У разработчика антивирусов приостановлена лицензия Федеральной службы по техническому и экспортному контролю (ФСТЭК) для одного из ключевых продуктов за «несоответствие требованиям безопасности информации». Эта классификация отличается от используемой для моделирования угроз в соответствии с методикой ФСТЭК России от 5 февраля 2021 года. Об обновлении документов ФСТЭК России по сертификации средств защиты информации и аттестации объектов информатизации. Основные направления развития системы защиты информации на 2023 год от ФСТЭК России. Новости из мира информационной безопасности за октябрь 2023 год. Новые угрозы в БДУ ФСТЭК. • 3 класса защищенности ГИС; • Применение БДУ ФСТЭК.
Другие материалы
- О МЕТОДИКЕ ОПРЕДЕЛЕНИЯ АКТУАЛЬНЫХ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ С ИСПОЛЬЗОВАНИЕМ БДУ ФСТЭК
- Банк данных угроз безопасности информации. Что такое банк угроз ФСТЭК?
- Обзор продукта
- Оставить заявку
Уязвимость BDU:2023-00291
| Новый раздел банка данных угроз: что важно знать | Для этого необходимо использовать банк данных угроз безопасности информации ФСТЭК России. |
| Новый раздел банка данных угроз: что важно знать | БДУ) ФСТЭК России. |
| Банк данных угроз безопасности информации ФСТЭК России SECURITM | Новые угрозы в БДУ ФСТЭК. |
Анализ уязвимостей и оценка соответствия по ОУД4
Для этого необходимо использовать банк данных угроз безопасности информации ФСТЭК России. Еженедельно обновляемая база уязвимостей, совместимая с банком данных угроз безопасности информации (БДУ) ФСТЭК России. MITRE ATT&CK БДУ ФСТЭК Новая БДУ ФСТЭК. Обрабатываются тексты всех редакционных разделов (новости, включая "Главные новости", статьи, аналитические обзоры рынков, интервью, а также содержание партнёрских проектов).
Мы выявили пять уязвимостей в Websoft HCM
| 11–13 февраля 2025 | Документы» отражена информация об угрозах, способах их реализации, техниках и тактиках злоумышленников, выгруженная из банка данных угроз безопасности информации (БДУ) ФСТЭК. |
| Банк угроз ФСТЭК: использовать нельзя игнорировать | Разберем новый методический документ «Руководство по организации процесса управления уязвимостями в органе (организации)» от ФСТЭК0:06 область применения0:41. |
Анализ уязвимостей и оценка соответствия по ОУД4
ФСТЭК России организует деятельность государственной системы противодействия техническим разведкам и технической защиты информации и руководит ею. Главные новости об организации ФСТЭК России на В чисто прикладном смысле БДУ ФСТЭК содержит огромное количество различных возможных угроз. Расширение полномочий ФСТЭК россии. «формирует перечень организаций, которые аккредитованы ФСТЭК России или имеют лицензии ФСТЭК России, осуществляют деятельность по обеспечению информационной безопасности. реестр аккредитованных ФСТЭК России органов по сертификации и испытательных. Расширение полномочий ФСТЭК россии. «формирует перечень организаций, которые аккредитованы ФСТЭК России или имеют лицензии ФСТЭК России, осуществляют деятельность по обеспечению информационной безопасности.
БДУ ФСТЭК создал раздел с результатами тестирования обновлений: комментарии Руслана Рахметова
Аудит безопасности в контейнерных средах с поддержкой инструментальных средств DevOps. Централизованное управление через веб-интерфейс для администрирования, настройки, получения отчётов, распоряжения задачами. Рисунок 14. Окно процесса сканирования в IP360 IP360 поставляется в виде программного или аппаратного обеспечения, причём для увеличения производительности и надёжности работы системы возможна её установка в кластере.
Сканер также доступен на торговых площадках AWS и Azurе. Больше сведений о Tripwire IP360 можно получить на сайте разработчика. Vulnerability Control Система Skybox Vulnerability Control позволяет автоматизировать различные процессы управления уязвимостями на единой платформе.
Продукт способен собирать данные из различных систем с учётом особенностей сети и выявлять наиболее опасные угрозы. Vulnerability Control обладает следующими возможностями: Анализ данных из систем инвентаризации и патч-менеджмента, а также ряда других позволяет собирать сведения в недоступных для сканирования областях. Проведение имитации атак на динамической модели сети для выявления уязвимостей, которые доступны для эксплуатации на критически важных активах.
