|
|
@@ -0,0 +1,81 @@
|
|
|
+# Банк данных угроз несанкционированного доступа (НСД)
|
|
|
+## 1.3.500 Банк данных угроз несанкционированного доступа (НСД)
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+Одним из ключевых элементов построения системы защиты информации, особенно в сфере банковских безналичных платежей, является **формирование модели угроз**, включающей угрозы несанкционированного доступа (НСД) к конфиденциальным данным. Для систематизации и унификации этого процесса в России и за рубежом разработаны **специализированные каталоги и банки данных угроз**, среди которых особое место занимает **Банк данных угроз ФСТЭК России (bdu.fstec.ru)**.
|
|
|
+
|
|
|
+### Что такое «Банк данных угроз»?
|
|
|
+
|
|
|
+**Банк данных угроз (БДУ)** — это официальный государственный ресурс, поддерживаемый **Федеральной службой по техническому и экспортному контролю (ФСТЭК России)**. Он содержит:
|
|
|
+
|
|
|
+- Каталог актуальных угроз информационной безопасности;
|
|
|
+- Описание уязвимостей информационных систем;
|
|
|
+- Методы реализации атак;
|
|
|
+- Классификацию источников угроз;
|
|
|
+- Рекомендации по защите.
|
|
|
+
|
|
|
+БДУ используется при **аттестации информационных систем**, разработке **моделей угроз** и проектировании **систем защиты**, в том числе в кредитно-финансовой сфере.
|
|
|
+
|
|
|
+
|
|
|
+### Угрозы НСД в Банке данных угроз ФСТЭК
|
|
|
+
|
|
|
+Особое внимание в БДУ уделено **угрозам несанкционированного доступа (НСД)** — одной из самых опасных и распространённых категорий угроз в банковской сфере. Примеры таких угроз:
|
|
|
+
|
|
|
+1. **НСД через уязвимости программного обеспечения**
|
|
|
+ Злоумышленник использует известные уязвимости в ОС, базах данных или приложениях для получения доступа к данным клиентов и транзакциям.
|
|
|
+
|
|
|
+2. **НСД через слабую аутентификацию**
|
|
|
+ Применение простых паролей, отсутствие двухфакторной аутентификации, хранение учётных данных в открытом виде.
|
|
|
+
|
|
|
+3. **НСД со стороны внутренних пользователей**
|
|
|
+ Сотрудники банка, имеющие доступ к системам, могут злоупотребить полномочиями для копирования или передачи данных.
|
|
|
+
|
|
|
+4. **НСД через фишинг и социальную инженерию**
|
|
|
+ Подмена легитимных сервисов, сбор логинов и паролей клиентов через поддельные сайты или электронные письма.
|
|
|
+
|
|
|
+5. **НСД через заражённые устройства**
|
|
|
+ Использование USB-носителей или мобильных устройств, инфицированных вредоносным ПО, для проникновения в защищённую сеть.
|
|
|
+
|
|
|
+Каждая угроза в БДУ имеет **уникальный идентификатор**, описание, классификацию по типу уязвимости, возможные последствия и рекомендации по устранению.
|
|
|
+
|
|
|
+
|
|
|
+### Как использовать БДУ для защиты банковских систем?
|
|
|
+
|
|
|
+1. **Идентификация угроз**
|
|
|
+ На основе архитектуры системы (серверы, каналы связи, клиентские приложения) подбираются из БДУ все потенциально применимые угрозы НСД.
|
|
|
+
|
|
|
+2. **Фильтрация по актуальности**
|
|
|
+ Угрозы сопоставляются с моделью нарушителя: кто может атаковать (внешний хакер, сотрудник, конкурент), какие у него ресурсы.
|
|
|
+
|
|
|
+3. **Оценка рисков**
|
|
|
+ Для каждой угрозы оценивается вероятность реализации и потенциальный ущерб (финансовый, репутационный, юридический).
|
|
|
+
|
|
|
+4. **Выбор мер защиты**
|
|
|
+ На основе анализа разрабатываются или корректируются меры:
|
|
|
+ - внедрение СКЗИ (средств криптографической защиты информации);
|
|
|
+ - настройка межсетевых экранов и систем обнаружения вторжений;
|
|
|
+ - обучение персонала;
|
|
|
+ - регулярное обновление ПО.
|
|
|
+
|
|
|
+
|
|
|
+### Другие источники угроз НСД
|
|
|
+
|
|
|
+Помимо БДУ ФСТЭК, при моделировании угроз НСД используются:
|
|
|
+
|
|
|
+- **Рекомендации Банка России** (например, Указание № 3889-У) — содержит отраслевой перечень угроз для ИСПДн.
|
|
|
+- **OWASP Top 10** — международный стандарт, описывающий угрозы веб-приложениям (в т.ч. банковским интерфейсам).
|
|
|
+- **ATT&CK от MITRE** — матрица тактик и техник реальных атак, включая этапы проникновения и повышения привилегий.
|
|
|
+
|
|
|
+
|
|
|
+### Заключение
|
|
|
+
|
|
|
+**Банк данных угроз ФСТЭК России** — это фундаментальный инструмент для построения защищённой банковской инфраструктуры. Он позволяет:
|
|
|
+
|
|
|
+- Систематизировать угрозы НСД;
|
|
|
+- Обосновать выбор защитных мер;
|
|
|
+- Соответствовать требованиям регуляторов (ФСТЭК, ФСБ, ЦБ РФ).
|
|
|
+
|
|
|
+Для банков, обрабатывающих миллионы транзакций, использование БДУ — не просто рекомендация, а **необходимое условие информационной безопасности**.
|
|
|
+
|
|
|
+> 💡 *Совет:* Регулярно обновляйте модель угроз, сверяясь с БДУ и отчётами ЦБ РФ — угрозы эволюционируют, и защита должна развиваться вместе с ними.
|
