ПО для хранения и обработки данных Tarantool успешно прошло испытания в системе сертификации ФСТЭК России. БДУ) ФСТЭК России. реестр аккредитованных ФСТЭК России органов по сертификации и испытательных.
Уязвимость BDU:2023-00291
Обзор приказа ФСТЭК России от 29.04.2021 г. № 77. НОВОСИБИРСК, 26 окт – РИА Новости. Российские разработчики ПО не соблюдают регламенты ФСТЭК в части скорости реагирования на обнаруженные уязвимости. Новые угрозы в БДУ ФСТЭК. Традиционно ФСТЭК России организовал конференцию «Актуальные вопросы защиты информации», а «Конфидент» выступил Генеральным партнером. ФСТЭК России разрабатывает законопроект о введении обязательных требований по ИБ для подрядчиков, оказывающих услуги ИТ-разработки госсектору.
Федеральная служба по техническому и экспортному контролю
Другой аспект — это вовлечение российских специалистов в работу над платформой. Когда речь идет о практических инструментах «для людей», делать их без оглядки на исполнителей и потребителей — это неэффективный путь. Сергей Вихорев Советник генерального директора ГК «ИТ-Экспертиза», эксперт по информационной безопасности Стоит открыть любой документ ФСТЭК России, касающийся требований к мерам защиты информации, и увидим: «Требования к системе защиты информации информационной системы определяются в зависимости от... И далее: «В качестве исходных данных для определения угроз безопасности информации должен использоваться банк данных угроз безопасности информации bdu. При этом по факту до сих пор меры защиты выбираются исходя из класса информационной системы который, кстати, определяется по другим критериям и не обращает внимание на угрозы или требуемого уровня защищенности, но не от угроз. Нет взаимосвязи между самими угрозами и теми мерами, которые позволяют их нейтрализовать. Сама идея — использовать модель угроз при выборе мер защиты — абсолютно верная.
Но при этом сейчас нет связи между угрозами и мерами. Некоторые специалисты пытаются составить таблицы соответствия угроз и мер защиты, но по большому счёту это всё же «самоделки». А нужен системный подход и четкая проработка и соответствующие разделы в банке угроз. Вот тогда модель угроз станет действенным инструментом при выборе мер защиты и не потребуется заставлять бизнес разрабатывать формальную модель угроз «документ ради документа» , он сам почувствует ее необходимость, так как это будет экономить деньги. А еще лучше, если угрозы будут увязаны не только с мерами защиты, но и необходимыми функциями безопасности, которые реализуются средствами защиты читай классами средств защиты.
Разница между анализом уязвимостей по ОУД4 и оценкой соответствия по ОУД4 заключается в том, что анализ уязвимостей — это комплекс мероприятий по оценке лишь части компонентов доверия в пределах определённого уровня доверия, например, при проведении анализа уязвимостей оцениваются классы доверия «Разработка», «Руководства», «Оценка уязвимостей». В отличии от анализа уязвимостей, в оценку соответствия по ОУД4 входит анализ всего перечня классов доверия и выполнения всех действий оценщика. В рамках анализа уязвимостей и оценки соответствия оценщики должны использовать ГОСТ 15408 в качестве справочного руководства при интерпретации изложения как функциональных требований, так и требований доверия. В ГОСТ 15408 предполагается, что проверку правильности документации и разработанного продукта ИТ будут проводить опытные оценщики, уделяя особое внимание области, глубине и строгости оценки.
Уязвимость ОС.
Количество уязвимостей в ОС статистика. Классификация уязвимостей CVSS. Банки данных угроз безопасности. Федеральная служба по техническому и экспортному контролю. ФСТЭК иконка. ФСТЭК логотип на прозрачном фоне. Гостехкомиссия России. ФСТЭК эмблема. ФСТЭК кии. Категории кии.
ФСТЭК информационная безопасность. МСЭ В информационной безопасности это. Федеральная служба по техническому и экспортному контролю РФ. Уязвимости банка.
Это не так много по сравнению с крупными международными базами уязвимостями такими как CVE, например , которые существуют более 20 лет и в несколько раз больше чем БДУ, появившегося 8 лет назад. С другой стороны в отечественном банке меньше уязвимостей устаревшего и не используемого программного обеспечения. Сайт bdu. Для этого предусмотрены формы обратной связи.
Кстати достаточно много угроз и уязвимостей из банка были обнаруженными именно частными лицами. Также на сайте можно найти раздел с терминологией по информационной безопасности из различных ГОСТов, законов и иных нормативных документов. Это значительно облегчает работу: не нужно выискивать нужный термин и его определение, достаточно просто воспользоваться этой веб-страницей. Итак, каждая угроза в БДУ содержит описание и перечень источников. Последнее — это злоумышленники внешние или внутренние , техногенные или природные стихийные источники не рассматриваются. В старом разделе БДУ нарушители делятся на три категории: с низким, средним и высоким потенциалом.
Новинка: Сканер-ВС 6 - сканирование на уязвимости никогда не было таким быстрым!