Также это позволяет понять эффективность текущих настроек компонентов сети. Функция моделирования сети позволяет определять альтернативные методы борьбы с угрозами, включая изменения правил доступа или сигнатур систем предотвращения вторжений IPS. Использование скоринговой модели, учитывающей различные критерии уязвимости, активы, бизнес-сегменты , в том числе уникальные параметры и атрибуты, применяемые в конкретной инфраструктуре.
Выявление очерёдности установки патчей и других компенсирующих мер по устранению уязвимостей на основе уровня угроз и ранжирования их по степени опасности. Рисунок 15. Окно с информацией об уязвимостях в Skybox Vulnerability Control Vulnerability Control реализует гибкий подход к анализу уязвимостей, позволяющий лучше понять возможные последствия.
Помимо основных данных собираются разнообразные дополнительные сведения: настройки и условия использования ОС и других приложений, материалы из национальной базы данных уязвимостей США NVD , CVSS, бюллетени поставщиков, итоги анализа брешей и рисков из других источников IBM X-Force, прочие сканеры уязвимостей и т. Более подробная информация о продукте находится на сайте разработчика. Обзор сканеров уязвимостей с открытым исходным кодом Помимо рынка с коммерческими проприетарными версиями продуктов есть также небольшая ниша сканеров с открытым исходным кодом Open Source.
Они являются полностью бесплатными для пользователей при соблюдении требований лицензии. Наиболее заметными представителями данного сектора являются инструменты Nikto и OpenVAS, которые мы и рассмотрим далее. Отличительной особенностью данного инструмента является отсутствие графического интерфейса.
Управление сканером осуществляется через интерфейс командной строки. Nikto позволяет выполнять комплексное сканирование на веб-серверах, охватывая более 6700 потенциально опасных файлов и программ. Сканер проверяет устаревшие версии серверов 1250 единиц и ищет проблемы, связанные с конкретными версиями 270 единиц , а также проверяет элементы конфигурации, такие как наличие нескольких файлов индекса или параметры HTTP-сервера, и пытается идентифицировать установленные веб-серверы и программное обеспечение.
Компоненты Nikto и плагины часто обновляются; новые их версии могут устанавливаться автоматически. Рисунок 16. Окно с интерфейсом командной строки Nikto с результатами проверки Проверка на наличие устаревших серверных компонентов.
Самостоятельное создание шаблонов отчётов. Сканирование нескольких портов на сервере или нескольких серверах с помощью файла ввода input file. Определение установленного программного обеспечения с помощью заголовков, значков favicons и файлов.
Поиск поддоменов. Установление имён пользователей Apache и cgiwrap. Проверка паролей на стойкость и выявление паролей по умолчанию.
Возможность интеграции с Metasploit. Более подробная информация о Nikto находится на сайте разработчика. OpenVAS Этот сканер уязвимостей с открытым кодом является разработкой компании Greenbone, которая постоянно его дорабатывает и поддерживает с 2009 г.
OpenVAS позволяет осуществлять тестирование с аутентификационными данными и без них, проводить анализ различных высокоуровневых и низкоуровневых сетевых и промышленных протоколов, настройку производительности для крупномасштабного сканирования; имеется широкофункциональный внутренний язык программирования для реализации любого типа тестирования уязвимостей. OpenVAS реализует активный мониторинг: сканирует открытые порты, посылает специальным образом сформированные пакеты для имитации атаки, получает доступ к консоли управления и выполняет там команды. Далее сканер анализирует собранные данные и делает выводы о наличии каких-либо брешей, чаще всего обусловленных наличием на узле необновлённого или небезопасно настроенного ПО.
Сканер использует большую ежедневно пополняемую базу уязвимостей более 50 000 , а также подключение к базе CVE, описывающей известные проблемы безопасности. Рисунок 17. OpenVAS — это один из элементов более крупной архитектуры.
В сочетании с дополнительными модулями с открытым исходным кодом он образует решение Greenbone Vulnerability Management. Более подробная информация о сканере находится на сайте разработчика. Выводы Рассмотренные сканеры уязвимостей, как российские, так и зарубежные, обладают некоторыми сходствами — в частности, поддерживают большинство популярных операционных систем, умеют проводить инвентаризацию ИТ-ресурсов и сканирование сетевых портов, сервисов и веб-приложений, выявляют недостаточно стойкие и установленные по умолчанию пароли, ведут поиск уязвимостей с использованием баз cve.
