функций оператора централизованной подсистемы анализа защищенности;

3.2. опубликовать Регламент по организации процесса управления уязвимостями в исполнительных органах, органах местного самоуправления, подведомственных им учреждениях, организациях и предприятиях Ямало-Ненецкого автономного округа.

4. Отделу информационной безопасности департамента информационных технологий и связи Ямало-Ненецкого автономного округа направить Регламент по организации процесса управления уязвимостями в исполнительных органах, органах местного самоуправления, подведомственных им учреждениях, организациях и предприятиях Ямало-Ненецкого автономного округа в исполнительные органы Ямало-Ненецкого автономного округа и органы местного самоуправления в Ямало-Ненецком автономном округе.

5. Признать утратившим силу приказ департамента информационных технологий и связи Ямало-Ненецкого автономного округа от 13 июля 2017 года N 114 "Об утверждении порядка выполнения анализа защищенности и обнаружения уязвимостей информационных систем исполнительных органов государственной власти, органов местного самоуправления, а также подведомственных им организаций, учреждений, предприятий Ямало-Ненецкого автономного округа".

Директор департамента

К.М. Оболтин

Утвержден
приказом департамента
информационных технологий и связи
Ямало-Ненецкого автономного округа
от 1 сентября 2023 г. N 112-ОД

Регламент
по организации процесса управления уязвимостями в исполнительных органах, органах местного самоуправления, подведомственных им учреждениях, организациях и предприятиях Ямало-Ненецкого автономного округа

Термины и сокращения:

Автономный округ - Ямало-Ненецкий автономный округ;

АРМ - автоматизированное рабочее место;

Регламент - Регламент по организации процесса управления уязвимостями в исполнительных органах, органах местного самоуправления, подведомственных им учреждениях, организациях и предприятиях Ямало-Ненецкого автономного округа;

ОРД - организационно-распорядительная документация;

ЗИ - защита информации;

АНЗ - анализ защищенности;

РМТКС - региональная межведомственная телекоммуникационная сеть Ямало-Ненецкого автономного округа;

управление уязвимостями - непрерывный, циклический процесс выявления и устранения уязвимостей в инфраструктуре организации;

РЦОД - региональный центр обработки данных Ямало-Ненецкого автономного округа.

I. Общие положения

Регламент разработан с целью внедрения процесса эффективного управления уязвимостями с целью повышения защищенности информационной инфраструктуры исполнительных органов автономного округа. Регламент разработан на основе руководства по организации процесса управления уязвимостями в органе (организации), утверждённого ФСТЭК России 17 мая 2023 года, а так же в соответствии со следующими нормативными правовыми документами:

- приказ ФСТЭК России от 11 февраля 2013 года N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";

- приказ ФСТЭК России от 18 февраля 2013 года N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

Регламент определяет состав и содержание работ по выявлению, анализу и устранению уязвимостей (далее - управление уязвимостями), выявленных в программных, программно-аппаратных средствах информационных систем (пользовательские и серверные сегменты), информационно-телекоммуникационных сетей, РМТКС, РЦОД, на базе которых функционируют эти системы и сети.

Регламент подлежит исполнению в исполнительных органах автономного округа, а также их подведомственных учреждениях и организациях и предприятиях (далее - участники).

Регламент рекомендован к применению в иных органах государственной власти автономного округа, а так же органах местного самоуправления автономного округа и их подведомственных учреждениях, организациях и предприятиях.

Управление уязвимостями сертифицированных программных, программно-аппаратных средств защиты информации обеспечивается с учетом эксплуатационной документации на них, а также рекомендаций разработчиков.

В Регламенте используются термины и определения, установленные национальными стандартами ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения", ГОСТ Р 56545-2015 "Защита информации. Уязвимости информационных систем. Правила описания уязвимостей", ГОСТ Р 56546-2015 "Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем", ГОСТ Р 59547-2021 "Мониторинг информационной безопасности", ГОСТ Р 59709-2022 "Защита информации. Управление компьютерными инцидентами. Термины и определения" и иными национальными стандартами в области защиты информации и обеспечения информационной безопасности.