Наибольшую пользу подобные базы с эксплойтами и PoC-сценариями могут принести специалистам, занятым тестированием компьютерных сетей на проникновение, в составе инструментальных средств проверки наличия уязвимостей в исследуемых сетях. Также доступные в базе эксплойты могут быть использованы в качестве дидактического материала для начинающих исследователей и специалистов в области информационной безопасности в рамках образовательного процесса или повышения квалификации. Наконец, подобная база с набором работоспособных сценариев эксплуатации уязвимостей для веб-приложений и удаленной эскалации привилегий могла бы быть полезна и в качестве источника информации для компаний, занятых разработкой сигнатурных систем обнаружения атак и подобных средств мониторинга трафика. Однако в этом случае использование информации может быть затруднено в силу отсутствия в Exploit Database интерфейса для получения обновлений базы, возможностей для скачивания рхива всех записей и, в некоторых случаях, соглашениями об использовании предоставляемых материалов. Агрегаторы информации об уязвимостях Разнообразие различных реестров и баз данных уязвимостей их общее число в несколько раз больше, чем было рассмотрено в статье вызывает у специалистов в области информационной безопасности в первую очередь, разработчиков средств защиты, специалистов по тестированию на проникновение и исследователей, ищущих и изучающих новые уязвимости ПО естественное желание использовать различного рода агрегаторы информации, которые бы обеспечивали автоматизированный сбор доступной информации об уязвимостях и дополнительные функции поиска и фильтрации интересующей информации. Подобного рода агрегаторы информации об уязвимостях существуют и представлены различного рода сервисами, начиная от специализированного агрегатора CVE-релевантной информации и до агрегатора с интерфейсом полноценной поисковой машины, адаптированной под предметную область. Фактическим функционалом данного сервиса является автоматизация поиска всей доступной информации по CVE-идентификатору с дополнительными функциями поиска по вендорам, типам уязвимостей, оценке критичности по метрикам CVSS и т. Также реализованы сбор и хранение различного рода статистики по уязвимостям, например, распределение уязвимостей по степени критичности согласно метрике CVSS , распределение уязвимостей по вендорам ПО и др. Что касается интерфейса, то CVEDetails в целом ориентирован на компактное и удобное для восприятия человеком табличное представление данных, а для автоматизированных систем поддерживает формирование RSS-подписки в формате JSON для получения обновленных данных об уязвимостях выбранных категорий, например, для всех новых уязвимостей класса SQL-инъекций или XSS.
Интересным примером другого подхода является Vulners — разработанный российскими специалистами и весьма популярный среди экспертов в области информационной безопасности сервис с собственной базой данных, предназначенный для поиска информации по самым разным материалам в области информационной безопасности включая публикации на тематических ресурсах, бюллетени вендоров, информацию о мероприятиях Bug Hunting и специалистах, непосредственно обнаруживших уязвимости и др. Фактически Vulners представляет собой поисковый движок с собственной базой данных, адаптированный под предметную область. Таким образом он покрывает гораздо более широкое множество сущностей, чем простые агрегаторы уязвимостей. В настоящее время база данных Vulners агрегировала в себя порядка 870 тысяч записей об уязвимостях и примерно 170 тысяч записей об известных эксплойтах. По данному массиву информации возможны поиск по ключевым словам и фильтрация результатов как по источнику информации организации, опубликовавшей запись об уязвимости , так и по дате публикации записи, CVSS-оценке критичности уязвимости и другим подобным параметрам. Следует отметить, что Vulners не предоставляет некой единой сводки информации по конкретной уязвимости с заданным CVE-идентификатором или иным внутренним идентификатором одного из альтернативных реестров , а возвращает множество записей, релевантных поисковому запросу в стиле классического поискового движка. При этом наличие фильтрации результатов по организации-источнику информации например, type:cvelist позволяет производить выборку записей только из указанной базы данных. Все результаты поисковой выдачи из базы данных Vulners могут быть получены не только в удобном для человека, но и в машиночитаемом виде в формате JSON через соответствующий API поискового запроса.
Заключение Базы данных и реестры уязвимостей полезны широкому кругу специалистов в области информационной безопасности. Сетевые администраторы или сотрудники, ответственные за безопасность компьютерных систем организации, могут своевременно узнать из баз и реестров о появлении новых угроз для защищаемых ими систем, определить приоритетные меры реагирования на эти угрозы исходя из оценки критичности и распространенности в организации уязвимого ПО. При этом для специалистов важны оперативность обновления баз данных уязвимостей, удобство получения этих обновлений и степень покрытия выбранным реестром уязвимостей как основных видов ПО защищаемой компьютерной системы, так и всего множества обнаруживаемых для этого ПО уязвимостей. Также значимыми характеристиками будут наличие рекомендаций по устранению уязвимостей и возможность определения потенциальных векторов атак на защищаемые компьютерные системы. Специалистам в области информационной безопасности, сетевым администраторам и производителям ПО как системного и прикладного ПО, так и программных продуктов защиты информации , работающим в интересах российских организаций и компаний Российской Федерации с государственным участием, рекомендуется периодический мониторинг реестра уязвимостей БДУ ФСТЭК России, как содержащего наиболее релевантную информацию по актуальным уязвимостям для компьютерных систем и программного обеспечения, применяемого именно в российских организациях. Мониторинг реестра уязвимостей БДУ ФСТЭК России, с учетом его ориентированности на популярное и типичное именно для российских организаций ПО, а также регулярное обновление реестра и удобный интерфейс для поиска и выборки данных позволит разработчикам ПО, системным администраторам организаций и операторам средств защиты оставаться в курсе наиболее важных и критичных новостей в области информационной безопасности своей организации. Дополнительным способом поддержания ситуационной осведомленности для данных специалистов является использование поисковых сервисов и агрегаторов информации об уязвимостях, подобных Vulners. Коммерческие реестры уязвимостей такие как VulnDB, Secunia Advisory and Vulnerability Database и их иные аналоги в сочетании с поставляемыми вместе с ними проприетарными средствами мониторинга событий безопасности могли бы оказаться полезными крупным компаниям и организациям, бюджет которых позволяет приобретение подобных дорогостоящих решений.