Тем не менее стоит отметить различия между зарубежными и отечественными продуктами: например, российские сканеры дополнительно обеспечивают поиск уязвимостей из Банка данных угроз безопасности информации ФСТЭК России, имеют сертификаты соответствия требованиям отечественного регулятора, позволяют проверять некоторые средства защиты и не поставляются в качестве облачного сервиса.
Целью создания является обеспечение поддержки как информационной, так и методической организациям, деятельность которых связана с ПДн, ГИС и управлением критически важными объектами. Просмотреть базу данных угроз ФСТЭК России можно на официальном сайте контролирующего органа в разделе «Техническая защита информации» либо перейти по прямой ссылке bdu. На сегодняшний день в банке описано более 200 УБ и почти 30 тысяч уязвимостей. Есть ряд производителей софта, разработки которых постоянно отслеживаются. Особенности банка данных угроз ФСТЭК России для входа в БДУ не требуется регистрация, доступ предоставляется с любого устройства; необходимо обязательно ознакомиться со сведениями, которые содержатся в БДУ разработчикам ПО, компаниям-производителям средств защиты, операторам ПДн, испытательным лабораториям и органам сертификации СЗИ; база существует только в электронном формате, постоянно обновляется и корректируется по запросу пользователей, при этом не имеет признаков иерархической классификационной системы то есть это просто список без градации угроз по каким-либо параметрам. Определять степень опасности и вероятности каждому оператору предстоит самостоятельно, учитывая характеристики и особенности эксплуатации ИС; получать данные из БДУ можно бесплатно и неограниченное количество раз, а при её распространении нужно указывать источник полученной информации; дополнение списка осуществляется в соответствии с установленным регламентом, который предполагает проверку запроса об уязвимости.
По состоянию на сентябрь 2017 года банк данных угроз содержит 205 угроз и 17369 уязвимостей. Любой желающий может сообщить об обнаруженной уязвимости с помощью формы обратной связи. В качестве фильтров для поиска угроз можно выбрать: источник угрозы - тип нарушителя и его минимально необходимый функционал a.
В решении появились новые возможности для оценки рисков КИИ. После того, как ИБ-специалисты клиента провели предварительное сканирование системы, назначили активы например, доменное имя, IP-адрес , оборудование и программы, они могут ранжировать угрозы по 10-балльной шкале. Отметки от 7 до 10 определяют, что кибератака актуальна, от 0 до 6 — нет. Глобальное обновление «Р7-Команда» Модуль видеоконференцсвязи «Р7-Команда» получил обновление сервера и десктопного клиента. Появился индикатор качества сетевого соединения, добавлен набор новых функций по управлению групповыми чатами и поддержка отправки файлов больших размеров. Сервер и десктопный клиент «Р7-Команда» теперь поддерживают совершение выборочных звонков: перед началом группового вызова можно выбрать, каким именно участникам группы будет совершен звонок. Кроме того, для групп с модерацией для пользователей в роли «Докладчик» доступна опция отображения только активных участников конференции тех, у кого включена камера или микрофон , а также переключение между медиапотоками участника звонка.
Реализована упрощенная авторизация в рамках одной организации , а при открытии ссылки на конференцию или в группу запускается десктопный клиент. Образование и обучение Холдинг Т1 и МФТИ создали совместное предприятие для развития решений с использованием ИИ Холдинг Т1 и МФТИ, ведущий российский вуз по подготовке специалистов в области теоретической, экспериментальной и прикладной физики, математики, информатики объявляют о создании совместного предприятия «Квантовые и оптимизационные решения» СП «КОР» , которое будет заниматься разработкой оптимизационных решений в области математики и искусственного интеллекта. СП «КОР» станет связующим звеном между наукой, бизнесом и промышленными предприятиями: холдинг Т1 выступит как вендор, взаимодействующий с государством и компаниями из разных отраслей В числе задач нового предприятия: создание технологий на основе численных методов оптимизации и соответствующих инновационных продуктов, обеспечивающих решение актуальных практических и производственных задач. К2Тех перевел сеть магазинов Zolla на новую систему автоматизации торговли Необходимость в замещении системы управления торговой деятельностью у Zolla формировалась давно — на используемую версию решения «1С: Управление торговлей 10. Ключевым требованием к новой системе стал расчет себестоимости товаров. Сложность перехода заключалась в том, что на ИТ-системе было завязано огромное количество бизнес-процессов компании. В Zolla входит более 450 магазинов по всей России, каждый из которых имеет отдельную информационную базу и связан интеграционными потоками с центральной базой автоматизации торговли.
