Приказ Министерства экономического развития Российской Федерации от 24.11.2023 N 821 "Об утверждении Регламента выявления, анализа и устранения уязвимостей в информационных системах Министерства экономического развития Российской Федерации"

В соответствии с требованиями нормативных правовых актов в области защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, с учетом Руководства по организации процесса управления уязвимости в органе (организации), утвержденного ФСТЭК России 17 мая 2023 г., а также в рамках реализации мер и проведения мероприятий по обеспечению безопасности информации при ее обработке в информационных системах Министерства экономического развития Российской Федерации приказываю:

1. Утвердить Регламент выявления, анализа и устранения уязвимостей в информационных системах Министерства экономического развития Российской Федерации (далее - Регламент) согласно приложению к настоящему приказу.

2. Руководителям структурных подразделений Министерства экономического развития Российской Федерации, осуществляющих координацию и контроль в сфере создания, эксплуатации и развития информационных систем, обеспечить выполнение требований Регламента работниками Министерства экономического развития Российской Федерации, участвующими в процессе управления уязвимостями в информационных системах, а также работниками организаций, выполняющими работы или предоставляющими услуги на всем жизненном цикле информационных систем Министерства экономического развития Российской Федерации.

3. Контроль за исполнением настоящего приказа возложить на заместителя Министра экономического развития Колесникова М.А.

Министр

М.Г. Решетников

УТВЕРЖДЕН
приказом Минэкономразвития России
от 24 ноября 2023 г. N 821

Регламент
выявления, анализа и устранения уязвимостей в информационных системах Министерства экономического развития Российской Федерации

1. Общие положения

1.1.1. Назначение Регламента

1.1.2. Настоящий Регламент определяет состав и содержание работ по выявлению, анализу и устранению уязвимостей (далее - управление уязвимостями) в информационных системах Минэкономразвития России (далее - ИС).

1.1.3. Настоящий Регламент принят в целях устранения уязвимостей в ИС.

1.2. Область применения Регламента

1.2.1. Настоящий Регламент обязаны знать и использовать работники Минэкономразвития России, участвующие в процессе управления уязвимостями в ИС, а также работники подрядных организаций, выполняющие работы или предоставляющие услуги на всем жизненном цикле ИС.

1.2.2. Настоящий Регламент разработан в соответствии с требованиями следующих законодательных актов и нормативно-методических документов:

приказа ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";

приказа ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

методического документа "Методика тестирования обновлений безопасности программных, программно-аппаратных средств", утвержденного ФСТЭК России 28 октября 2022 г.;

методического документа "Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств", утвержденного ФСТЭК России 28 октября 2022 г.;

методического документа "Руководство по организации процесса управления уязвимостями в органе (организации)", утвержденного ФСТЭК России 17 мая 2023 года.

1.3. Ответственность

1.3.1. Ответственным лицом за процесс управления уязвимостями является ответственный за защиту информации в информационной системе Министерства экономического развития Российской Федерации (далее - Ответственный ЗИ).

1.3.2. Ответственным лицом за выявления, анализ и устранения уязвимостей является администратор информационной безопасности информационной системы Министерства экономического развития Российской Федерации (далее - Администратор ИБ).

1.3.3. Работники Минэкономразвития России и подрядных организаций, определяемых в соответствии с законодательством в сфере закупок, участвующие в процессе управления уязвимостями, несут персональную ответственность за соблюдение требований настоящего Регламента.

1.4. Изменение Регламента

1.4.1. Изменения вносятся в Регламент в следующих случаях:

изменения законодательства Российской Федерации в области защиты информации и требований нормативных правовых актов и методических документов в области защиты информации ограниченного доступа;

по результатам проведения мероприятий по контролю выполнения требований к обеспечению безопасности информации в Минэкономразвития России;

выявления новых источников угроз, развития способов и средств реализации угроз безопасности информации;

изменения применяемых в Минэкономразвития России информационных технологий как совокупности приемов, способов и методов применения средств вычислительной техники при обработке информации.