Однако для большинства малых и средних организаций стоимость подобных средств может быть неоправданно высока, из-за чего их специалистам по информационной безопасности придется пользоваться информацией из общедоступных источников, таких как CVE List, NVD, Vulnerability Notes Database и их аналогов. Публичные источники информации об уязвимостях, с другой стороны, либо не могут похвастать оперативностью информирования об обнаруженных уязвимостях типичный пример, Vulnerability Notes Database , либо зачастую не предоставляют развернутой информации о векторах возможных атак на уязвимое ПО и детальных рекомендаций по устранению уязвимостей. А это снижает практическую полезность данных источников информации для оперативного реагирования на новые угрозы.
Nessus Professional Компания Tenable — известный разработчик целой серии продуктов для поиска уязвимостей и управления ими. Одним из таких продуктов является сканер уязвимостей Nessus, который уже давно приобрёл хорошую репутацию на рынке. Nessus Professional предназначен для автоматического поиска известных уязвимостей и ошибок в защите информационных систем.
Сканер способен обнаруживать наиболее часто встречающиеся виды брешей и проблем безопасности. Отметим следующие сценарии: Поиск и выявление уязвимых версий служб или доменов. Обнаружение ошибок в конфигурациях. Аудит парольной политики, выявление паролей по умолчанию, пустых или слабых паролей. Рисунок 10. Окно для выбора различных вариантов сканирования в Nessus Nessus Professional характеризуется следующими особенностями: Предварительно настроенные шаблоны сканирования 450 шаблонов, в том числе для выполнения требований различных стандартов по безопасности.
Группировка обнаруженных уязвимостей по приоритетам. Широкие возможности по работе с отчётами и архивными данными. Высокоскоростное сканирование с минимальным количеством ложных срабатываний. Возможность выявления около 60 000 уязвимостей, которым присвоены идентификаторы CVE ID, а также множества других. Больше информации о Nessus размещено на сайте разработчика. Nexpose Vulnerability Scanner Nexpose Vulnerability Scanner от Rapid7 предлагается в исполнении «on-premise» для локальной установки на территории заказчика.
Облачная версия доступна в редакции Rapid7 InsightVM, предлагающей расширенные функциональные возможности за ту же стоимость. Данный продукт вычисляет показатель реального риска по шкале от 1 до 1000, где оценка CVSS является лишь одной из составляющих, что даёт более полезную информацию. Nexpose предоставляет контекстную бизнес-аналитику, акцентируя внимание на самых значимых рисках для бизнеса, посредством автоматизированной классификации активов и рисков. Отметим следующие возможности Nexpose: Применение различных стратегий с адаптацией под различные задачи и инфраструктуру. Доступ к данным из Project Sonar для выявления компонентов инфраструктуры, наиболее подверженных распространённым уязвимостям. Создание динамических групп активов с более чем 50 фильтрами.
Выявление более чем 75 000 уязвимостей. Широкий выбор готовых шаблонов отчётов и возможность создания собственных шаблонов с необходимыми параметрами включая таблицы, диаграммы, сравнения с большими возможностями импорта. Функция Adaptive Security позволяет автоматически обнаруживать и оценивать новые устройства и уязвимости в режиме реального времени. В сочетании с подключениями к VMware и AWS, а также интеграцией с исследовательским проектом Sonar сканер Nexpose обеспечивает постоянный мониторинг изменяющейся среды в ИТ-инфраструктуре. Также Nexpose позволяет проводить аудит политик и конфигураций. Сканер анализирует политики на соответствие требованиям и рекомендациям популярных стандартов.
Отчёты об уязвимостях содержат пошаговые инструкции о том, какие действия следует предпринять, чтобы устранить бреши и повысить уровень безопасности. Рисунок 11. Окно мониторинга в Nexpose Vulnerability Scanner Nexpose предлагает большие возможности по интеграции, в том числе двусторонней, с инструментом для проведения пентестов Metasploit, а также с другими технологиями и системами безопасности, в том числе посредством OpenAPI: SIEM, межсетевыми экранами, системами управления патчами или системами сервисных запросов тикетов , комплексами технической поддержки service desk и т. Полная информация о данном сканере расположена на сайте разработчика. Qualys Vulnerability Management Особенностью продукта Qualys является разделение процессов сбора и обработки информации: информация по уязвимостям собирается либо с помощью сканера безагентно , который может быть выполнен в виртуальном или «железном» формате, либо с помощью облачных агентов; обработка и корреляция информации, поступающей с сенсоров, происходит в облаке Qualys. Таким образом не нагружается локальная инфраструктура и существенно упрощается работа с данными, которые отображаются в интерфейсе в консолидированном и нормализованном виде.
Отдельно стоит отметить, что крупным заказчикам доступна возможность развёртывания облака Qualys в локальной сети. Облачные агенты Qualys обеспечивают непрерывный сбор данных и их передачу на облачную платформу, которая является своего рода аналитическим центром, где информация коррелируется и распределяется по приоритетам для обеспечения видимости всего того, что происходит на конечных точках и в сети компании, в режиме реального времени. Рисунок 12. Автоматическая приоритизация угроз на основе информации о реальных атаках злоумышленников, а также данных киберразведки Threat Intelligence. Защита конечных узлов от атак с возможностью расследования инцидентов и поиска следов компрометации EDR. Мониторинг целостности файлов.