II. Процесс управления уязвимостями

Процесс управления уязвимостями организуется для всех информационных систем участников и должен предусматривать постоянную и непрерывную актуализацию сведений об уязвимостях и объектах информационной системы. При изменении статуса уязвимостей (применимость к информационным системам, наличие исправлений, критичность) должны корректироваться способы их устранения.

Процесс управления уязвимостями в информационной инфраструктуре участника является цикличным, каждый цикл состоит из следующих этапов:

1. Инвентаризация инфраструктуры (актуализация)

На этапе инвентаризации инфраструктуры производится составление перечня всей используемой инфраструктуры для мониторинга, а также периодическая актуализация данного перечня.

2. Мониторинг и выявление уязвимостей

На этапе мониторинга уязвимостей осуществляется выявление уязвимостей инфраструктуры на основании данных, получаемых из внешних и внутренних источников, уровень применимости и принятие решений по их последующей обработке, а также информирования ответственных за устранение уязвимостей на уязвимом объекте инфраструктуры.

3. Оценка уязвимостей

На этапе оценки уязвимостей определяется уровень критичности уязвимостей применительно к информационным системам участника.

4. Определение методов и приоритетов устранения уязвимостей

На этапе плана устранения уязвимостей определяется приоритетность устранения уязвимостей и выбираются методы их устранения: обновление программного обеспечения и (или) применение компенсирующих мер защиты информации.

5. Устранение уязвимостей

На этапе устранения уязвимостей принимаются меры, направленные на устранение или исключение возможности использования (эксплуатации) выявленных уязвимостей.

6. Контроль устранения уязвимостей

На этапе контроля устранения уязвимостей осуществляется сбор и обработка данных о процессе управления уязвимостями, выносится оценка его результатам.

По итогам каждого цикла управления уязвимостями проводятся мероприятия, направленные на повышение эффективности процесса.

Процесс управления уязвимостями связан с другими процессами и процедурами деятельности участника:

1. мониторинг информационной безопасности - процесс постоянного наблюдения и анализа результатов регистрации событий безопасности и иных данных с целью выявления нарушений безопасности информации, угроз безопасности информации и уязвимостей;

2. оценка защищенности - анализ возможности использования обнаруженных уязвимостей для реализации компьютерных атак на информационные системы участника;

3. оценка угроз безопасности информации - выявление и оценка актуальности угроз, реализация (возникновение) которых возможна в информационных системах участника;

4. управление конфигурацией - контроль изменений, состава и настроек программного и программно-аппаратного обеспечения информационных систем;

5. управление обновлениями - приобретение технической поддержки, анализ и развертывание обновлений программного обеспечения;

6. применение компенсирующих мер защиты информации - разработка и применение мер защиты информации, которые применяются в информационной системе взамен отдельных мер защиты информации, подлежащих реализации в соответствии с требованиями по защите информации, в связи с невозможностью их применения.

Участниками процесса управления уязвимостями являются:

1. Подразделение, осуществляющие функции по обеспечению информационной безопасности или иное подразделение участника на которое возложены полномочия по защите информации (далее - подразделение по защите), в котором должны быть определены роли:

1.1. ответственный за информационную безопасность участника (назначается из числа руководящего состава участника);

1.2. администратор безопасности информации участника (назначается из числа специалистов подразделения по защите информации).

2. Подразделение, ответственное за внедрение и сопровождение информационных технологий (далее - подразделение ИТ) участника.

3. Администратор АНЗ - государственное казённое учреждение "Ресурсы Ямала". Является владельцем и оператором централизованной подсистемы анализа защищенности РЦОД и РМТКС автономного округа.

4. Координатор - департамент информационных технологий и связи автономного округа.

