Инспектор
Вы можете этот курс.
НИУ ВШЭ (Высшая Школа Бизнес-Информатики):
Техническая защита информации. Организация защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну
:Техническая защита информации. Организация защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну
Опубликован: 02.02.2018 | Уровень: для всех | Доступ: платный
Лекция 8:
Банк данных угроз безопасности информации, включающий базу данных уязвимостей программного обеспечения. Международный подход к выявлению и анализу уязвимостей: CVE и CVSS
Ключевые слова: банк данных, очередь, ПО, поиск, идентификатор, digital, security, сканер, статистика, XML, базы данных, база данных, CVE, список, объединение, унификация, уязвимость, интероперабельность, interoperability, ID, numbering, authority, CNA, IBM, синтаксис, значение, SSL, запись, Entry, префикс, CAN, Internet, First, forum, incident, response, AND, PCI DSS, объект, аналитик, конфиденциальность, целостность, конфигурация, вектор, информация, метрика, attack, vector, network, complexity, low, privileges, USER, interaction, scope, confidentiality, integrity, availability, представление
8.1. Банк данных угроз безопасности информации, включающий базу данных уязвимостей программного обеспечения
В 2015 году ФСТЭК России совместно с заинтересованными органами власти и организациями сформировала банк данных угроз безопасности информации (БДУ).
Банк данных угроз находится в свободном доступе на сайте http://www.bdu.fstec.ru/.
БДУ включает в себя базу данных уязвимостей программного обеспечения и описание угроз, характерных, в первую очередь, для государственных информационных систем и автоматизированных систем управления производственными и технологическими процессами критически важных объектов.
Целью создания данного банка является повышение информированности заинтересованных лиц о существующих угрозах безопасности информации в информационных (автоматизированных) системах. Банк данных предназначен для:
- заказчиков информационных (автоматизированных) систем и их систем защиты;
- операторов информационных (автоматизированных) систем и их систем защиты;
- разработчиков информационных (автоматизированных) систем и их систем защиты;
- разработчиков и производителей средств защиты информации;
- испытательных лабораторий и органов по сертификации средств защиты информации;
- иных заинтересованных организаций и лиц.
По состоянию на сентябрь 2017 года банк данных угроз содержит 205 угроз и 17369 уязвимостей.
Любой желающий может сообщить об обнаруженной уязвимости с помощью формы обратной связи.
В качестве фильтров для поиска угроз можно выбрать:
- источник угрозы - тип нарушителя и его минимально необходимый функционал
- последствия реализации угрозы:
Также доступен контекстный поиск по названию угрозы.
Описание угрозы выглядит следующим образом - рис. 8.1.
В паспорте каждой угрозы есть ее наименование, уникальный идентификатор, описание, источники угрозы (минимальные возможности внешнего или внутреннего нарушителя, необходимые для реализации угрозы), объекты воздействия и последствия реализации угрозы ( рис. 8.2).
Последствия реализации угрозы категорированы в соответствии с тремя основными свойствами информации с точки зрения информационной безопасности-конфиденциальностью, доступностью и целостностью, рассмотренными в "Цели и задачи технической защиты информации" .
