ФСТЭК России разрабатывает законопроект о введении обязательных требований по ИБ для подрядчиков, оказывающих услуги ИТ-разработки госсектору.
Федеральная служба по техническому и экспортному контролю (ФСТЭК)
Кроме того, пользовательский интерфейс для выборки из базы БДУ ФСТЭК России отличается большей гибкостью настроек поиска и фильтрации результатов в сравнении с интерфейсами указанных иностранных баз данных. Все содержимое реестра БДУ ФСТЭК России предоставляется для скачивания в форматах XLSX и XML, что обеспечивает получение информации как виде, удобном для обработки человеком посредством популярных офисных приложений семейства MS Excel , так и в машиночитаемом варианте для различных автоматизированных средств например, сканеров безопасности и систем обнаружения атак. Для подписки на обновления базы данных доступны каналы RSS и Atom. Отметим, что некоммерческое использование и распространение материалов из БДУ ФСТЭК России доступно без ограничений, а применение полученных данных для различных коммерческих систем и продуктов возможно при согласовании с федеральной службой. Преимущественно данные записи описывают уязвимости ПО, созданного российскими компаниями, такими как, 1С или «Лаборатория Касперского» но есть и исключения из этого правила. Данное обстоятельство, а также удобный для человеческого восприятия формат и подробное описание различных аспектов уязвимости статус, наличие эксплойтов и т. Кроме того, поскольку реестр БДУ ФСТЭК России ориентирован на сбор и хранение информации об уязвимостях ПО, используемого в российских организациях и компаниях включая компании с государственным участием и бюджетные организации , отечественным производителям ПО и системным администраторам российских организаций разумно ориентироваться именно на данный реестр уязвимостей в процессах оценки информационной безопасности создаваемых программных продуктов и поддержания защищенного состояния своих компьютерных сетей. К возможным недостаткам БДУ ФСТЭК России можно отнести меньшее общее количество покрытых реестром уязвимостей в сравнении как с базами CVE List и NVD, так и с базами данных уязвимостей, созданных коммерческими компаниями , а также отсутствие какой-либо агрегации отдельных записей которая характерна для такой базы данных, как Vulnerability Notes Database. С другой стороны, следует понимать, что иностранные реестры известных уязвимостей зачастую содержат большое количество записей, мало полезных для практического применения, в частности: информацию об очень старых более 15 лет уязвимостях устаревшего ПО и информацию об уязвимостях редкого и мало распространенного как в России, так и в мире в целом программного обеспечения. Данный стандарт непосредственно определяет как формат идентификаторов и содержимого записей об отдельных обнаруженных уязвимостях, так и процесс резервирования идентификаторов для новых обнаруженных уязвимостей и пополнения соответствующих баз данных.
Уже в 2000 году инициатива MITRE по созданию единого стандарта для регистрации и идентификации обнаруженных уязвимостей ПО получила широкую поддержку со стороны ведущих производителей программного обеспечения и исследовательских организаций в области информационной безопасности. В настоящее время по данным на март 2018 года поддержкой и администрированием реестра уязвимостей CVE занимается группа из 84 организаций по всему миру, в число которых входят ведущие производители программного обеспечения, телекоммуникационного оборудования и интернет-сервисов, такие как Apple, Cisco, Facebook, Google, IBM, Intel, Microsoft, Oracle и ряд компаний, специализирующихся в области информационной безопасности, например, F5 Networks, McAfee, Symantec, «Лаборатория Касперского» и др. При этом, хотя сами базы данных различаются на уровне функциональных возможностей, предоставляемых пользователям, сами списки записей об уязвимостях фактически идентичны друг другу. Формально CVE List выступает изначальным источником записей для базы данных NVD, а специалисты, отвечающие за поддержку базы NVD, производят уточненный анализ и сбор доступной информации по уязвимостям, зарегистрированным в CVE List например, собирают ссылки на сторонние источники информации об уязвимости и мерах по ее устранению или предотвращению эксплуатации. Для каждой из обнаруженных уязвимостей запись в базе содержит краткое описание типа и причин уязвимости, уязвимые версии ПО, оценку критичности уязвимости в соответствии со стандартом CVSS Common Vulnerability Scoring System и ссылки на внешние источники с информацией