Компания АЛТЭКС-СОФТ являясь экспертом в области аудита защищенности систем и имеющая собственную базу описаний уязвимостей OVALdb, активно поддержала инициативу Регулятора по созданию Банка данных угроз безопасности информации ФСТЭК России ( БнД УБИ). Специалисты компании высоко оценивают актуальность данного ресурса и рассматривают важный источник сведений об уязвимостях, который в одинаковой степени полезен и для операторов (проектировщиков) защищенных ИС, так и для вендоров, осуществляющих разработку сканеров безопасности. Особый интерес представляют уязвимости на отечественные программные продукты и средства защиты информации, для которых данный банк является открытым независимым консолидирующим источником. В настоящий момент все появляющиеся в Банке уязвимости анализируются экспертами компании, и в случае их отсутствия в OVALdb формируются новые определения и описания в формате OVAL.
Таким образом, уязвимости, хранящиеся в OVALdb, были сопоставлены с Банком ФСТЭК России, и в их описания был включен идентификатор БнД УБИ в формате - FSTEC: 20XX-XXXXX. Это означает что флагманское решение АЛТЭКС-СОФТ - сканер безопасности RedCheck, "база знаний", которого построена на OVALdb, идентифицирует уязвимости, представленные в БнД УБИ.
Данная реализация приобретает особую актуальность в преддверии утверждения активно обсуждаемого проекта "Методики определения угроз безопасности информации в информационных системах", в которой обозначено важное место БнД УБИ, как источника сведений об угрозах безопасности информации и методах их реализации с использованием описанных уязвимостей.
Одним из ключевых моментов методики является поиск и оценка возможности эксплуатации выявленных уязвимостей систем в сопоставлении с возможностями нарушителя, причем это процедура должна осуществляться как на этапе создания ИС и формирования требований к ее защите, так и в ходе эксплуатации. Очевидно, что решение данной задачи требует автоматизации, где RedCheck может быть доступным и эффективным инструментом. Сегодня база уязвимостей RedCheck включает около 50 000 уязвимостей для различного системного и прикладного программного обеспечения, а также более 60 типовых конфигураций безопасности, разработанных с учетом рекомендаций вендоров и международных экспертных организаций. Сканер имеет сертификат соответствия ФСТЭК России и может использоваться для реализации мер защиты в ГИС и ИСПДн всех классов (уровней) защищенности.
