Раздел тестирования обновлений БДУ ФСТЭК России Сведения о результатах тестирований в описаниях уязвимостей. Разберем новый методический документ «Руководство по организации процесса управления уязвимостями в органе (организации)» от ФСТЭК0:06 область применения0:41. БДУ ФСТЭК России: основные моменты (модель угроз). В первую очередь будет проведена аналитика по сравнению техник и тактик из методики ФСТЭК России (FST&CK) с техниками, тактиками и контрмерами из матрицы MITRE ATT&CK и контрмерами из NIST 800-53.
Защита документов
| Уязвимость BDU:2023-00291 | CISOCLUB | Главная» Новости» Фстэк россии новости. |
| Новая методика оценки УБИ — Утверждено ФСТЭК России | Таблица соответствия угрозы из БДУ ФСТЭК И мер защиты из приказов 17 21. |
| Мы выявили пять уязвимостей в Websoft HCM | 6457 подписчиков. |
Сергей Борисов
Уязвимости обнаружила команда BI. Сразу после этого мы передали информацию смежным подразделениям. Сообща начали оперативную работу над правилами обнаружения уязвимостей и блокирования атак с их эксплуатацией. Мы автоматически применили созданные правила для наших клиентов еще до появления в публичном доступе информации об уязвимостях.
Именно благодаря слаженной работе отделов внутри компании BI. ZONE быстро реагирует на угрозы и защищает от них клиентов. Евгений Волошин.
Теперь любая организация, от которой законодательство требует защиты своей информационной системы, будет использовать данный банк данных, ведь для любой требующей защиты информационной системы например ИСПДн необходимо разработать модель угроз, а одним из главных источников для разработки модели угроз по новой методике является как раз общий перечень угроз, те самые угрозы безопасности ФСТЭК. БДУ ФСТЭК России: основные моменты модель угроз Если вы занимаетесь защитой информационной системы и разрабатываете для неё модель угроз в соответствии с новой методикой, то, вероятно, вам придётся использовать банк данных угроз безопасности информации ФСТЭК. Сайт bdu. Подписывайтесь на канал ИТ. Безопасность в Telegram Задать вопрос эксперту Даю согласие на обработку моих персональных данных.
Поддержание модели угроз в актуальном состояние Результаты моделирования угроз оформляются в виде документа по форме, представленной в приложении к Методике, и утверждается руководителем обладателя информации оператора. Стоит отметить, что предлагаемая к использованию форма документа имеет достаточно стандартную структуру, повторяющую основные разделы Методики, при этом в ней отсутствует раздел с указанием выводов или какой-либо иной информации, объясняющей, что же с этими угрозами делать дальше.
Такой подход, к сожалению, создает впечатление неоконченного документа, описывающего мероприятие, вырванное из общего контекста. Но перейдем к дальнейшим этапам жизненного цикла модели угроз. Подразумевается, что в течение всего периода эксплуатации информационной системы, модель угроз должна актуализироваться с учетом изменения требований законодательства, изменения архитектуры и условий функционирования системы, выявления новых угроз безопасности информации. С учетом того, что внесение изменений в БДУ событие относительно частое от 1 до 3 раз в год, в соответствии с представленной в базе информацией , возвращаться к вопросу актуализации модели угроз придется регулярно. Вместе с тем стоит отметить, что поддерживать в актуальном состоянии модель угроз можно и в виде электронного документа. Необходимо ли в этом случае утверждать такой документ у руководителя и если да, то каким именно образом — пока неясно. Удалась ли новая Методика?
Опубликованный проект документа демонстрирует, что в вопросах обеспечения безопасности информационных систем регулятор старается идти в ногу со временем и вместе с тем учитывать пожелания владельцев таких систем. Из очевидных плюсов обновленной Методики стоит отметить: ее универсальность и, следовательно, возможность использования для различных типов информационных систем; структурированный и понятный подход к определению актуальности угроз безопасности; зависимость актуальности угроз от действительно важных факторов — наличия потенциальных негативных последствий от реализации угрозы и сценариев ее реализации. Вместе с тем, при прочтении Методики отчетливо ощущается, что это лишь проект, а не финальная версия методического документа: неоднократное упоминание БДУ в контексте функций, которая она в настоящий момент не реализует; ссылки на фактически отсутствующие для большинства типов информационных систем базовых и типовых моделей угроз; форма документа по результатам моделирования угроз, требующая доработки и иные мелкие недочеты. И что же дальше? Новый вариант Методики значительно отличается от действующей в настоящее время. В случае утверждения этого документа а пока не видно ни одной действительно значимой причины, почему это может не произойти , перед владельцами информационных систем встанет вопрос о том, нужно ли им актуализировать имеющиеся модели угроз и если да, то как и в какой срок необходимо это осуществить. И если ответ на первый вопрос с большой долей вероятности будет утвердительным, то информацию по последующим в настоящий момент взять неоткуда.
