2.9. При оценке угроз безопасности информации могут использоваться программные средства, позволяющие автоматизировать данную деятельность...

Пункт 5.3.6 Определение актуальности угроз

Это не про пентест )

2.9. При оценке угроз безопасности информации могут использоваться программные средства, позволяющие автоматизировать данную деятельность.
Для получения (уточнения) отдельных исходных данных (например, объектов воздействия и их интерфейсов, уязвимостей) в интересах оценки угроз безопасности информации на этапе эксплуатации систем и сетей применяются автоматизированные средства инвентаризации систем и сетей, анализа уязвимостей, тестирования на проникновение систем и сетей, а также иные средства, используемые для исследований уровня защищенности систем и сетей и содержащейся в них информации.
Тестрование на проникновение по тексту пункта - это не пентест?

Виноват, плохо читал

Если верить пункту 2.9, тесты на проникновение не нужны. При этом в пункте 5.3.6 идет противоречие

Не могли бы Вы пояснить? В пункте 2.9 написано, что можно использовать программные средства для автоматизации. В пункте 5.3.6 что нужно выявлять уязвимости и проводить тестирование на проникновение (способ не указан). В чем противоречие?

Считать это одно, соблюсти положения методики это немного другое. Экспертная группа - решение экспертной группы - экспертный показатель. Вот его и берете в расчет. Сколько нужно времени чтобы выявить причину и провести все восстановительные работы - час/два. Вся методика делится на две части - экспертной оценке показателей и данных отчётности.

Мой вопрос был в том, обязательно ли для оценки актуальности угроз проводить тест на проникновение и не более. Как проводить и какие результаты он дает я знаю.

Тогда, наверное, вы имели ввиду пункты 2.5, 5.3.5 и 5.3.6. В 2.5 и 5.3.5 "анализа уязвимостей и (или) тестирования на проникновение", а в пункте 5.3.6 нет такого послабления. Думаю, нужно уточнять у авторов. Когда накоплю перечень вопросов и отправлю, может что и ответят.

Больше года @blog_ruporsecurite опубликовал статью на тему обеспечения конфиденциальности информации про объекты КИИ - https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-gostaina-v-kii-vopros-sereznyi-5e4ed83a69980506e8447f03
Появилось ли понимание, разъяснения о необходимости/отсутствию таковой ограничения доступа к информации про объекты КИИ у субъекта? Доступ к какой информации (документация, планы, результаты анализа защищенности, etc) нужно ограничивать. При наличии потребности взаимодействия по вопросам защиты, аудита и т.п. с иностранными партнёрами насколько возможно передавать информацию по ЗОКИИ стороне "вероятного противника"?

публично обсуждалась возможность передачи информации зарубежным партнерам сведений о КИ на ОКИИ. Вопрос проведения аудитов м контрольных мероприятий по ИБ для ОКИИ российских дочек международных компаний остался без ответа.

1. Анализ угроз это одно, пентест и анализ уязвимостей совсем другое. Методика к пентест и анализу уязвимостей никакого отношения не имеет.

2. Есть несколько типов уязвимостей. Выявлять известные уязвимости кода и некоторые типовые уязвимости конфигурации можно с помощью сканеров уязвимостей. Архитектурные уязвимости, отсутствие мер защиты и некоторые уязвимости конфигурации выявить автоматизиоованными средствами невозможно в принципе :)

3. Пентест - это в основном работа головой и руками, автоматизируются там только некоторые операции типа брутфорса паролей.

Поэтому слово "обязательно" применительно к автоматизации тут даже как-то и неуместно :)

На стадии эксплуатации тест на проникновение даёт информацию , которой в момент, описываемый в разделе 2, получить больше неоткуда (если я правильно помню, о чем раздел 2 - нет текста под рукой). Поэтому нет тут противоречия

Видимо давление со стороны ФСТЭК по поводу импротозамещения в ближайшее время не предвидится :)

УД 6. Проблемы импортозамещения начинаются с УД 5 :)

Вау ). У многих госов ИС от К2 и выше

Как тут не раз подмечали: пару раз отрежь, еще пару раз раздели и с К2 перейдешь на К3

Так Винда не в реестре Отечественного ПО. Кто не СУКИИ может брать :)

Да не )