По решению руководителя участника в процессе управления уязвимостями могут быть задействованы другие подразделения и специалисты.

Распределение операций, реализуемых в рамках процесса управления уязвимостями представлены в таблице 1.

Таблица 1

Операция	Подразделение по защите информации участника (или лицо на которое возложены обязанности по ЗИ)		ИТ подразделение участника	Администратор АНЗ	Координатор	Примечание
	Отв.	Адм.
1	2	3	4	5	6	7
1. Инвентаризация инфраструктуры (актуализация)
Проведение первичной инвентаризации информационной инфраструктуры участника		+
Утверждение информационной инфраструктуры	+
Постоянная актуализация данных инвентаризации информационной инфраструктуры		+
Контроль актуальности данных инвентаризации	+
Разработка графика централизованного сканирования информационных систем участников					+
Сбор перечней информационных ресурсов и АРМ от участников, их передача Администратору АНЗ для проведения сканирования					+
2. Мониторинг и выявление уязвимостей
Сканирование объектов инфраструктуры		+		+*		* при использовании централизованной подсистемы АНЗ
Информирование ответственных о выявленных уязвимостях		+		+*		* при использовании централизованной подсистемы АНЗ
Анализ информации об уязвимостях	+	+
Оценка защищенности инфраструктуры и доведение результатов до ответственных лиц участников	+	+			+*	* при использовании централизованной подсистемы АНЗ
3. Оценка уязвимостей
Определение уровня опасности		+
Определение влияния на ИС		+
Доведение информации о влиянии уязвимостей до ответственных		+
Расчёт критичности уязвимости	+	+
4. Определение приоритетов и методов устранения уязвимостей
Определение приоритетов устранения выявленных уязвимостей	+	+	+*			* принимают участие при необходимости
Определение методов устранения уязвимостей		+	+*
Принятие решения о реализации мер устранения (обновления, настройка, компенсирующие меры)	+	+
Принятие решения о срочной установке обновлений	+
Создание заявки на срочную установку обновления		+
Принятие решения о срочной реализации компенсирующих мер защиты информации	+
Создание заявки на реализацию компенсирующих мер защиты информации		+
5. Устранение уязвимостей
5.1 Установка обновлений
Согласование установки обновлений	+		+
Тестирование обновлений			+
Установка обновлений			+
5.2 Разработка и реализация компенсирующий мер защиты информации
Определение мер защиты информации и ответственных за реализацию	+	+
Реализация организационных мер по защите информации	+
Настройка СЗИ		+
Внесение изменений в ИТ-инфраструктуру		+	+
6. Контроль устранения уязвимостей
Проверка объектов на наличие уязвимостей и оценка результативности работ по их устранению		+		+*	+*	* при использовании централизованной подсистемы АНЗ
Принятие решения об "откате" обновлений или пересмотру решений о методах устранения уязвимостей	+	+
Разработка предложений по улучшению процесса управления уязвимостями	+	+		+	+

III. Инвентаризация инфраструктуры (актуализация)

На этапе инвентаризации инфраструктуры проводится полная инвентаризация информационной инфраструктуры участника с составлением подробного перечня элементов инфраструктуры. К элементам инфраструктуры в настоящем Регламенте относятся: АРМ, физические серверы, виртуальные серверы, интернет-сайты в т.ч. web-ресурсы для внутреннего пользования, сетевое оборудование. Перечень должен содержать в отношении каждого элемента инвентаризации следующие сведения:

- порядковый номер;

- название информационной системы, к которой относится элемент;

- наименование элемента информационной системы (АРМ, сервер и т.д.);

- инвентарный номер элемента (при наличии);

- сетевой идентификатор элемента (IP-адрес и (или) hostname и (или) FQDN и т.д.);

- DNS-имя для веб-серверов.

Централизованный анализ защищенности инфраструктуры участника организуется Координатором и непосредственно проводится Администратором АНЗ.