Очевидно, что необходима какая-либо отсрочка при вступлении в силу новой Методики. Проведение детальной и качественной работы по моделированию угроз — процесс, требующий значительных ресурсов, как временных, так и человеческих. Чтобы узнать о практической стороне вопроса моделирования угроз безопасности, в том числе с использованием новой Методики, продолжайте следить за нашими информационными источниками. Владислав Павлов Специалист отдела аудита и консалтинга, Акрибия Теги:.
В связи с утверждением настоящего методического документа не применяются для оценки угроз безопасности информации Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных ФСТЭК России, 2008 г.
11–13 февраля 2025
Некоторые обновления создают новые дыры в безопасности, на исправление которых нужны новые доработки. Информационная инфраструктура развивается и меняется непрерывно. Но для полной безопасности ими ограничиваться не стоит. Например, в части описаний. Текст, написанный техническим языком, с добавлением свойственных любому государственному органу канцеляризмов — это существенная преграда для понимания и эффективного использования. Другой аспект — это вовлечение российских специалистов в работу над платформой. Когда речь идет о практических инструментах «для людей», делать их без оглядки на исполнителей и потребителей — это неэффективный путь. Сергей Вихорев Советник генерального директора ГК «ИТ-Экспертиза», эксперт по информационной безопасности Стоит открыть любой документ ФСТЭК России, касающийся требований к мерам защиты информации, и увидим: «Требования к системе защиты информации информационной системы определяются в зависимости от... И далее: «В качестве исходных данных для определения угроз безопасности информации должен использоваться банк данных угроз безопасности информации bdu. При этом по факту до сих пор меры защиты выбираются исходя из класса информационной системы который, кстати, определяется по другим критериям и не обращает внимание на угрозы или требуемого уровня защищенности, но не от угроз.
Нет взаимосвязи между самими угрозами и теми мерами, которые позволяют их нейтрализовать. Сама идея — использовать модель угроз при выборе мер защиты — абсолютно верная.
Общие положения 1. Настоящее руководство по управлению уязвимостями в органе организации далее - Руководство разработано в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утверждённого Указом Президента Российской Федерации от 16 августа 2004 г. N 1085. Руководство определяет состав и содержание работ по анализу и устранению уязвимостей далее - управление уязвимостями , выявленных в программных, программно-аппаратных средствах информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, информационно-телекоммуникационных инфраструктурах центров обработки данных, на базе которых функционируют эти системы и сети далее - информационные системы.
Настоящее Руководство подлежит применению государственными органами, организациями, в том числе субъектами критической информационной инфраструктуры Российской Федерации, являющимися операторами информационных автоматизированных систем далее - органы организации при принятии ими мер по устранению уязвимостей программных, программно-аппаратных средств информационных систем в соответствии с требованиями о защите информации, содержащейся в государственных информационных системах, требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, а также иными нормативными правовыми актами и методическими документами ФСТЭК России. Задачами Руководства являются создание основы для разработки детальных регламентов и стандартов по управлению уязвимостями с учетом особенностей функционирования органов организаций и организация взаимодействия между структурными подразделениями органов организаций по вопросам устранения уязвимостей. Управление уязвимостями сертифицированных программных, программно-аппаратных средств защиты информации обеспечивается с учетом эксплуатационной документации на них, а также рекомендаций разработчиков. Уязвимости информационных систем.
Но при этом сейчас нет связи между угрозами и мерами. Некоторые специалисты пытаются составить таблицы соответствия угроз и мер защиты, но по большому счёту это всё же «самоделки». А нужен системный подход и четкая проработка и соответствующие разделы в банке угроз. Вот тогда модель угроз станет действенным инструментом при выборе мер защиты и не потребуется заставлять бизнес разрабатывать формальную модель угроз «документ ради документа» , он сам почувствует ее необходимость, так как это будет экономить деньги. А еще лучше, если угрозы будут увязаны не только с мерами защиты, но и необходимыми функциями безопасности, которые реализуются средствами защиты читай классами средств защиты. Тогда модель угроз станет бесценной. Также, важно найти такой критерий, который не является субъективным и при этом близок и понятен бизнесу ведь именно он дает деньги на обеспечение безопасности информации. Если бизнесу сказать, что в результате компьютерной атаки будет реализована возможность несанкционированного доступа к базе данных АСУ управления движением поездов, он задаст вопрос: ну и что? А вот если сказать, что в результате такой атаки 35 вагонов не будут поданы к погрузке, что приведет к такому-то финансовому ущербу, то восприятие и реакция будут совсем другими. Если посмотреть новый вариант Методики оценки угроз безопасности информации, то можно увидеть, что одной из основных задач при оценке угроз безопасности информации является определение негативных последствий, которые могут наступить от реализации возникновения угроз безопасности информации. Это уже близко к риск-ориентированной модели и может стать критерием классификации угроз, вернее первой ступенью в иерархии систематизации угроз. И за основу можно взять те угрозы, которые приведены в методике.
