Доступ к банку данных угроз безопасности информации осуществляется через сеть «Интернет» (адрес: www.bdu.fstec.ru). Возможен доступ через официальный сайт ФСТЭК России (раздел «Техническая защита информации», подраздел «Банк данных угроз»).


Чтобы посмотреть этот PDF файл с форматированием и разметкой, скачайте его и откройте на своем компьютере.
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ
КОНТРОЛЮ



ИНФОРМАЦИОННОЕ СООБЩЕНИЕ

О БАНКЕ ДАННЫХ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ



от 6 марта 2015 г. N 240/22/879



В соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по
техническому и экспортному контролю, утвержденного Указом Президента
Российской Федерации от 16 августа 2004 г. N

1085, Федеральной службой по
техническому и экспортному контролю (ФС
ТЭК России) совместно с
заинтересованными федеральными органами исполнительной власти и
организациями сформирован банк данных угроз безопасности информации.

Доступ к банку данных угроз безопасности информации осуществляется через сеть
«Интернет» (адрес: ww
w.bdu.fstec.ru). Возможен доступ через официальный сайт
ФСТЭК России (раздел «Техническая защита информации», подраздел «Банк
данных угроз»).

Банк данных угроз безопасности информации включает базу данных уязвимостей
программного обеспечения (далее


уязви
мости), а также перечень и описание угроз
безопасности информации, наиболее характерных для государственных
информационных систем, информационных систем персональных данных и
автоматизированных систем управления производственными и технологическими
процесс
ами на критически важных объектах (далее


информационные
(автоматизированные) системы).

Банк данных угроз безопасности информации сформирован в целях
информационной и методической поддержки при проведении органами
государственной власти и организациями ра
бот по:

определению и оценке угроз безопасности информации в информационных
(автоматизированных) системах, разработке моделей угроз безопасности
информации в ходе создания и эксплуатации информационных
(автоматизированных) систем;

выявлению, анализу и устр
анению уязвимостей в ходе создания и эксплуатации
информационных (автоматизированных) систем, программно
-
технических средств,
программного обеспечения и средств защиты информации, проведения работ по
оценке (подтверждению) их соответствия обязательным треб
ованиям;

разработке, производству и поддержанию программных (программно
-
технических)
средств контроля защищенности информации от несанкционированного доступа.

Банк данных угроз безопасности информации предназначен для:

заинтересованных органов государствен
ной власти, органов местного
самоуправления и организаций, являющихся в соответствии с законодательством
Российской Федерации обладателями информации, заказчиками и (или)
операторами информационных (автоматизированных) систем;

организаций, осуществляющих в

соответствии с законодательством Российской
Федерации работы по созданию (проектированию) информационных
(автоматизированных) систем;

организаций, осуществляющих в соответствии с законодательством Российской
Федерации работы по защите информации в ходе со
здания (проектирования) и
эксплуатации информационных (автоматизированных) систем;

организаций, осуществляющих в соответствии с законодательством Российской
Федерации создание программно
-
технических средств, программного обеспечения и
средств защиты информ
ации;

заявителей на обязательную сертификацию средств защиты информации;

органов по сертификации и испытательных лабораторий (центров), выполняющих
работы по оценке (подтверждению) соответствия в отношении средств защиты
информации.

Внесение информации об
уязвимостях и угрозах безопасности информации
(включая редактирование, изменение, наполнение (добавление новых записей) в
банк данных угроз безопасности информации осуществляется ФСТЭК России.

В банк данных угроз безопасности информации включается информац
ия об
уязвимостях и угрозах безопасности информации, полученная по результатам
выявления и анализа:

сведений, опубликованных в общедоступных источниках, в том числе в
информационно
-
телекоммуникационной сети Интернет;

сведений, полученных по результатам раб
от, проводимых федеральными органами
исполнительной власти в рамках своих полномочий (компетенций);

сведений, поступивших из органов государственной власти, организаций и иных
лиц, выполняющих работы по защите информации.

Каждой уязвимости и угрозе безопасности информации, подлежащей включению в
банк данных угроз безопасности информации, присваивается идентификатор.

Идентификатор, присваиваемый уязвимости, состоит из двух групп цифр,
разделенных дефисом, и имеет вид:

ХХХХ
-
Х
ХХХХ.

Первая группа цифр «ХХХХ» представляет собой календарный год включения
уязвимости в банк данных угроз безопасности информации. Вторая группа цифр
«ХХХХХ» является порядковым номером уязвимости в банке данных угроз
безопасности информации.

Идентификат
ор, присваиваемый угрозе безопасности информации, состоит из
буквенной аббревиатуры «УБИ» и группы цифр и имеет вид:

УБИ.ХХХ.

Группа цифр «ХХХ» представляет собой порядковый номер угрозы безопасности
информации в банке данных угроз безопасности информации
(от 001 до 999).

Уязвимость подлежит включению в банк данных угроз безопасности информации,
если по результатам ее анализа получена и проверена информация, как минимум, по
описанию уязвимости, наименованию и версии программного обеспечения, в
котором возмо
жна уязвимость, уровню опасности уязвимости.

Угроза безопасности информации подлежит включению в банк данных угроз
безопасности информации, если по результатам ее анализа и проверки получена вся
необходимая информация.

Включение информации в банк данных уг
роз безопасности информации
осуществляется по мере появления (получения) сведений о новых уязвимостях и
угрозах безопасности информации и их рассмотрения.

Доступ к банку данных угроз безопасности информации осуществляется в режиме
просмотра (чтения) информ
ации об уязвимостях и угрозах безопасности
информации. Информация, содержащаяся в банке данных угроз, является
общедоступной.

Заинтересованным органам государственной власти и организациям рекомендуется
использовать информацию, содержащуюся в банке данных
угроз безопасности
информации, при организации и проведении всех видов работ по защите
информации, установленных нормативными правовыми актами, методическими
документами и национальными стандартами в области обеспечения
информационной безопасности.

Лицам (
исследователям), планирующим направить информацию об уязвимостях в
банк данных угроз безопасности информации через раздел «Обратная связь»,
необходимо учитывать, что данные (фамилия и имя) исследователя, выявившего
уязвимость, могут быть опубликованы в бан
ке данных угроз. Это необходимо для
анализа и организации устранения уязвимостей в конкретном программном
обеспечении, в ходе которого возможно потребуются взаимодействие и совместные
действия со специалистами Службы и (или) иными организациями, включая
ра
зработчиков (производителей) программного обеспечения.

В течение 2015 года ФСТЭК России планирует осуществлять мониторинг и анализ
функционирования банка данных угроз безопасности, а также отработку процедур
взаимодействия заинтересованных органов государс
твенной власти и организаций
по выявлению, анализу и устранению уязвимостей. По результатам указанной
работы будут определены направления совершенствования и расширения
функциональности банка данных угроз безопасности информации.



Начальник 2 управления

В
.Лютиков



Приложенные файлы

  • pdf 83510901
    Размер файла: 149 kB Загрузок: 0

Добавить комментарий