об уязвимости — чаще всего, таковыми выступают информационные бюллетени на сайтах производителей программного обеспечения или исследовательских организаций. Также возможно автоматическое получение обновлений в машиночитаемом виде через специальный data feed CVE Change Log он позволяет как отслеживать появление новых идентификаторов CVE, так и изменения в записях для уже существующих. При обнаружении новой уязвимости производителем ПО или исследовательской организацией или подтверждении наличия уязвимости вендором ПО в ответ на сообщение от частных исследователей или организаций, не входящих в CVE Numbering Authorities под нее оперативно регистрируется новый идентификатор CVE и создается запись в базе, после чего происходит периодическое обновление информации. При этом уникальность регистрируемого идентификатора обеспечивается иерархической структурой CNAs как показано на рисунке , в которой корневые организации Root CNA делят и распределяют между подчиненными организациями Sub CNA диапазон доступных в этом году идентификаторов CVE. Каждая из соответствующих подчиненных организаций в свою очередь распоряжается предоставленным диапазоном идентификаторов для создания записей об обнаруженных уязвимостях в своих собственных продуктах, либо обнаруженных уязвимостях в продуктах третьей стороны, при условии, что она не является участником CVE Numbering Authorities.
Рисунок 1: Иерархическая структура CNAs Сильной стороной самого стандарта CVE является его повсеместная поддержка в современных программных продуктах и сервисах, направленных на обеспечение информационной безопасности. Некоторым естественным ограничением баз данных CVE List и NVD является отсутствие в записях об уязвимостях какой-либо информации о точном месте локализации уязвимости в коде уязвимого ПО и возможных векторах атак, посредством которых возможна эксплуатация данной уязвимости. В некоторых случаях данная информация может быть найдена по ссылкам на внешние ресурсы, однако в большинстве случаев производители и вендоры ПО избегают публикации данной информации, причем не только на период разработки и внедрения патчей, закрывающих обнаруженную уязвимость, но и в последующем. Частично такая политика объясняется нежеланием участников CVE Numbering Authorities предоставлять подобную информацию потенциальным злоумышленникам, особенно в свете того, что уязвимое программное обеспечение может быть широко распространено по всему миру, а эксплуатирующие его организации часто не имеют возможностей или не придают должного значения своевременной установке обновлений. Иным же из подобных инициатив в области информационной безопасности, например, базе данных уязвимостей OSVDB Open Sourced Vulnerability Database — повезло гораздо меньше. База OSVDB была запущена в 2004 году, по результатам конференций по компьютерной безопасности Blackhat и DEF CON и строилась вокруг ключевой идеи: организовать такой реестр уязвимостей, который содержал бы полную и подробную информацию обо всех обнаруженных уязвимостях, и поддержка которого не была бы аффилирована ни с одним из производителей программного обеспечения. Одним из косвенных результатов деятельности коллектива исследователей, причастных к развитию базы OSVDB, стало основание в 2005 году организации Open Security Foundation. Ее специалисты занимались самостоятельным поиском уязвимостей и агрегацией публично доступной из различных источников информации об обнаруженных уязвимостях или сценариях их эксплуатации. Новые уязвимости специалисты регистрировали в базе, производили их классификацию и валидацию.
В отличии от анализа уязвимостей, в оценку соответствия по ОУД4 входит анализ всего перечня классов доверия и выполнения всех действий оценщика. В рамках анализа уязвимостей и оценки соответствия оценщики должны использовать ГОСТ 15408 в качестве справочного руководства при интерпретации изложения как функциональных требований, так и требований доверия. В ГОСТ 15408 предполагается, что проверку правильности документации и разработанного продукта ИТ будут проводить опытные оценщики, уделяя особое внимание области, глубине и строгости оценки. В содержании каждого из элементов доверия, в соответствии с ГОСТ 15408 отражены действия оценщика.
Формирование отчета с техническими рекомендациями по устранению обнаруженных брешей в защите. В комплексе предустановлены словари, содержащие самые распространенные пароли имена, числовые, клавиатурные последовательности и т. Подбор эксплойтов — поиск подходящих эксплойтов на основе собранной информации об узле.
