Банк данных угроз безопасности информации

Постоянное ужесточение и расширение списка требований к ИС ПДн, ГИС и АС управления технологическими и производственными процессами заставляет организации очень тщательно планировать работу над обеспечением информационной безопасности. Основой для проектирования и внедрения мер защиты является определение актуальных УБ. Чтобы процесс обнаружения факторов риска был максимально быстрым и эффективным, в марте 2015 года ФСТЭК сформировала Банк данных угроз, который постоянно дополняется. Рассмотрим подробнее, что он собой представляет, кому нужен и насколько соответствует потребностям операторов.

Что такое банк угроз: цели создания и доступ к информации

При построении модели УБ часто возникают сложности с выявлением и указанием факторов риска, которые могут быть реализованы в ИС. Упростить работу возможно. Для этого необходимо использовать банк данных угроз безопасности информации ФСТЭК России. Фактически это ни что иное, как электронная база, в которой присутствует описание тех условий, которые могут стать причиной НСД и выполнения неправомерных действий с конфиденциальными сведениями.

Главное, что необходимо знать о БДУ:

1. Помимо основных УБ в нем содержится список киберугроз.
2. Целью создания является обеспечение поддержки (как информационной, так и методической) организациям, деятельность которых связана с ПДн, ГИС и управлением критически важными объектами.
3. На основании сведений из БДУ операторы могут выявить и предупредить утечки в процессе разработки, оптимизации ИС, СЗИ и программного обеспечения.
4. Просмотреть базу данных угроз ФСТЭК России можно на официальном сайте контролирующего органа в разделе «Техническая защита информации» либо перейти по прямой ссылке bdu.fstec.ru.
5. Составлением занимается ГНИИИ ПТЗИ, при этом подать заявление на добавление УБ есть возможность у любого пользователя.
6. На сегодняшний день в банке описано более 200 УБ и почти 30 тысяч уязвимостей.
7. Есть ряд производителей софта, разработки которых постоянно отслеживаются. Среди них Adobe Systems, Гугл, Cisco Systems, Мозилла, Novell Django Software Foundation и др.

Особенности банка данных угроз ФСТЭК России

• для входа в БДУ не требуется регистрация, доступ предоставляется с любого устройства;
• необходимо обязательно ознакомиться со сведениями, которые содержатся в БДУ разработчикам ПО, компаниям-производителям средств защиты, операторам ПДн, испытательным лабораториям и органам сертификации СЗИ;
• база существует только в электронном формате, постоянно обновляется и корректируется по запросу пользователей, при этом не имеет признаков иерархической классификационной системы (то есть это просто список без градации угроз по каким-либо параметрам). Определять степень опасности и вероятности каждому оператору предстоит самостоятельно, учитывая характеристики и особенности эксплуатации ИС;
• получать данные из БДУ можно бесплатно и неограниченное количество раз, а при её распространении нужно указывать источник полученной информации;
• дополнение списка осуществляется в соответствии с установленным регламентом, который предполагает проверку запроса об уязвимости. Нужно учитывать, что отправка сведений через раздел «Обратная связь», предполагает публикацию их в БДУ с целью изучения и проработки механизмов устранения уязвимостей ПО;
• если планируется применение информации из базы в коммерческих целях, например, в работе сканеров безопасности, то требуется получить разрешение от ФСТЭК.

Плюсы и минусы использования базы данных угроз ИБ

Составление списка актуальных факторов риска для ИС предполагает использование БДУ. К однозначным плюсам электронной базы можно отнести:

• постоянное включение новых уязвимостей, что дает возможность максимально обезопасить информационные системы от несанкционированного доступа;
• беспроблемный и бесплатный доступ;
• принятие заявок на пополнение Банка от разных категорий пользователей;
• упрощение процесса проработки актуальных угроз;
• наличие детальных сведений о потенциале нарушителя и прописанные характеристики, которые нарушаются при возникновении каждой УБ;
• наличие фильтров поиска — можно быстро найти угрозы по нескольким параметрам: наименованию (слову или словосочетанию), источнику, последствиям реализации (нарушению конфиденциальности, доступности, целостности);
• возможность скачивания информации;
• детализация УБ — перейдя в паспорт угрозы, можно увидеть уникальный идентификатор, объекты воздействия, источники и т.д.

К недостаткам можно отнести отсутствие опции группировки УБ с учетом структурно-функциональных параметров конкретной ИС и, как следствие, необходимость тратить массу времени на отсеивание «лишних» угроз из более чем двухсот, указанных в базе. Еще один минус заключается в сложности используемых формулировок. То есть с одной стороны, есть детально указанные отличительные особенности УБ, но понять, о чем, идет речь, бывает сложно даже профессионалу.

Подводя итоги, можно сказать, что Банк данных угроз безопасности информации ФСТЭК является источником актуальных сведений об уязвимостях, но чтобы грамотно применять их при построении частной модели УБ, необходимы узкоспециализированные знания и немалый опыт.