Для проведения централизованного сканирования информационных ресурсов участника их актуальный перечень направляется Координатору для организации работ Администратором АНЗ.

В перечень элементов инфраструктуры участника для централизованного сканирования включаются только те устройства, которые имеют IP адрес в РМТКС. В случае невозможности указания в отношении АРМ актуальных IP адресов, ввиду их динамического назначения (DHCP), перечень должен содержать IP диапазоны (подсети) из которых назначаются адреса.

Перечень элементов инфраструктуры актуализируется при внесении изменений в состав элементов, а также не реже одного раза в 3 месяца проводится проверка перечня элементов инфраструктуры на предмет актуальности содержащейся в нём информации.

На этапе инвентаризации инфраструктуры выполняются операции, приведенные в таблице 2.

Таблица 2

N п/п	Наименование операции	Описание операции
1.	Проведение первичной инвентаризации информационной инфраструктуры участника	Состав перечня объектов информационной инфраструктуры участника.
2.	Утверждение информационной инфраструктуры	Создание и введение в силу организационного документа, утверждающего текущий перечень объектов информационной инфраструктуры участника, а также назначение ответственных за составление и актуализацию данного перечня.
3.	Постоянная актуализация данных инвентаризации информационной инфраструктуры	Актуализация данных перечня объектов информационной инфраструктуры участника в случае ввода в эксплуатацию новых элементов информационной инфраструктуры.
4.	Контроль актуальности данных инвентаризации	Проведение контроля актуальности перечня, полученного в ходе первичной инвентаризации информационной инфраструктуры участника, либо актуализации не реже одного раза в 6 месяцев. Исправление недочётов в случае выявления несоответствия.
5.	Предоставление актуального перечня Координатору для проведения планового сканирования	Ответственное лицо участника в течение 10 рабочих дней первого месяца каждого квартала направляет в адрес Координатора актуальный перечень элементов информационной инфраструктуры, а так же контактные данные лица ответственного за работы по устранению уязвимостей (администратор информационной безопасности)

IV. Мониторинг и выявление уязвимостей

На этапе мониторинга и выявления уязвимостей осуществляется непрерывный анализ защищённости инфраструктуры согласно перечня, полученного в результате инвентаризации. Работы по сканированию организуются Координатором и проводятся Администратором АНЗ с использованием централизованной подсистемы анализа защищенности не реже одного раза в квартал. При наличии технической возможности работы могут проводиться участниками самостоятельно либо с привлечением других организаций - лицензиатов ФСТЭК России.

Выявление уязвимостей на данном этапе проводится на основании данных из следующих источников:

1. Внутренние источники:

1.1. системы управления информационной инфраструктурой;

1.2. базы данных управления конфигурациями;

1.3. электронные базы знаний органов (организаций);

1.4. системы автоматизированного анализа защищённости (XSpider, MaxPatrol и т.д.).

2. Внешние источники:

2.1. результаты отчётов тестирования на проникновение сторонних организаций;

2.2. базы данных, содержащие сведения об известных уязвимостях;

2.3. база данных уязвимостей, содержащаяся в Банке данных угроз безопасности информации (БДУ ФСТЭК России, https://bdu.fstec.ru);

2.4. официальные информационные ресурсы разработчиков программных и программно-аппаратных средств и исследователей в области информационной безопасности.

Источники данных могут уточняться или дополняться с учетом особенностей функционирования участника.

На этапе мониторинга и выявления уязвимостей выполняются операции, приведенные в таблице 3.

