б) база данных уязвимостей, содержащаяся в Банке данных угроз безопасности информации (далее – БДУ) ФСТЭК России3.
Общий обзор реестров и классификаций уязвимостей (CVE, OSVDB, NVD, Secunia)
- Блеск и нищета… БДУ
- О МЕТОДИКЕ ОПРЕДЕЛЕНИЯ АКТУАЛЬНЫХ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ С ИСПОЛЬЗОВАНИЕМ БДУ ФСТЭК
- Мы выявили пять уязвимостей в Websoft HCM
- Анализ уязвимостей и оценка соответствия по ОУД4
- Оценка по ОУД4
- Авторизоваться
11–13 февраля 2025
Для своих подписчиков я разрабатываю уникальную аналитику по хорошо востребованной теме - я сравниваю лучшие практики информационной безопасности в России и в мире, разрабатываю таблицы соответствия между ними и рекомендации по тому, как можно удачно совмещать и применять их.
Угроза безопасности информации подлежит включению в банк данных угроз безопасности информации, если по результатам ее анализа и проверки получена вся необходимая информация. Включение информации в банк данных угроз безопасности информации осуществляется по мере появления получения сведений о новых уязвимостях и угрозах безопасности информации и их рассмотрения. Доступ к банку данных угроз безопасности информации осуществляется в режиме просмотра чтения информации об уязвимостях и угрозах безопасности информации. Информация, содержащаяся в банке данных угроз, является общедоступной. Заинтересованным органам государственной власти и организациям рекомендуется использовать информацию, содержащуюся в банке данных угроз безопасности информации, при организации и проведении всех видов работ по защите информации, установленных нормативными правовыми актами, методическими документами и национальными стандартами в области обеспечения информационной безопасности. Лицам исследователям , планирующим направить информацию об уязвимостях в банк данных угроз безопасности информации через раздел "Обратная связь", необходимо учитывать, что данные фамилия и имя исследователя, выявившего уязвимость, могут быть опубликованы в банке данных угроз.
МСЭ В информационной безопасности это. Федеральная служба по техническому и экспортному контролю РФ. Уязвимости банка. Банки данных угроз и уязвимостей. Федеральная служба технического и экспортного контроля. Модель угроз безопасности информации 2021 пример. ФСТЭК 2021. ФСТЭК герб. ФСТЭК герб на прозрачном фоне. Федеральная служба России по валютному и экспортному контролю. ФСТЭК эмблема без фона. Федеральная служба по техническому и экспортному контролю логотип. Федеральная служба по валютному и экспортному контролю. Федеральная служба по техническому и экспортному контролю функции. Федеральная служба по техническому и экспортному контролю структура.
А это, как следствие, потянет за собой переработку технической и организационно-распорядительной документации на системы защиты указанных видов ИС. Например, в случае их модернизации. Кроме того, вызывает недоумение отнесение пользователей к компонентам объектов воздействия см. Сам факт отнесения субъектов ИС к компонентам объектов воздействия не совсем корректно. Справочник объектов воздействия определяет 12 объектов, включающих 10 разных видов "инструментов", информацию и среду ее распространения. Компонентой как частью чего является пользователь: "инструмента", информации или среды распространения? Не понятно. Но это ещё пол беды. Эти же пользователи также отнесены и к типам нарушителей см. Получается, что основная часть субъектов ИС пользователи и администраторы одновременно и объект воздействия его часть как компонента и источник угроз. Может это "недоразумение" будет как-то устранено в новой редакции методики? Как говорится "поживём - увидим"... Не больше и не меньше. Поэтому давать ей какую-либо оценку пока рано.
Банк данных угроз безопасности информации. Что такое банк угроз ФСТЭК?
ФСТЭК России разрабатывает законопроект о введении обязательных требований по ИБ для подрядчиков, оказывающих услуги ИТ-разработки госсектору. У разработчика антивирусов приостановлена лицензия Федеральной службы по техническому и экспортному контролю (ФСТЭК) для одного из ключевых продуктов за «несоответствие требованиям безопасности информации». Главная» Новости» Bdu fstec. Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России.
