Банк данных угроз безопасности информации
В соответствии с информационным сообщением ФСТЭК России 11 марта был открыт доступ к информационному ресурсу www.bdu.fstec.ru, содержащему банк данных угроз безопасности информации.
Банк данных включает в себя базу данных уязвимостей ПО, а также перечень и описание угроз безопасности информации, наиболее характерных для государственных информационных систем, ИСПДн и АСУ ТП. Сейчас в базе 162 угрозы и 10299 уязвимостей, однако их количество будет увеличиваться, так как база продолжает пополняться. Принять участие в ее расширении может любой желающий, сообщив о новой уязвимости или угрозе через специальную форму.
База данных уязвимостей ПО включает:
- краткую характеристику уязвимости;
- название, версию и вендора ПО;
- класс уязвимости (уязвимость кода, уязвимость архитектуры, уязвимость многофакторная);
- наименование ОС и тип аппаратной платформы;
- базовый вектор CVSS;
- уровень опасности уязвимости;
- возможные меры по устранению;
- статус уязвимости (подтверждена в ходе исследований, подтверждена производителем, потенциальная уязвимость);
- наличие эксплойта;
- описание и тип ошибки CWE.
Среди различных типов ПО в отдельную группу выделено ПО АСУ ТП, для которого на данный момент в базе имеется 20 уязвимостей.
Описание угроз в базе содержит следующую информацию:
- краткое описание угрозы, включая условия ее реализации с точки зрения возможностей нарушителей и наличия уязвимостей в системах и технологиях;
- объект воздействия;
- источник угрозы (внутренний или внешний нарушитель) с указанием уровня потенциала (высокий, средний, низкий), упоминание о котором было ранее в приказах ФСТЭК России №17 и №21;
- последствия реализации угрозы (нарушение конфиденциальности, целостности, доступности).
Среди всех угроз безопасности можно выделить специфические угрозы, определенные для конкретного типа систем или технологии. Так, например, банк данных содержит угрозы для:
- грид-систем;
- облачных технологий;
- технологии виртуализации;
- суперкомпьютера;
- беспроводных сетей;
- BIOS.
Отдельных групп угроз для ГИС, ИСПДн и АСУ ТП в банке данных не выделено, что, безусловно, вызывает вопросы в части согласованности данного перечня с другими нормативными документами, например, Базовой моделью угроз безопасности ПДн. Однако по информации, полученной от представителей ФСТЭК России, представленную базу данных следует использовать только в качестве дополнительного источника информации.
Среди перечня объектов воздействия, рассматриваемых при описании угроз, встречаются некоторые расхождения и несоответствия в терминологии. Кроме того, присутствует сомнение и в полноте списка объектов воздействия. Например, защищаемая информация, как объект воздействия, встречается в базе дважды, что не может не показаться странным.
Несмотря на ряд недостатков, нельзя не отметить удобство созданного ресурса, предусматривающего, помимо прочего, инструменты фильтрации по всем основным параметрам описания угроз и уязвимостей, а также полезные разделы, содержащие основные термины со ссылками на нормативные документы и даже калькулятор CVSS.
Защита информации по ГОСТ Р 51583-2014
C сентября прошлого года на смену одному из основополагающих стандартов в области защиты информации, ГОСТ 51583-2000, был введен в действие новый стандарт ГОСТ 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения».
Концептуального различия между данными документами нет, за исключением появления одного нового раздела, регламентирующего защиту информации о создаваемой автоматизированной системе в защищенном исполнении (АСЗИ). Сравнение структуры документов приведено ниже.
Регуляторы отчитались о работе
Роскомнадзор (РКН) и ФСТЭК России опубликовали отчеты о своей деятельности за 2014 год.
Доклад РКН об осуществлении государственного контроля (надзора) содержит, в том числе, данные по деятельности, связанной с осуществлением контроля и надзора в сфере ПДн:
- количество плановых и внеплановых проверок, проведенных РКН в 2014 году составило 743 и 184 соответственно;
- количество предписаний, выданных по результатам проверок: 684.
- количество принятых обращений со стороны субъектов ПДн и юридических лиц: 20132. Интересно, что лишь в 10% от общего числа обращений граждан, содержащих жалобы, приведенные доводы были признаны действительными.
К наиболее популярным нарушениям требований по обработке ПДн, выявленным в ходе проверок, относятся:
- непринятие мер или несоблюдение условий, обеспечивающих сохранность ПДн и исключающих несанкционированный к ним доступ;
- обработка ПДн без согласия субъекта (либо содержание согласия не соответствует требованиям);
- нарушение требований конфиденциальности при обработке ПДн;
- обработка ПДн по достижении цели обработки;
- неуведомление РКН об осуществлении обработки ПДн.
Из доклада ФСТЭК России можно узнать такие интересные показатели, как:
- среднюю стоимость проверки, проводимой регулятором, она равна 63,08 тысяч рублей;
- среднее время участия одного работника в проверках — 50,24 дней
и другие.
Всего за 2014 год сотрудниками ФСТЭК России проведено 144 проверки, а общая сумма наложенных штрафов составила 2802 тыс. руб.
Взгляд NIST на безопасность мобильных приложений
В начале этого года NIST опубликовал новый документ в области безопасности мобильных приложений — NIST Special Publication 800-163. Vetting the Security of Mobile Applications.
Данный документ призван разъяснить процесс проверки безопасности мобильных приложений и предложить порядок его проведения, обобщив существующие требования к безопасности таких приложений. Кроме того, данные рекомендации содержат описание различных типов уязвимостей мобильных приложений для Android и iOS и методов тестирования, используемых для их выявления.
ISACA расследует инциденты ИБ
ISACA разработала новый документ по цифровой криминалистике Overview of Digital Forensics, описывающий процесс проведения экспертизы в рамках расследования инцидентов ИБ. В данном случае понятие цифровой криминалистики обобщает такие виды исследований, как компьютерная и сетевая криминалистика, а также экспертиза мобильных устройств.
В рамках документа проблема компьютерных преступлений рассматривается с двух сторон: в случае, если компьютер является непосредственной целью злоумышленника, либо когда компьютер используется в качестве основного средства при реализации преступлений. Документ содержит краткую информацию по истории развития данного направления начиная с 1970 года, а также включает вопросы законодательства в этой сфере.
Рекомендации по реализации процесса расследования приводятся авторами на 3 основных этапах, включая сбор данных, их анализ и оформление результатов. При этом отмечается, что в процессе расследования должны использоваться научные методы, доказывающие или опровергающие сформулированные гипотезы.