Таблица 3

N п/п	Наименование операции	Описание операции
1	2	3
1.	Сканирование объектов инфраструктуры	Уведомление заинтересованных подразделений о проведении сканирования, за исключением проведения сканирования по заранее согласованному графику. Выбор объектов и времени сканирования - случае внепланового проведения сканирования. Поиск уязвимостей и недостатков с помощью автоматизированных подсистем анализа защищенности
2.	Информирование ответственных о выявленных уязвимостях	Анализ полной информации о выявленных в результате анализа и сканирования уязвимостях, составление подробного отчёта и доведение информации до ответственных сотрудников участника
3.	Анализ информации об уязвимости	Анализ информации из различных источников c целью поиска актуальных и потенциальных уязвимостей и оценки их применимости к информационным системам участника. Агрегирование и корреляция собираемых данных об уязвимостях
4.	Оценка защищенности инфраструктуры	Экспертная оценка возможности применения уязвимости в информационных системах. В ходе оценки защищенности осуществляется проверка возможности эксплуатации уязвимости в информационных системах участника с использованием PoC (Proof of Concept) или средства эксплуатации уязвимости, в том числе, в ходе тестирования на проникновение (тестирования системы защиты информации путем осуществления попыток несанкционированного доступа (воздействия) к информационной системе в обход ее системы защиты информации)

На основе таблицы 3 участником должно разрабатываться детальное описание операций, включающее наименование операций, описание операций, исполнителей, продолжительность, входные и выходные данные. Детальное описание операций включается в организационно-распорядительные документы по защите информации участника.

В случае выявления в ходе оценки защищенности неизвестных ранее уязвимостей (уязвимостей "нулевого дня") сведения о них рекомендуется направлять в БДУ ФСТЭК России.

V. Оценка уязвимостей

Оценка уязвимостей производится с целью определения уровня критичности уязвимостей применительно к информационным системам участника.

На этапе оценки уязвимостей выполняются операции, приведенные в таблице 4.

Таблица 4

N п/п	Наименование операции	Описание операции
1	2	3
1.	Определение уровня опасности уязвимости	Расчет базовой, контекстной и временной метрик по методике CVSS с использованием калькулятора CVSS V3 или V3.1, размещенного в БДУ ФСТЭК России (https://bdu.fstec.ru/calc3, https://bdu.fstec.ru/calc31)
2.	Определение влияния на информационные системы	Определение влияния уязвимого компонента на защищенность информационной системы в целом, а также оценка влияния на другие информационные системы.
3.	Доведение информации о влиянии уязвимостей до ответственных	Уведомление операторов информационных систем, а также ответственных за информационную безопасность участника о выявленных уязвимостях, уровнях их опасности, а также влиянии на информационные системы.
4.	Расчёт критичности уязвимости	Получение значений уровней критичности обнаруженных уязвимостей

Операции по определению уровня опасности уязвимости, ее влияния на информационные системы и расчету критичности уязвимости выполняются в соответствии с Методикой оценки уровня критичности уязвимостей программных и программно-аппаратных средств, утвержденной ФСТЭК России 28 октября 2022 года и размещённой по адресу https://bdu.fstec.ru/documents/31.

VI. Определение методов и приоритетов устранения уязвимостей

На этапе определения методов и приоритетов устранения уязвимостей решаются задачи:

а) определения приоритетности устранения уязвимостей;

б) выбора методов устранения уязвимостей: обновление программного обеспечения и (или) применение компенсирующих мер защиты информации.

На этапе определения методов и приоритетов устранения уязвимостей выполняются операции, приведенные в таблице 5.

Таблица 5.