Проверка на наличие уязвимостей на протяжении всего цикла разработки. Защита веб-приложений с применением виртуальных патчей. Сканирование контейнеров на всех этапах. Пассивное сканирование сетевого трафика и выявление аномалий. Собственный патч-менеджмент для ОС и приложений. Сканирование внешнего периметра из дата-центра Qualys.
Больше сведений о данном сканере можно почерпнуть на сайте производителя. В части функциональных возможностей есть сходство с Nessus.
Таким образом, мероприятия по определению актуальности угроз безопасности являются целостным и структурированным процессом, способным учитывать особенности функционирования различных типов информационных систем. Вместе с тем стоит отметить тот факт, что модернизация подхода к определению актуальности угроз сделал его значительно более трудоемким. От исполнителя или, вероятнее, группы исполнителей требуются глубокие знания как об инфраструктуре системы, так и различных областях ИБ, начиная от законодательных норм, заканчивая пониманием и, желательно, наличием практических навыков по реализации различных типов атак. Определение угроз безопасности для инфраструктуры, размещаемой на внешних хостингах Особое внимание уделяется вопросу разделения ответственности при моделировании угроз для информационных систем, размещаемых во внешних ЦОД и облачных сервисах. Определение актуальных угроз безопасности в рассматриваемой ситуации должно осуществляться владельцем информации совместно с используемым хостингом.
В общем случае хостинг определяет актуальные угрозы безопасности для предоставляемой им инфраструктуры и доводит эти сведения до своего клиента — обладателя информации оператора. Например, границы моделирования угроз безопасности при аренде виртуальной инфраструктуры выглядят следующим образом: В случае, если владелец хостинга не выполняет моделирование угроз, Методика не рекомендует использование его услуг. С учетом того, что такая рекомендательная мера далеко не всегда будет соблюдаться, остается открытым вопрос о том, как быть владельцу информации, если он решится на использование услуг такого хостинга. Поддержание модели угроз в актуальном состояние Результаты моделирования угроз оформляются в виде документа по форме, представленной в приложении к Методике, и утверждается руководителем обладателя информации оператора. Стоит отметить, что предлагаемая к использованию форма документа имеет достаточно стандартную структуру, повторяющую основные разделы Методики, при этом в ней отсутствует раздел с указанием выводов или какой-либо иной информации, объясняющей, что же с этими угрозами делать дальше. Такой подход, к сожалению, создает впечатление неоконченного документа, описывающего мероприятие, вырванное из общего контекста. Но перейдем к дальнейшим этапам жизненного цикла модели угроз.
Подразумевается, что в течение всего периода эксплуатации информационной системы, модель угроз должна актуализироваться с учетом изменения требований законодательства, изменения архитектуры и условий функционирования системы, выявления новых угроз безопасности информации. С учетом того, что внесение изменений в БДУ событие относительно частое от 1 до 3 раз в год, в соответствии с представленной в базе информацией , возвращаться к вопросу актуализации модели угроз придется регулярно. Вместе с тем стоит отметить, что поддерживать в актуальном состоянии модель угроз можно и в виде электронного документа. Необходимо ли в этом случае утверждать такой документ у руководителя и если да, то каким именно образом — пока неясно. Удалась ли новая Методика? Опубликованный проект документа демонстрирует, что в вопросах обеспечения безопасности информационных систем регулятор старается идти в ногу со временем и вместе с тем учитывать пожелания владельцев таких систем. Из очевидных плюсов обновленной Методики стоит отметить: ее универсальность и, следовательно, возможность использования для различных типов информационных систем; структурированный и понятный подход к определению актуальности угроз безопасности; зависимость актуальности угроз от действительно важных факторов — наличия потенциальных негативных последствий от реализации угрозы и сценариев ее реализации.
Вместе с тем, при прочтении Методики отчетливо ощущается, что это лишь проект, а не финальная версия методического документа: неоднократное упоминание БДУ в контексте функций, которая она в настоящий момент не реализует; ссылки на фактически отсутствующие для большинства типов информационных систем базовых и типовых моделей угроз; форма документа по результатам моделирования угроз, требующая доработки и иные мелкие недочеты.
Методика определяет порядок и содержание работ по определению угроз безопасности информации, реализация возникновение которых возможна в информационных системах, автоматизированных системах управления, информационно-телекоммуникационных сетях, информационно-телекоммуникационных инфраструктурах центров обработки данных и облачных инфраструктурах далее — системы и сети , а также по разработке моделей угроз безопасности информации систем и сетей. Методика применяется для оценки угроз безопасности информации в системах и сетях, решение о создании или модернизации развитии которых принято после даты ее утверждения, а также в эксплуатируемых системах и сетях.
Сергей Борисов
Однако теперь банк данных угроз сложно воспринимать отдельно от новой Методики оценки угроз безопасности информации ФСТЭК, с выходом которой, база данных угроз безопасности информации ФСТЭК вошла в широкое применение при разработке документов. Теперь любая организация, от которой законодательство требует защиты своей информационной системы, будет использовать данный банк данных, ведь для любой требующей защиты информационной системы например ИСПДн необходимо разработать модель угроз, а одним из главных источников для разработки модели угроз по новой методике является как раз общий перечень угроз, те самые угрозы безопасности ФСТЭК. БДУ ФСТЭК России: основные моменты модель угроз Если вы занимаетесь защитой информационной системы и разрабатываете для неё модель угроз в соответствии с новой методикой, то, вероятно, вам придётся использовать банк данных угроз безопасности информации ФСТЭК. Сайт bdu. Подписывайтесь на канал ИТ.
