|
|
@@ -0,0 +1,92 @@
|
|
|
+# Банк данных угроз безопасности информации.
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+Что такое банк угроз: цели создания и доступ к информации
|
|
|
+При построении модели УБ часто возникают сложности с выявлением и указанием факторов риска, которые могут быть реализованы в ИС. Упростить работу возможно. Для этого необходимо использовать банк данных угроз безопасности информации ФСТЭК России. Фактически это ни что иное, как электронная база, в которой присутствует описание тех условий, которые могут стать причиной НСД и выполнения неправомерных действий с конфиденциальными сведениями.
|
|
|
+Главное, что необходимо знать о БДУ:
|
|
|
+Помимо основных УБ в нем содержится список киберугроз.
|
|
|
+ Целью создания является обеспечение поддержки (как информационной, так и методической) организациям, деятельность которых связана с ПДн, ГИС и управлением критически важными объектами.
|
|
|
+ На основании сведений из БДУ операторы могут выявить и предупредить утечки в процессе разработки, оптимизации ИС, СЗИ и программного обеспечения.
|
|
|
+ Просмотреть базу данных угроз ФСТЭК России можно на официальном сайте контролирующего органа в разделе «Техническая защита информации» либо перейти по прямой ссылке bdu.fstec.ru.
|
|
|
+ Составлением занимается ГНИИИ ПТЗИ, при этом подать заявление на добавление УБ есть возможность у любого пользователя.
|
|
|
+ На сегодняшний день в банке описано более 200 УБ и почти 30 тысяч уязвимостей.
|
|
|
+
|
|
|
+Есть ряд производителей софта, разработки которых постоянно отслеживаются. Среди них Adobe Systems, Гугл, Cisco Systems, Мозилла, Novell Django Software Foundation и др.
|
|
|
+Особенности банка данных угроз ФСТЭК России
|
|
|
+для входа в БДУ не требуется регистрация, доступ предоставляется с любого устройства;
|
|
|
+необходимо обязательно ознакомиться со сведениями, которые содержатся в БДУ разработчикам ПО, компаниям-производителям средств защиты, операторам ПДн, испытательным лабораториям и органам сертификации СЗИ;
|
|
|
+база существует только в электронном формате, постоянно обновляется и корректируется по запросу пользователей, при этом не имеет признаков иерархической классификационной системы (то есть это просто список без градации угроз по каким-либо параметрам). Определять степень опасности и вероятности каждому оператору предстоит самостоятельно, учитывая характеристики и особенности эксплуатации ИС;
|
|
|
+получать данные из БДУ можно бесплатно и неограниченное количество раз, а при её распространении нужно указывать источник полученной информации;
|
|
|
+дополнение списка осуществляется в соответствии с установленным регламентом, который предполагает проверку запроса об уязвимости. Нужно учитывать, что отправка сведений через раздел «Обратная связь», предполагает публикацию их в БДУ с целью изучения и проработки механизмов устранения уязвимостей ПО;
|
|
|
+если планируется применение информации из базы в коммерческих целях, например, в работе сканеров безопасности, то требуется получить разрешение от ФСТЭК.
|
|
|
+
|
|
|
+Плюсы и минусы использования базы данных угроз ИБ
|
|
|
+Составление списка актуальных факторов риска для ИС предполагает использование БДУ. К однозначным плюсам электронной базы можно отнести:
|
|
|
+
|
|
|
+постоянное включение новых уязвимостей, что дает возможность максимально обезопасить информационные системы от несанкционированного доступа;
|
|
|
+беспроблемный и бесплатный доступ;
|
|
|
+принятие заявок на пополнение Банка от разных категорий пользователей;
|
|
|
+упрощение процесса проработки актуальных угроз;
|
|
|
+наличие детальных сведений о потенциале нарушителя и прописанные характеристики, которые нарушаются при возникновении каждой УБ;
|
|
|
+наличие фильтров поиска — можно быстро найти угрозы по нескольким параметрам: наименованию (слову или словосочетанию), источнику, последствиям реализации (нарушению конфиденциальности, доступности, целостности);
|
|
|
+возможность скачивания информации;
|
|
|
+детализация УБ — перейдя в паспорт угрозы, можно увидеть уникальный идентификатор, объекты воздействия, источники и т.д.
|
|
|
+
|
|
|
+К недостаткам можно отнести отсутствие опции группировки УБ с учетом структурно-функциональных параметров конкретной ИС и, как следствие, необходимость тратить массу времени на отсеивание «лишних» угроз из более чем двухсот, указанных в базе. Еще один минус заключается в сложности используемых формулировок. То есть с одной стороны, есть детально указанные отличительные особенности УБ, но понять, о чем, идет речь, бывает сложно даже профессионалу.
|
|
|
+Подводя итоги, можно сказать, что Банк данных угроз безопасности информации ФСТЭК является источником актуальных сведений об уязвимостях, но чтобы грамотно применять их при построении частной модели УБ, необходимы узкоспециализированные знания и немалый опыт.
|
|
|
+
|
|
|
+В 2015 году ФСТЭК России совместно с заинтересованными органами власти и организациями сформировала банк данных угроз безопасности информации (БДУ).
|
|
|
+
|
|
|
+Банк данных угроз находится в свободном доступе на сайте http://www.bdu.fstec.ru/.
|
|
|
+
|
|
|
+БДУ включает в себя базу данных уязвимостей программного обеспечения и описание угроз, характерных, в первую очередь, для государственных информационных систем и автоматизированных систем управления производственными и технологическими процессами критически важных объектов.
|
|
|
+
|
|
|
+Целью создания данного банка является повышение информированности заинтересованных лиц о существующих угрозах безопасности информации в информационных (автоматизированных) системах. Банк данных предназначен для:
|
|
|
+
|
|
|
+заказчиков информационных (автоматизированных) систем и их систем защиты;
|
|
|
+операторов информационных (автоматизированных) систем и их систем защиты;
|
|
|
+разработчиков информационных (автоматизированных) систем и их систем защиты;
|
|
|
+разработчиков и производителей средств защиты информации;
|
|
|
+испытательных лабораторий и органов по сертификации средств защиты информации;
|
|
|
+иных заинтересованных организаций и лиц.
|
|
|
+По состоянию на сентябрь 2017 года банк данных угроз содержит 205 угроз и 17369 уязвимостей.
|
|
|
+
|
|
|
+Любой желающий может сообщить об обнаруженной уязвимости с помощью формы обратной связи.
|
|
|
+
|
|
|
+В качестве фильтров для поиска угроз можно выбрать:
|
|
|
+
|
|
|
+источник угрозы - тип нарушителя и его минимально необходимый функционал
|
|
|
+ внутренний нарушитель с низким потенциалом
|
|
|
+ внутренний нарушитель со средним потенциалом
|
|
|
+ внутренний нарушитель с высоким потенциалом
|
|
|
+ внешний нарушитель с низким потенциалом
|
|
|
+ внешний нарушитель со средним потенциалом
|
|
|
+ внешний нарушитель с высоким потенциалом
|
|
|
+
|
|
|
+последствия реализации угрозы:
|
|
|
+ нарушение конфиденциальности
|
|
|
+ нарушение целостности
|
|
|
+ нарушение доступности
|
|
|
+
|
|
|
+Источники:
|
|
|
+1) https://bdu.fstec.ru/login
|
|
|
+2) https://service.securitm.ru/bdu
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