Перехват и анализ сетевого трафика — перехват и анализ трафика, фильтрация содержимого передаваемых данных, а также реализация атак типа MITM Man In The Middle, «Человек посередине».
Рисунок 7. Главное меню системы «Сканер-ВС» Помимо этого можно отметить наличие следующих возможностей: Инвентаризация ресурсов сети.
Сканирование на наличие уязвимостей как с учётной записью администратора, так и без неё. Сетевой и локальный анализ стойкости паролей. Поиск подходящих эксплойтов на основе собранной информации об узле.
Перехват и анализ сетевого трафика, а также реализация атак типа MitM Man in the Middle, «внедрённый посредник». Анализ беспроводных сетей. Создание отчёта с техническими рекомендациями по устранению обнаруженных уязвимостей.
Также «Сканер-ВС» предлагает проведение контроля целостности — подсчёт контрольных сумм заданных папок и файлов по 13 алгоритмам. Больше информации о данном сканере размещено на сайте данного продукта. Обзор зарубежных сканеров уязвимостей F-Secure Radar Этот сканер уязвимостей является продуктом компании F-Secure, которая активно работает на рынке антивирусов.
Radar — облачное решение, для полноценной работы которого необходима установка агентов. На данный момент поддерживается совместимость с ОС семейств Windows и Linux. F-Secure Radar представляет собой не только сканер уязвимостей, но и платформу для управления уязвимостями и активами.
Он обладает возможностями по обнаружению ИТ-активов, их инвентаризации и идентификации. Рисунок 8. Окно центра управления в F-Secure Radar Помимо этого Radar предлагает следующие возможности: Централизованное управление уязвимостями, оповещениями по безопасности и расследованием инцидентов.
Обнаружение фактов незаконного использования товарного знака и попыток мошенничества под фирменным наименованием от третьих лиц. Предотвращение атак с помощью выявления неправильной настройки программного обеспечения в службах, операционных системах и сетевых устройствах. Инвентаризация приложений на узлах сети.
Отслеживание всех изменений в ИТ-инфраструктуре. Больше информации о данном сканере размещено на сайте разработчика. В том числе производится сканирование портов.
Несколько готовых профилей позволяют проверить все порты или только те, которые обычно используются нежелательными и вредоносными программами. GFI LanGuard обеспечивает возможность сканировать несколько узлов одновременно, экономя тем самым время, и проводить анализ того, какое ПО какие порты использует. GFI LanGuard может также выполнять проверку наличия последних обновлений и патчей на узлах сети.
Рисунок 9. Также можно добавлять собственные шаблоны в планировщик. Nessus Professional Компания Tenable — известный разработчик целой серии продуктов для поиска уязвимостей и управления ими.
Одним из таких продуктов является сканер уязвимостей Nessus, который уже давно приобрёл хорошую репутацию на рынке. Nessus Professional предназначен для автоматического поиска известных уязвимостей и ошибок в защите информационных систем. Сканер способен обнаруживать наиболее часто встречающиеся виды брешей и проблем безопасности.
Отметим следующие сценарии: Поиск и выявление уязвимых версий служб или доменов. Обнаружение ошибок в конфигурациях. Аудит парольной политики, выявление паролей по умолчанию, пустых или слабых паролей.
Рисунок 10. Окно для выбора различных вариантов сканирования в Nessus Nessus Professional характеризуется следующими особенностями: Предварительно настроенные шаблоны сканирования 450 шаблонов, в том числе для выполнения требований различных стандартов по безопасности. Группировка обнаруженных уязвимостей по приоритетам.
Широкие возможности по работе с отчётами и архивными данными. Высокоскоростное сканирование с минимальным количеством ложных срабатываний. Возможность выявления около 60 000 уязвимостей, которым присвоены идентификаторы CVE ID, а также множества других.
Больше информации о Nessus размещено на сайте разработчика. Nexpose Vulnerability Scanner Nexpose Vulnerability Scanner от Rapid7 предлагается в исполнении «on-premise» для локальной установки на территории заказчика. Облачная версия доступна в редакции Rapid7 InsightVM, предлагающей расширенные функциональные возможности за ту же стоимость.
