5.1 Общие требования к структуре описания уязвимости ГОСТ Р 56545-2015
5.1.1 Структура описания уязвимости должна обеспечивать достаточность информации для идентификации уязвимости ИС и выполнения работ по анализу уязвимостей ИС [из 5.1.1 ГОСТ Р 56545-2015]
5.1.2 Для однозначной идентификации уязвимости описание должно включать следующие элементы:
- идентификатор уязвимости;
- наименование уязвимости;
- класс уязвимости;
- наименование программного обеспечения (ПО) и его версия.
[из 5.1.2 ГОСТ Р 56545-2015]
5.1.3 Для обеспечения работ по анализу уязвимостей ИС описание должно включать следующие элементы:
- идентификатор типа недостатка;
- тип недостатка;
- место возникновения (проявления) уязвимости;
- способ (правило) обнаружения уязвимости;
- возможные меры по устранению уязвимости.
[из 5.1.3 ГОСТ Р 56545-2015]
5.1.4 Для обеспечения детальной информации об уязвимости описание может включать следующие элементы:
- наименование операционной системы и тип аппаратной платформы;
- язык программирования ПО;
- служба (порт), которую(ый) используют для функционирования ПО;
- степень опасности уязвимости.
- краткое описание уязвимости;
- идентификаторы других систем описаний уязвимостей;
- дата выявления уязвимости;
- автор, опубликовавший информацию о выявленной уязвимости;
- критерии опасности уязвимости.
[из 5.1.4 ГОСТ Р 56545-2015]
5.1.5 Дополнительно описание уязвимости ИС может включать прочую информацию в составе следующих элементов:
- описание реализуемой технологии обработки (передачи) информации;
- описание конфигурации ПО, определяемой параметрами установки;
- описание настроек ПО, при которых выявлена уязвимость;
- описание полномочий (прав доступа) к ИС, необходимых нарушителю для эксплуатации уязвимости;
- описание возможных угроз безопасности информации, реализация которых возможна при эксплуатации уязвимости;
- описание возможных последствий от эксплуатации уязвимости ИС;
- наименование организации, которая опубликовала информацию о выявленной уязвимости;
- дата опубликования уведомления о выявленной уязвимости, а также дата устранения уязвимости разработчиком ПО;
- другие сведения.
[из 5.1.5 ГОСТ Р 56545-2015]
5.2 Общие требования к содержанию описания уязвимости ГОСТ Р 56545-2015
5.2.1 Содержание описания уязвимости должно обеспечить однозначность и полноту информации об уязвимости [из 5.2.1 ГОСТ Р 56545-2015]
5.2.2 Элемент «Наименование уязвимости» представляет собой текстовую информацию об уязвимости, на основе которой возможно установить причину и (или) последствия уязвимости. Наименование уязвимости должно быть представлено на русском языке (в скобках на английском языке - при необходимости).
Пример - Описание уязвимости в части элемента «Наименования уязвимости»: уязвимость, приводящая к переполнению буфера в службе RPC DCOM в операционных системах Microsoft Windows 4.0/2000/ХР/2003 (Vulnerability Windows XP RPCSS DCOM Buffer Overflow) [из 5.2.2 ГОСТ Р 56545-2015]
5.2.3 Элемент «Идентификатор уязвимости» представляет собой алфавитно-цифровой код, включающий код базы данных уязвимостей, год выявления уязвимости и порядковый номер уязвимости, выявленной в текущем году. При определении идентификатора уязвимости код базы данных уязвимостей, год выявления уязвимости и порядковый номер уязвимости должны быть отделены друг от друга знаком «-», при этом знак пробела не ставится.
Пример - Описание уязвимости в части элемента «Идентификатор уязвимости»: ХХХ-2003-0813 [из 5.2.3 ГОСТ Р 56545-2015]
5.2.4 Элемент «Идентификаторы других систем описаний уязвимостей» представляет собой идентификаторы уязвимости в других системах описаний. Данный элемент включает идентификаторы уязвимости из общедоступных источников и содержит, как правило, цифровой или алфавитно-цифровой код. Описание может быть выполнено в виде гиперссылок в формате адресов URL.
Пример - Описание уязвимости в части элемента «Идентификаторы других систем описаний уязвимостей»: CVE ID: CVE-2003-0813; Bugtraq ID: 52018; OSVDB ID: 65465; Qualys ID: 90777; Secunia Advisory: SA48183; SecurityTracker Alert ID: 1025250; Nessus Plugin ID: 38099 [из 5.2.4 ГОСТ Р 56545-2015]
5.2.5 Элемент «Краткое описание уязвимости» представляет собой текстовую информацию об уязвимости и возможностях ее использования.
