Государственная база угроз и уязвимостей

ФСТЭК обнародовала на своей конференции планы использования собственного банка данных угроз и уязвимостей, уже созданного на базе ГНИИИ ПТЗИ и в течение некоего времени наполнявшегося информацией. Предполагается, что в начале марта эта база данных станет доступна и для всех пользователей Интернета – ссылка на неё должна появиться на сайте ФСТЭК. По словам Виталия Лютикова, начальника второго Управления ФСТЭК, в базе данных смогут регистрировать уязвимости любые посетители web-сайта. «Только они должны будут представляться, чтобы мы знали, с кем имеем дело», – пояснил он.

Сейчас в базе содержится информация более чем о 174 угрозах и 6443 уязвимостях – в нее ведены сведения из шести репозиториев уязвимостей (в том числе Digital Security, Positive Technologies и НТЦ «Станкоинформзащита»). Представители ФСТЭК отмечают, что Службу интересуют преимущественно уязвимости в государственных информационных системах и критически важных элементах инфраструктуры – только они и фиксируются. Данные попадают в базу после тщательной проверки экспертами ФСТЭК и проведения стендовых испытаний.

Создаваемую базу данных предполагается использовать, в том числе, при проверке соответствия объектов законодательным требованиям к защите информации. Алексей Лукацкий, бизнес-консультант по информационной безопасности Cisco, отметил в своём блоге: «Первая революция во ФСТЭК произошла в 2013 г., когда на свет появился 17-й приказ. Вторая должна произойти в этом году, с появлением нового порядка аттестации информационных систем, в котором упор будет делаться не только и не столько на списке требований (как раньше), сколько на способности системы защиты противостоять реальным угрозам безопасности. По сути, новый порядок аттестации является переходным шагом от «бумажной» безопасности к реальной. На конференции Виталий Лютиков высказал соображение о том, что «новая» аттестация будет сродни аудиту».

Для проведения аттестации будут использоваться сведения об угрозах и уязвимостях, зарегистрированные в этой базе. Так, на ее данные решено опираться при построении модели угроз в процессе аттестации (порядок проведения аттестации и методику оценки соответствия требованиям к защите информации намечено обнародовать в ближайшее время). Таким образом, оценка защищенности объектов будет динамической – зависящей от набора известных угроз и уязвимостей.

Правда, база данных ФСТЭК будет открытой лишь частично (некоторая часть информации об уязвимостях не станет общедоступной), но сведения из неё будут передаваться владельцам уязвимых систем для решения проблем. Скорее всего, в общий доступ не попадут данные об уязвимостях в критически важных информационных системах, обнародование которых может вызвать серьёзные последствия для ИБ страны.