доклад4.md 11 KB
Банк данных угроз безопасности информации.
Что такое банк угроз: цели создания и доступ к информации При построении модели УБ часто возникают сложности с выявлением и указанием факторов риска, которые могут быть реализованы в ИС. Упростить работу возможно. Для этого необходимо использовать банк данных угроз безопасности информации ФСТЭК России. Фактически это ни что иное, как электронная база, в которой присутствует описание тех условий, которые могут стать причиной НСД и выполнения неправомерных действий с конфиденциальными сведениями. Главное, что необходимо знать о БДУ: Помимо основных УБ в нем содержится список киберугроз. Целью создания является обеспечение поддержки (как информационной, так и методической) организациям, деятельность которых связана с ПДн, ГИС и управлением критически важными объектами. На основании сведений из БДУ операторы могут выявить и предупредить утечки в процессе разработки, оптимизации ИС, СЗИ и программного обеспечения. Просмотреть базу данных угроз ФСТЭК России можно на официальном сайте контролирующего органа в разделе «Техническая защита информации» либо перейти по прямой ссылке bdu.fstec.ru. Составлением занимается ГНИИИ ПТЗИ, при этом подать заявление на добавление УБ есть возможность у любого пользователя. На сегодняшний день в банке описано более 200 УБ и почти 30 тысяч уязвимостей.
Есть ряд производителей софта, разработки которых постоянно отслеживаются. Среди них Adobe Systems, Гугл, Cisco Systems, Мозилла, Novell Django Software Foundation и др. Особенности банка данных угроз ФСТЭК России для входа в БДУ не требуется регистрация, доступ предоставляется с любого устройства; необходимо обязательно ознакомиться со сведениями, которые содержатся в БДУ разработчикам ПО, компаниям-производителям средств защиты, операторам ПДн, испытательным лабораториям и органам сертификации СЗИ; база существует только в электронном формате, постоянно обновляется и корректируется по запросу пользователей, при этом не имеет признаков иерархической классификационной системы (то есть это просто список без градации угроз по каким-либо параметрам). Определять степень опасности и вероятности каждому оператору предстоит самостоятельно, учитывая характеристики и особенности эксплуатации ИС; получать данные из БДУ можно бесплатно и неограниченное количество раз, а при её распространении нужно указывать источник полученной информации; дополнение списка осуществляется в соответствии с установленным регламентом, который предполагает проверку запроса об уязвимости. Нужно учитывать, что отправка сведений через раздел «Обратная связь», предполагает публикацию их в БДУ с целью изучения и проработки механизмов устранения уязвимостей ПО; если планируется применение информации из базы в коммерческих целях, например, в работе сканеров безопасности, то требуется получить разрешение от ФСТЭК.
Плюсы и минусы использования базы данных угроз ИБ Составление списка актуальных факторов риска для ИС предполагает использование БДУ. К однозначным плюсам электронной базы можно отнести:
постоянное включение новых уязвимостей, что дает возможность максимально обезопасить информационные системы от несанкционированного доступа; беспроблемный и бесплатный доступ; принятие заявок на пополнение Банка от разных категорий пользователей; упрощение процесса проработки актуальных угроз; наличие детальных сведений о потенциале нарушителя и прописанные характеристики, которые нарушаются при возникновении каждой УБ; наличие фильтров поиска — можно быстро найти угрозы по нескольким параметрам: наименованию (слову или словосочетанию), источнику, последствиям реализации (нарушению конфиденциальности, доступности, целостности); возможность скачивания информации; детализация УБ — перейдя в паспорт угрозы, можно увидеть уникальный идентификатор, объекты воздействия, источники и т.д.
К недостаткам можно отнести отсутствие опции группировки УБ с учетом структурно-функциональных параметров конкретной ИС и, как следствие, необходимость тратить массу времени на отсеивание «лишних» угроз из более чем двухсот, указанных в базе. Еще один минус заключается в сложности используемых формулировок. То есть с одной стороны, есть детально указанные отличительные особенности УБ, но понять, о чем, идет речь, бывает сложно даже профессионалу. Подводя итоги, можно сказать, что Банк данных угроз безопасности информации ФСТЭК является источником актуальных сведений об уязвимостях, но чтобы грамотно применять их при построении частной модели УБ, необходимы узкоспециализированные знания и немалый опыт.
В 2015 году ФСТЭК России совместно с заинтересованными органами власти и организациями сформировала банк данных угроз безопасности информации (БДУ).
Банк данных угроз находится в свободном доступе на сайте http://www.bdu.fstec.ru/.
БДУ включает в себя базу данных уязвимостей программного обеспечения и описание угроз, характерных, в первую очередь, для государственных информационных систем и автоматизированных систем управления производственными и технологическими процессами критически важных объектов.
Целью создания данного банка является повышение информированности заинтересованных лиц о существующих угрозах безопасности информации в информационных (автоматизированных) системах. Банк данных предназначен для:
заказчиков информационных (автоматизированных) систем и их систем защиты; операторов информационных (автоматизированных) систем и их систем защиты; разработчиков информационных (автоматизированных) систем и их систем защиты; разработчиков и производителей средств защиты информации; испытательных лабораторий и органов по сертификации средств защиты информации; иных заинтересованных организаций и лиц. По состоянию на сентябрь 2017 года банк данных угроз содержит 205 угроз и 17369 уязвимостей.
Любой желающий может сообщить об обнаруженной уязвимости с помощью формы обратной связи.
В качестве фильтров для поиска угроз можно выбрать:
источник угрозы - тип нарушителя и его минимально необходимый функционал внутренний нарушитель с низким потенциалом внутренний нарушитель со средним потенциалом внутренний нарушитель с высоким потенциалом внешний нарушитель с низким потенциалом внешний нарушитель со средним потенциалом внешний нарушитель с высоким потенциалом
последствия реализации угрозы: нарушение конфиденциальности нарушение целостности нарушение доступности
Источники: 1) https://bdu.fstec.ru/login 2) https://service.securitm.ru/bdu