Пример - Описание уязвимости в части элемента «Краткое описание уязвимости»: уязвимость обнаружена в службе RPC DCOM. Нарушитель может вызвать отказ в обслуживании (аварийное завершение работы системы или перезагрузка), создавая два потока для одного и того же RPC-запроса. По сообщению разработчика, уязвимость может использоваться для выполнения произвольного кода в уязвимой системе. Разработчик оценил, что уязвимость имеет «критический» уровень опасности [из 5.2.5 ГОСТ Р 56545-2015]
5.2.6 Элемент «Класс уязвимости» представляет собой текстовую информацию, которую определяют в соответствии с ГОСТ Р 56546.
Пример - Описание уязвимости в части элемента «Класс уязвимости»: уязвимость кода [из 5.2.6 ГОСТ Р 56545-2015]
5.2.7 Элемент «Наименование программного обеспечения и его версия» представляет собой информацию о наименовании ПО и его версии.
Пример - Описание уязвимости в части элемента «Наименование программного обеспечения и его версия»: RPC/DCOM Microsoft Windows 4.0/2000/ХР/2003 [из 5.2.7 ГОСТ Р 56545-2015]
5.2.8 Элемент «Служба (порт), которую(ый) используют для функционирования ПО», представляет собой комбинированную информацию о службе (системной или сетевой), о сетевом порте, который используют для функционирования ПО, и о наименовании сетевого протокола передачи данных. Номер сетевого порта и наименование сетевого протокола передачи данных отделяют друг от друга знаком «/».
Примечание - Служба (порт), которую(ый) используют для функционирования ПО, может не иметь постоянного значения. ПО может быть назначен порт по умолчанию, но практически любое ПО может быть переконфигурировано на другой порт.
Пример - Описание уязвимости в части элемента «Служба (порт), которую(ый) используют для функционирования ПО»: RPC 139/tcp [из 5.2.8 ГОСТ Р 56545-2015]
5.2.9 Элемент «Язык программирования ПО» представляет собой наименование языка программирования, используемого при разработке (представлении) ПО. Современное ПО, как правило, разрабатывают с использованием семейства языков программирования, поэтому данный элемент может включать информацию о технологии (среде) программирования.
Пример - Описание уязвимости в части элемента «Язык программирования ПО»: C++ [из 5.2.9 ГОСТ Р 56545-2015]
5.2.10 Элемент «Тип недостатка» представляет собой текстовую информацию, которую определяют в соответствии с ГОСТ Р 56546.
Пример - Описание уязвимости в части элемента «Тип недостатка»: недостатки, связанные с переполнением буфера памяти [из 5.2.10 ГОСТ Р 56545-2015]
5.2.11 Элемент «Идентификатор типа недостатка» представляет собой уникальный идентификатор типа недостатка и содержит алфавитно-цифровой код. Идентификатор может быть взят (и при необходимости дополнен) из общедоступных источников.
Пример - Описание уязвимости в части элемента «Идентификатор типа недостатка»: CWE-119 [из 5.2.11 ГОСТ Р 56545-2015]
5.2.12 Элемент «Место возникновения (проявления) уязвимости» представляет собой текстовую информацию о компонентах информационной системы, которые содержат рассматриваемую уязвимость.
Пример - Описание уязвимости в части элемента «Место возникновения (проявления) уязвимости»: уязвимость в общесистемном (общем) ПО [из 5.2.12 ГОСТ Р 56545-2015]
5.2.13 Элемент «Наименование операционной системы и тип аппаратной платформы» представляет собой информацию об операционной системе и типе аппаратной платформы. Типами аппаратной платформы являются: IA-32, IA-64, Х86, ARM, РА-RISC, SPARC, System z и другие.
Пример - Описание уязвимости в части элемента «Наименование операционной системы и тип аппаратной платформы»: Microsoft Windows 4.0/2000/ХР/2003 (х32) [из 5.2.13 ГОСТ Р 56545-2015]
5.2.14 Элемент «Дата выявления уязвимости» представляет собой информацию о дате выявления уязвимости в формате ДД/ММ/ГГГГ. Дата выявления уязвимости в случае фактической невозможности ее установления считается совпадающей с датой регистрации сообщения об уязвимости в базе данных уязвимостей.
Пример - Описание уязвимости в части элемента «Дата выявления уязвимости»: 23/12/2004 [из 5.2.14 ГОСТ Р 56545-2015]
5.2.15 Элемент «Автор, опубликовавший информацию о выявленной уязвимости» представляет собой информацию об авторе, который обнаружил и опубликовал уязвимость первым.