2. Полномочия и обязанности работников в процессе выявления, анализа и устранения уязвимостей в ИС

2.1. В Минэкономразвития России определены следующие полномочия работников Минэкономразвития России, задействованных в процессе управления уязвимостями:

Ответственный ЗИ - руководитель департамента, курирующего ИС или назначенный им работник департамента, уполномоченный руководить процессом обеспечения безопасности информации в ИС Минэкономразвития России, находящейся в его зоне ответственности, контроль над соблюдением требований по обеспечению безопасности конфиденциальной информации, в том числе процессом по устранению уязвимостей;

Администратор ИБ - работник департамента, курирующего ИС, и/или работник подрядной организации, действующий в рамках государственного контракта, уполномоченный проводить работы по технической защите информации и поддержанию достигнутого уровня защиты информации в Минэкономразвития России, в том числе работы по устранению уязвимостей и установке обновлений безопасности.

2.2. Ответственный ЗИ обязан:

определять приоритетность устранения уязвимостей;

определять методы устранения уязвимостей;

принимать решения об установке обновлений;

принимать решения о реализации компенсирующих мер защиты информации;

информировать заместителя Министра, курирующего ИС, о случаях невозможности устранить уязвимости своими силами в курируемой ИС.

2.3. Администратор ИБ обязан:

анализировать информацию об уязвимостях;

проводить оценку применимости уязвимостей;

проводить сканирование объектов;

проводить оценку защищенности;

проводить определение уровня опасности уязвимости;

определять влияние уязвимости на ИС;

проводить расчет критичности уязвимости;

проводить тестирование и установку обновлений;

формировать план установки обновлений;

разрабатывать и реализовывать компенсирующие меры защиты информации;

проводить настройку средств защиты информации;

информировать Ответственного ЗИ об объектах, подверженных уязвимостям.

Обеспечение методической поддержки и выработки единой технической политики Министерства в процессе управления уязвимостями, а также контроль за ее соблюдением возлагается на Департамент, осуществляющий полномочия по обеспечению функционирования информационной инфраструктуры (далее - ИТ-инфраструктура) и информационной безопасности информационных систем центрального аппарата Министерства, применению средств и методов информационной безопасности центрального аппарата Министерства.

3. Процесс управления уязвимостями

3.1. Процесс управления уязвимостями включает следующие этапы:

мониторинг уязвимостей и оценка их применимости;

оценка уязвимостей;

определение методов и приоритетов устранения уязвимостей;

устранение уязвимостей;

контроль устранения уязвимостей.

3.1.1. Мониторинг уязвимостей и оценка их применимости

На этапе мониторинга уязвимостей и оценки их применимости осуществляется выявление уязвимостей на основании данных, получаемых из внешних и внутренних источников, и принятие решений по их последующей обработке.

3.1.2. Оценка уязвимостей

На этапе оценки уязвимостей определяется уровень критичности уязвимостей применительно к ИС.

3.1.3. Определение методов и приоритетов устранения уязвимостей

На этапе определения методов и приоритетов устранения уязвимостей определяется приоритетность устранения уязвимостей и выбираются методы их устранения: обновление программного обеспечения и (или) применение компенсирующих мер защиты информации.

3.1.4. Устранение уязвимостей

На этапе устранения уязвимостей принимаются меры, направленные на устранение или исключение возможности использования (эксплуатации) выявленных уязвимостей.

3.1.5. Контроль устранения уязвимостей

На этапе контроля устранения уязвимостей осуществляются сбор и обработка данных о процессе управления уязвимостями и его результатах, а также принятие решений по совершенствованию данного процесса.

4. Мониторинг уязвимостей и оценка их применимости

4.1. На этапе мониторинга уязвимостей и оценки их применимости Администратором ИБ осуществляется выявление уязвимостей на основании данных из следующих источников:

внутренние источники:

системы управления ИТ-инфраструктурой;

базы данных управления конфигурациями ¹;

документация на ИС;

электронные базы знаний;

база данных уязвимостей, содержащаяся в Банке данных угроз безопасности информации (далее - БДУ) ФСТЭК России ²;

внешние источники:

базы данных, содержащие сведения об известных уязвимостях;

официальные информационные ресурсы разработчиков программных и программно-аппаратных средств и исследователей в области информационной безопасности.

