Решение Solar inRights сертифицировано ФСТЭК России на соответствие требованиям ОУД 4 (Новости). быстрое определение уязвимостей: выявление уязвимостей по версиям установленного ПО, база уязвимостей, включающая данные из БДУ ФСТЭК России, NIST NVD, а также баз уязвимостей ОС Debian, Red Hat, Arch, Ubuntu, Windows, Astra Linux и др. Новости БДУ ФСТЭК России Открыть. #Наука и технологии.
Новый раздел на сайте БДУ - Форум по вопросам информационной безопасности
ПО для хранения и обработки данных Tarantool успешно прошло испытания в системе сертификации ФСТЭК России. Справочник мер защиты новой БДУ соответствует только составу мер из Требований, утвержденных приказом ФСТЭК России от 25 декабря 2017 года № 239 (для объектов КИИ). Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России.
Новый раздел на сайте БДУ - Форум по вопросам информационной безопасности
| Что такое банк угроз ФСТЭК? | RTM Group | Приказ Федеральной службы по техническому и экспортному контролю от 20.06.2023 № 119 "О признании утратившим силу приказа ФСТЭК России от 24 августа 2012 г. № 100". |
| Федеральная служба по техническому и экспортному контролю (ФСТЭК) | Документы» отражена информация об угрозах, способах их реализации, техниках и тактиках злоумышленников, выгруженная из банка данных угроз безопасности информации (БДУ) ФСТЭК. |
ФСТЭК подтвердил безопасность российского ПО Tarantool
ZONE во время проведения тестирования red team для одного из заказчиков обнаружила пять уязвимостей в версии 2019. Команда BI. Итогом взаимодействия команд стал выпуск обновления , в котором разработчики исправили уязвимость нулевого дня. Остальные четыре уязвимости были исправлены ранее и не являлись эксплуатируемыми в актуальной версии ПО. Таким образом, атакующий, который имеет доступ к учетной записи пользователя, может получить полный доступ к серверу. Это позволяет получить доступ к конфиденциальным данным и информации о сотрудниках, а также дает возможность развития атаки во внутренней сети. Уязвимость актуальна для версий до 2023.
Банк угроз ФСТЭК содержит, помимо названия и кода угрозы, её краткое описание, вероятные источники, объекты воздействия и, конечно, последствия, которые повлечёт за собой реализация угрозы. Банк угроз ФСТЭК: содержимое Банк данных не структурирован в нём нет иерархической структуры , тем не менее угрозы классифицированы по нарушителям, которые могут ими воспользоваться, а также последствиям, которые использование этих угроз может повлечь нарушение конфиденциальности, целостности или доступности информации. К примеру, мы можем воспользоваться поиском и найти угрозы целостности данных, которые исходят от внутренних нарушителей с высоким потенциалом к реализации угроз: Перейдя по названию, мы можем получить подробности конкретной угрозы: Конечно, список, содержащийся в банке, не исчерпывающий, но он постоянно дополняется и обновляется. В его создании принимают участие ряд крупных компаний в сфере информационной безопасности, а также множество частных исследователей, которые пользуются встроенной формой обратной связи на сайте. При относительной доступности передачи информации об угрозах, регламент, безусловно, предусматривает дополнительные исследования, которые гарантируют реальность всех перечисленных в банке угроз.