Система ежедневно отражает в среднем 30 тысяч операций, собирает и консолидирует данные из отдельных информационных баз каждого магазина о заполненности складов, перемещениях товара и его продажах. Для базы построения новой системы было выбрано решение 1С: Управление торговлей 11. Это типовой продукт, позволивший закрыть большинство потребностей заказчика по функционалу. Система работает на базе платформы 1С 8. В результате проектная команда К2Тех и Zolla обновила систему автоматизации торговли 1С до УТ-11 и реализовала полный оперативный обмен между исторической и внедряемой базой. Аутсорсинговая компания «Центр единого сервиса Аскона Лайф Групп» автоматизировала обслуживание клиентов с помощью российского продукта Naumen Service Desk Pro. Сервисной поддержкой пользуются 63 корпоративных клиента и 10 тыс.
В систему поступают запросы от организаций на бухгалтерское, кадровое, административное обслуживание и работу с нормативно-справочной информацией НСИ. Также в системе настроены и предоставляются 25 услуг для внутренних пользователей. Сотрудники холдинга Askona Life Group оценили быстроту, прозрачность и удобство работы в единой системе. Удовлетворенность клиентов выросла благодаря повышению удобства работы персонала и увеличению скорости решения запросов. Возможности нейросети Kandinsky 3. Добавление функции улучшения запроса бьютификации упрощает процесс создания изображений. Теперь нет необходимости быть профессиональным промпт-инженером — новая функция помогает создать детальный промпт за пользователя: достаточно написать всего несколько слов описания желаемого изображения, остальное сделает встроенная в новую версию нейросети языковая модель GigaChat Pro — она расширяет и обогащает деталями промпт.
Также за счёт нового подхода к обучению и качественного датасета значительно улучшилась функция inpainting, которая позволяет редактировать отдельные части изображения. VK Cloud запустили облачный сервис Cloud Kafka для сбора и обработки потоков данных — решение на базе технологий с открытым исходным кодом Apache Kafka и Kubernetes. Сервис можно использовать для сбора аналитических и продуктовых метрик, показателей производительности сайтов и приложений, построения предиктивных моделей и прогнозирования бизнес-показателей, а также финансовой и налоговой отчетности. Cloud Kafka обеспечивает обмен данными между разными модулями ИТ-систем в режиме реального времени. С помощью сервиса можно создать систему уведомлений пользователей о новых заказах и обновлении статуса, отправлять сообщения или предложения в ответ на действия на сайте или в интернет-магазине. VK Реклама покажет бизнесу портрет аудитории сайта В кабинете VK Рекламы появился новый инструмент — портрет аудитории.
UDV DATAPK Industrial Kit
В первую очередь будет проведена аналитика по сравнению техник и тактик из методики ФСТЭК России (FST&CK) с техниками, тактиками и контрмерами из матрицы MITRE ATT&CK и контрмерами из NIST 800-53. ФАУ «ГНИИИ ПТЗИ ФСТЭК России». Приказ Федеральной службы по техническому и экспортному контролю от 20.06.2023 № 119 "О признании утратившим силу приказа ФСТЭК России от 24 августа 2012 г. № 100". Иконка канала Россия 1. Что такое банк угроз: цели создания и доступ к информации.
БДУ ФСТЭК создал раздел с результатами тестирования обновлений: комментарии Руслана Рахметова
Это — один из крупнейших международных банков контента по безопасности, позволяющий формировать оценку защищённости информационных систем. Сканер представлен в нескольких редакциях, включая вариант «Enterprise». Модульная компоновка позволяет масштабировать систему и использовать её в территориально распределённых сетях и ЦОД. Техническая поддержка оказывается до 23. Больше сведений о данном сканере можно найти на сайте RedCheck.
Рисунок 4. Выявление уязвимостей производится следующим образом: состояние системных параметров сканируемого программного обеспечения системного и прикладного сравнивается с базой уязвимостей, представленной в виде описаний, которые разработаны в соответствии со спецификацией OVAL. Сканер позволяет выявлять одиночные и множественные бреши. XSpider Сканер защищённости XSpider компании Positive Technologies впервые появился на рынке ещё в 2002 году — причём в это же время была основана сама компания.
