Банк данных угроз ФСТЭК (БДУ): что это и как использовать

Что такое банк данных угроз безопасности информации ФСТЭК (БДУ, bdu.fstec.ru): реестр угроз и уязвимостей и как применять его при построении модели угроз для ИСПДн, ГИС и объектов КИИ.

Банк данных угроз безопасности информации (БДУБанк данных угроз безопасности информации ФСТЭК — Государственный реестр угроз (УБИ) и уязвимостей на bdu.fstec.ru; используется при построении модели угроз.) — это государственный ресурс ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. России, размещённый по адресу bdu.fstec.ru. Его также называют «банк угроз ФСТЭК». БДУ — обязательный источник сведений при определении угроз безопасности информации.

Что входит в БДУ

Реестр угроз безопасности информации (УБИУгроза безопасности информации — Совокупность условий и факторов, создающих опасность нарушения безопасности информации; каталогизируются в БДУ.) — каталог угроз с идентификаторами вида УБИ.001; по каждой указаны источник угрозы, объект воздействия и возможные последствия (нарушение конфиденциальности, целостности, доступности).
Реестр уязвимостей — сведения об уязвимостях программного и аппаратного обеспечения.
Методические материалы и сведения о компьютерных атаках.

Зачем нужен БДУ

БДУ используется при разработке модели угроз безопасности информации по Методике оценки угроз безопасности информации (утверждена ФСТЭК России 05.02.2021). Угрозы для включения в модель определяются именно по банку данных угроз — это касается информационных систем персональных данных (ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств.), государственных информационных систем (ГИСГосударственная информационная система — Информационная система, созданная на основании закона или НПА госоргана; меры защиты — по приказу ФСТЭК.) и значимых объектов критической информационной инфраструктуры (КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ.).

Как использовать на практике

определить объекты и негативные последствия для вашей системы;
подобрать из реестра УБИ угрозы, актуальные для ваших объектов воздействия и нарушителей;
сопоставить с уязвимостями из реестра БДУ;
сформировать перечень актуальных угроз и оформить модель угроз.

Подробнее о порядке — в статье «Модель угроз по методике ФСТЭК 2021», а исходный нормативный документ — в карточке «Методика оценки угроз безопасности информации (ФСТЭК, 2021)».

ГрамотаИБ помогает классифицировать объекты защиты и подобрать меры под их уровень — попробовать можно в сервисе.