ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

ИНФОРМАЦИОННОЕ СООБЩЕНИЕ
от 6 марта 2015 г. N 240/22/879

О БАНКЕ ДАННЫХ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ

В соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, Федеральной службой по техническому и экспортному контролю (ФСТЭК России) совместно с заинтересованными федеральными органами исполнительной власти и организациями сформирован банк данных угроз безопасности информации.

Доступ к банку данных угроз безопасности информации осуществляется через сеть "Интернет" (адрес: www.bdu.fstec.ru). Возможен доступ через официальный сайт ФСТЭК России (раздел "Техническая защита информации", подраздел "Банк данных угроз").

Банк данных угроз безопасности информации включает базу данных уязвимостей программного обеспечения (далее - уязвимости), а также перечень и описание угроз безопасности информации, наиболее характерных для государственных информационных систем, информационных систем персональных данных и автоматизированных систем управления производственными и технологическими процессами на критически важных объектах (далее - информационные (автоматизированные) системы).

Банк данных угроз безопасности информации сформирован в целях информационной и методической поддержки при проведении органами государственной власти и организациями работ по:

определению и оценке угроз безопасности информации в информационных (автоматизированных) системах, разработке моделей угроз безопасности информации в ходе создания и эксплуатации информационных (автоматизированных) систем;

выявлению, анализу и устранению уязвимостей в ходе создания и эксплуатации информационных (автоматизированных) систем, программно-технических средств, программного обеспечения и средств защиты информации, проведения работ по оценке (подтверждению) их соответствия обязательным требованиям;

разработке, производству и поддержанию программных (программно-технических) средств контроля защищенности информации от несанкционированного доступа.

Банк данных угроз безопасности информации предназначен для:

заинтересованных органов государственной власти, органов местного самоуправления и организаций, являющихся в соответствии с законодательством Российской Федерации обладателями информации, заказчиками и (или) операторами информационных (автоматизированных) систем;

организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию (проектированию) информационных (автоматизированных) систем;

организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по защите информации в ходе создания (проектирования) и эксплуатации информационных (автоматизированных) систем;

организаций, осуществляющих в соответствии с законодательством Российской Федерации создание программно-технических средств, программного обеспечения и средств защиты информации;

заявителей на обязательную сертификацию средств защиты информации;

органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении средств защиты информации.

Внесение информации об уязвимостях и угрозах безопасности информации (включая редактирование, изменение, наполнение (добавление новых записей)) в банк данных угроз безопасности информации осуществляется ФСТЭК России.

В банк данных угроз безопасности информации включается информация об уязвимостях и угрозах безопасности информации, полученная по результатам выявления и анализа:

сведений, опубликованных в общедоступных источниках, в том числе в информационно-телекоммуникационной сети Интернет;

сведений, полученных по результатам работ, проводимых федеральными органами исполнительной власти в рамках своих полномочий (компетенций);

сведений, поступивших из органов государственной власти, организаций и иных лиц, выполняющих работы по защите информации.

Каждой уязвимости и угрозе безопасности информации, подлежащей включению в банк данных угроз безопасности информации, присваивается идентификатор.

Идентификатор, присваиваемый уязвимости, состоит из двух групп цифр, разделенных дефисом, и имеет вид:

XXXX-XXXXX.

Первая группа цифр "XXXX" представляет собой календарный год включения уязвимости в банк данных угроз безопасности информации. Вторая группа цифр "XXXXX" является порядковым номером уязвимости в банке данных угроз безопасности информации.

Идентификатор, присваиваемый угрозе безопасности информации, состоит из буквенной аббревиатуры "УБИ" и группы цифр и имеет вид:

УБИ.XXX.

Группа цифр "XXX" представляет собой порядковый номер угрозы безопасности информации в банке данных угроз безопасности информации (от 001 до 999).

Уязвимость подлежит включению в банк данных угроз безопасности информации, если по результатам ее анализа получена и проверена информация, как минимум, по описанию уязвимости, наименованию и версии программного обеспечения, в котором возможна уязвимость, уровню опасности уязвимости.

Угроза безопасности информации подлежит включению в банк данных угроз безопасности информации, если по результатам ее анализа и проверки получена вся необходимая информация.

Включение информации в банк данных угроз безопасности информации осуществляется по мере появления (получения) сведений о новых уязвимостях и угрозах безопасности информации и их рассмотрения.

Доступ к банку данных угроз безопасности информации осуществляется в режиме просмотра (чтения) информации об уязвимостях и угрозах безопасности информации. Информация, содержащаяся в банке данных угроз, является общедоступной.

Заинтересованным органам государственной власти и организациям рекомендуется использовать информацию, содержащуюся в банке данных угроз безопасности информации, при организации и проведении всех видов работ по защите информации, установленных нормативными правовыми актами, методическими документами и национальными стандартами в области обеспечения информационной безопасности.

Лицам (исследователям), планирующим направить информацию об уязвимостях в банк данных угроз безопасности информации через раздел "Обратная связь", необходимо учитывать, что данные (фамилия и имя) исследователя, выявившего уязвимость, могут быть опубликованы в банке данных угроз. Это необходимо для анализа и организации устранения уязвимостей в конкретном программном обеспечении, в ходе которого возможно потребуются взаимодействие и совместные действия со специалистами Службы и (или) иными организациями, включая разработчиков (производителей) программного обеспечения.

В течение 2015 года ФСТЭК России планирует осуществлять мониторинг и анализ функционирования банка данных угроз безопасности, а также отработку процедур взаимодействия заинтересованных органов государственной власти и организаций по выявлению, анализу и устранению уязвимостей. По результатам указанной работы будут определены направления совершенствования и расширения функциональности банка данных угроз безопасности информации.

Начальник 2 управления
В.ЛЮТИКОВ