Поддержание модели угроз в актуальном состояние Результаты моделирования угроз оформляются в виде документа по форме, представленной в приложении к Методике, и утверждается руководителем обладателя информации оператора. Стоит отметить, что предлагаемая к использованию форма документа имеет достаточно стандартную структуру, повторяющую основные разделы Методики, при этом в ней отсутствует раздел с указанием выводов или какой-либо иной информации, объясняющей, что же с этими угрозами делать дальше. Такой подход, к сожалению, создает впечатление неоконченного документа, описывающего мероприятие, вырванное из общего контекста.
Но перейдем к дальнейшим этапам жизненного цикла модели угроз. Подразумевается, что в течение всего периода эксплуатации информационной системы, модель угроз должна актуализироваться с учетом изменения требований законодательства, изменения архитектуры и условий функционирования системы, выявления новых угроз безопасности информации. С учетом того, что внесение изменений в БДУ событие относительно частое от 1 до 3 раз в год, в соответствии с представленной в базе информацией , возвращаться к вопросу актуализации модели угроз придется регулярно. Вместе с тем стоит отметить, что поддерживать в актуальном состоянии модель угроз можно и в виде электронного документа. Необходимо ли в этом случае утверждать такой документ у руководителя и если да, то каким именно образом — пока неясно. Удалась ли новая Методика? Опубликованный проект документа демонстрирует, что в вопросах обеспечения безопасности информационных систем регулятор старается идти в ногу со временем и вместе с тем учитывать пожелания владельцев таких систем.
Из очевидных плюсов обновленной Методики стоит отметить: ее универсальность и, следовательно, возможность использования для различных типов информационных систем; структурированный и понятный подход к определению актуальности угроз безопасности; зависимость актуальности угроз от действительно важных факторов — наличия потенциальных негативных последствий от реализации угрозы и сценариев ее реализации. Вместе с тем, при прочтении Методики отчетливо ощущается, что это лишь проект, а не финальная версия методического документа: неоднократное упоминание БДУ в контексте функций, которая она в настоящий момент не реализует; ссылки на фактически отсутствующие для большинства типов информационных систем базовых и типовых моделей угроз; форма документа по результатам моделирования угроз, требующая доработки и иные мелкие недочеты. И что же дальше? Новый вариант Методики значительно отличается от действующей в настоящее время. В случае утверждения этого документа а пока не видно ни одной действительно значимой причины, почему это может не произойти , перед владельцами информационных систем встанет вопрос о том, нужно ли им актуализировать имеющиеся модели угроз и если да, то как и в какой срок необходимо это осуществить. И если ответ на первый вопрос с большой долей вероятности будет утвердительным, то информацию по последующим в настоящий момент взять неоткуда. Очевидно, что необходима какая-либо отсрочка при вступлении в силу новой Методики.
Проведение детальной и качественной работы по моделированию угроз — процесс, требующий значительных ресурсов, как временных, так и человеческих. Чтобы узнать о практической стороне вопроса моделирования угроз безопасности, в том числе с использованием новой Методики, продолжайте следить за нашими информационными источниками. Владислав Павлов Специалист отдела аудита и консалтинга, Акрибия Теги:.
Служба отвечает за противодействие иностранным техническим разведкам на территории страны, безопасность критической информационной инфраструктуры России, защиту государственной тайны, а также за проведение экспортного контроля в частности, товаров двойного назначения.
В гражданской жизни со службой чаще всего сталкиваются компании, которые разрабатывают электронные средства защиты антивирусы, межсерверные экраны или хранят и обрабатывают персональные данные сотрудников и клиентов. В первом случае ФСТЭК проверяет, насколько та или иная программа соответствует требованиям закона о персональных данных, и выдает соответствующий сертификат.
Некоторые специалисты пытаются составить таблицы соответствия угроз и мер защиты, но по большому счёту это всё же «самоделки». А нужен системный подход и четкая проработка и соответствующие разделы в банке угроз.
Вот тогда модель угроз станет действенным инструментом при выборе мер защиты и не потребуется заставлять бизнес разрабатывать формальную модель угроз «документ ради документа» , он сам почувствует ее необходимость, так как это будет экономить деньги. А еще лучше, если угрозы будут увязаны не только с мерами защиты, но и необходимыми функциями безопасности, которые реализуются средствами защиты читай классами средств защиты. Тогда модель угроз станет бесценной. Также, важно найти такой критерий, который не является субъективным и при этом близок и понятен бизнесу ведь именно он дает деньги на обеспечение безопасности информации.
Если бизнесу сказать, что в результате компьютерной атаки будет реализована возможность несанкционированного доступа к базе данных АСУ управления движением поездов, он задаст вопрос: ну и что? А вот если сказать, что в результате такой атаки 35 вагонов не будут поданы к погрузке, что приведет к такому-то финансовому ущербу, то восприятие и реакция будут совсем другими. Если посмотреть новый вариант Методики оценки угроз безопасности информации, то можно увидеть, что одной из основных задач при оценке угроз безопасности информации является определение негативных последствий, которые могут наступить от реализации возникновения угроз безопасности информации. Это уже близко к риск-ориентированной модели и может стать критерием классификации угроз, вернее первой ступенью в иерархии систематизации угроз.
И за основу можно взять те угрозы, которые приведены в методике. При всех существующих недостатках, банк данных ФСТЭК постепенно идет по пути преобразования и адаптивности.
