Ссылку на что? На приказ 239?
12.6. Анализ уязвимостей значимого объекта проводится в целях выявления недостатков (слабостей) в подсистеме безопасности значимого объекта и оценки возможности их использования для реализации угроз безопасности информации. При этом анализу подлежат уязвимости кода, конфигурации и архитектуры значимого объекта.
Анализ уязвимостей проводится для всех программных и программно-аппаратных средств, в том числе средств защиты информации, значимого объекта.
При проведении анализа уязвимостей применяются следующие способы их выявления:
а) анализ проектной, рабочей (эксплуатационной) документации и организационно-распорядительных документов по безопасности значимого объекта;
б) анализ настроек программных и программно-аппаратных средств, в том числе средств защиты информации, значимого объекта;
в) выявление известных уязвимостей программных и программно-аппаратных средств, в том числе средств защиты информации, посредством анализа состава установленного программного обеспечения и обновлений безопасности с применением средств контроля (анализа) защищенности и (или) иных средств защиты информации;
г) выявление известных уязвимостей программных и программно-аппаратных средств, в том числе средств защиты информации, сетевых служб, доступных для сетевого взаимодействия, с применением средств контроля (анализа) защищенности;
д) тестирование на проникновение в условиях, соответствующих возможностям нарушителей, определенных в модели угроз безопасности информации.
Применение способов и средств выявления уязвимостей осуществляется субъектом критической информационной инфраструктуры с учетом особенностей функционирования значимого объекта.
Допускается проведение анализа уязвимостей на макете (в тестовой зоне) значимого объекта или макетах отдельных сегментов значимого объекта.
Анализ уязвимостей значимого объекта проводится до ввода его в эксплуатацию на этапах, определяемых субъектом критической информационной инфраструктуры.
В случае выявления уязвимостей значимого объекта, которые могут быть использованы для реализации (способствовать возникновению) угроз безопасности информации, принимаются меры, направленные на их устранение или исключающие возможность использования (эксплуатации) нарушителем выявленных уязвимостей.
По результатам анализа уязвимостей должно быть подтверждено, что в значимом объекте, отсутствуют уязвимости, как минимум содержащиеся в банке данных угроз безопасности информации ФСТЭК России, указанном в пункте 11.1 настоящих Требований, или выявленные уязвимости не приводят к возникновению угроз безопасности информации в отношении значимого объекта.
Отлично, смотрим: у Заказчика есть ряд документов на его объект КИИ и модель угроз с проектом на систему защиты. Просит провести оценку.
Следуем по вашей логике:
1) Проводим анализ по пункту а) - даем соответствующее предзаключение (что логично);
2) не можем провести работы по пункту б) - что делать?;
3) можем провести частично работы по пункту в) при условии что у Заказчика уже что-то есть, что он будет использовать в рамках ОКИИ и СЗ ОКИИ, но не можем выполнить полностью - что делать?;
4) Можем провести частично работы по пункту г), при условии, что у Заказчика есть что-то, что он будет испорльзовать в рамках ОКИИ и СЗ ОКИИ, и то не можем выполнить нормально, так как не будет проанализоравн комплекс - что делать?;
5) не можем провести работы по пункту д) - что делать?
Как итог, мы выполняем только работы по пункту а). О чем товарищ выше и просит - почему нет?
А теперь внимательно (!) читаем название раздела, из которого взят пункт 12.6: "Внедрение организационных и технических мер по обеспечению безопасности значимого объекта и ввод его в действие". О каком внедрении идет речь?
