|
|
@@ -0,0 +1,42 @@
|
|
|
+
|
|
|
+[Картинка 1](1.png)
|
|
|
+
|
|
|
+Банк данных угроз безопасности информации
|
|
|
+
|
|
|
+База данных угроз безопасности данных — национальная база данных уязвимостей Российской Федерации.
|
|
|
+Поддерживается Федеральной службой по техническому и экспортному контролю России.
|
|
|
+
|
|
|
+Особенности банка данных угроз ФСТЭК России:
|
|
|
+- Для входа в БДУ не требуется регистрация, доступ предоставляется с любого устройства;
|
|
|
+- Необходимо обязательно ознакомиться со сведениями, которые содержатся в БДУ разработчикам ПО, компаниям-производителям средств защиты, операторам ПДн,
|
|
|
+испытательным лабораториям и органам сертификации СЗИ;
|
|
|
+- База существует только в электронном формате, постоянно обновляется и корректируется по запросу пользователей, при этом не имеет признаков иерархической
|
|
|
+классификационной системы (то есть это просто список без градации угроз по каким-либо параметрам). Определять степень опасности и вероятности каждому
|
|
|
+оператору предстоит самостоятельно, учитывая характеристики и особенности эксплуатации ИС;
|
|
|
+- Получать данные из БДУ можно бесплатно и неограниченное количество раз, а при её распространении нужно указывать источник полученной информации;
|
|
|
+- Дополнение списка осуществляется в соответствии с установленным регламентом, который предполагает проверку запроса об уязвимости. Нужно учитывать,
|
|
|
+что отправка сведений через раздел «Обратная связь», предполагает публикацию их в БДУ с целью изучения и проработки механизмов устранения уязвимостей ПО;
|
|
|
+- Если планируется применение информации из базы в коммерческих целях, например, в работе сканеров безопасности, то требуется получить разрешение от ФСТЭК;
|
|
|
+
|
|
|
+Плюсы и минусы использования базы данных угроз ИБ
|
|
|
+Составление списка актуальных факторов риска для ИС предполагает использование БДУ. К однозначным плюсам электронной базы можно отнести:
|
|
|
+
|
|
|
+- Постоянное включение новых уязвимостей, что дает возможность максимально обезопасить информационные системы от несанкционированного доступа;
|
|
|
+- Беспроблемный и бесплатный доступ;
|
|
|
+- Принятие заявок на пополнение Банка от разных категорий пользователей;
|
|
|
+- Упрощение процесса проработки актуальных угроз;
|
|
|
+- Наличие детальных сведений о потенциале нарушителя и прописанные характеристики, которые нарушаются при возникновении каждой УБ;
|
|
|
+- Наличие фильтров поиска — можно быстро найти угрозы по нескольким параметрам: наименованию (слову или словосочетанию), источнику, последствиям реализации
|
|
|
+(нарушению конфиденциальности, доступности, целостности);
|
|
|
+- Возможность скачивания информации;
|
|
|
+
|
|
|
+К недостаткам можно отнести отсутствие опции группировки Угроз Безопасноти с учетом структурно-функциональных параметров конкретной Информационной Системы и,
|
|
|
+как следствие, необходимость тратить массу времени на отсеивание «лишних» угроз из более чем двухсот, указанных в базе. Еще один минус заключается в сложности
|
|
|
+используемых формулировок. То есть с одной стороны, есть детально указанные отличительные особенности УБ, но понять, о чем, идет речь, бывает сложно даже профессионалу.
|
|
|
+
|
|
|
+Подводя итоги, можно сказать, что Банк данных угроз безопасности информации ФСТЭК является источником актуальных сведений об уязвимостях, но чтобы грамотно
|
|
|
+применять их при построении частной модели УБ, необходимы узкоспециализированные знания и немалый опыт.
|
|
|
+
|
|
|
+Ссылка на источники:
|
|
|
+[data-sec.ru](https://data-sec.ru/personal-data/threats-data-bank/)
|
|
|
+[bdu.fstec.ru](https://bdu.fstec.ru/)
|