N п/п	Наименование операции	Описание операции
1	2	3
1.	Определение приоритетов устранения выявленных уязвимостей	Определение приоритетности устранения уязвимостей в соответствии с результатами расчета критичности уязвимостей на этапе оценки уязвимостей
2.	Определение методов устранения уязвимостей	Выбор метода устранения уязвимости: установка обновления или применение компенсирующих мер защиты информации
3.	Принятие решения о реализации мер устранения (обновления, настройка, компенсирующие меры)	При обнаружении критической уязвимости может быть принято решение о срочной установке обновления программного обеспечения объектов информационных систем, подверженных уязвимости, либо о срочной реализации компенсирующих мер защиты информации в качестве временного решения до установки обновления
4.	Принятие решения о срочной установке обновлений	При обнаружении критической уязвимости может быть принято решение о срочной установке обновления программного обеспечения объектов информационных систем, подверженных уязвимости
5.	Создание заявки на срочную установку обновления	Заявка на срочную установку обновления направляется на согласование руководителю подразделения ИТ
6.	Принятие решения о срочной реализации компенсирующих мер защиты информации	При обнаружении критической уязвимости может быть принято решение о срочной реализации компенсирующих мер защиты информации в качестве временного решения до установки обновления
7.	Создание заявки на установку обновления	Заявка создается в случае, если определено, что установка обновления для устранения данной уязвимости не запланирована
8.	Создание заявки на реализацию компенсирующих мер защиты информации	Заявка на реализацию компенсирующих мер защиты информации формируется при отсутствии возможности установки обновления, а также в случае необходимости принятия мер до устранения уязвимости

В случае отсутствия у участника штатных подразделений по защите информации и развития/сопровождения информационных технологий, решения принимаются ответственным за защиту информации и администратором информационной безопасности.

VII. Устранение уязвимостей

На этапе устранения уязвимостей принимаются меры, направленные на устранение или исключение возможности использования (эксплуатации) уязвимостей, выявленные на этапе мониторинга. При этом выполняются операции, представленные в таблице 6.

Тестирование обновлений программных и программно-аппаратных средств осуществляется в соответствии с Методикой тестирования обновлений программных, программно-аппаратных средств, утвержденной ФСТЭК России 28 октября 2022 года, по решению участника в случае отсутствия соответствующих результатов тестирования в БДУ ФСТЭК России.

При наличии соответствующих сведений могут быть использованы компенсирующие меры защиты информации, представленные в бюллетенях безопасности разработчиков программных, программно-аппаратных средств, а также в описаниях уязвимостей, опубликованных в БДУ ФСТЭК России.

Рекомендуемые сроки устранения уязвимостей, установленные в соответствии с Методикой оценки уровня критичности уязвимостей программных, программно-аппаратных средств, утвержденной ФСТЭК России 28 октября 2022 года:

а. критический уровень опасности до 24 часов;

б. высокий уровень опасности - до 7 дней;

в. средний уровень опасности - до 4 недель;

г. низкий уровень опасности - до 4 месяцев.

Таблица 6

N п/п	Наименование операции	Описание операции
1.	Согласование установки обновлений	Установка обновлений программного обеспечения согласовывается с подразделением ИТ
2.	Тестирование обновлений	Выявление потенциально опасных функциональных возможностей, незадекларированных разработчиком программных, программно-аппаратных средств, в том числе политических баннеров, лозунгов, призывов и иной противоправной информации. Установка обновлений на выбранном тестовом сегменте информационной системы в целях определения влияния их установки на ее функционирование.
3.	Установка обновлений	Распространение обновления на объекты информационных систем
4.	Определение мер защиты информации и ответственных за реализацию	Определение компенсирующих мер защиты информации, необходимых для нейтрализации уязвимости либо снижения возможных негативных последствий от ее эксплуатации. В ходе выполнения данной операции должны быть определены сотрудники, участие которых необходимо для реализации выбранных компенсирующих мер защиты информации. В случае необходимости привлечения работников других подразделений для реализации компенсирующих мер защиты информации руководитель подразделения ИБ согласует их привлечение с руководителями соответствующих подразделений
5.	Реализация организационных мер по защите информации	Реализация организационных мер защиты информации предусматривает: - ограничение использования ИТ-инфраструктуры; - организация режима охраны (в частности, ограничение доступа к техническим средствам); - информирование и обучение персонала участника.
6.	Настройка СЗИ	Оценка возможности реализации компенсирующих мер с использованием средств защиты информации, выбор средств защиты информации (при необходимости). Выполнение работ по настройке средств защиты информации
7.	Внесение изменений в ИТ-инфраструктуру	Внесение изменений в ИТ-инфраструктуру включает действия по внесению изменений в конфигурации программных и программно-аппаратных средств (в том числе, удаление (выведение из эксплуатации))

На основе таблицы 6 участником может разрабатываться детальное описание операций, включающее наименование операций, описание операций, исполнителей, продолжительность, входные и выходные данные. Детальное описание операций включается в организационно-распорядительные документы по защите информации участника.