Банк угроз ФСТЭК: использовать нельзя игнорировать
Общий охват проекта составил 500 пользователей. Внедрение было обусловлено федеральным законом. Управление предприятием 2» — архитектура подходила для дальнейшей кастомизации. Однако анализ выявил больше комплексных требований, чем предполагалось изначально — проект потребовал вовлечения большего количества ресурсов, увеличения сроков, принятия управленческих решений по распараллеливанию этапов и одновременному проведению аналитики, проектирования и разработки по различным функциональным блокам для достижения быстрого результата.
Документы, системы для учета ИТ-активов и категорирования объектов критической информационной инфраструктуры КИИ. В решении появилась функция автоматического формирования модели угроз, которая позволит компаниям оценивать актуальность опасностей, опираясь на добавленные редактируемые справочники. Документы» отражена информация об угрозах, способах их реализации, техниках и тактиках злоумышленников, выгруженная из банка данных угроз безопасности информации БДУ ФСТЭК.
Кроме того, теперь компании могут редактировать и дополнять справочники, опираясь на собственные ресурсы и опыт. В решении появились новые возможности для оценки рисков КИИ. После того, как ИБ-специалисты клиента провели предварительное сканирование системы, назначили активы например, доменное имя, IP-адрес , оборудование и программы, они могут ранжировать угрозы по 10-балльной шкале.
Отметки от 7 до 10 определяют, что кибератака актуальна, от 0 до 6 — нет. Глобальное обновление «Р7-Команда» Модуль видеоконференцсвязи «Р7-Команда» получил обновление сервера и десктопного клиента. Появился индикатор качества сетевого соединения, добавлен набор новых функций по управлению групповыми чатами и поддержка отправки файлов больших размеров.
Сервер и десктопный клиент «Р7-Команда» теперь поддерживают совершение выборочных звонков: перед началом группового вызова можно выбрать, каким именно участникам группы будет совершен звонок. Кроме того, для групп с модерацией для пользователей в роли «Докладчик» доступна опция отображения только активных участников конференции тех, у кого включена камера или микрофон , а также переключение между медиапотоками участника звонка. Реализована упрощенная авторизация в рамках одной организации , а при открытии ссылки на конференцию или в группу запускается десктопный клиент.
Образование и обучение Холдинг Т1 и МФТИ создали совместное предприятие для развития решений с использованием ИИ Холдинг Т1 и МФТИ, ведущий российский вуз по подготовке специалистов в области теоретической, экспериментальной и прикладной физики, математики, информатики объявляют о создании совместного предприятия «Квантовые и оптимизационные решения» СП «КОР» , которое будет заниматься разработкой оптимизационных решений в области математики и искусственного интеллекта. СП «КОР» станет связующим звеном между наукой, бизнесом и промышленными предприятиями: холдинг Т1 выступит как вендор, взаимодействующий с государством и компаниями из разных отраслей В числе задач нового предприятия: создание технологий на основе численных методов оптимизации и соответствующих инновационных продуктов, обеспечивающих решение актуальных практических и производственных задач. К2Тех перевел сеть магазинов Zolla на новую систему автоматизации торговли Необходимость в замещении системы управления торговой деятельностью у Zolla формировалась давно — на используемую версию решения «1С: Управление торговлей 10.
Ключевым требованием к новой системе стал расчет себестоимости товаров. Сложность перехода заключалась в том, что на ИТ-системе было завязано огромное количество бизнес-процессов компании. В Zolla входит более 450 магазинов по всей России, каждый из которых имеет отдельную информационную базу и связан интеграционными потоками с центральной базой автоматизации торговли.
Система ежедневно отражает в среднем 30 тысяч операций, собирает и консолидирует данные из отдельных информационных баз каждого магазина о заполненности складов, перемещениях товара и его продажах. Для базы построения новой системы было выбрано решение 1С: Управление торговлей 11. Это типовой продукт, позволивший закрыть большинство потребностей заказчика по функционалу.
Система работает на базе платформы 1С 8. В результате проектная команда К2Тех и Zolla обновила систему автоматизации торговли 1С до УТ-11 и реализовала полный оперативный обмен между исторической и внедряемой базой. Аутсорсинговая компания «Центр единого сервиса Аскона Лайф Групп» автоматизировала обслуживание клиентов с помощью российского продукта Naumen Service Desk Pro.
Сервисной поддержкой пользуются 63 корпоративных клиента и 10 тыс. В систему поступают запросы от организаций на бухгалтерское, кадровое, административное обслуживание и работу с нормативно-справочной информацией НСИ. Также в системе настроены и предоставляются 25 услуг для внутренних пользователей.
Сотрудники холдинга Askona Life Group оценили быстроту, прозрачность и удобство работы в единой системе. Удовлетворенность клиентов выросла благодаря повышению удобства работы персонала и увеличению скорости решения запросов. Возможности нейросети Kandinsky 3.
Эти же пользователи также отнесены и к типам нарушителей см. Получается, что основная часть субъектов ИС пользователи и администраторы одновременно и объект воздействия его часть как компонента и источник угроз. Может это "недоразумение" будет как-то устранено в новой редакции методики? Как говорится "поживём - увидим"... Не больше и не меньше.
Поэтому давать ей какую-либо оценку пока рано. Откуда такое определение УБИ? Поэтому и вопросов, почему "пользователь" одновременно и "объект воздействия" и "нарушитель", не возникает. Пример: "фишинг", конечно, можно классифицировать как "воздействие на ППО ИС например, почтовый клиент ", но... А что до "базового вектора", опять-таки пример: "Угроза несанкционированной подмены" сама по себе - это только направление воздействия, атаки, защиты, анализа без конкретики.
Оная конкретика, в свою очередь, проявляется при указании "Объекта воздействия" с позиции нарушителя и "Объекта защиты" с нашей позиции , например, О. Впрочем, модуль поведенческого анализа подсказывает, что вас вновь интересует не семантика, а "строгость понятий и определений"... Интересовало просто "Откуда такое определение УБИ? Про "базовый вектор" понял, что нигде это регулятором не определено и оно является вашим вИдением.
Банк угроз ФСТЭК: содержимое Банк данных не структурирован в нём нет иерархической структуры , тем не менее угрозы классифицированы по нарушителям, которые могут ими воспользоваться, а также последствиям, которые использование этих угроз может повлечь нарушение конфиденциальности, целостности или доступности информации. К примеру, мы можем воспользоваться поиском и найти угрозы целостности данных, которые исходят от внутренних нарушителей с высоким потенциалом к реализации угроз: Перейдя по названию, мы можем получить подробности конкретной угрозы: Конечно, список, содержащийся в банке, не исчерпывающий, но он постоянно дополняется и обновляется. В его создании принимают участие ряд крупных компаний в сфере информационной безопасности, а также множество частных исследователей, которые пользуются встроенной формой обратной связи на сайте.
При относительной доступности передачи информации об угрозах, регламент, безусловно, предусматривает дополнительные исследования, которые гарантируют реальность всех перечисленных в банке угроз. Банк использовался в основном заказчиками, операторами и разработчиками информационных систем и систем защиты, использовался лабораториями и органами сертификации средств защиты информации.
И приведенное вами описание яркий тому пример. Если под "семантикой" понимается "смысловое значение понятий и определений", то зачем их противопоставлять друг другу? Разве через понятия и определения не раскрывается их смысловое значение?
В этом и есть их суть. Когда нет понятий и определений, то откуда взяться их смысловому значению и говорить о какой-то их "строгости"? Если ту же УБИ. Это к вопросу толкований и толкователей, ага... Под "семантикой" следует понимать смысловую нагрузку сообщения в целом, потому что конкретное слово вне контекста зачастую может быть воспринято некорректно как, собственно, и происходит у любителей докопаться до терминологии...
Что же до моего вИдения, так, блин, все, что пишу на форуме, находится под знаком "imho". Или меня внезапно причислили к рупорам регулятора? Спасибо, конечно, но после "Догмы" образ Метатрона вообще не импонирует... С одной стороны, "Угроза"! Короче, поглядим, что там будет в новой редакции Методики...
Видимо под "смысловой нагрузкой сообщения в целом" имеется в виду "выражение законченной мысли", а, следовательно, под "семантикой" предлагается понимать "предложение".
11–13 февраля 2025
Модель потенциального нарушителя информационной безопасности. ФСТЭК совершенствование требований по технической защите информации. ПП 1119 уровни защищенности. Модель угроз безопасности персональных данных образец 2020. Scanoval база уязвимостей. Scanoval программа. Постановление правительства РФ 1119 персональные данные.
Постановление правительства РФ от 1 ноября 2012 г. ПП 1119 об утверждении требований к защите персональных данных. НПА В области информационной безопасности. Государственная техническая комиссия при Президенте РФ. Регуляторы ИБ. Техническая защита конфиденциальной информации.
Сертификат подлинности Рутокен Лайт. Сертификат соответствия 2589 Рутокен Лайт.
Это позволяет получить доступ к конфиденциальным данным и информации о сотрудниках, а также дает возможность развития атаки во внутренней сети. Уязвимость актуальна для версий до 2023. Но в отличие от BDU:2024-00878, эта уязвимость затрагивает только старые версии продукта — до 2022. Уязвимость актуальна для всех версий до 2020. Уязвимость возникает в случаях, когда приложение использует недоверенные пользовательские данные в качестве пути к запрашиваемому файлу без проведения необходимых проверок. Уязвимости подвержены версии продукта до 2022. Websoft HCM.
Аудит беспроводных сетей — обнаружение, сканирование и проведение активных и пассивных атак методом подбора паролей в беспроводных сетях с WEP, WPA и WPA-2 шифрованием. Локальный аудит Локальный аудит стойкости паролей — аудит стойкости паролей для операционных систем семейства Windows 7, 8. Поиск остаточной информации — поиск остаточной информации по ключевым словам на носителях данных жестких дисках, USB-устройствах, дискетах, оптических дисках вне зависимости от файловой структуры. Также доступна функция безопасного затирания свободного места на носителях данных, предусмотрена защита от удаления системных файлов, совместимо с модулем поиска остаточной информации.
Методичка содержит перечень основных видов ресурсов и неправомерного доступа к ним, а также примеры определения возможных негативных последствий.
На втором этапе необходимо определить наличие потенциальных уязвимостей и их типы, наличие недекларированных возможностей в информационных системах, а также необходимость доступа к системе для реализации каждой из угроз безопасности. В качестве основного метода выявления потенциальных уязвимостей в информационной системе на этапе ее эксплуатации является тестирование на проникновение, проводимое в том числе с учетом функциональных возможностей и настроек средств защиты. Следующим, третьим этапом является определение нарушителей безопасности и оценка их возможностей. В качестве источников угроз предлагается рассматривать как антропогенные, так и техногенные: первые рассматриваются абсолютно для всех информационных систем, тогда как вторые — только для тех систем, для которых предъявляются требования к устойчивости и надежности функционирования. Подход к определению возможных антропогенных источников угроз — нарушителей — является стандартным и заключается в выявлении конкретных видов нарушителей, их потенциала и возможностей при реализации угроз в отношении защищаемой информационной системы.
