Главная » Блоги Экспертов И ИТ-Компаний » ИБ. Перспективы банка уязвимостей ФСТЭК на PHDays

ИБ. Перспективы банка уязвимостей ФСТЭК на PHDays

С ФСТЭК в секции на PHDays 2019 обсуждали вопросы уязвимостей с техническим ИБ сообществом. Показали статистику за последние годы – 2х кратный рост в год.
1.png
 В середине прошлого года ФСТЭК опубликовали регламент раскрытия уязвимостей. Это не обязательный документ, но в общем он показывает типовой сценарий действий участников раскрытия уязвимостей. При необходимости и обосновании сроки могут продлеваться.
2.png
Более плотную работу с вендорами начали именно после принятия регламента. Сейчас есть более 60 уязвимостей «нулевого дня» по которым вендоры долго не реагируют – в ближайшее время будут публиковать без отработки вендором (в урезанном объёме).
3.png
ФСТЭК жаловался, что в 2016 году разработали стандарт по безопасной разработке, а к 2019ому можно по пальцам пересчитать количество компаний, задекларировавших его применение.
В рамках обсуждения от участников звучали идеи:
·       указать на сайте ФСТЭК контактов вендоров для оперативной связи при обнаружении информации об уязвимости (что-то подобноенедавно предлагал в блоге)
·       убрать пункт об отказе вендора в устной форме
·       включить в НПА к операторам и лицензиатам сообщать об уязвимостях
·       иногда когда раскрывается уязвимость в продукте одного вендора не учитывается возможность наличия аналогичной уязвимости в продуктах другого вендора
Ответы на заранее подготовленные и живые вопросы от аудитории:
·       откуда берут данные? из открытых источников с использованием ИИ, также из анализа исходного кода
·       как обеспечат качественный анализ уязвимостей для сертифицированных СЗИ – будут повышать требования для спецов испытательных лабораторий; подготовили специальный курс
·       какие риски у исследователей? Для занимающихся противоправной деятельность – есть риск
·       заимствование информации? Оно конечно есть, особенно по западным вендорам; но есть и уникальный контент, особенно по российским производителям
·       кто проверяет актуальность информации? ФСТЭК, их институт, привлекаемые организации
·       будет ли связь уязвимостей с угрозами? Да, но в этом году будут прорабатывать структурирование угроз (видят недостатки), а в следующие уже будут делать связь с уязвимостями
·       что с проектом методики моделирования угроз от 2015? Когда утвердим узнаете. Задача есть, сроков назвать не могу.   На конференции большое количество специалистов, которые и без ФСТЭК знают, как моделировать угрозы.
·       как происходит сертификация Windows 10? Никак. Обратитесь к разработчику Microsoft– они вам подскажут. Позиция ФСТЭК до них доведена. Проблема в сборе телеметрии.


Источник: https://sborisov.blogspot.com/2019/05/phdays.html


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
5 месяцев назад | тэги: PHDays, БДУ, ИБ, ФСТЭК
Комментарии
Другие публикации
RU, Краснодар
https://sborisov.blogspot.com/, https://www.ussc.ru/
Информационные технологии



Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>