Можно предположить, что данный параметр должен использоваться для определения очередности закрытия угрозы, однако малое число возможных значений показателя — «низкий», «средний», «высокий» — не позволяют сделать это с достаточной степенью детализации. Более того, любая из дошедших до данного шага угроз должна быть так или иначе закрыта, поэтому забыть про «неопасную» угрозу попросту не получится. Таким образом, истинная цель данного параметра остается не раскрытой в полной мере. Стоит отметить, что работы по моделированию угроз безопасности должны проводиться либо обладателем информации оператором самостоятельно, либо с привлечением лицензиатов ФСТЭК. Такой подход, в соответствии с нормативными документами регулятора, применяется и в настоящее время. Определение актуальности угроз безопасности информации Подробнее хочется остановиться непосредственно на порядке определения актуальности угроз безопасности. Итак, на первом этапе предлагается определить все возможные негативные последствия от реализации угроз безопасности. Помогать в этом должна либо проведенная ранее оценка ущерба рисков от нарушения основных критических процессов, либо экспертная оценка, либо информация, получаемая от эксплуатирующих информационную систему подразделений. При любом выбранном подходе, необходимо определить информационные ресурсы, обеспечивающие выполнение критических процессов непосредственно информация, программно-аппаратные средства, средства защиты информации и иные и основные виды неправомерного доступа по отношению к каждому из ресурсов. Методичка содержит перечень основных видов ресурсов и неправомерного доступа к ним, а также примеры определения возможных негативных последствий. На втором этапе необходимо определить наличие потенциальных уязвимостей и их типы, наличие недекларированных возможностей в информационных системах, а также необходимость доступа к системе для реализации каждой из угроз безопасности. В качестве основного метода выявления потенциальных уязвимостей в информационной системе на этапе ее эксплуатации является тестирование на проникновение, проводимое в том числе с учетом функциональных возможностей и настроек средств защиты. Следующим, третьим этапом является определение нарушителей безопасности и оценка их возможностей. В качестве источников угроз предлагается рассматривать как антропогенные, так и техногенные: первые рассматриваются абсолютно для всех информационных систем, тогда как вторые — только для тех систем, для которых предъявляются требования к устойчивости и надежности функционирования. Подход к определению возможных антропогенных источников угроз — нарушителей — является стандартным и заключается в выявлении конкретных видов нарушителей, их потенциала и возможностей при реализации угроз в отношении защищаемой информационной системы. Стоит отметить, что при наличии связи информационной системы с Интернетом, внешний нарушитель как минимум с низким потенциалом всегда рассматривается в качестве актуального источника угроз. Также необходимо обратить внимание, что согласно новой Методике, нарушитель может обладать одним из четырех уровней потенциала базовый, базовый повышенный, средний и высокий , в то время как БДУ, при описании источника угроз, использует лишь 3 уровня низкий, средний, базовый. Как правильно в этом случае обеспечить корреляцию — вопрос, который также остается без ответа. На заключительном этапе осуществляется анализ возможных тактик и техник реализации угроз. Стоит отметить еще один момент, касающийся БДУ.
Некоторые обновления создают новые дыры в безопасности, на исправление которых нужны новые доработки. Информационная инфраструктура развивается и меняется непрерывно. Но для полной безопасности ими ограничиваться не стоит. Например, в части описаний. Текст, написанный техническим языком, с добавлением свойственных любому государственному органу канцеляризмов — это существенная преграда для понимания и эффективного использования. Другой аспект — это вовлечение российских специалистов в работу над платформой. Когда речь идет о практических инструментах «для людей», делать их без оглядки на исполнителей и потребителей — это неэффективный путь. Сергей Вихорев Советник генерального директора ГК «ИТ-Экспертиза», эксперт по информационной безопасности Стоит открыть любой документ ФСТЭК России, касающийся требований к мерам защиты информации, и увидим: «Требования к системе защиты информации информационной системы определяются в зависимости от... И далее: «В качестве исходных данных для определения угроз безопасности информации должен использоваться банк данных угроз безопасности информации bdu. При этом по факту до сих пор меры защиты выбираются исходя из класса информационной системы который, кстати, определяется по другим критериям и не обращает внимание на угрозы или требуемого уровня защищенности, но не от угроз. Нет взаимосвязи между самими угрозами и теми мерами, которые позволяют их нейтрализовать. Сама идея — использовать модель угроз при выборе мер защиты — абсолютно верная.
Сканеры уязвимостей — обзор мирового и российского рынков
6457 подписчиков. ФСТЭК России: российские разработчики ПО постоянно нарушают требования по срокам устранения уязвимостей. ФСТЭК России: российские разработчики ПО постоянно нарушают требования по срокам устранения уязвимостей. Главная» Новости» Bdu fstec.
Обновлённые реестры ФСТЭК
Также ФСТЭК будет разрабатывать процессы управления технической защитой информации и обеспечением безопасности значимых объектов КИИ, учитывающие отраслевую специфику данных объектов за исключением процессов обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ и организовывать внедрение этих процессов. Кроме того, президент наделил службу полномочиями по организации взаимодействия органов власти, местного самоуправления и организаций при реализации ими мер по повышению уровня технической защищенности информации и обеспечения безопасности значимых объектов КИИ. Наконец, ФСТЭК теперь будет организовывать и проводить оценку эффективности деятельности госорганов по технической защите информации и обеспечению безопасности значимых объектов КИИ. Отсюда мнение о том, что опираться нужно на аппарат государственных служащих. Однако, есть оборотная сторона — низкий уровень дохода государственного служащего провоцирует его низкий профессионализм, текучку, а также высокий уровень коррупции», — говорит Бедеров.