Новая методика оценки УБИ — Утверждено ФСТЭК России
| Мы выявили пять уязвимостей в Websoft HCM | АИС «Налог-3» Информационная система ФНС России. |
| Новинка: Сканер-ВС 6 - сканирование на уязвимости никогда не было таким быстрым! | Новости БДУ ФСТЭК России Download Telegram. |
| Сергей Борисов | Автоматическая актуализация при изменении законодательства, реестров сертифицированных СЗИ ФСБ России и ФСТЭК России, появлении новых угроз и уязвимостей в БДУ ФСТЭК России Поддержка версионности документов. |
| Телеграм канал «БДУ ФСТЭК России» | В нем выложены протестированные ФСТЭК 122 обновления зарубежных продуктов, широко используемых в российских компаниях и госучреждениях. |
Обновления базы уязвимостей “Сканер-ВС”
г) включения в банк данных угроз безопасности информации ФСТЭК России () сведений о новых угрозах безопасности информации, сценариях (тактиках, техниках) их реализации. Иконка канала Россия 1. ФСТЭК России пересмотрел административные регламенты по контролю за соблюдением лицензионных требований. XSpider способен обнаруживать уязвимости из БДУ ФСТЭК России, CVE, OWASP Top 10, а также собственной базы данных Positive Technologies. Главная страница:: Новости:: Центр безопасности информации представил доклад на XIV конференции "Актуальные вопросы защиты информации", проводимой ФСТЭК России в рамках.
Смотрите также
- Президент расширил полномочия и штат ФСТЭК - Ведомости
- БДУ ФСТЭК РОССИИ Telegram канал из рубрики #Наука и технологии
- Федеральная служба по техническому и экспортному контролю
- Что такое банк угроз: цели создания и доступ к информации
UDV DATAPK Industrial Kit
ФСТЭК России пересмотрел административные регламенты по контролю за соблюдением лицензионных требований. Продлен сертификат соответствия ФСТЭК России №3509 на Enterprise Security Suite. Главная страница:: Новости:: Центр безопасности информации представил доклад на XIV конференции "Актуальные вопросы защиты информации", проводимой ФСТЭК России в. • 3 класса защищенности ГИС; • Применение БДУ ФСТЭК. Идентификаторы БДУ ФСТЭК России.
Федеральная служба по техническому и экспортному контролю (ФСТЭК)
Как работает Обнаружит узлы сети Определяет рабочие станции, серверы, сетевое оборудование. Просканирует как локальную сеть, так и внешний периметр. Для полноценной работы не требуются агенты на конечных станциях. Найдет уязвимости Выявит сетевые уязвимости с помощью, безопасных инвентаризационных и баннерных проверок, фаззинга. Подберет пароли Проверяет протоколы электронной почты и удаленного управления, служб передачи файлов и баз данных. Также проверит веб-приложения собственной разработки.
Проинформирует об угрозах По каждой обнаруженной уязвимости XSpider предоставит подробное описание, инструкцию по исправлению, ссылки на общедоступные источники и выставит базовую и временную оценку по вектору CVSS v2 и v3.
Перехват и анализ сетевого трафика — перехват и анализ трафика, фильтрация содержимого передаваемых данных, а также реализация атак типа MITM Man In The Middle, «Человек посередине». Аудит беспроводных сетей — обнаружение, сканирование и проведение активных и пассивных атак методом подбора паролей в беспроводных сетях с WEP, WPA и WPA-2 шифрованием. Локальный аудит Локальный аудит стойкости паролей — аудит стойкости паролей для операционных систем семейства Windows 7, 8. Поиск остаточной информации — поиск остаточной информации по ключевым словам на носителях данных жестких дисках, USB-устройствах, дискетах, оптических дисках вне зависимости от файловой структуры.
Просмотреть базу данных угроз ФСТЭК России можно на официальном сайте контролирующего органа в разделе «Техническая защита информации» либо перейти по прямой ссылке bdu. На сегодняшний день в банке описано более 200 УБ и почти 30 тысяч уязвимостей. Есть ряд производителей софта, разработки которых постоянно отслеживаются. Особенности банка данных угроз ФСТЭК России для входа в БДУ не требуется регистрация, доступ предоставляется с любого устройства; необходимо обязательно ознакомиться со сведениями, которые содержатся в БДУ разработчикам ПО, компаниям-производителям средств защиты, операторам ПДн, испытательным лабораториям и органам сертификации СЗИ; база существует только в электронном формате, постоянно обновляется и корректируется по запросу пользователей, при этом не имеет признаков иерархической классификационной системы то есть это просто список без градации угроз по каким-либо параметрам. Определять степень опасности и вероятности каждому оператору предстоит самостоятельно, учитывая характеристики и особенности эксплуатации ИС; получать данные из БДУ можно бесплатно и неограниченное количество раз, а при её распространении нужно указывать источник полученной информации; дополнение списка осуществляется в соответствии с установленным регламентом, который предполагает проверку запроса об уязвимости. Нужно учитывать, что отправка сведений через раздел «Обратная связь», предполагает публикацию их в БДУ с целью изучения и проработки механизмов устранения уязвимостей ПО; если планируется применение информации из базы в коммерческих целях, например, в работе сканеров безопасности, то требуется получить разрешение от ФСТЭК.
В нашем случае в качестве Некто может быть: а тривиальный вор внешний нарушитель , б любимый сын внутренний нарушитель , в случайный сантехник посетитель. В этом случае угрозой можно считать кражу колье. Тогда источники — вор, сын, сантехник; уязвимости факторы — ошибки хранения, слабый сейф, тонкий металл; методы — вскрытие, взлом, резка. И всё это может быть в разных комбинациях. Получается, что угроза — одна, а реализаций — много. В существующем банке угроз, к сожалению, всё смешано в кучу: и угрозы и их реализации. Описать угрозы — можно, это всегда конечный перечень. Описать все возможные реализации угроз — задача благородная, но практически не реализуемая в силу большого разнообразия сущностей, её составляющих. Ну а если ещё идёт смешение сущностей — получается «Бородино». Нужна какая-то система. И тут на сцену выходит дедушка Карл Николиус Линней со своей таксономией [4]. И чем так привлекателен для нас «отец систематики» Карл Линней? Наверное, самое важное — это то, что он нашёл тот самый критерий или признак, который, с одной стороны, является общим для всех систематизируемых сущностей, а с другой — индивидуален для каждой такой сущности. Вернее, их количество — вот что объединяет и в тоже время разъединяет сущности, и это самое главное открытие Линнея в деле систематизации по признакам их сходств и различий. И в результате получилась иерархическая, чётко ранжированная структура, состоящая из отдельных групп — таксонов [5]: класс — отряд — семейство — род — вид — подвид — разновидность. В деле систематизации угроз безопасности — на опыте «отца систематики» — надо прежде всего найти такой критерий. На первый взгляд, ответ лежит на поверхности: таким критерием должно выступать полезное свойство информации, которое надо защищать конфиденциальность, целостность, доступность. Но не всё так просто. Я уже отмечал, что эти свойства в принципе весьма субъективны и зависят от заинтересованности субъекта в обеспечении сохранности этих полезных свойств. А брать за критерий систематизации заведомо субъективный критерий — обречь её на неудачу. Кроме того, нарушение таких свойств информации не всегда понятно бизнесу а именно он даёт деньги на обеспечение безопасности информации , он, бизнес, мыслит немного другими категориями, ему ближе рисковая модель. Действительно, если бизнесу сказать, что в результате компьютерной атаки будет реализована возможность несанкционированного доступа к базе данных АСУ управления движением поездов, он задаст вопрос: ну и что? А вот если бизнесу сказать, что в результате такой атаки 35 вагонов не будут поданы к погрузке, что приведёт к такому-то финансовому ущербу, то мозги у него повернутся в нужную сторону. Если посмотреть недавно утверждённый новый вариант Методики оценки угроз безопасности информации, то можно увидеть, что одной из основных задач при оценке угроз безопасности информации является определение негативных последствий, которые могут наступить от реализации возникновения угроз безопасности информации. Вот это уже близко к риск-ориентированной модели! Это как раз и может стать критерием классификации угроз, вернее, первой ступенью в иерархии систематизации угроз. И за основу можно взять те угрозы, которые приведены в методике: ущерб физическому лицу; ущерб юридическому лицу, связанный с хозяйственной деятельностью; ущерб государству в области обороны страны и безопасности; ущерб в социальной, экономической, политической, экологической сферах. Кстати, если уж мы заговорили об ущербе.