ФСТЭК: инструментарий и нормативы регулятора, направленные на помощь отделу ИБ

Если вы занимаетесь кибербезопаностью, то аббревиатура ФСТЭК для вас не просто набор букв. В 90-х годах ФСТЭК был Государственной технической комиссией, а в начале 2000-х президент издал указ, согласно которому учреждение переименовали в федеральную службу по техническому и экспортному контролю – федеральный орган исполнительной власти.

ФСТЭК не только занимается разработкой регуляторики в сфере ИБ, но и помогает ее обеспечить с помощью разных инструментов. Так, ведомство имеет общедоступную базу данных угроз, базу данных уязвимостей и scanOVAL – программу для автоматизированных проверок наличия уязвимостей программного обеспечения, которыми может воспользоваться каждый.

В этой статье мы расскажем, насколько это релевантные инструменты, как их можно использовать и могут ли они эффективно заменить альтернативные такого же рода решения.

Базы данных угроз и уязвимостей

Весной 2015 года ФСТЭК открыл доступ к Базам данных угроз и уязвимостей, чтобы все, кто имеет дело с обеспечением информационной безопасности могли знать о существующих угрозах и уязвимостях. Базы ведет Государственный научно-исследовательским институт проблем технической защиты информации (ГНИИ птзи) ФСТЭК России. В первую очередь БДУ сделана для ГИСов, объектов КИИ и АСУ. 

Павел Яшин

Руководителя службы информационной безопасности iiii Tech

Да, на первый взгляд кажется что это еще один способ зарегулировать всё на свете. Однако, на данный момент база уязвимостей построена в соответствии с общеиспользуемыми практиками синтеза информации об угрозах и уязвимостях, поэтому (и особенно в текущей ситуации, когда зарубежные источники информации могут предоставлять недостоверные данные) пользоваться можно и нужно, но не стоит ограничиваться только БДУ ФСТЭК.

По сути, ФСТЭК идентифицирует и сегментирует угрозы, которые существуют на данный момент, а ИБ-специалисты, в свою очередь, на основе этих данных формируют свои инструменты защиты от них и превентивные меры.

База данных уязвимостей ФСТЭК России важный инструмент для обеспечения безопасности защиты от киберугроз. Она содержит информацию о выявленных уязвимостях в различных программных продуктах и операционных системах, а также рекомендации по их устранению.

Карэн Багдасарян

Консультант Центра экспертизы компании R-Vision

В целом база данных ФСТЭК России достаточно полна и активно обновляется (на конец 2020 года база насчитывала около 30 тысяч уязвимостей, а на момент июня 2023 в базе учтено почти 50 тысяч).

Однако, необходимо понимать, что база данных ФСТЭК не является единственным инструментом для обнаружения уязвимостей в информационных системах. Она безусловна полезна для специалистов в области информационной безопасности, но для полноценной работы по обнаружению и устранению уязвимостей необходимо использовать совокупность нескольких баз, к которым можно отнести CVE, NVD и другие.

Одно из преимуществ базы угроз ФСТЭК России – ее доступность. Любой желающий может получить доступ к этой базе и использовать ее для своих нужд, зайдя на сайт Регулятора. База угроз постоянно обновляется, что позволяет учитывать последние тренды и новые виды угроз.

Карэн Багдасарян

Консультант Центра экспертизы компании R-Vision

Как и в случае с базой уязвимостей, рекомендуется оперировать при проведении аудита несколькими источниками. Данный тезис можно увидеть и у самого Регулятора. Как пример, в Методике оценки угроз безопасности информации от 5 февраля 2021 года ФСТЭК России предлагает в качестве исходных данных для оценки угроз использовать помимо БДУ ФСТЭК иные источники (CAPEC, ATT&CK, OWASP, STIX, WASC и др.).

Несмотря на то, что базы данных ФСТЭК постоянно обновляются, уследить за всеми угрозами и уязвимостями невозможно. Поэтому, как отмечают эксперты, другие инструменты игнорировать не нужно.

Развитие информационных технологий неизбежно ведет к распространению новых видов атак. Поэтому вопрос улучшения баз данных угроз и уязвимостей существует перманентно каждый день. Расширение базы естественный процесс, который необходим для обеспечения безопасности информации в условиях быстро меняющегося «технологического мира».

В 2020 году ФСТЭК на официальном сайте опубликовал методику, по которой можно определять угрозы безопасности информации. «Документ должен использоваться для определения угроз безопасности информации при ее обработке с использованием любых объектов, требования по защите к которым утверждены ФСТЭК», – говорится на сайте. В основу методики легли базы данных угроз и уязвимостей ФСТЭК.

ScanOVAL

Получить ScanOVAL можно на официальном сайте ФСТЭК России. В начале ScanOval был доступен только для Windows, сейчас на официальном сайте ФСТЭК можно обнаружить тестовые версии для Linux (Astra Linux 1.6 SE), ОС Альт 9 и ОС Роса «Кобальт».

Игорь Гусев

Ведущий инженер «Газинформсервис»

Программа ScanOVAL является бесплатным и минимально необходимым инструментом для оперативного автоматизированного обнаружения уязвимостей. В неоднородной среде ЛВС, где помимо серверов и рабочих станций, работающих под управлением ОС Windows или Astra-Linux, есть другие средства, многие уязвимости могут быть не обнаружены.

Если нет возможности приобрести иной инструмент выявления уязвимостей или нет в организации работников, имеющих соответствующие знания и навыки в области ИБ, то данный инструмент несомненно будет полезен. Это лучше, чем ничего. Надеемся, что ПО ScanOVAL будет непрерывно развиваться, что будет улучшать общее состояние ИБ в нашем обществе.

Самый большой плюс программы, которая предоставляет ФСТЭК, то, что она бесплатная. Это выгодно отличает ее от своих конкурентов. Инструмент, как и альтернативные ему коммерческие, помогает обнаружить уязвимости и слабые места в системе. Кроме того, ScanOVAL после комплексного анализа, оценивает степень опасности угрозы, а также, помимо отчета на эту тему, предлагает пути решения.

Выводы

БДУ и ScanOVAL ФСТЭК могут быть отличными инструментами для специалиста по информационной безопасности и сопричастным специалистам. Но полагаться только на эти решения не стоит. Сегодня кибербезопасность вышла давно за рамки использования стандартных инструментов и требует комплексного подхода.

Государство старается создать не только методики и требования, но и инструменты для обеспечения безопасности критически важных объектов, который обеспечивают функционирование государства. Но эти инструменты могут быть лишь хорошей основой в целом комплексе мер.