XSpider предназначен для компаний с количеством узлов до 10 000. Задачи по проверке парольной политики также решаются XSpider, при этом будет задействован брутфорс с использованием базы паролей, которые наиболее распространены или применяются по умолчанию. Рисунок 5. Более подробно об этом сканере можно узнать в посвящённом ему разделе сайта производителя.
Также данный сканер осуществляет поиск брешей, содержащихся в международных базах cve. Кроме того, «Ревизор сети» может импортировать в состав своих отчётов результаты, полученные при использовании сетевого сканера Nmap в части определения типов операционных систем и выявления сетевых сервисов на открытых TCP- и UDP-портах. Основными особенностями «Ревизора сети» являются: проверки уязвимостей ОС семейств Windows и Linux, СУБД, средств виртуализации, общесистемного и прикладного ПО с использованием регулярно обновляемых баз данных; проверка наличия неустановленных обновлений ОС семейства Windows; проверки учётных записей для узлов сети, подбор паролей; определение открытых TCP- и UDP-портов на узлах проверяемой сети с верификацией сервисов, поиск уязвимостей; определение NetBIOS- и DNS-имён проверяемых узлов сети; проверки наличия и доступности общих сетевых ресурсов на узлах сети; сбор дополнительной информации об ОС семейства Windows. Рисунок 6.
Окно для просмотра задач сканирования в «Ревизоре сети 3. Сканер уязвимости «Ревизор сети» версии 3. С более подробной информацией о сканере можно ознакомиться на странице разработчика. Также данный сканер может проводить тесты на проникновение и осуществлять анализ конфигурации различных узлов.
Рисунок 7. Главное меню системы «Сканер-ВС» Помимо этого можно отметить наличие следующих возможностей: Инвентаризация ресурсов сети. Сканирование на наличие уязвимостей как с учётной записью администратора, так и без неё. Сетевой и локальный анализ стойкости паролей.
Поиск подходящих эксплойтов на основе собранной информации об узле. Перехват и анализ сетевого трафика, а также реализация атак типа MitM Man in the Middle, «внедрённый посредник». Анализ беспроводных сетей. Создание отчёта с техническими рекомендациями по устранению обнаруженных уязвимостей.
Также «Сканер-ВС» предлагает проведение контроля целостности — подсчёт контрольных сумм заданных папок и файлов по 13 алгоритмам. Больше информации о данном сканере размещено на сайте данного продукта. Обзор зарубежных сканеров уязвимостей F-Secure Radar Этот сканер уязвимостей является продуктом компании F-Secure, которая активно работает на рынке антивирусов. Radar — облачное решение, для полноценной работы которого необходима установка агентов.
На данный момент поддерживается совместимость с ОС семейств Windows и Linux. F-Secure Radar представляет собой не только сканер уязвимостей, но и платформу для управления уязвимостями и активами. Он обладает возможностями по обнаружению ИТ-активов, их инвентаризации и идентификации. Рисунок 8.
Окно центра управления в F-Secure Radar Помимо этого Radar предлагает следующие возможности: Централизованное управление уязвимостями, оповещениями по безопасности и расследованием инцидентов. Обнаружение фактов незаконного использования товарного знака и попыток мошенничества под фирменным наименованием от третьих лиц. Предотвращение атак с помощью выявления неправильной настройки программного обеспечения в службах, операционных системах и сетевых устройствах. Инвентаризация приложений на узлах сети.
Отслеживание всех изменений в ИТ-инфраструктуре. Больше информации о данном сканере размещено на сайте разработчика. В том числе производится сканирование портов. Несколько готовых профилей позволяют проверить все порты или только те, которые обычно используются нежелательными и вредоносными программами.
GFI LanGuard обеспечивает возможность сканировать несколько узлов одновременно, экономя тем самым время, и проводить анализ того, какое ПО какие порты использует. GFI LanGuard может также выполнять проверку наличия последних обновлений и патчей на узлах сети.
Кроме того, вызывает недоумение отнесение пользователей к компонентам объектов воздействия см. Сам факт отнесения субъектов ИС к компонентам объектов воздействия не совсем корректно. Справочник объектов воздействия определяет 12 объектов, включающих 10 разных видов "инструментов", информацию и среду ее распространения. Компонентой как частью чего является пользователь: "инструмента", информации или среды распространения? Не понятно.
Но это ещё пол беды. Эти же пользователи также отнесены и к типам нарушителей см. Получается, что основная часть субъектов ИС пользователи и администраторы одновременно и объект воздействия его часть как компонента и источник угроз. Может это "недоразумение" будет как-то устранено в новой редакции методики? Как говорится "поживём - увидим"... Не больше и не меньше. Поэтому давать ей какую-либо оценку пока рано.
Откуда такое определение УБИ? Поэтому и вопросов, почему "пользователь" одновременно и "объект воздействия" и "нарушитель", не возникает.
Доступ к банку данных угроз безопасности информации осуществляется в режиме просмотра чтения информации об уязвимостях и угрозах безопасности информации. Информация, содержащаяся в банке данных угроз, является общедоступной. Заинтересованным органам государственной власти и организациям рекомендуется использовать информацию, содержащуюся в банке данных угроз безопасности информации, при организации и проведении всех видов работ по защите информации, установленных нормативными правовыми актами, методическими документами и национальными стандартами в области обеспечения информационной безопасности. Лицам исследователям , планирующим направить информацию об уязвимостях в банк данных угроз безопасности информации через раздел "Обратная связь", необходимо учитывать, что данные фамилия и имя исследователя, выявившего уязвимость, могут быть опубликованы в банке данных угроз. Это необходимо для анализа и организации устранения уязвимостей в конкретном программном обеспечении, в ходе которого возможно потребуются взаимодействие и совместные действия со специалистами Службы и или иными организациями, включая разработчиков производителей программного обеспечения. В течение 2015 года ФСТЭК России планирует осуществлять мониторинг и анализ функционирования банка данных угроз безопасности, а также отработку процедур взаимодействия заинтересованных органов государственной власти и организаций по выявлению, анализу и устранению уязвимостей.
Может это "недоразумение" будет как-то устранено в новой редакции методики? Как говорится "поживём - увидим"... Не больше и не меньше. Поэтому давать ей какую-либо оценку пока рано. Откуда такое определение УБИ? Поэтому и вопросов, почему "пользователь" одновременно и "объект воздействия" и "нарушитель", не возникает.
Пример: "фишинг", конечно, можно классифицировать как "воздействие на ППО ИС например, почтовый клиент ", но... А что до "базового вектора", опять-таки пример: "Угроза несанкционированной подмены" сама по себе - это только направление воздействия, атаки, защиты, анализа без конкретики. Оная конкретика, в свою очередь, проявляется при указании "Объекта воздействия" с позиции нарушителя и "Объекта защиты" с нашей позиции , например, О. Впрочем, модуль поведенческого анализа подсказывает, что вас вновь интересует не семантика, а "строгость понятий и определений"... Интересовало просто "Откуда такое определение УБИ? Про "базовый вектор" понял, что нигде это регулятором не определено и оно является вашим вИдением.
Толкование угрозы через направление использовалось и ранее. Нормативно не встречал, но в различных объяснениях довольно частно.
UDV DATAPK Industrial Kit
Традиционно ФСТЭК России организовал конференцию «Актуальные вопросы защиты информации», а «Конфидент» выступил Генеральным партнером. Традиционно ФСТЭК России организовал конференцию «Актуальные вопросы защиты информации», а «Конфидент» выступил Генеральным партнером. еженедельно обновляемая база уязвимостей, совместимая с банком данных угроз безопасности информации (БДУ) ФСТЭК России, содержит более 45 000 проверок.
Новый раздел банка данных угроз: что важно знать
ФСТЭК России организует деятельность государственной системы противодействия техническим разведкам и технической защиты информации и руководит ею. Разберем новый методический документ «Руководство по организации процесса управления уязвимостями в органе (организации)» от ФСТЭК0:06 область применения0:41. Об обновлении документов ФСТЭК России по сертификации средств защиты информации и аттестации объектов информатизации. Сертификат соответствия ФСТЭК РФ № 3509 на Enterprise Security Suite. Поддержка БДУ ФСТЭК России и других сторонних баз уязвимостей. фстэк россии опубликовала инструмент под названием scanoval, предназначенный для автоматического обнаружения уязвимостей в по серверов и.