Данный продукт вычисляет показатель реального риска по шкале от 1 до 1000, где оценка CVSS является лишь одной из составляющих, что даёт более полезную информацию. Nexpose предоставляет контекстную бизнес-аналитику, акцентируя внимание на самых значимых рисках для бизнеса, посредством автоматизированной классификации активов и рисков. Отметим следующие возможности Nexpose: Применение различных стратегий с адаптацией под различные задачи и инфраструктуру.
ФСТЭК подтвердил безопасность российского ПО Tarantool
6457 подписчиков. Новости БДУ ФСТЭК России Открыть. #Наука и технологии. Новости по тегу фстэк россии, страница 1 из 4. г) включения в банк данных угроз безопасности информации ФСТЭК России () сведений о новых угрозах безопасности информации, сценариях (тактиках, техниках) их реализации.
Новинка: Сканер-ВС 6 - сканирование на уязвимости никогда не было таким быстрым!
Федеральная служба технического и экспортного контроля. Модель угроз безопасности информации 2021 пример. ФСТЭК 2021. ФСТЭК герб. ФСТЭК герб на прозрачном фоне.
Федеральная служба России по валютному и экспортному контролю. ФСТЭК эмблема без фона. Федеральная служба по техническому и экспортному контролю логотип. Федеральная служба по валютному и экспортному контролю.
Федеральная служба по техническому и экспортному контролю функции. Федеральная служба по техническому и экспортному контролю структура. Методика оценки угроз. Методика оценки угроз безопасности.
Оценка угроз и методология. Изменения в нормативно-правовой базе.
Компенсирующие меры: - использование средств межсетевого экранирования для ограничения возможности удаленного доступа; - ограничение доступа из внешних сетей Интернет ; - использование виртуальных частных сетей для организации удаленного доступа VPN. Использование рекомендаций производителя:.
Формирование отчета с техническими рекомендациями по устранению обнаруженных брешей в защите. В комплексе предустановлены словари, содержащие самые распространенные пароли имена, числовые, клавиатурные последовательности и т. Подбор эксплойтов — поиск подходящих эксплойтов на основе собранной информации об узле. Перехват и анализ сетевого трафика — перехват и анализ трафика, фильтрация содержимого передаваемых данных, а также реализация атак типа MITM Man In The Middle, «Человек посередине».
Жесткая привязка к персональным данным, использование показателя исходной защищенности системы, в качестве фактора, влияющего на определение актуальности угроз, отсутствие какого-либо разделения ответственности в вопросах моделирования угроз безопасности при использовании внешних хостингов — лишь часть огрехов, которые продолжают обсуждаться ИБ-сообществом. В такой ситуации обладателям информации операторам приходится импровизировать, самостоятельно «дорабатывая» документ для собственных нужд. Такой подход, во-первых, не является абсолютно легальным в своих приказах ФСТЭК настаивает на использование разработанных ими методических документов для определения угроз безопасности , а во-вторых, представляет весьма нетривиальную задачу, особенно при отсутствии соответствующего опыта у исполнителя. В связи с этим, новая Методика должна стать если и не панацеей, то инструментом, значительно упрощающим процесс моделирования угроз информационной безопасности. Ключевые особенности новой методики Область применения Методики Первой и одной из наиболее важных отличительных черт новой Методики является область ее применения, которая теперь не ограничивается лишь ИСПДн. Документ должен использоваться для определения угроз безопасности информации при ее обработке с использованием любых объектов, требования по защите к которым утверждены ФСТЭК. Какой-либо порядок разработки и согласования «дочерних» методик не предусмотрен, единственное требование — они не должны противоречить положениям Методики. Такой подход выглядит вполне логичным, если бы не одно «но». Дело в том, что разнообразие «базовых и типовых моделей угроз» на сегодняшний день оставляет желать лучшего — в свободном доступе опубликован лишь один документ, попадающий под это описание, да и тот представляет собой выписку и нацелен на все те же ИСПДн. Означает ли это, что в ближайшее время после утверждения