В течение 2015 года ФСТЭК России планирует осуществлять мониторинг и анализ функционирования банка данных угроз безопасности. Итоги совместной работы с БДУ БИ ФСТЭК России за последние 3 года. Новости БДУ ФСТЭК России Открыть. #Наука и технологии.
Обновления базы уязвимостей “Сканер-ВС”
быстрое определение уязвимостей: выявление уязвимостей по версиям установленного ПО, база уязвимостей, включающая данные из БДУ ФСТЭК России, NIST NVD, а также баз уязвимостей ОС Debian, Red Hat, Arch, Ubuntu, Windows, Astra Linux и др. б) база данных уязвимостей, содержащаяся в Банке данных угроз безопасности информации (далее – БДУ) ФСТЭК России3. Главная» Новости» Bdu fstec. Сертификат соответствия ФСТЭК РФ № 3509 на Enterprise Security Suite. • 3 класса защищенности ГИС; • Применение БДУ ФСТЭК.
Сканеры уязвимостей — обзор мирового и российского рынков
В чисто прикладном смысле БДУ ФСТЭК содержит огромное количество различных возможных угроз. • 3 класса защищенности ГИС; • Применение БДУ ФСТЭК. Главная» Новости» Bdu fstec. Но в отличие от BDU:2024-00878, эта уязвимость затрагивает только старые версии продукта — до 2022.1.3.451 (Websoft HCM).
ФСТЭК подтвердил безопасность российского ПО Tarantool
Что такое банк угроз: цели создания и доступ к информации. MITRE ATT&CK БДУ ФСТЭК Новая БДУ ФСТЭК. г) включения в банк данных угроз безопасности информации ФСТЭК России () сведений о новых угрозах безопасности информации, сценариях (тактиках, техниках) их реализации.
11–13 февраля 2025
Итоги совместной работы с БДУ БИ ФСТЭК России за последние 3 года. Что такое банк угроз: цели создания и доступ к информации. Традиционно ФСТЭК России организовал конференцию «Актуальные вопросы защиты информации», а «Конфидент» выступил Генеральным партнером. реестр аккредитованных ФСТЭК России органов по сертификации и испытательных.
Общий обзор реестров и классификаций уязвимостей (CVE, OSVDB, NVD, Secunia)
ФАУ «ГНИИИ ПТЗИ ФСТЭК России». еженедельно обновляемая база уязвимостей, совместимая с банком данных угроз безопасности информации (БДУ) ФСТЭК России, содержит более 45 000 проверок. Расчет базовой, контекстной и временной метрик по методике CVSS с использованием калькулятора CVSS6 V3 или V3.1, размещенного в БДУ ФСТЭК России7.
Сергей Борисов
Портал показывает историю, какие уязвимости закрываются этим патчем, а также сам вердикт на рассматриваемое программное обеспечение. Раздел результатов тестирования обновлений ПО работает в тестовом режиме. Ссылки на материалы:.
Каждой уязвимости и угрозе безопасности информации, подлежащей включению в банк данных угроз безопасности информации, присваивается идентификатор. Первая группа цифр "ХХХХ" представляет собой календарный год включения уязвимости в банк данных угроз безопасности информации. Вторая группа цифр "ХХХХХ" является порядковым номером уязвимости в банке данных угроз безопасности информации. Идентификатор, присваиваемый угрозе безопасности информации, состоит из буквенной аббревиатуры "УБИ" и группы цифр и имеет вид: УБИ. Группа цифр "ХХХ" представляет собой порядковый номер угрозы безопасности информации в банке данных угроз безопасности информации от 001 до 999. Уязвимость подлежит включению в банк данных угроз безопасности информации, если по результатам ее анализа получена и проверена информация, как минимум, по описанию уязвимости, наименованию и версии программного обеспечения, в котором возможна уязвимость, уровню опасности уязвимости.
Отсюда мнение о том, что опираться нужно на аппарат государственных служащих. Однако, есть оборотная сторона — низкий уровень дохода государственного служащего провоцирует его низкий профессионализм, текучку, а также высокий уровень коррупции», — говорит Бедеров. Объекты КИИ до сих пор не все прошли даже категорирование, напоминает эксперт: срок категорирования несколько раз продлевали и пока что окончательного решения по вопросу нет. В целом же указ президента предусматривает создание централизованной базы данных, с помощью которой будет легче контролировать субъекты и объекты КИИ, считает президент Ассоциации малых операторов России АМОР Дмитрий Галушко. Она даст возможность контроля и наказания нарушителей, указывает он.
