Сканирование СВТ при анализе защищенности в ЗОКИИ
Запрос
!!!
Прошу дать разъяснение по вопросу проведения внутренних мероприятий по сканированию на уязвимости в значимых объектах критической информационной инфраструктуры (ЗОКИИ), а именно:
Согласно п. 10 раздела 2 Приказа ФСТЭК № 235 структурное подразделение по безопасности, специалисты по безопасности должно проводить анализ угроз безопасности информации в отношении значимых объектов критической информационной инфраструктуры и выявлять уязвимости в них.
Согласно п. 12.6 Приказа ФСТЭК № 239 анализ уязвимостей проводится для всех программных и программно-аппаратных средств, в том числе средств защиты информации, значимого объекта. Применение способов и средств выявления уязвимостей осуществляется субъектом критической информационной инфраструктуры с учетом особенностей функционирования значимого объекта. В случае выявления уязвимостей значимого объекта, которые могут быть использованы для реализации (способствовать возникновению) угроз безопасности информации, принимаются меры, направленные на их устранение или исключающие возможность использования (эксплуатации) нарушителем выявленных уязвимостей. По результатам анализа уязвимостей должно быть подтверждено, что в значимом объекте, отсутствуют уязвимости, как минимум содержащиеся в банке данных угроз безопасности информации ФСТЭК России или выявленные уязвимости не приводят к возникновению угроз безопасности информации в отношении значимого объекта.
Если рассматривать сценарий:
С помощью сканера на уязвимости сканируется типовое СВТ, на котором возможно провести сканирование наложенным средством защиты. По итогам сканирования выдается отчет по найденным уязвимостям. Далее отчет применяется в действие в работе по устранению найденных уязвимостей в отношении всех СВТ, которые являются типовыми для того СВТ, на котором было выполнено сканирование. Результат о проделанной работе подтверждается актом.
Считается ли корректным в таком случае исполнение требований ФСТЭК в отношении проведения анализа защищённости в ЗОКИИ?
!!!
Кратко
Считается ли корректным исполнение требований ФСТЭК в отношении проведения анализа защищённости в ЗОКИИ, когда сканируется типовое СВТ, а далее отчет о сканировании применяется в работах по устранению найденных уязвимостей ко всем типовым СВТ?
Резюме от Б-152
Можно сканировать одно СВТ и распространять работы по устранению уязвимостей на типовые СВТ при условии одинакового ОПО, ППО и их версий.
Если вы все еще сомневаетесь в правильности применения рекомендаций регулятора,
Полный текст ответа
Проведение анализа уязвимостей в отношении типового СВТ, входящего в состав ЗОКИИ, и применение результатов такого анализа на другие типовые СВТ, входящие в состав ЗОКИИ, допустимо при условии применения на типовых СВТ одинакового ОПО и ППО и их версии.
Кто формировал ответ
Управление обеспечения управления деятельностью по ТЗИ и обеспечения безопасности объектов КИИ
!!! Т.Беляков, Главный специалист-эксперт отдела контроля ФСТЭК России. тел. 8 (495) 696-27-44
!!!