Методики стоит ожидать пополнение в рядах базовых и типовых моделей угроз? Вопрос остается открытым. Порядок моделирования угроз безопасности Обновленный порядок включает в себя пять этапов, выполняемых в определенной последовательности. Общая схема процесса, представленная в Методике, выглядит следующим образом: За определение актуальности угрозы безопасности информации отвечают этапы с первого по четвертый. В соответствии с Методикой, угроза безопасности будет являться актуальной при наличии хотя бы одного сценария ее реализации и если ее реализация приведет к каким-либо негативным последствиям для обладателя информации оператора или государства. Цель пятого этапа — определить опасность каждой из актуальных угроз. По сути, данная характеристика носит исключительно информационный характер и не оказывает прямого влияния ни на итоговый документ, формируемый по результатам моделирования, ни на возможные варианты нейтрализации угрозы. Можно предположить, что данный параметр должен использоваться для определения очередности закрытия угрозы, однако малое число возможных значений показателя — «низкий», «средний», «высокий» — не позволяют сделать это с достаточной степенью детализации. Более того, любая из дошедших до данного шага угроз должна быть так или иначе закрыта, поэтому забыть про «неопасную» угрозу попросту не получится. Таким образом, истинная цель данного параметра остается не раскрытой в полной мере. Стоит отметить, что работы по моделированию угроз безопасности должны проводиться либо обладателем информации оператором самостоятельно, либо с привлечением лицензиатов ФСТЭК.
Банк данных угроз безопасности информации. Что такое банк угроз ФСТЭК?
Расширение полномочий ФСТЭК россии. «формирует перечень организаций, которые аккредитованы ФСТЭК России или имеют лицензии ФСТЭК России, осуществляют деятельность по обеспечению информационной безопасности. Обрабатываются тексты всех редакционных разделов (новости, включая "Главные новости", статьи, аналитические обзоры рынков, интервью, а также содержание партнёрских проектов). Но в отличие от BDU:2024-00878, эта уязвимость затрагивает только старые версии продукта — до 2022.1.3.451 (Websoft HCM). Последние новости. «формирует перечень организаций, которые аккредитованы ФСТЭК России или имеют лицензии ФСТЭК России, осуществляют деятельность по обеспечению информационной безопасности. Последние новости. «формирует перечень организаций, которые аккредитованы ФСТЭК России или имеют лицензии ФСТЭК России, осуществляют деятельность по обеспечению информационной безопасности. Осуществляется поддержка уязвимостей из банка данных угроз безопасности информации (БДУ) ФСТЭК России.
Банк угроз ФСТЭК: использовать нельзя игнорировать
г) включения в банк данных угроз безопасности информации ФСТЭК России () сведений о новых угрозах безопасности информации, сценариях (тактиках, техниках) их реализации. Документы» отражена информация об угрозах, способах их реализации, техниках и тактиках злоумышленников, выгруженная из банка данных угроз безопасности информации (БДУ) ФСТЭК. еженедельно обновляемая база уязвимостей, совместимая с банком данных угроз безопасности информации (БДУ) ФСТЭК России, содержит более 45 000 проверок. ФСТЭК России является правопреемницей Государственной технической комиссии СССР, которая была создана в декабре 1973 года. для решения задачи формирования перечня актуальных угроз ИБ российский регулятор ФСТЭК России выпустил методический. фстэк россии опубликовала инструмент под названием scanoval, предназначенный для автоматического обнаружения уязвимостей в по серверов и. У разработчика антивирусов приостановлена лицензия Федеральной службы по техническому и экспортному контролю (ФСТЭК) для одного из ключевых продуктов за «несоответствие требованиям безопасности информации».
Новый раздел банка данных угроз: что важно знать
ФСТЭК России Олег Василенко Россия. ПО для хранения и обработки данных Tarantool успешно прошло испытания в системе сертификации ФСТЭК России. У разработчика антивирусов приостановлена лицензия Федеральной службы по техническому и экспортному контролю (ФСТЭК) для одного из ключевых продуктов за «несоответствие требованиям безопасности информации».
