Из ГОСТ Р 56546-2015 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем

5.3.(1) Уязвимости в общесистемном (общем) ПО ГОСТ Р 56546-2015

Примечание — К уязвимостям в общесистемном (общем) ПО относятся уязвимости ОС (уязвимости файловых систем, уязвимости режимов загрузки, уязвимости, связанные с наличием средств разработки и отладки ПО, уязвимости механизмов управления процессами и другие), уязвимости систем управления базами данных (уязвимости серверной и клиентской частей системы управления базами данных, уязвимости специального инструментария, уязвимости исполняемых объектов баз данных (хранимые процедуры, триггеры) и другие), уязвимости иных типов общесистемного (общего) ПО.

[из 5.3.(1) Уязвимости в общесистемном (общем) ПО ГОСТ Р 56546—2015]

    5.3.(2) Уязвимости в прикладном ПО ГОСТ Р 56546-2015

    Примечание — К уязвимостям в прикладном ПО относятся уязвимости офисных пакетов программ и иных типов прикладного ПО (наличие средств разработки мобильного кода, недостатки механизмов контроля исполнения мобильного кода, ошибки программирования, наличие функциональных возможностей, способных оказать влияние на средства защиты информации, и другие уязвимости).

    [из 5.3.(2) Уязвимости в прикладном ПО ГОСТ Р 56546—2015]

      5.3.(3) Уязвимости в специальном ПО ГОСТ Р 56546-2015

      Примечание — К уязвимостям в специальном ПО относятся уязвимости ПО, разработанного для решения специфических задач конкретной ИС (ошибки программирования, наличие функциональных возможностей, способных оказать влияние на средства защиты информации, недостатки механизмов разграничения доступа к объектам специального ПО и другие уязвимости).

      [из 5.3.(3) Уязвимости в специальном ПО ГОСТ Р 56546—2015]

        5.3.(4) Уязвимости в технических средствах ГОСТ Р 56546-2015

        Примечание — К уязвимостям в технических средствах относятся уязвимости ПО технических средств (уязвимости микропрограмм в постоянных запоминающих устройствах, уязвимости микропрограмм в программируемых логических интегральных схемах, уязвимости базовой системы ввода—вывода, уязвимости ПО контроллеров управления, интерфейсов управления и другие уязвимости), иные уязвимости технических средств.

        [из 5.3.(4) Уязвимости в технических средствах ГОСТ Р 56546—2015]

          5.3.(5) Уязвимости в портативных технических средствах ГОСТ Р 56546-2015

          Примечание — К уязвимостям в портативных технических средствах относятся уязвимости ОС мобильных (портативных) устройств, уязвимости приложений для получения с мобильного устройства доступа к Интернет–сервисам, уязвимости интерфейсов беспроводного доступа, иные уязвимости портативных технических средств.

          [из 5.3.(5) Уязвимости в портативных технических средствах ГОСТ Р 56546—2015]

            5.3.(6) Уязвимости в сетевом (коммуникационном, телекоммуникационном) оборудовании ГОСТ Р 56546-2015

            Примечание — К уязвимостям в сетевом (коммуникационном, телекоммуникационном) оборудовании относятся уязвимости маршрутизаторов, коммутаторов, концентраторов, мультиплексоров, мостов и телекоммуникационного оборудования иных типов (уязвимости протоколов и сетевых сервисов, уязвимости средств и протоколов управления телекоммуникационным оборудованием, недостатки механизмов управления потоками информации, недостатки механизмов разграничения доступа к функциям управления телекоммуникационным оборудованием, другие уязвимости).

            [из 5.3.(6) Уязвимости в сетевом (коммуникационном, телекоммуникационном) оборудовании ГОСТ Р 56546—2015]

              5.3.(7) Уязвимости в средствах защиты информации ГОСТ Р 56546-2015

              Примечание — К уязвимостям в средствах защиты информации относятся уязвимости в средствах управления доступом, средствах идентификации и аутентификации, средствах контроля целостности, средствах доверенной загрузки, средствах антивирусной защиты, системах обнаружения вторжений, средствах межсетевого экранирования, средствах управления потоками информации, средствах ограничения программной среды, средствах стирания информации и контроля удаления информации, средствах защиты каналов передачи информации, уязвимости в иных средствах защиты информации (ошибки программирования, недостатки, связанные с возможностью обхода, отключения, преодоления функций безопасности, другие уязвимости).

              [из 5.3.(7) Уязвимости в средствах защиты информации ГОСТ Р 56546—2015]

                Введение ГОСТ Р 56546-2015

                Настоящий стандарт входит в комплекс стандартов, устанавливающих классификацию уязвимостей, правила описания уязвимостей, содержание и порядок выполнения работ по выявлению и оценке уязвимостей информационных систем (ИС).

                Настоящий стандарт распространяется на деятельность по защите информации, связанную с выявлением и устранением уязвимостей ИС, при создании и эксплуатации ИС.

                В настоящем стандарте принята классификация уязвимостей ИС исходя из области происхождения уязвимостей, типов недостатков ИС и мест возникновения (проявления) уязвимостей ИС [из Введение ГОСТ Р 56546—2015]

                  Страницы

                  Подписка на Из ГОСТ Р 56546-2015 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем