Приложение. Регламент по выявлению, анализу и устранению уязвимостей в информационных системах, эксплуатируемых в ФАС России. Приказ Федеральной антимонопольной службы от 04.09.2023 N 601/23 "Об утверждении регламента по выявлению, анализу и устранению уязвимостей в информационных системах, эксплуатируемых в ФАС России"

Приложение
к приказу ФАС России
от 04.09.2023 N 601/23

Регламент по выявлению, анализу и устранению уязвимостей в информационных системах, эксплуатируемых в ФАС России

I. Общие положения

1. Настоящий регламент определяет порядок выявления, анализа и устранения уязвимостей в информационных системах, эксплуатируемых в ФАС России.

2. Целью настоящего регламента является обеспечение безопасности и защиты информации, хранимой и обрабатываемой в информационных системах, эксплуатируемых в ФАС России.

3. Данный регламент должен учитываться при формировании договоров и технических заданий на эксплуатационную поддержку и сопровождение информационных систем ФАС России.

4. Требования по устранению уязвимостей должны быть закреплены за подрядной организацией в случае, если она обеспечивает техническую поддержку и (или) эксплуатацию информационной системы или ее части (модуля).

5. Действия по выявлению, анализу и устранению критичных уязвимостей осуществляются с учетом Руководства по организации процесса управления уязвимостями в органе (организации), утвержденного Федеральной службой по техническому и экспортному контролю (ФСТЭК России) 17 мая 2023 г.

II. Цели и задачи реализации процессов анализа защищенности и управления уязвимостями

6. Процессы анализа защищенности и управления уязвимостями реализуются в ФАС России в следующих целях:

формирование и поддержание в актуальном состоянии баз данных информационных активов ФАС России (далее - ИТ-активы);

минимизация возможности реализации рисков нарушения информационной безопасности;

обеспечение принятия оптимальных решений в ходе реализации иных процессов и работ по обеспечению информационной безопасности.

7. Процессы анализа защищенности и управления уязвимостями в ФАС России направлены на реализацию следующих задач:

инвентаризация ИТ-активов, включая информацию о составе технических средств и версии программного обеспечения, используемого в ФАС России;

определение критичности выявленных уязвимостей;

планирование мероприятий по устранению имеющихся уязвимостей на основании информации об их критичности.

III. Выявление уязвимостей

8. Выявление уязвимостей осуществляется на основании данных из следующих источников:

8.1. Внутренние источники:

системы управления информационной инфраструктурой (далее - ИТ-инфраструктура);

базы данных управления конфигурациями;

документация на информационные системы;

8.2. База данных уязвимостей, содержащаяся в Банке данных угроз безопасности информации (далее - БДУ) ФСТЭК России;

8.3. Внешние источники:

базы данных, содержащие сведения об известных уязвимостях;

официальные информационные ресурсы разработчиков программных и программно-аппаратных средств и исследователей в области информационной безопасности.

9. На этапе выявления уязвимостей выполняются операции, приведенные в таблице 1.

Таблица 1

N пп	Наименование операции	Описание операции
1.	Анализ информации об уязвимости	Анализ информации из различных источников с целью поиска актуальных и потенциальных уязвимостей и оценки их применимости к информационным системам ФАС России Агрегирование и корреляция собираемых данных об уязвимостях
2.	Оценка применимости уязвимос