Поиск остаточной информации — поиск остаточной информации по ключевым словам на носителях данных жестких дисках, USB-устройствах, дискетах, оптических дисках вне зависимости от файловой структуры. Также доступна функция безопасного затирания свободного места на носителях данных, предусмотрена защита от удаления системных файлов, совместимо с модулем поиска остаточной информации. Аудит установленного аппаратного и программного обеспечения — инвентаризация программных и аппаратных средств локальной системы, включая параметры установленных операционных систем, программное обеспечение, информацию о пользователях системы, историю подключений к беспроводным сетям, данные системных, коммуникационных и периферийных устройств центральный процессор, материнская плата, мост, оперативная память и др. Функция сравнения отчетов позволяет отслеживать изменения конфигурации системы.
БДУ ФСТЭК создал раздел с результатами тестирования обновлений: комментарии Руслана Рахметова
Подбор эксплойтов — поиск подходящих эксплойтов на основе собранной информации об узле. Перехват и анализ сетевого трафика — перехват и анализ трафика, фильтрация содержимого передаваемых данных, а также реализация атак типа MITM Man In The Middle, «Человек посередине». Аудит беспроводных сетей — обнаружение, сканирование и проведение активных и пассивных атак методом подбора паролей в беспроводных сетях с WEP, WPA и WPA-2 шифрованием. Локальный аудит Локальный аудит стойкости паролей — аудит стойкости паролей для операционных систем семейства Windows 7, 8.
Фактическим функционалом данного сервиса является автоматизация поиска всей доступной информации по CVE-идентификатору с дополнительными функциями поиска по вендорам, типам уязвимостей, оценке критичности по метрикам CVSS и т. Также реализованы сбор и хранение различного рода статистики по уязвимостям, например, распределение уязвимостей по степени критичности согласно метрике CVSS , распределение уязвимостей по вендорам ПО и др. Что касается интерфейса, то CVEDetails в целом ориентирован на компактное и удобное для восприятия человеком табличное представление данных, а для автоматизированных систем поддерживает формирование RSS-подписки в формате JSON для получения обновленных данных об уязвимостях выбранных категорий, например, для всех новых уязвимостей класса SQL-инъекций или XSS. Интересным примером другого подхода является Vulners — разработанный российскими специалистами и весьма популярный среди экспертов в области информационной безопасности сервис с собственной базой данных, предназначенный для поиска информации по самым разным материалам в области информационной безопасности включая публикации на тематических ресурсах, бюллетени вендоров, информацию о мероприятиях Bug Hunting и специалистах, непосредственно обнаруживших уязвимости и др.
Фактически Vulners представляет собой поисковый движок с собственной базой данных, адаптированный под предметную область. Таким образом он покрывает гораздо более широкое множество сущностей, чем простые агрегаторы уязвимостей. В настоящее время база данных Vulners агрегировала в себя порядка 870 тысяч записей об уязвимостях и примерно 170 тысяч записей об известных эксплойтах. По данному массиву информации возможны поиск по ключевым словам и фильтрация результатов как по источнику информации организации, опубликовавшей запись об уязвимости , так и по дате публикации записи, CVSS-оценке критичности уязвимости и другим подобным параметрам. Следует отметить, что Vulners не предоставляет некой единой сводки информации по конкретной уязвимости с заданным CVE-идентификатором или иным внутренним идентификатором одного из альтернативных реестров , а возвращает множество записей, релевантных поисковому запросу в стиле классического поискового движка. При этом наличие фильтрации результатов по организации-источнику информации например, type:cvelist позволяет производить выборку записей только из указанной базы данных. Все результаты поисковой выдачи из базы данных Vulners могут быть получены не только в удобном для человека, но и в машиночитаемом виде в формате JSON через соответствующий API поискового запроса.
Заключение Базы данных и реестры уязвимостей полезны широкому кругу специалистов в области информационной безопасности. Сетевые администраторы или сотрудники, ответственные за безопасность компьютерных систем организации, могут своевременно узнать из баз и реестров о появлении новых угроз для защищаемых ими систем, определить приоритетные меры реагирования на эти угрозы исходя из оценки критичности и распространенности в организации уязвимого ПО. При этом для специалистов важны оперативность обновления баз данных уязвимостей, удобство получения этих обновлений и степень покрытия выбранным реестром уязвимостей как основных видов ПО защищаемой компьютерной системы, так и всего множества обнаруживаемых для этого ПО уязвимостей. Также значимыми характеристиками будут наличие рекомендаций по устранению уязвимостей и возможность определения потенциальных векторов атак на защищаемые компьютерные системы. Специалистам в области информационной безопасности, сетевым администраторам и производителям ПО как системного и прикладного ПО, так и программных продуктов защиты информации , работающим в интересах российских организаций и компаний Российской Федерации с государственным участием, рекомендуется периодический мониторинг реестра уязвимостей БДУ ФСТЭК России, как содержащего наиболее релевантную информацию по актуальным уязвимостям для компьютерных систем и программного обеспечения, применяемого именно в российских организациях. Мониторинг реестра уязвимостей БДУ ФСТЭК России, с учетом его ориентированности на популярное и типичное именно для российских организаций ПО, а также регулярное обновление реестра и удобный интерфейс для поиска и выборки данных позволит разработчикам ПО, системным администраторам организаций и операторам средств защиты оставаться в курсе наиболее важных и критичных новостей в области информационной безопасности своей организации. Дополнительным способом поддержания ситуационной осведомленности для данных специалистов является использование поисковых сервисов и агрегаторов информации об уязвимостях, подобных Vulners.