Новый раздел банка данных угроз: что важно знать
Стоит отметить, что предлагаемая к использованию форма документа имеет достаточно стандартную структуру, повторяющую основные разделы Методики, при этом в ней отсутствует раздел с указанием выводов или какой-либо иной информации, объясняющей, что же с этими угрозами делать дальше. Такой подход, к сожалению, создает впечатление неоконченного документа, описывающего мероприятие, вырванное из общего контекста. Но перейдем к дальнейшим этапам жизненного цикла модели угроз. Подразумевается, что в течение всего периода эксплуатации информационной системы, модель угроз должна актуализироваться с учетом изменения требований законодательства, изменения архитектуры и условий функционирования системы, выявления новых угроз безопасности информации. С учетом того, что внесение изменений в БДУ событие относительно частое от 1 до 3 раз в год, в соответствии с представленной в базе информацией , возвращаться к вопросу актуализации модели угроз придется регулярно. Вместе с тем стоит отметить, что поддерживать в актуальном состоянии модель угроз можно и в виде электронного документа. Необходимо ли в этом случае утверждать такой документ у руководителя и если да, то каким именно образом — пока неясно. Удалась ли новая Методика? Опубликованный проект документа демонстрирует, что в вопросах обеспечения безопасности информационных систем регулятор старается идти в ногу со временем и вместе с тем учитывать пожелания владельцев таких систем. Из очевидных плюсов обновленной Методики стоит отметить: ее универсальность и, следовательно, возможность использования для различных типов информационных систем; структурированный и понятный подход к определению актуальности угроз безопасности; зависимость актуальности угроз от действительно важных факторов — наличия потенциальных негативных последствий от реализации угрозы и сценариев ее реализации.
Вместе с тем, при прочтении Методики отчетливо ощущается, что это лишь проект, а не финальная версия методического документа: неоднократное упоминание БДУ в контексте функций, которая она в настоящий момент не реализует; ссылки на фактически отсутствующие для большинства типов информационных систем базовых и типовых моделей угроз; форма документа по результатам моделирования угроз, требующая доработки и иные мелкие недочеты. И что же дальше? Новый вариант Методики значительно отличается от действующей в настоящее время. В случае утверждения этого документа а пока не видно ни одной действительно значимой причины, почему это может не произойти , перед владельцами информационных систем встанет вопрос о том, нужно ли им актуализировать имеющиеся модели угроз и если да, то как и в какой срок необходимо это осуществить. И если ответ на первый вопрос с большой долей вероятности будет утвердительным, то информацию по последующим в настоящий момент взять неоткуда. Очевидно, что необходима какая-либо отсрочка при вступлении в силу новой Методики. Проведение детальной и качественной работы по моделированию угроз — процесс, требующий значительных ресурсов, как временных, так и человеческих. Чтобы узнать о практической стороне вопроса моделирования угроз безопасности, в том числе с использованием новой Методики, продолжайте следить за нашими информационными источниками. Владислав Павлов Специалист отдела аудита и консалтинга, Акрибия Теги:.
Источник: Unsplash Документ подтверждает, что продукты Tarantool соответствуют требованиям по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий по 4 уровню доверия, а также требованиям по безопасности информации к системам управления базами данных по 4 классу защиты. ПО Tarantool теперь можно применять: в информационных системах персональных данных ИСПДн при необходимости обеспечения 1 уровня защищенности персональных данных, в государственных информационных системах ГИС 1 класса защищенности, в значимых объектах критической информационной инфраструктуры ЗОКИИ 1 категории, в автоматизированных системах управления производственными и технологическими процессами АСУ ТП 1 класса защищенности, в информационных системах общего пользования 2 класса.
Целью создания данного банка является повышение информированности заинтересованных лиц о существующих угрозах безопасности информации в информационных автоматизированных системах. Банк данных предназначен для: заказчиков информационных автоматизированных систем и их систем защиты; операторов информационных автоматизированных систем и их систем защиты; разработчиков информационных автоматизированных систем и их систем защиты; разработчиков и производителей средств защиты информации; испытательных лабораторий и органов по сертификации средств защиты информации; иных заинтересованных организаций и лиц. По состоянию на сентябрь 2017 года банк данных угроз содержит 205 угроз и 17369 уязвимостей.
Теперь крупные компании могут использовать наше ПО для построения отказоустойчивых высоконагруженных систем в чувствительных к безопасности проектах Александр Виноградов Руководитель Tarantool Tarantool — ПО для хранения и обработки данных, которое ускоряет цифровые сервисы и снижает нагрузку на ключевые системы. Сочетает в себе сервер приложений, базу данных с гибкой схемой данных и мощные средства масштабирования для построения отказоустойчивых сервисов.