Формированиебанка данных угроз безопасности информации

и базы данных уязвимостей

НачальникНачальник управленияуправленияФАУФАУ ««ГНИИИГНИИИ ПТЗИПТЗИ ФСТЭКФСТЭК РоссииРоссии»»СоловьёвСоловьёв СС..ВВ..

Правовые аспектыОснованиями для создания и ведения Банка данных угроз безопасностиинформации являются:

Схема анализа угроз

Базовыемодели угроз Оценка

возможностейнарушителя

Оценка способареализацииугрозы

Определениеналичия

уязвимостей ИС

Оценкакритичностиуязвимостей ИС

Актуальностьугрозы

безопасностиинформации

Результатыанализа

Этапы проведения анализа

Национальныестандарты

Отличительный аспект

Цель и задачи банка данных

Пользователи

Банк данных угроз безопасности информации

Архитектура банка данных

Интернет

ПользователиБанка данных

БазаБазаданныхданных

уязвимостейуязвимостей

БазаБазаданныхданныхугрозугроз

Перечень угроз

ВнутреннийВнешний

высокимсреднимнизким

ПолеПоле ПравилоПравило

Пример описания угрозы

Описание уязвимостейПоляПоля описанийописаний уязвимостейуязвимостей::

• Наименование программного обеспечения• Версия программного обеспечения• Дата выявления уязвимости

• Возможные меры по устранению уязвимости• Статус уязвимости• Наличие «эксплойта»• Информация об устранении уязвимости• Ссылки на источники информации• Производитель/разработчик• Прочая информация

Пример описания уязвимости

Статистика

УгрозыУгрозы

Количество: 174 Статистические данные актуальны по состоянию на 12.02.2015

Статистика

УязвимостиУязвимости

Количество: 6443 Статистические данные актуальны по состоянию на 12.02.2015

Заполнение банка данных

Потребители Банка данных угроз

Банк данных угрозбезопасностиинформации

Поставщики информации дляБанка данных угроз

Федеральные органыисполнительной власти

Организации,осуществляющие

работы по созданию ИСОрганы властиобладателямиинформациизаказчиками(или)

операторами

Организацииосуществляющиеработы по защитеинформации

Заявители наобязательнуюсертификациюсредств ЗИ

Организации,осуществляющие

создание программно-технических средств, ПО

и средств ЗИ

Органы по сертификациии испытательныелаборатории

Стенд для анализа иподтвержденияуязвимостей

ЗАО «Позитив текнолоджиз»

ООО «Диджитал секьюрити»

Организации, специализирующиесяна поиске уязвимостей

ЗАО «НТЦ «Станкоинформзащита»

ИсполнителиНИР по ЗаказамФСТЭК России

Объекты исследований

Целевой аспект

Испытательныйстенд

Прикладное и специальное программноеобеспечение

Технические средства

АСУ ТП КВОГосударственные ИС

Системное программное обеспечение Описание уязвимости

Средства защиты

SCADA-пакеты

Поставщикиинформации дляБанка данных угроз

Актуализация информации

Помещениеинформации обуязвимостив Банк данных

Анализи подтверждениеуязвимостей

(на испытательномстенде)

Форма приёмаданных об уязвимостяхна сайте Банка данныхугроз безопасностиинформации

Подача заявкина размещение

данных об уязвимости

Формальнаяэкспертиза

данных об уязвимости

Разработка описанияуязвимости

Спасибо за внимание