Коммерческие реестры уязвимостей такие как VulnDB, Secunia Advisory and Vulnerability Database и их иные аналоги в сочетании с поставляемыми вместе с ними проприетарными средствами мониторинга событий безопасности могли бы оказаться полезными крупным компаниям и организациям, бюджет которых позволяет приобретение подобных дорогостоящих решений. Однако для большинства малых и средних организаций стоимость подобных средств может быть неоправданно высока, из-за чего их специалистам по информационной безопасности придется пользоваться информацией из общедоступных источников, таких как CVE List, NVD, Vulnerability Notes Database и их аналогов. Публичные источники информации об уязвимостях, с другой стороны, либо не могут похвастать оперативностью информирования об обнаруженных уязвимостях типичный пример, Vulnerability Notes Database , либо зачастую не предоставляют развернутой информации о векторах возможных атак на уязвимое ПО и детальных рекомендаций по устранению уязвимостей. А это снижает практическую полезность данных источников информации для оперативного реагирования на новые угрозы. Специалисты, занятые аудитом защищенности компьютерных систем, благодаря мониторингу баз данных уязвимостей, получают возможность проверить наличие актуальных уязвимостей в тестируемой ими сети или убедиться в их отсутствии, руководствуясь структурированным списком известных уязвимостей и составом ПО в тестируемой сети. Как правило специалисты такого рода менее заинтересованы в оперативности обновления выбранного реестра уязвимостей, зато для них критичны охват и качество покрытия выбранной базой данных состава ПО тестируемой сети и всего множества потенциальных уязвимостей. А при тестировании на проникновение дополнительную пользу могут принести реестры известных Proof of Concept сценариев эксплуатации уязвимостей и готовых эксплойтов.
Разработчики средств и систем защиты компьютерных сетей сканеров безопасности, систем обнаружения и предотвращения атак, межсетевых экранов, антивирусных средств и др. Эта информация включает сопроводительные данные, полезные для формирования отчетов оператору системы защиты. На основе этой информации можно определить степень критичности атаки, что важно и в момент принятия решения о реагировании, и на стадии формирования отчета.
Направление 1 деловой программы и экспозиции Форума Цифровая трансформация предприятий и органов власти Процессы цифровизации в крупных предприятиях и в госсекторе, высокая потребность в быстром создании и развитии цифровых продуктов, управлении цифровыми услугами требуют переосмысления подходов. На Форуме руководители и специалисты обсуждают стратегию и структуру внедрения технологий, состав цифровых команд, импортозамещение ключевых цифровых решений и обеспечение технологического суверенитета, практику и проекты цифровой трансформации.
ПО Tarantool теперь можно применять: в информационных системах персональных данных ИСПДн при необходимости обеспечения 1 уровня защищенности персональных данных, в государственных информационных системах ГИС 1 класса защищенности, в значимых объектах критической информационной инфраструктуры ЗОКИИ 1 категории, в автоматизированных системах управления производственными и технологическими процессами АСУ ТП 1 класса защищенности, в информационных системах общего пользования 2 класса. Теперь крупные компании могут использовать наше ПО для построения отказоустойчивых высоконагруженных систем в чувствительных к безопасности проектах Александр Виноградов Руководитель Tarantool Tarantool — ПО для хранения и обработки данных, которое ускоряет цифровые сервисы и снижает нагрузку на ключевые системы.
Назначение
- Новая методика оценки УБИ — Утверждено ФСТЭК России
- Телеграмм канал «БДУ ФСТЭК России». Поиск по Telegram каналам. Каталог телеграмм каналов.
- Блеск и нищета… БДУ
- Новая методика оценки УБИ - Утверждено ФСТЭК России - НПП СВК
Общий обзор реестров и классификаций уязвимостей (CVE, OSVDB, NVD, Secunia)
Тогда источники — вор, сын, сантехник; уязвимости факторы — ошибки хранения, слабый сейф, тонкий металл; методы — вскрытие, взлом, резка. И всё это может быть в разных комбинациях. Получается, что угроза — одна, а реализаций — много. В существующем банке угроз, к сожалению, всё смешано в кучу: и угрозы и их реализации. Описать угрозы — можно, это всегда конечный перечень. Описать все возможные реализации угроз — задача благородная, но практически не реализуемая в силу большого разнообразия сущностей, её составляющих. Ну а если ещё идёт смешение сущностей — получается «Бородино».
