Приложение. Регламент по выявлению, анализу и устранению уязвимостей в информационных системах, эксплуатируемых в ФАС России. Приказ Федеральной антимонопольной службы от 04.09.2023 N 601/23 "Об утверждении регламента по выявлению, анализу и устранению уязвимостей в информационных системах, эксплуатируемых в ФАС России"

Приложение
к приказу ФАС России
от 04.09.2023 N 601/23

Регламент по выявлению, анализу и устранению уязвимостей в информационных системах, эксплуатируемых в ФАС России

I. Общие положения

1. Настоящий регламент определяет порядок выявления, анализа и устранения уязвимостей в информационных системах, эксплуатируемых в ФАС России.

2. Целью настоящего регламента является обеспечение безопасности и защиты информации, хранимой и обрабатываемой в информационных системах, эксплуатируемых в ФАС России.

3. Данный регламент должен учитываться при формировании договоров и технических заданий на эксплуатационную поддержку и сопровождение информационных систем ФАС России.

4. Требования по устранению уязвимостей должны быть закреплены за подрядной организацией в случае, если она обеспечивает техническую поддержку и (или) эксплуатацию информационной системы или ее части (модуля).

5. Действия по выявлению, анализу и устранению критичных уязвимостей осуществляются с учетом Руководства по организации процесса управления уязвимостями в органе (организации), утвержденного Федеральной службой по техническому и экспортному контролю (ФСТЭК России) 17 мая 2023 г.

II. Цели и задачи реализации процессов анализа защищенности и управления уязвимостями

6. Процессы анализа защищенности и управления уязвимостями реализуются в ФАС России в следующих целях:

формирование и поддержание в актуальном состоянии баз данных информационных активов ФАС России (далее - ИТ-активы);

минимизация возможности реализации рисков нарушения информационной безопасности;

обеспечение принятия оптимальных решений в ходе реализации иных процессов и работ по обеспечению информационной безопасности.

7. Процессы анализа защищенности и управления уязвимостями в ФАС России направлены на реализацию следующих задач:

инвентаризация ИТ-активов, включая информацию о составе технических средств и версии программного обеспечения, используемого в ФАС России;

определение критичности выявленных уязвимостей;

планирование мероприятий по устранению имеющихся уязвимостей на основании информации об их критичности.

III. Выявление уязвимостей

8. Выявление уязвимостей осуществляется на основании данных из следующих источников:

8.1. Внутренние источники:

системы управления информационной инфраструктурой (далее - ИТ-инфраструктура);

базы данных управления конфигурациями;

документация на информационные системы;

8.2. База данных уязвимостей, содержащаяся в Банке данных угроз безопасности информации (далее - БДУ) ФСТЭК России;

8.3. Внешние источники:

базы данных, содержащие сведения об известных уязвимостях;

официальные информационные ресурсы разработчиков программных и программно-аппаратных средств и исследователей в области информационной безопасности.

9. На этапе выявления уязвимостей выполняются операции, приведенные в таблице 1.

Таблица 1

N пп	Наименование операции	Описание операции
1.	Анализ информации об уязвимости	Анализ информации из различных источников с целью поиска актуальных и потенциальных уязвимостей и оценки их применимости к информационным системам ФАС России Агрегирование и корреляция собираемых данных об уязвимостях
2.	Оценка применимости уязвимости	На основе информации об объектах информационных систем и их состоянии определяется применимость уязвимости к информационным системам ФАС России с целью определения уязвимостей, не требующих дальнейшей обработки (не релевантных уязвимостей). Оценка применимости уязвимостей производится: 1) на основе анализа данных об ИТ-инфраструктуре; 2) на основе анализа данных о возможных объектах воздействия

10. Выявление уязвимостей осуществляется:

путем регулярного сканирования информационных систем ФАС России с использованием сканера безопасности;

на основании данных из различных источников информации, таких как Kaspersky Security Center, с последующей сверкой их с информацией из баз данных угроз и уязвимостей (fstec.ru и других);

в рамках аудита информационной безопасности;

сторонней организацией на основании договора.

11. В процессе выявления уязвимостей информационных систем с использованием сканера безопасности должны формироваться рекомендации по устранению уязвимостей. При ручной регистрации уязвимостей рекомендации по устранению заполняются вручную.

12. Работы по сканированию систем ФАС России сканером безопасности должны быть немедленно прекращены, если происходит сбой в работе какой-либо из информационных систем.

13. В случае установления сбоя во время сканирования систем ФАС России на предмет выявления уязвимостей работы по сканированию прекращаются и восстанавливается рабочее состояние систем.