Более подробно об этом сканере можно узнать в посвящённом ему разделе сайта производителя. Также данный сканер осуществляет поиск брешей, содержащихся в международных базах cve. Кроме того, «Ревизор сети» может импортировать в состав своих отчётов результаты, полученные при использовании сетевого сканера Nmap в части определения типов операционных систем и выявления сетевых сервисов на открытых TCP- и UDP-портах. Основными особенностями «Ревизора сети» являются: проверки уязвимостей ОС семейств Windows и Linux, СУБД, средств виртуализации, общесистемного и прикладного ПО с использованием регулярно обновляемых баз данных; проверка наличия неустановленных обновлений ОС семейства Windows; проверки учётных записей для узлов сети, подбор паролей; определение открытых TCP- и UDP-портов на узлах проверяемой сети с верификацией сервисов, поиск уязвимостей; определение NetBIOS- и DNS-имён проверяемых узлов сети; проверки наличия и доступности общих сетевых ресурсов на узлах сети; сбор дополнительной информации об ОС семейства Windows.
Рисунок 6. Окно для просмотра задач сканирования в «Ревизоре сети 3. Сканер уязвимости «Ревизор сети» версии 3. С более подробной информацией о сканере можно ознакомиться на странице разработчика. Также данный сканер может проводить тесты на проникновение и осуществлять анализ конфигурации различных узлов. Рисунок 7. Главное меню системы «Сканер-ВС» Помимо этого можно отметить наличие следующих возможностей: Инвентаризация ресурсов сети. Сканирование на наличие уязвимостей как с учётной записью администратора, так и без неё.
Сетевой и локальный анализ стойкости паролей. Поиск подходящих эксплойтов на основе собранной информации об узле. Перехват и анализ сетевого трафика, а также реализация атак типа MitM Man in the Middle, «внедрённый посредник». Анализ беспроводных сетей. Создание отчёта с техническими рекомендациями по устранению обнаруженных уязвимостей. Также «Сканер-ВС» предлагает проведение контроля целостности — подсчёт контрольных сумм заданных папок и файлов по 13 алгоритмам. Больше информации о данном сканере размещено на сайте данного продукта. Обзор зарубежных сканеров уязвимостей F-Secure Radar Этот сканер уязвимостей является продуктом компании F-Secure, которая активно работает на рынке антивирусов.
Radar — облачное решение, для полноценной работы которого необходима установка агентов. На данный момент поддерживается совместимость с ОС семейств Windows и Linux. F-Secure Radar представляет собой не только сканер уязвимостей, но и платформу для управления уязвимостями и активами. Он обладает возможностями по обнаружению ИТ-активов, их инвентаризации и идентификации. Рисунок 8. Окно центра управления в F-Secure Radar Помимо этого Radar предлагает следующие возможности: Централизованное управление уязвимостями, оповещениями по безопасности и расследованием инцидентов. Обнаружение фактов незаконного использования товарного знака и попыток мошенничества под фирменным наименованием от третьих лиц. Предотвращение атак с помощью выявления неправильной настройки программного обеспечения в службах, операционных системах и сетевых устройствах.
Инвентаризация приложений на узлах сети. Отслеживание всех изменений в ИТ-инфраструктуре. Больше информации о данном сканере размещено на сайте разработчика. В том числе производится сканирование портов. Несколько готовых профилей позволяют проверить все порты или только те, которые обычно используются нежелательными и вредоносными программами. GFI LanGuard обеспечивает возможность сканировать несколько узлов одновременно, экономя тем самым время, и проводить анализ того, какое ПО какие порты использует. GFI LanGuard может также выполнять проверку наличия последних обновлений и патчей на узлах сети. Рисунок 9.
Также можно добавлять собственные шаблоны в планировщик. Nessus Professional Компания Tenable — известный разработчик целой серии продуктов для поиска уязвимостей и управления ими. Одним из таких продуктов является сканер уязвимостей Nessus, который уже давно приобрёл хорошую репутацию на рынке. Nessus Professional предназначен для автоматического поиска известных уязвимостей и ошибок в защите информационных систем. Сканер способен обнаруживать наиболее часто встречающиеся виды брешей и проблем безопасности. Отметим следующие сценарии: Поиск и выявление уязвимых версий служб или доменов. Обнаружение ошибок в конфигурациях. Аудит парольной политики, выявление паролей по умолчанию, пустых или слабых паролей.
Рисунок 10. Окно для выбора различных вариантов сканирования в Nessus Nessus Professional характеризуется следующими особенностями: Предварительно настроенные шаблоны сканирования 450 шаблонов, в том числе для выполнения требований различных стандартов по безопасности. Группировка обнаруженных уязвимостей по приоритетам.
Перехват и анализ сетевого трафика — перехват и анализ трафика, фильтрация содержимого передаваемых данных, а также реализация атак типа MITM Man In The Middle, «Человек посередине». Аудит беспроводных сетей — обнаружение, сканирование и проведение активных и пассивных атак методом подбора паролей в беспроводных сетях с WEP, WPA и WPA-2 шифрованием.
Локальный аудит Локальный аудит стойкости паролей — аудит стойкости паролей для операционных систем семейства Windows 7, 8. Поиск остаточной информации — поиск остаточной информации по ключевым словам на носителях данных жестких дисках, USB-устройствах, дискетах, оптических дисках вне зависимости от файловой структуры.
Одним из новшеств программы стал запуск дополнительного стартового статуса — «Авторизованный партнер», благодаря которому больше компаний, работающих с брендом, смогут получить различную поддержку. При увеличении оборота уровень партнера будет автоматически пересматриваться в сторону повышения — до позиции «Бизнес», «Мастер» или «Премьер». При первичной авторизации и первой отгрузке, а также при каждой смене статусов компании станут получать welcome-box — наборы с брендированными вещами. Также в рамках программы все авторизованные партнеры смогут принимать участие в ежеквартальных промомероприятиях производителя.
Бренд Nerpa выпускает обширный перечень техники: персональные компьютеры, серверное оборудование, коммутаторы и сетевое оборудование, системы хранения данных и другое. Продукция поставляется через официального дистрибьютора — компанию OCS Distribution. В пул авторизованных партнеров бренда сегодня входит более 400 компаний. В 2023 году компания «АВРОИД» создала продукт, позволяющий организациям совершить стратегический переход на устройства с отечественной защищенной операционной системой «Аврора». Используя контейнер, пользователи сразу получают доступ к большинству уже существующих приложений: от сервисов для личной и рабочей коммуникации до мультимедийных платформ. Их функциональность сохраняется в полном объеме, при этом за безопасность можно не беспокоиться — приложения запускаются в изолированной среде внутри отечественной защищённой операционной системы «Аврора», сертифицированной ФСТЭК и ФСБ России.
Для отправки push-уведомлений используется сервис собственной разработки Pushed. Само приложение можно скачать из каталога «Авроры Маркета». Мобильное приложение Multifactor для ОС Аврора поддерживает функционал с настройками и контролем аккаунтов, запросами доступа и подтверждением доступа OTP-кодом. Приложение Multifactor для ОС Аврора уже доступно для загрузки и представлено в каталоге компании «Открытая мобильная платформа». Это система для автоматизированного обмена электронными документами в защищенном режиме между федеральными органами исполнительной власти и органами исполнительной власти субъектов РФ, а также информирования высших органов государственной власти о ходе исполнения поручений. Теперь "Роспатент" имеет возможность участвовать в электронном обмене документами.
Softline объявляет о выходе на рынок Центральной Азии ГК Softline выходит на рынок республики Казахстан, формируя Хаб в городе Алматы, который станет связующим звеном между российскими ИТ-технологиями и центрально-азиатскими компаниями. Основная цель ГК Softline в новом регионе — продвижение собственных продуктов, отраслевых решений и экспертизы, а также решений российских вендоров. При этом компания будет обеспечивать полный комплекс услуг, включая внедрение, сопровождение, техническую поддержку и обучение. В рамках сотрудничества ГК Softline получила статус «Золотого партнера». Специалисты группы компаний будут осуществлять продажу, внедрение и техническое сопровождение Altevics. Команды вендоров провели обучение специалистов ГК Softline по работе с системой.
Эксперты группы компаний получили сертификацию по курсам «ESM на базе Altevics» и «Автоматизация процессов в продукте Altevics». Таким образом, команда ГК Softline приобрела компетенции для эффективной кастомизации и масштабирования системы под задачи клиентов. Altevics — ESM-система для автоматизации сервисных подразделений и сервисных компаний. Платформа разработана с использованием импортонезависимых low-code технологий. Система рассчитана на взаимодействие в режиме реального времени с более чем 16 млн точек учета. Благодаря этому система может использоваться как единое решение для обработки данных энергопотребления в любых масштабах — от населенного пункта до всей страны.
