5.1.1 Структура описания уязвимости должна обеспечивать достаточность информации для идентификации уязвимости ИС и выполнения работ по анализу уязвимостей ИС [из 5.1.1 ГОСТ Р 56545-2015]
5.1.2 Для однозначной идентификации уязвимости описание должно включать следующие элементы:
- идентификатор уязвимости;
- наименование уязвимости;
- класс уязвимости;
- наименование программного обеспечения (ПО) и его версия.
[из 5.1.2 ГОСТ Р 56545-2015]
5.1.3 Для обеспечения работ по анализу уязвимостей ИС описание должно включать следующие элементы:
- идентификатор типа недостатка;
- тип недостатка;
- место возникновения (проявления) уязвимости;
- способ (правило) обнаружения уязвимости;
- возможные меры по устранению уязвимости.
[из 5.1.3 ГОСТ Р 56545-2015]
5.1.4 Для обеспечения детальной информации об уязвимости описание может включать следующие элементы:
- наименование операционной системы и тип аппаратной платформы;
- язык программирования ПО;
- служба (порт), которую(ый) используют для функционирования ПО;
- степень опасности уязвимости.
- краткое описание уязвимости;
- идентификаторы других систем описаний уязвимостей;
- дата выявления уязвимости;
- автор, опубликовавший информацию о выявленной уязвимости;
- критерии опасности уязвимости.
[из 5.1.4 ГОСТ Р 56545-2015]
5.1.5 Дополнительно описание уязвимости ИС может включать прочую информацию в составе следующих элементов:
- описание реализуемой технологии обработки (передачи) информации;
- описание конфигурации ПО, определяемой параметрами установки;
- описание настроек ПО, при которых выявлена уязвимость;
- описание полномочий (прав доступа) к ИС, необходимых нарушителю для эксплуатации уязвимости;
- описание возможных угроз безопасности информации, реализация которых возможна при эксплуатации уязвимости;
- описание возможных последствий от эксплуатации уязвимости ИС;
- наименование организации, которая опубликовала информацию о выявленной уязвимости;
- дата опубликования уведомления о выявленной уязвимости, а также дата устранения уязвимости разработчиком ПО;
- другие сведения.
[из 5.1.5 ГОСТ Р 56545-2015]