УБИ ФСТЭК: расшифровка, список угроз и как посмотреть уязвимости (БДУ)
Что такое УБИ (угроза безопасности информации) и как расшифровывается аббревиатура, как связаны УБИ и Банк данных угроз (БДУ) ФСТЭК, где посмотреть список угроз и уязвимостей на bdu.fstec.ru и чем угроза (УБИ) отличается от уязвимости (BDU) и международного идентификатора CVE.
Аббревиатура УБИУгроза безопасности информации — Совокупность условий и факторов, создающих опасность нарушения безопасности информации; каталогизируются в БДУ. расшифровывается как угроза безопасности информации. Так называют записи из реестра угроз ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. России с идентификаторами вида УБИ.001. Вместе с реестром уязвимостей они образуют Банк данных угроз (БДУБанк данных угроз безопасности информации ФСТЭК — Государственный реестр угроз (УБИ) и уязвимостей на bdu.fstec.ru; используется при построении модели угроз.) по адресу bdu.fstec.ru. Разберём, что такое УБИ, чем угроза отличается от уязвимости и как посмотреть их списки.
Что такое УБИ
УБИ — это описание типовой угрозы безопасности информации: кто источник (нарушитель), на что направлена угроза, какие последствия. Каждой угрозе присвоен идентификатор вида УБИ.NNN (например, УБИ.001), а также указаны источник угрозы, объект воздействия и нарушаемые свойства безопасности (конфиденциальность, целостность, доступность). Реестр угроз ведёт ФСТЭК России и регулярно пополняет.
Как связаны УБИ и БДУ
Банк данных угроз (БДУ) ФСТЭК — это два связанных реестра на одном сайте:
- Реестр угроз (УБИ) — каталог угроз с идентификаторами УБИ.NNN; применяется при построении модели угроз;
- Реестр уязвимостей — конкретные недостатки программного и программно-аппаратного обеспечения с идентификаторами вида BDU:2024-NNNNN, с описанием уязвимого ПО и оценкой опасности.
Подробно про сам банк — в статье «Банк данных угроз ФСТЭК (БДУ)».
Как посмотреть список угроз и уязвимостей ФСТЭК
Списки открыты и доступны бесплатно на сайте bdu.fstec.ru:
- Угрозы (УБИ) — раздел с перечнем угроз; можно искать по идентификатору, источнику и объекту воздействия, выгружать перечень;
- Уязвимости — раздел с реестром уязвимостей; поиск по идентификатору BDU, названию продукта и производителю; в записи, как правило, приводятся описание, затронутое ПО, уровень опасности и (при наличии) оценка по методике CVSS.
Эти списки используют как один из основных источников при моделировании угроз и анализе уязвимостей операторы ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств., ГИСГосударственная информационная система — Информационная система, созданная на основании закона или НПА госоргана; меры защиты — по приказу ФСТЭК. и субъекты КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ..
Чем УБИ отличается от уязвимости и CVE
- УБИ (угроза) — это сценарий: возможность нанести ущерб (например, несанкционированный доступ к данным). Идентификатор УБИ.NNN.
- Уязвимость — конкретный недостаток в программном обеспечении, которым угроза может воспользоваться. В БДУ идентификатор вида BDU:2024-NNNNN.
- CVE — международный идентификатор уязвимости (реестр MITRE, США), например CVE-2024-NNNN. Одну и ту же уязвимость часто можно найти и по номеру BDU, и по номеру CVE. Подробнее о банках уязвимостей — в статье «Банки уязвимостей: БДУ, CVE, NVD».
Зачем это оператору
УБИ и уязвимости из БДУ — это исходные данные для двух обязательных задач:
- Модель угроз. Из реестра угроз (УБИ) выбираются актуальные для вашей системы угрозы (методика ФСТЭК 2021 года).
- Анализ уязвимостей. Найденные в своих системах уязвимости сверяются с реестром уязвимостей БДУ и устраняются. Это мера АНЗАнализ защищённости — Группа мер защиты: выявление уязвимостей и контроль конфигураций..1 «Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей» в приказе ФСТЭК №21 (ИСПДн) и мера АУДАудит безопасности — Группа мер защиты значимых объектов КИИ (приказ ФСТЭК №239): регистрация событий безопасности, мониторинг и анализ, в том числе анализ уязвимостей (мера АУД.2)..2 «Анализ уязвимостей и их устранение» в приказе №239 (значимые объекты КИИ).
Главное
УБИ расшифровывается как «угроза безопасности информации» — это записи реестра угроз ФСТЭК с идентификаторами УБИ.NNN. Вместе с реестром уязвимостей (идентификаторы BDU:2024-NNNNN) они образуют Банк данных угроз на bdu.fstec.ru. Угроза (УБИ) — это сценарий нанесения ущерба, уязвимость (BDU) — конкретный недостаток ПО, а CVE — международный идентификатор той же уязвимости. Оба реестра открыты и используются при построении модели угроз и анализе уязвимостей по приказам ФСТЭК.