Журнал "Information Security/ Информационная безопасность" #2, 2019

Банк данных угроз был создан для операторов ком- муникационных систем, государственных информа- ционных систем и организа- ций, которые занимаются вопросами построения защищенных информацион- ных систем. Банк данных функционирует уже пять лет. В нем содержатся све- дения о 213 угрозах без- опасности и более 20 тыс. уязвимостей. Основной целью создания банка дан- ных угроз была разработка некой методической базы данных, содержащей сведе- ния об угрозах и уязвимо- стях. На текущий момент, помимо этой информации, в банке данных хранится методический инструмент, позволяющий операторам коммуникационных систем проводить работы по выявлению и анализу уязви- мостей в таких системах. Материал подготовила Анастасия Гаврилова данным метрики посещения сайта банка данных угроз в 2018 г., количество пользо- вателей и уникальных посеще- ний увеличилось в 1,5 раза по сравнению с предыдущим годом. Это свидетельствует о том, что ресурс востребован и используется на практике, – подчеркнула заместитель начальника отдела управления ФСТЭК России Ирина Гефнер. – Самым посещаемым является раздел, содержащий сведения об угрозах и уязвимостях. Также пользователи заходят в раздел "Документы", где размещены методические документы ФСТЭК России". В банк данных ежегодно включаются сведения о новых угрозах. Так, в 2018 г. в банк были добавлены сведения о шести новых угрозах безопас- ности информации. Для выявле- ния угроз анализируются откры- тые информационные источни- ки, современные технологии, способы эксплуатации новых уязвимостей и реализации ком- пьютерных атак. На их основе формируется описание уязви- мостей. Особое внимание уде- ляется угрозам безопасности информации, связанной с авто- матизированными системами управления производством, с особенностями их эксплуатации и применения в таких системах современных информационных технологий (мобильные устрой- ства, технологии виртуализа- ции). Нельзя забывать и о совре- менных технологиях, которые используются в так называемых стандартных информационных автоматизированных системах. "Мы добавляем угрозы без- опасности информации, связан- ные с применением новых тех- нологий искусственного интел- лекта, технологии больших дан- ных и другими технологиями, – рассказывает Ирина Гефнер. – Предусмотрены критерии по контекстному поиску, по поиску уязвимостей и угроз безопас- ности информации, исходя из последствий нарушения конфи- денциальности, целостности и доступности, а также исходя из потенциальных нарушителей". ФСТЭК России внедрил новые классификационные при- знаки, чтобы упростить поиск и выбор угроз. Классификация представляет из себя некий классификационный портал, состоящий из четырех основных компонентов: классификации угроз по инцидентам, способам реализации, типам нарушите- лей и объектам воздействия. На сегодняшний день все 213 угроз, которые содержатся в банке данных, классифициро- ваны по этим признакам. Клас- сификация является серьезным методическим инструментом при моделировании и общей оценке угроз, актуальных для информационных систем. На сегодняшний день более 50% уязвимостей, добавленных в банк, имеют критичный и высокий уровень опасности. Это говорит о том, что уязвимости обладают высоким потенциа- лом, причем больше половины их них могут быть реализованы удаленно и представляют боль- шую опасность для информа- ционных систем. Наибольшее количество уязвимостей, содер- жащихся в банке (более 12 тыс.), приходится на опера- ционные системы, в том числе операционные системы семей- ства Linux, Windows и россий- ские ОС. В банке данных угроз содержится информация о 300 уязвимостях отечественного программного обеспечения. Их них всего 42% связанны с уязви- мостями высокого и критичного уровня. Аналогичная ситуация наблюдается с классификацией по типам программного обес- печения. Наибольшее количество уязвимостей (больше 70%) при- ходится именно на уязвимости операционных систем. Таким уязвимостям необходимо уде- лять особое внимание при оцен- ке анализа защищенности информационных систем. С сен- тября на сайте ФСТЭК России размещено программное обес- печение, которое называется ScanOvaL. Это средство авто- матизации, выявляющее уязви- мости в программном обеспече- нии. ScanOvaL выявляет кри- тичные системные параметры программного обеспечения, сравнивает их с описаниями и определяет, являются ли дан- ные уязвимости критичными для информационной системы или нет. Базовое описание содержит более 300–700 уязвимостей. Любой пользователь может ска- чать его, установить и проана- лизировать свою информацион- ную систему на предмет нали- чия уязвимостей, содержащихся в банке данных угроз. За 2018 г. поступила инфор- мация о 46 уязвимостях, из которых 18 уязвимостей были включены в банк данных, а 22 находятся в обработке. Для совершенствования механизма включения уязвимостей в банк данных ФСТЭК России в июле был утвержден методический документ – Регламент включе- ния уязвимостей в банк данных угроз. Регламент определяет порядок действий между опе- ратором сайта банка данных угроз, исследователями и раз- работчиками программного обеспечения. По данным рабо- ты регламента на текущий момент в банк данных включе- ны сведения о 25 уязвимостях. Для увеличения количества выявленных уязвимостей ФСТЭК России ведет работу по привлечению заинтересован- ных организаций, которые в рамках своей основной дея- тельности проводят мониторинг уязвимостей по результатам анализа открытых источников. В настоящее время соглашения заключены с пятью организа- циями, предоставляющими све- дения об уязвимостях про- граммного обеспечения. По результатам этой работы ФСТЭК России формирует рей- тинг исследователей уязвимо- стей программного обеспече- ния, дорабатывает методиче- ские инструменты по аналогии со ScanOvaL. В 2019 г. плани- руется разработка программ- ного обеспечения, которое поз- волит оптимизировать работу по моделированию угроз. Это автоматизированное программ- ное обеспечение будет вклю- чать интерфейс с определением структурно-функциональных характеристик информацион- ных систем, включающих ПО, информационные технологии, потенциал нарушителя. На основании классификационных признаков, которые оператор введет на сайте, в банке данных сформируется отчет вероятных угроз, актуальных для инфор- мационной системы, с учетом ее описания. Оператору оста- нется лишь провести опреде- ление актуальности таких угроз, и модель будет готова. Плани- руется также разработка ути- литы ScanOvaL для Linux-подоб- ных систем по аналогии с опе- рационными системами Win- dows, которые существуют сей- час. l • 11 В ФОКУСЕ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru