README.md 6.0 KB
Банк данных угроз безопасности информации
База данных угроз безопасности данных — национальная база данных уязвимостей Российской Федерации. Поддерживается Федеральной службой по техническому и экспортному контролю России.
Особенности банка данных угроз ФСТЭК России:
- Для входа в БДУ не требуется регистрация, доступ предоставляется с любого устройства;
- Необходимо обязательно ознакомиться со сведениями, которые содержатся в БДУ разработчикам ПО, компаниям-производителям средств защиты, операторам ПДн,
испытательным лабораториям и органам сертификации СЗИ;
- База существует только в электронном формате, постоянно обновляется и корректируется по запросу пользователей, при этом не имеет признаков иерархической классификационной системы (то есть это просто список без градации угроз по каким-либо параметрам). Определять степень опасности и вероятности каждому оператору предстоит самостоятельно, учитывая характеристики и особенности эксплуатации ИС;
- Получать данные из БДУ можно бесплатно и неограниченное количество раз, а при её распространении нужно указывать источник полученной информации;
- Дополнение списка осуществляется в соответствии с установленным регламентом, который предполагает проверку запроса об уязвимости. Нужно учитывать,
что отправка сведений через раздел «Обратная связь», предполагает публикацию их в БДУ с целью изучения и проработки механизмов устранения уязвимостей ПО;
- Если планируется применение информации из базы в коммерческих целях, например, в работе сканеров безопасности, то требуется получить разрешение от ФСТЭК;
Плюсы и минусы использования базы данных угроз ИБ
Составление списка актуальных факторов риска для ИС предполагает использование БДУ. К однозначным плюсам электронной базы можно отнести:
- Постоянное включение новых уязвимостей, что дает возможность максимально обезопасить информационные системы от несанкционированного доступа;
- Беспроблемный и бесплатный доступ;
- Принятие заявок на пополнение Банка от разных категорий пользователей;
- Упрощение процесса проработки актуальных угроз;
- Наличие детальных сведений о потенциале нарушителя и прописанные характеристики, которые нарушаются при возникновении каждой УБ;
- Наличие фильтров поиска — можно быстро найти угрозы по нескольким параметрам: наименованию (слову или словосочетанию), источнику, последствиям реализации
(нарушению конфиденциальности, доступности, целостности); - Возможность скачивания информации;
К недостаткам можно отнести отсутствие опции группировки Угроз Безопасноти с учетом структурно-функциональных параметров конкретной Информационной Системы и,
как следствие, необходимость тратить массу времени на отсеивание «лишних» угроз из более чем двухсот, указанных в базе. Еще один минус заключается в сложности
используемых формулировок. То есть с одной стороны, есть детально указанные отличительные особенности УБ, но понять, о чем, идет речь, бывает сложно даже профессионалу.
Подводя итоги, можно сказать, что Банк данных угроз безопасности информации ФСТЭК является источником актуальных сведений об уязвимостях, но чтобы грамотно
применять их при построении частной модели УБ, необходимы узкоспециализированные знания и немалый опыт.
Ссылка на источники:
data-sec.ru
bdu.fstec.ru