Банк данных угроз безопасности информации
| Развитие систем информационной безопасности. Блеск и нищета… БДУ | Главные новости об организации ФСТЭК России на В чисто прикладном смысле БДУ ФСТЭК содержит огромное количество различных возможных угроз. |
| Федеральная служба по техническому и экспортному контролю | Таблица соответствия угрозы из БДУ ФСТЭК И мер защиты из приказов 17 21. |
Новый раздел на сайте БДУ - Форум по вопросам информационной безопасности
Программное обеспечение средств защиты информации. Сертификат действителен до 03. Приказ Минкомсвязи России от 18. Упаковка и внешний вид.
Сочетает в себе сервер приложений, базу данных с гибкой схемой данных и мощные средства масштабирования для построения отказоустойчивых сервисов.
На 1 или 2 ПК с электронным медиапакетом либо на 5 ПК и более с электронным или с физическим медиапакетом. Узнайте цены на этой странице. Компании требуется защита сертифицированным Dr. Web более 250 рабочих станций. В конструкторе лицензий на сайте цены только до 250 ПК. Как быть? Обратитесь в службу поддержки , выбрав Помощь в выборе антивируса, или закажите обратный звонок. Будет ли образовательному учреждению предоставлена скидка для образования при покупке медиапакета?
Скидка полагается только на лицензию. Некоторое время назад компания приобрела Dr. Web сертифицированный для N-го количества ПК. Сейчас требуется дозакупка. Надо ли приобретать дополнительный медиапакет? Нет, если требуется дозакупка сертифицированного медиапакета с тем же сертификатом соответствия. Какой продукт выбрать? Есть несколько вариантов: Dr. Web Desktop Security Suite — электронная лицензия и медиапакет.
Коробочный продукт «Dr. Web Малый бизнес». Можно ли использовать Dr. Как получить сертифицированную версию Dr. Web, если уже есть лицензия на продукт линейки Dr. Web Enterprise Security Suite? Приобретите медиапакет у наших партнёров, либо, при наличии серийного номера с префиксом в коде продукта FST его наличие можно проверить в Менеджере лицензий , скачайте сертифицированные дистрибутивы с сайта компании «Доктор Веб». Выполните установку сертифицированных дистрибутивов. Для каждой версии предусмотрены свои особенности перехода.
Поэтому перед переходом на новую версию обязательно проконсультируйтесь со службой технической поддержки, оформив письменный запрос. Напишите запрос в службу техподдержки , обязательно приложив к нему: документы, подтверждающие покупку медиапакета товарную накладную или копию оплаченного счета о покупке сертифицированного медиапакета ; сообщите идентификатор сертифицированного программного изделия или серийный номер идентификатор присваивается программному изделию при любом виде поставки. Мы хотим использовать арендованный компьютер, на котором установлен Dr. Имеем ли мы право использовать лицензию, владельцем которой не являемся? В соответствии с п. На сайте «Доктор Веб», а также в формуляре, входящем в комплект поставки сертифицированной версии, в разделе «Особые отметки». Как обновить сертифицированный продукт? Путем скачивания файлов, содержащих дистрибутивы сертифицированного изделия согласно приобретенной лицензии , формуляра, эксплуатационной документации к изделию, в случае, если у вас есть серийный номер с кодом продукта FST проверьте ваш серийный номер в Менеджере лицензий. Обратиться в службу техподдержки за предоставлением ссылок на сертифицированные дистрибутивы.
К запросу необходимо приложить копию документов, подтверждающих покупку сертифицированного медиа-пакета товарную накладную или копию оплаченного счета о покупке сертифицированного медиапакета. Приобрести новый медиапакет и обновить ПО Dr. Web, используя дистрибутив, который находится на компакт-диске, или скачав его через Мастер скачиваний. Можно ли использовать сертифицированное и несертифицированное ПО Dr.
Часть 1. Программное обеспечение средств защиты информации. Сертификат действителен до 03. Приказ Минкомсвязи России от 18.
About the creator
- Как работает
- Обзор проекта новой методики моделирования угроз безопасности информации / Хабр
- Читайте также
- Защита документов
- Технические характеристики