VIII. Контроль устранения уязвимостей

На этапе контроля устранения уязвимостей осуществляется проверка успешности устранения выявленных уязвимостей, доведение информации о результатах контроля до участников (владельцев) анализируемых информационных ресурсов для принятия оперативных решений.

В случае ложного выявления уязвимостей подсистемами автоматизированного анализа защищенности - корректировка их работы.

На этапе контроля устранения уязвимостей выполняются операции, приведенные в таблице 7.

Таблица 7.

N п/п	Наименование операции	Описание операции
1.	Проверка объектов на наличие уязвимостей	Выбор объектов и времени сканирования, уведомление заинтересованных подразделений о проведении сканирования и дальнейшее повторное сканирование выбранных объектов на наличие уязвимости
2.	Корректировка механизмов мониторинга	Настройка систем сканирования в случае ложного обнаружения уязвимостей, реализация мер по недопущению возникновения подобных ошибок в дальнейшем без ущерба качеству проведения сканирования
3.	Оценка защищенности	Экспертная оценка возможности применения уязвимости к информационным системам. В ходе оценки защищенности осуществляется проверка возможности эксплуатации уязвимости в информационных системах участника с использованием PoC или средства эксплуатации уязвимости, в том числе, в ходе тестирования на проникновение (тестирования системы защиты информации путем осуществления попыток несанкционированного доступа (воздействия) к информационным системам в обход ее системы защиты информации)
4.	Выявление отклонений и неисполнений	Анализ результатов контроля устранения уязвимостей (определение корректности устранения уязвимостей и соблюдения сроков)
5.	Разработка предложений по улучшению процесса управления уязвимостями	Определение причин отклонений и неисполнений, разработка на их основе решений по улучшению процесса управления уязвимостями

В случае увеличения критичности выявленных уязвимостей после установки обновлений программных компонентов информационных ресурсов участника принимаются решения об "откате" обновлений или их нейтрализации компенсирующими мероприятиями.

По итогам контроля за результатами устранения уязвимостей, участниками регламента могут разрабатываться предложения по улучшению процесса управления уязвимостями в ходе которых выполняются операции, приведенные в таблице 8.

Таблица 8

N п/п	Наименование операции	Описание операции
1.	Определение причин отклонений и (или) неисполнений	Определение причин отклонений и неисполнений операций процесса управления уязвимостями. Возможными причинами являются: пропуск уязвимости в ходе мониторинга; ошибки оценки уязвимостей; нарушения сроков устранения уязвимостей; недостаточность принятых компенсирующих мер. Причины отклонений и неисполнений операций процесса управления уязвимостями могут быть дополнены по результатам анализа процесса управления уязвимостями в органе (организации)
2.	Корректировка механизмов мониторинга	Внесение изменений в конфигурацию и алгоритмы средств сбора и обработки данных об уязвимостях
3.	Корректировка механизмов оценки уязвимостей	Внесение изменений в процедуру оценки уязвимостей
4.	Разработка предложений по улучшению процесса управления уязвимостями	Определение причин отклонений и неисполнений, разработка на их основе решений по улучшению процесса управления уязвимостями

Предложения по улучшению процесса управления уязвимостям направляются участниками официальным электронным письмом через Региональную систему электронного документооборота автономного округа в адрес Координатора. По итогам рассмотрения предложений, Координатор принимает решение об отклонении предложений или о внесении соответствующих изменений в настоящий регламент.