Нужна какая-то система. И тут на сцену выходит дедушка Карл Николиус Линней со своей таксономией [4]. И чем так привлекателен для нас «отец систематики» Карл Линней? Наверное, самое важное — это то, что он нашёл тот самый критерий или признак, который, с одной стороны, является общим для всех систематизируемых сущностей, а с другой — индивидуален для каждой такой сущности. Вернее, их количество — вот что объединяет и в тоже время разъединяет сущности, и это самое главное открытие Линнея в деле систематизации по признакам их сходств и различий. И в результате получилась иерархическая, чётко ранжированная структура, состоящая из отдельных групп — таксонов [5]: класс — отряд — семейство — род — вид — подвид — разновидность.
В деле систематизации угроз безопасности — на опыте «отца систематики» — надо прежде всего найти такой критерий. На первый взгляд, ответ лежит на поверхности: таким критерием должно выступать полезное свойство информации, которое надо защищать конфиденциальность, целостность, доступность. Но не всё так просто. Я уже отмечал, что эти свойства в принципе весьма субъективны и зависят от заинтересованности субъекта в обеспечении сохранности этих полезных свойств. А брать за критерий систематизации заведомо субъективный критерий — обречь её на неудачу. Кроме того, нарушение таких свойств информации не всегда понятно бизнесу а именно он даёт деньги на обеспечение безопасности информации , он, бизнес, мыслит немного другими категориями, ему ближе рисковая модель.
Действительно, если бизнесу сказать, что в результате компьютерной атаки будет реализована возможность несанкционированного доступа к базе данных АСУ управления движением поездов, он задаст вопрос: ну и что? А вот если бизнесу сказать, что в результате такой атаки 35 вагонов не будут поданы к погрузке, что приведёт к такому-то финансовому ущербу, то мозги у него повернутся в нужную сторону. Если посмотреть недавно утверждённый новый вариант Методики оценки угроз безопасности информации, то можно увидеть, что одной из основных задач при оценке угроз безопасности информации является определение негативных последствий, которые могут наступить от реализации возникновения угроз безопасности информации. Вот это уже близко к риск-ориентированной модели! Это как раз и может стать критерием классификации угроз, вернее, первой ступенью в иерархии систематизации угроз. И за основу можно взять те угрозы, которые приведены в методике: ущерб физическому лицу; ущерб юридическому лицу, связанный с хозяйственной деятельностью; ущерб государству в области обороны страны и безопасности; ущерб в социальной, экономической, политической, экологической сферах.
Кстати, если уж мы заговорили об ущербе. Ущерб — это всегда нарушение прав субъекта, то есть совершение какого-то правонарушения, а это уже категория юридическая. То есть в качестве признака первого таксона в классификации угроз безопасности информации можно использовать составы преступлений и правонарушений, приведённые в уголовном и административном кодексах.
БДУ хранит не только угрозы, но и уязвимости. Эта база растет достаточно быстро — на сегодняшний день в ней более 45 000 уязвимостей. Это не так много по сравнению с крупными международными базами уязвимостями такими как CVE, например , которые существуют более 20 лет и в несколько раз больше чем БДУ, появившегося 8 лет назад. С другой стороны в отечественном банке меньше уязвимостей устаревшего и не используемого программного обеспечения. Сайт bdu. Для этого предусмотрены формы обратной связи. Кстати достаточно много угроз и уязвимостей из банка были обнаруженными именно частными лицами. Также на сайте можно найти раздел с терминологией по информационной безопасности из различных ГОСТов, законов и иных нормативных документов. Это значительно облегчает работу: не нужно выискивать нужный термин и его определение, достаточно просто воспользоваться этой веб-страницей. Итак, каждая угроза в БДУ содержит описание и перечень источников.
Но в последнее время больше работаю как менеджер и оказываю консультации в сфере информационной безопасности. Для своих подписчиков я разрабатываю уникальную аналитику по хорошо востребованной теме - я сравниваю лучшие практики информационной безопасности в России и в мире, разрабатываю таблицы соответствия между ними и рекомендации по тому, как можно удачно совмещать и применять их.
Я работаю в сфере информационной безопасности уже более 15 лет в России, а также долго время занимаюсь популяризацией вопросов кибербезопасности в блоге. Но в последнее время больше работаю как менеджер и оказываю консультации в сфере информационной безопасности.