Формирование банка данных угроз безопасности информации и базы данных уязвимостей
- 1. Формирование банка данных угроз безопасности информации и базы данных уязвимостей НачальникНачальник управленияуправления ФАУФАУ ««ГНИИИГНИИИ ПТЗИПТЗИ ФСТЭКФСТЭК РоссииРоссии»» СоловьёвСоловьёв СС..ВВ..
- 2. Правовые аспекты Основаниями для создания и ведения Банка данных угроз безопасности информации являются:
- 3. Схема анализа угроз Базовые модели угроз Оценка возможностей нарушителя Оценка способа реализации угрозы Определение наличия уязвимостей ИС Оценка критичности уязвимостей ИС Актуальность угрозы безопасности информации Результаты анализа Этапы проведения анализа Национальные стандарты
- 5. Цель и задачи банка данных
- 6. Пользователи
- 7. Банк данных угроз безопасности информации Архитектура банка данных Интерне Пользовате Банка данн БазаБаза данныхданных уязвимостейуязвимостей БазаБаза данныхданных угрозугроз
- 10. Описание уязвимостей ПоляПоля описанийописаний уязвимостейуязвимостей:: • Наименование программного обеспечения • Версия программного обеспечения • Дата выявления уязвимости • Возможные меры по устранению уязвимости • Статус уязвимости • Наличие «эксплойта» • Информация об устранении уязвимости • Ссылки на источники информации • Производитель/разработчик • Прочая информация
- 12. Статистика УгрозыУгрозы личество: 174 Статистические данные актуальны по состоянию на 12.02.2
- 13. Статистика УязвимостиУязвимости личество: 6443 Статистические данные актуальны по состоянию на 12.02.2
- 14. Заполнение банка данных Потребители Банка данных угро Банк данных угроз безопасности информации тавщики информации для Банка данных угроз Федеральные органы исполнительной власти Организации, осуществляющие работы по созданию ИС Органы власти обладателям информации заказчиками (или) операторами Организации осуществляющ работы по защ информации Заявители н обязательную сертификаци средств ЗИ Организации, осуществляющие создание программно- технических средств, ПО и средств ЗИ Органы по сертификации и испытательные лаборатории Стенд для анализа и подтверждения уязвимостей ЗАО «Позитив текнолоджиз» ООО «Диджитал секьюрити» Организации, специализирующиеся на поиске уязвимостей ЗАО «НТЦ «Станкоинформзащита» Исполнители ИР по Заказам СТЭК России
- 15. Объекты исследований Целевой аспект Испытательный стенд рикладное и специальное программное обеспечение Технические средства АСУ ТП КВОосударственные ИС Системное программное обеспечение Описание уязвимости Средства защиты SCADA-пакеты
- 16. Поставщики информации для анка данных угроз Актуализация информации Помещение информации об уязвимости в Банк данных Анализ и подтверждение уязвимостей (на испытательном стенде) Форма приёма данных об уязвимостях на сайте Банка данных угроз безопасности информации Подача заявки на размещение данных об уязвимости Формальная экспертиза данных об уязвимости Разработка описания уязвимости