Источники данных могут уточняться или дополняться с учетом особенностей функционирования ИС.

4.2. Выявление уязвимостей в операционных системах серверов и системах управления базами данных выполняется:

по плану, не реже одного раза в месяц;

при проведении приемочных испытаний, при вводе в эксплуатацию новой ИС;

в ходе аттестационных мероприятий ИС;

перед вводом в эксплуатацию нового комплекса технических средств (в том числе при переходе на новый комплекс технических средств);

после изменения состава системного программного обеспечения, обновления системного программного обеспечения;

активизации новых, ранее не используемых сервисов (служб) на промышленных серверах ИС;

в целях проведения контроля за состоянием информационной безопасности, а также за устранением выявленных ранее уязвимостей.

4.3. Внеплановая процедура проведения выявления уязвимостей может быть инициирована Ответственным ЗИ.

4.4. Выявление уязвимостей является обязательным для всех новых версий и обновлений любого программного обеспечения или при изменении состава используемых системных сервисов и сетевых протоколов.

4.5. Выявление уязвимостей является обязательным для всех серверов, включая используемые, на которых установлены актуальные версии или проведено обновление системного программного обеспечения.

4.6. В ходе выявления уязвимостей сервера определяется факт наличия уязвимостей в системном программном обеспечении, ошибочные настройки механизмов безопасности в операционной системе сервера, а также проводится инвентаризация сервисов, установленных на сервере, с целью минимизации уязвимостей при дальнейшей эксплуатации.

4.7. Выявление уязвимостей должно проводиться ежемесячно для всех промышленных серверов и функционирующих на них систем управления базами данных. Ежемесячный контроль может не проводиться в случае, если в текущем месяце инструментальный контроль сервера уже был проведен после обновления системного программного обеспечения.

4.8. Инструментальный контроль защищенности автоматизированных рабочих мест работников, подключенных к ИС, проводится не реже чем раз в месяц, без уведомления ИТ-специалистов, осуществляющих их техническое сопровождение.

4.9. На этапе мониторинга уязвимостей и оценки их применимости Администратором ИБ выполняются следующие операции:

анализ информации об уязвимости;

оценка применимости уязвимости;

принятие решений на получение дополнительной информации;

постановка задачи на сканирование объектов;

сканирование объектов;

оценка защищенности.

5. Оценка уязвимостей

5.1. Оценка уязвимостей производится с целью определения уровня критичности уязвимостей применительно к ИС.

5.2. На этапе оценки уязвимостей Администратором ИБ выполняются следующие операции:

получение информации об объектах, подверженных уязвимости;

определение уровня опасности уязвимости;

определение влияния уязвимости на ИС;

расчет критичности уязвимости.

5.3. Операции по определению уровня опасности уязвимости, ее влияния на ИС и расчету критичности уязвимости выполняются в соответствии с Методикой оценки уровня критичности уязвимостей программных и программно-аппаратных средств, утвержденной ФСТЭК России 28 октября 2022 года.

6. Определение методов и приоритетов устранения уязвимостей

6.1. На этапе определения методов и приоритетов устранения уязвимостей решаются задачи:

определения приоритетности устранения уязвимостей;

выбора методов устранения уязвимостей: обновление программного обеспечения и (или) применение компенсирующих мер защиты информации.

6.2. На этапе определения методов и приоритетов устранения уязвимостей Ответственным ЗИ выполняются следующие операции:

определение приоритетности устранения уязвимостей;

определение методов устранения уязвимостей;

принятие решения о срочной установке обновлений;

создание заявки или указаний на установку обновления;

принятие решения о реализации компенсирующих мер защиты информации;

создание заявки или указаний на реализацию компенсирующих мер защиты информации.

7. Устранение уязвимостей

7.1. На этапе устранения уязвимостей принимаются меры, направленные на устранение или исключение возможности использования (эксплуатации) уязвимостей, выявленные на этапе мониторинга.

7.2. На этапе устранения уязвимостей Ответственным ЗИ выполняются следующие операции:

согласование установки с руководством подразделения информационных технологий;

принятие решения об установке обновления.

7.3. На этапе устранения уязвимостей Администратором ИБ выполняются следующие операции:

тестирование обновления;

установка обновления в тестовом сегменте;

установка обновления;

формирование плана установки обновлений;

разработка и реализация компенсирующих мер защиты информации.

7.4. Тестирование обновлений программных и программно-аппаратных средств осуществляется в соответствии с Методикой тестирования обновлений программных, программно-аппаратных средств, утвержденной ФСТЭК России 28 октября 2022 г., по решению Минэкономразвития России в случае отсутствия соответствующих результатов тестирования в БДУ ФСТЭК России.

7.5. Рекомендуемые сроки устранения уязвимостей:

критический уровень опасности - до 24 часов;

высокий уровень опасности - до 7 дней;

средний уровень опасности - до 4 недель;

низкий уровень опасности - до 4 месяцев.

7.6. В рамках разработки и реализации компенсирующих мер защиты информации Ответственным ЗИ выполняются следующие операции:

согласование привлечения работников Минэкономразвития России и подрядных организаций;

реализация организационных мер защиты информации;

организация анализа событий безопасности.

7.7. В рамках разработки и реализации компенсирующих мер защиты информации Администратором ИБ выполняются следующие операции:

определение и реализация мер защиты информации;

настройка средств защиты информации;

внесение изменений в ИТ-инфраструктуру.

7.8. Компенсирующими организационными и техническими мерами, направленными на предотвращение возможности эксплуатации уязвимостей, могут являться:

изменение конфигурации уязвимых компонентов ИС, в том числе в части предоставления доступа к их функциям, исполнение которых может способствовать эксплуатации выявленных уязвимостей;

ограничение по использованию уязвимых программных, программно-аппаратных средств или их перевод в режим функционирования, ограничивающий исполнение функций, обращение к которым связано с использованием выявленных уязвимостей (например, отключение уязвимых служб и сетевых протоколов);

резервирование компонентов ИС, включая резервирование серверов, телекоммуникационного оборудования и каналов связи;

использование сигнатур, решающих правил средств защиты информации, обеспечивающих выявление в ИС признаков эксплуатации уязвимостей;

мониторинг информационной безопасности и выявление событий безопасности информации в ИС, связанных с возможностью эксплуатации уязвимостей.

8. Контроль устранения уязвимостей

8.1. На этапе контроля устранения уязвимостей осуществляются сбор и обработка данных о процессе управления уязвимостями и его результатах, принятие оперативных решений и их доведение до руководства Минэкономразвития России для принятия решений по улучшению процесса управления уязвимостями.

8.2. На этапе контроля устранения уязвимостей Ответственным ЗИ выполняются следующие операции:

принятие решения о способе контроля;

выявление отклонений и неисполнений;

разработка предложений по улучшению процесса управления уязвимостями.

8.3. На этапе контроля устранения уязвимостей Администратором ИБ выполняются следующие операции:

проверка объектов на наличие уязвимостей;

оценка защищенности.

8.4. В рамках разработки предложений по улучшению процесса управления уязвимостями Ответственным ЗИ совместно с Администратором ИБ выполняются следующие операции:

определение причин отклонений и (или) неисполнений;

корректировка механизмов мониторинга;

добавление источника сведений об уязвимостях;

корректировка механизмов оценки уязвимостей;

повторная оценка уязвимости;

согласование сроков устранения уязвимости;

создание заявки на реализацию компенсирующих мер защиты информации.

------------------------------

¹ Системы класса CMDB (англ. Configuration Management Database).

² Адрес сайта БДУ ФСТЭК России: https://bdu.fstec.ru.