Аудит установленного аппаратного и программного обеспечения — инвентаризация программных и аппаратных средств локальной системы, включая параметры установленных операционных систем, программное обеспечение, информацию о пользователях системы, историю подключений к беспроводным сетям, данные системных, коммуникационных и периферийных устройств центральный процессор, материнская плата, мост, оперативная память и др. Функция сравнения отчетов позволяет отслеживать изменения конфигурации системы. Контроль целостности — подсчет контрольных сумм заданных папок и файлов по 13 алгоритмам, включая алгоритмы высокой стойкости к атакам ГОСТ Р 34.
Банк данных угроз безопасности информации. Что такое банк угроз ФСТЭК?
Главная страница:: Новости:: Центр безопасности информации представил доклад на XIV конференции "Актуальные вопросы защиты информации", проводимой ФСТЭК России в рамках. Новые угрозы в БДУ ФСТЭК. еженедельно обновляемая база уязвимостей, совместимая с банком данных угроз безопасности информации (БДУ) ФСТЭК России, содержит более 45 000 проверок.
Общий обзор реестров и классификаций уязвимостей (CVE, OSVDB, NVD, Secunia)
| БДУ ФСТЭК РОССИИ Telegram канал из рубрики #Наука и технологии | Расчет базовой, контекстной и временной метрик по методике CVSS с использованием калькулятора CVSS6 V3 или V3.1, размещенного в БДУ ФСТЭК России7. |
| Банк данных угроз безопасности информации ФСТЭК России SECURITM | ФСТЭК России Олег Василенко Россия. |
| БДУ ФСТЭК РОССИИ Telegram канал | О банке данных угроз безопасности информации ФСТЭК России регулярно пишут разные авторы. |
Блеск и нищета… БДУ
Что такое банк угроз: цели создания и доступ к информации. Разберем новый методический документ «Руководство по организации процесса управления уязвимостями в органе (организации)» от ФСТЭК0:06 область применения0:41. Основным источником информации об угрозах станет БДУ ФСТЭК, а также базовые и типовые модели угроз безопасности. Необходимость расширения полномочий ФСТЭК связана с тем, что попросту некому поручить, считает руководитель компании «Интернет-розыск» Игорь Бедеров. Для этого необходимо использовать банк данных угроз безопасности информации ФСТЭК России.
Банк данных угроз безопасности информации
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - использование средств межсетевого экранирования для ограничения возможности удаленного доступа; - ограничение доступа из внешних сетей Интернет ; - использование виртуальных частных сетей для организации удаленного доступа VPN.
В комплексе предустановлены словари, содержащие самые распространенные пароли имена, числовые, клавиатурные последовательности и т. Подбор эксплойтов — поиск подходящих эксплойтов на основе собранной информации об узле. Перехват и анализ сетевого трафика — перехват и анализ трафика, фильтрация содержимого передаваемых данных, а также реализация атак типа MITM Man In The Middle, «Человек посередине». Аудит беспроводных сетей — обнаружение, сканирование и проведение активных и пассивных атак методом подбора паролей в беспроводных сетях с WEP, WPA и WPA-2 шифрованием.
Данный раздел поможет в обеспечении безопасности патч-менеджмента, который является частью процесса управления уязвимостями vulnerability management. Запущенный ресурс поможет упростить процессы патч-менеджмента в любой компании, а патч-менеджмент непосредственно связан с процессом vulnerability management.
Это позволит уменьшить трудозатраты специалистов и снизить число случаев, когда имеющееся в компании иностранное ПО перестает работать.
Формирование отчета с техническими рекомендациями по устранению обнаруженных брешей в защите. В комплексе предустановлены словари, содержащие самые распространенные пароли имена, числовые, клавиатурные последовательности и т. Также доступна функция безопасного затирания свободного места на носителях данных, предусмотрена защита от удаления системных файлов, совместимо с модулем поиска остаточной информации. Часть 1.
Сергей Борисов
ФСТЭК России: российские разработчики ПО постоянно нарушают требования по срокам устранения уязвимостей. Федеральная служба по техническому и экспортному контролю (ФСТЭК России) совместно с заинтересованными органами власти и организациями сформировала банк данных угроз безопасности информации, доступ к которому можно получить на web-сайте http. БДУ) ФСТЭК России. г) включения в банк данных угроз безопасности информации ФСТЭК России () сведений о новых угрозах безопасности информации, сценариях (тактиках, техниках) их реализации. Раздел тестирования обновлений БДУ ФСТЭК России Сведения о результатах тестирований в описаниях уязвимостей.
БДУ ФСТЭК РОССИИ Telegram канал
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Идентификатор БДУ ФСТЭК России. Базовый вектор уязвимости CVSS 2.0. быстрое определение уязвимостей: выявление уязвимостей по версиям установленного ПО, база уязвимостей, включающая данные из БДУ ФСТЭК России, NIST NVD, а также баз уязвимостей ОС Debian, Red Hat, Arch, Ubuntu, Windows, Astra Linux и др. фстэк россии опубликовала инструмент под названием scanoval, предназначенный для автоматического обнаружения уязвимостей в по серверов и. Что такое банк угроз: цели создания и доступ к информации.