К ней уже подключены порядка 2 500 защищенных шлюзов, «опрашивающих» интеллектуальные приборы учета, а к концу 2024 года их количество вырастет до 24 000. К2Тех и Альфа-Лизинг разработали систему управления лизинговой деятельностью Разработка сделана на базе 1С. С помощью этой системы произошел рефакторинг более 240 бизнес-процессов свыше 1,5 тысяч требований на автоматизацию и 200 форм отчетности. Общий охват проекта составил 500 пользователей. Внедрение было обусловлено федеральным законом. Управление предприятием 2» — архитектура подходила для дальнейшей кастомизации.
UDV DATAPK Industrial Kit
| Обновлённые реестры ФСТЭК | ФСТЭК России подтвердила соответствие технологической операционной системы TOPAZ Linux требованиям к средствам технической защиты информации для систем АСУ ТП и объектов. |
| О банке данных угроз безопасности информации от 06 марта 2015 - | Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. |
| Уязвимость BDU:2023-00291 | ФСТЭК России организует деятельность государственной системы противодействия техническим разведкам и технической защиты информации и руководит ею. |
| Уязвимость BDU:2023-00291 | Все хранящиеся в БДУ ФСТЭК России записи имеют единообразный формат и включают: текстовое описание уязвимости, дату обнаружения уязвимости, названия, версии и производителей уязвимого ПО, информацию о типе ошибки. |
| Мы выявили пять уязвимостей в Websoft HCM | Новости БДУ ФСТЭК России Download Telegram. |
Банк угроз ФСТЭК: использовать нельзя игнорировать
Например, в части описаний. Текст, написанный техническим языком, с добавлением свойственных любому государственному органу канцеляризмов — это существенная преграда для понимания и эффективного использования. Другой аспект — это вовлечение российских специалистов в работу над платформой. Когда речь идет о практических инструментах «для людей», делать их без оглядки на исполнителей и потребителей — это неэффективный путь. Сергей Вихорев Советник генерального директора ГК «ИТ-Экспертиза», эксперт по информационной безопасности Стоит открыть любой документ ФСТЭК России, касающийся требований к мерам защиты информации, и увидим: «Требования к системе защиты информации информационной системы определяются в зависимости от... И далее: «В качестве исходных данных для определения угроз безопасности информации должен использоваться банк данных угроз безопасности информации bdu. При этом по факту до сих пор меры защиты выбираются исходя из класса информационной системы который, кстати, определяется по другим критериям и не обращает внимание на угрозы или требуемого уровня защищенности, но не от угроз. Нет взаимосвязи между самими угрозами и теми мерами, которые позволяют их нейтрализовать. Сама идея — использовать модель угроз при выборе мер защиты — абсолютно верная.
Но при этом сейчас нет связи между угрозами и мерами. Некоторые специалисты пытаются составить таблицы соответствия угроз и мер защиты, но по большому счёту это всё же «самоделки». А нужен системный подход и четкая проработка и соответствующие разделы в банке угроз.
Кстати, об определении. Как сказал классик, «прежде чем объединяться и для того, чтобы объединиться, мы должны сначала решительно и определённо размежеваться». В нашем случае объединяться — это составить банк угроз, а размежеваться — чётко определить те сущности, которые мы собираемся объединять. Попробуем «размежеваться».
И главное здесь, конечно, — понятие угрозы. Глупо полагать, что обеспечением безопасности информации занимаются только для того, чтобы поддержать соответствующие службы и производителей средств защиты. Эгоизм правит миром, и поэтому любая деятельность по обеспечению безопасности информации направлена только на то, чтобы не допустить ущерба обладателю от нарушений полезных свойств информации. Поэтому примем за аксиому, что угроза — это некие негативные действия, угрожающие интересам субъекта обладателя информации. А отсюда следует, что угроза может быть только тогда, когда есть субъект, которому может быть причинён ущерб. Поэтому «угрозы информации» быть не может в силу того, что информация является объектом отношений, а не субъектом. Может быть только «угроза безопасности информации», то есть угроза состоянию защищённости информации.
Действительно, даже если будут в силу каких-то обстоятельств нарушены полезные свойства информации конфиденциальность, целостность, доступность , это не причинит никакого вреда, если нет субъекта, заинтересованного в обеспечении сохранности этих полезных свойств. Любые негативные действия могут быть совершены только при наличии каких-нибудь слабых мест уязвимостей , ведь если, к примеру, кто-нибудь захочет проникнуть за кирпичную стену и будет биться в неё головой, то, скорее всего, у него ничего не получится, однако наличие в стене деревянной калитки уже значительно повышает шансы на успех его героических попыток. И уж, конечно, если есть какие-то негативные действия, то их кто-то или что-то должен совершать. И мы вроде бы пришли к классическому определению угрозы безопасности информации — совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации [3]. Это можно выразить формулой: Но такое представление угрозы всё-таки будет не совсем точным. Обратим внимание, что в определении «условия» и «факторы» даны во множественном числе. Поэтому правильнее будет так: Одна и та же угроза может быть реализована различными источниками угроз, различными способами и с использованием различных факторов.
Совокупность условий и факторов, определяющих конкретную угрозу, будет определяться множеством всех возможных вариантов комбинаций реализации данной угрозы различными источниками с использованием различных методов и факторов. Давайте посмотрим это «на яблоках». Положим, у кого-то есть сейф, в котором лежит бриллиантовое колье, а Некто задумал это колье экспроприировать. В нашем случае в качестве Некто может быть: а тривиальный вор внешний нарушитель , б любимый сын внутренний нарушитель , в случайный сантехник посетитель. В этом случае угрозой можно считать кражу колье. Тогда источники — вор, сын, сантехник; уязвимости факторы — ошибки хранения, слабый сейф, тонкий металл; методы — вскрытие, взлом, резка. И всё это может быть в разных комбинациях.
Получается, что угроза — одна, а реализаций — много. В существующем банке угроз, к сожалению, всё смешано в кучу: и угрозы и их реализации. Описать угрозы — можно, это всегда конечный перечень.
Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путём отправки специально сформированного HTTP-запроса CVE-2023-39367 Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Поиск уязвимостей — безагентное сканирование на наличие уязвимостей как с учетной записью администратора, так и без нее. Формирование отчета с техническими рекомендациями по устранению обнаруженных брешей в защите. В комплексе предустановлены словари, содержащие самые распространенные пароли имена, числовые, клавиатурные последовательности и т. Подбор эксплойтов — поиск подходящих эксплойтов на основе собранной информации об узле.
ФСТЭК подтвердил безопасность российского ПО Tarantool
Все хранящиеся в БДУ ФСТЭК России записи имеют единообразный формат и включают: текстовое описание уязвимости, дату обнаружения уязвимости, названия, версии и производителей уязвимого ПО, информацию о типе ошибки. В первую очередь будет проведена аналитика по сравнению техник и тактик из методики ФСТЭК России (FST&CK) с техниками, тактиками и контрмерами из матрицы MITRE ATT&CK и контрмерами из NIST 800-53. 01.03.2024 на сайте ФСТЭК России опубликован проект национального стандарта ГОСТ Р. upd На праздниках развернул сервер с альтернативной формой БДУ ФСТЭК. ПО для хранения и обработки данных Tarantool успешно прошло испытания в системе сертификации ФСТЭК России. ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
Общий обзор реестров и классификаций уязвимостей (CVE, OSVDB, NVD, Secunia)
ФСТЭК России подтвердила соответствие технологической операционной системы TOPAZ Linux требованиям к средствам технической защиты информации для систем АСУ ТП и объектов. реестр аккредитованных ФСТЭК России органов по сертификации и испытательных. Поиск в общедоступных источниках (включая БДУ ФСТЭК России) информации о возможных уязвимостях и слабостях компонентов ПО.
ФСТЭК подтвердил безопасность российского ПО Tarantool
| Форум "Технологии и безопасность" | MITRE ATT&CK БДУ ФСТЭК Новая БДУ ФСТЭК. |
| О МЕТОДИКЕ ОПРЕДЕЛЕНИЯ АКТУАЛЬНЫХ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ С ИСПОЛЬЗОВАНИЕМ БДУ ФСТЭК | XSpider способен обнаруживать уязвимости из БДУ ФСТЭК России, CVE, OWASP Top 10, а также собственной базы данных Positive Technologies. |
| Новый раздел на сайте БДУ - Форум по вопросам информационной безопасности | реестр аккредитованных ФСТЭК России органов по сертификации и испытательных. |