Примечание - Элемент является необязательным к заполнению. Размещение информации об авторе осуществляется с учетом [2] [из 5.2.15 ГОСТ Р 56545-2015]
5.2.16 Элемент «Способ (правило) обнаружения уязвимости» представляет собой формализованное правило определения уязвимости. Способ (правило) обнаружения уязвимости позволяет при помощи специальной процедуры проводить проверку наличия уязвимости.
Пример - Описание уязвимости в части элемента «Способ (правило) обнаружения уязвимости» на языке описания OVAL:
AND Software section Criterion: Windows XP is installed
registry test (oval:org.mitre.oval:tst:2838): checkexistence = at_least_one_exists, check = at least one
registryjobject (oval:org.mitre.oval:obj:419): hive: HKEYLOCALMACHINE key: SOFTWARE\Microsoft\Windows NT\CurrentVersion name: CurrentVersion
registry_state (oval:org.mitre.oval:ste:2657): value: 5.1
OR a vulnerable version ofrpcrt4.dll exists on XP
AND 32-bit version of Windows and a vulnerable version ofrpcrt4.dll exists Criterion: 32-Bit version of Windows is installed
registry_test (oval:org.mitre.oval:tst:2748): checkexistence = at_least_one_exists, check = at least one
registry jobject (oval:org.mitre.oval:obj:1576): hive: HKEYLOCALMACHINE key: SYSTEM\CurrentControlSet\Control\Session ManageAEnvironment name: PROCESSOR_ARCHITECTURE registry_state (oval:org.mitre.oval:ste:2569):
value: x86
Примечание - OVAL (Open Vulnerability and Assessment Language) - открытый язык описания уязвимостей и проведения оценок. OVAL детально описывает метод проверки параметров конфигурации для определения наличия уязвимости [из 5.2.16 ГОСТ Р 56545-2015]
5.2.17 Элемент «Критерии опасности уязвимости» представляет собой совокупность информации о критериях, используемых при оценке степени опасности уязвимости, и об их значениях. Каждый критерий может принимать значения согласно следующей номенклатуре:
- критерий «тип доступа» (локальный, удаленный, другой тип доступа);
- критерий «условия доступа» (управление доступом, другие условия, управление доступом не применяется);
- критерий «требования аутентификации» (однократная аутентификация, использование (многократный ввод) различной аутентификационной информации, аутентификация не требуется);
- критерий «влияние на конфиденциальность» (не оказывает влияния, нарушение конфиденциальности);
- критерий «влияние на целостность» (не оказывает влияния, нарушение целостности);
- критерий «влияние на доступность» (не оказывает влияния, нарушение доступности).
Примечание - Примером описания критериев опасности уязвимости является базовый вектор уязвимости в соответствии с Common Vulnerability Scoring System (CVSS) - общая система оценки уязвимости опубликована на официальном сайте сообщества FIRST по адресу URL: www.first.org/cvss [из 5.2.17 ГОСТ Р 56545-2015]
5.2.18 Элемент «Степень опасности уязвимости» представляет собой текстовую информацию, которая может принимать одно из четырех значений: критический, высокий, средний и низкий уровень опасности. Степень опасности определяют в соответствии с отдельной методикой.
Пример - Описание уязвимости в части элемента «Степень опасности уязвимости»: высокий уровень опасности [из 5.2.18 ГОСТ Р 56545-2015]
5.2.19 Элемент «Возможные меры по устранению уязвимости» включает в себя предложения и рекомендации по устранению выявленных уязвимостей или исключению возможности использования нарушителем выявленных уязвимостей. Предложения и рекомендации должны содержать ссылки на необходимое ПО и (или) описание конфигураций ПО, для которых угрозы безопасности информации, использующие данную уязвимость, не являются актуальными.
Пример - Описание уязвимости в части элемента «Возможные меры по устранению уязвимости»:
Установите соответствующее обновление:
Microsoft Windows NT Server 4.0 Service Pack 6a;
Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6;
Microsoft Windows XP and Microsoft Windows XP Service Pack 1;
Microsoft Windows XP 64-Bit Edition Service Pack 1;
Microsoft Windows XP 64-Bit Edition Version 2003;
Microsoft Windows Server 2003 64-Bit Edition.
[из 5.2.19 ГОСТ Р 56545-2015]
5.2.20 Элементы описания уязвимости с прочей информацией представляют собой текстовую информацию, которая позволяет дополнить общую информацию об уязвимости (см. 5.1.5).
Пример - Описание уязвимости в части элемента «Прочая информация»: специальных полномочий (прав доступа) по отношению к ИС нарушителю не требуется [из 5.2.20 ГОСТ Р 56545-2015]