Стоит отметить, что при наличии связи информационной системы с Интернетом, внешний нарушитель как минимум с низким потенциалом всегда рассматривается в качестве актуального источника угроз. Также необходимо обратить внимание, что согласно новой Методике, нарушитель может обладать одним из четырех уровней потенциала базовый, базовый повышенный, средний и высокий , в то время как БДУ, при описании источника угроз, использует лишь 3 уровня низкий, средний, базовый. Как правильно в этом случае обеспечить корреляцию — вопрос, который также остается без ответа. На заключительном этапе осуществляется анализ возможных тактик и техник реализации угроз. Стоит отметить еще один момент, касающийся БДУ.
На сегодняшний день этот ресурс не содержит какой-либо структурированной информации о возможных способах реализации угроз, в связи с чем ссылка на него выглядит неуместной. Выдержка из матрицы тактик и методик, представленной в документе: В общем и целом, предложенный подход значительно выделяется своими положительными сторонами, особенно на фоне порядка, представленного в действующей методике. Среди «плюсов», как минимум, можно выделить следующие: отказ от неудобных в использовании и далеко не всегда корректных параметров исходной защищенности информационной системы и вероятности реализации угрозы, используемых в методике 2008 года; зависимость актуальности угроз безопасности от действительно значимых для информационной безопасности параметров, таких как потенциальный ущерб от реализации угрозы и сценарии ее реализации; большой акцент на мероприятиях, позволяющих корректно и точно определить, от чего необходимо защищаться — оценка рисков, проведение тестирования на проникновение, использование источников о тактиках и техниках реализации угроз; предусмотрены различные варианты выполнения мероприятий при определении актуальности угроз, например, определение потенциальных последствий от реализации угрозы тремя разными способами; предоставление исходных данных и примеров выполнения для каждого из мероприятий, выполняемых для определения актуальности угроз. Таким образом, мероприятия по определению актуальности угроз безопасности являются целостным и структурированным процессом, способным учитывать особенности функционирования различных типов информационных систем. Вместе с тем стоит отметить тот факт, что модернизация подхода к определению актуальности угроз сделал его значительно более трудоемким.
От исполнителя или, вероятнее, группы исполнителей требуются глубокие знания как об инфраструктуре системы, так и различных областях ИБ, начиная от законодательных норм, заканчивая пониманием и, желательно, наличием практических навыков по реализации различных типов атак. Определение угроз безопасности для инфраструктуры, размещаемой на внешних хостингах Особое внимание уделяется вопросу разделения ответственности при моделировании угроз для информационных систем, размещаемых во внешних ЦОД и облачных сервисах. Определение актуальных угроз безопасности в рассматриваемой ситуации должно осуществляться владельцем информации совместно с используемым хостингом. В общем случае хостинг определяет актуальные угрозы безопасности для предоставляемой им инфраструктуры и доводит эти сведения до своего клиента — обладателя информации оператора.
Новинка: Сканер-ВС 6 - сканирование на уязвимости никогда не было таким быстрым!
Об обновлении документов ФСТЭК России по сертификации средств защиты информации и аттестации объектов информатизации. Поиск в общедоступных источниках (включая БДУ ФСТЭК России) информации о возможных уязвимостях и слабостях компонентов ПО. Главные новости об организации ФСТЭК России на В чисто прикладном смысле БДУ ФСТЭК содержит огромное количество различных возможных угроз. Заместитель руководителя ФСТЭК России Виталий Лютиков заявил о подготовке новых требований по защите информации, содержащейся в государственных системах. Справочник мер защиты новой БДУ соответствует только составу мер из Требований, утвержденных приказом ФСТЭК России от 25 декабря 2017 года № 239 (для объектов КИИ). Последние новости. «формирует перечень организаций, которые аккредитованы ФСТЭК России или имеют лицензии ФСТЭК России, осуществляют деятельность по обеспечению информационной безопасности.
Защита документов
Новости БДУ ФСТЭК России Открыть. #Наука и технологии. Решение Solar inRights сертифицировано ФСТЭК России на соответствие требованиям ОУД 4 (Новости). Справочник мер защиты новой БДУ соответствует только составу мер из Требований, утвержденных приказом ФСТЭК России от 25 декабря 2017 года № 239 (для объектов КИИ). Поиск в общедоступных источниках (включая БДУ ФСТЭК России) информации о возможных уязвимостях и слабостях компонентов ПО. ФСТЭК России разрабатывает законопроект о введении обязательных требований по ИБ для подрядчиков, оказывающих услуги ИТ-разработки госсектору.
Уязвимость BDU:2023-00291
Для этого необходимо использовать банк данных угроз безопасности информации ФСТЭК России. фстэк россии опубликовала инструмент под названием scanoval, предназначенный для автоматического обнаружения уязвимостей в по серверов и. ФСТЭК России Олег Василенко Россия. Справочник мер защиты новой БДУ соответствует только составу мер из Требований, утвержденных приказом ФСТЭК России от 25 декабря 2017 года № 239 (для объектов КИИ). XSpider способен обнаруживать уязвимости из БДУ ФСТЭК России, CVE, OWASP Top 10, а также собственной базы данных Positive Technologies. Главная» Новости» Фстэк россии новости.