Из ГОСТ Р 56546-2015 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем

ГОСТ Р 56546—2015 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем. Information protection. Vulnerabilities in information systems. The classification of vulnerabilities in information systems. УДК 004: 006.354 ОКС 35.020. Редакция от 11.12.2023.

Введение ГОСТ Р 56546-2015

Настоящий стандарт входит в комплекс стандартов, устанавливающих классификацию уязвимостей, правила описания уязвимостей, содержание и порядок выполнения работ по выявлению и оценке уязвимостей информационных систем (ИС).

Настоящий стандарт распространяется на деятельность по защите информации, связанную с выявлением и устранением уязвимостей ИС, при создании и эксплуатации ИС.

В настоящем стандарте принята классификация уязвимостей ИС исходя из области происхождения уязвимостей, типов недостатков ИС и мест возникновения (проявления) уязвимостей ИС [из Введение ГОСТ Р 56546—2015]

1 Область применения ГОСТ Р 56546-2015

Настоящий стандарт устанавливает классификацию уязвимостей информационных систем (ИС). Настоящий стандарт направлен на совершенствование методического обеспечения определения и описания угроз безопасности информации при проведении работ по защите информации в ИС.

Настоящий стандарт не распространяется на уязвимости ИС, связанные с утечкой информации по техническим каналам, в том числе уязвимости электронных компонентов технических (аппаратных и аппаратно–программных) средств ИС [из 1 Область применения ГОСТ Р 56546—2015]

3 Термины и определения ГОСТ Р 56546-2015

В настоящем стандарте применены термины по ГОСТ Р 50922, а также следующие термины с соответствующими определениями:

Информационная система по ГОСТ Р 56546-2015

Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

ПримечаниеОпределение термина соответствует [1].

[из 3.1 ГОСТ Р 56546—2015]

Информационная технология (технология обработки (передачи) информации в информационной системе) по ГОСТ Р 56546-2015

Процесс, метод поиска, сбора, хранения, обработки, предоставления, распространения информации и способ осуществления таких процессов и методов [из 3.4 ГОСТ Р 56546—2015]

Конфигурация информационной системы по ГОСТ Р 56546-2015

Взаимосвязанные структурно–функциональные характеристики информационной системы, включающие структуру и состав информационной системы, физические, логические, функциональные и технологические взаимосвязи между компонентами информационной системы, с иными информационными системами и информационно–телекоммуникационными сетями, а также с полномочиями субъектов доступа к объектам доступа информационной системы [из 3.5 ГОСТ Р 56546—2015]

Организационная уязвимость по ГОСТ Р 56546-2015

Уязвимость, появившаяся в связи с отсутствием (или недостатками) организационных мер защиты информации в информационной системе и (или) несоблюдением правил эксплуатации системы защиты информации информационной системы, требований организационно–распорядительных документов по защите информации и (или) несвоевременном выполнении соответствующих действий должностным лицом (работником) или подразделением, ответственным за защиту информации [из 3.11 ГОСТ Р 56546—2015]

Степень опасности уязвимости по ГОСТ Р 56546-2015

Мера (сравнительная величина), характеризующая подверженность информационной системы уязвимости и ее влияние на нарушение свойств безопасности информации (конфиденциальность, целостность, доступность) [из 3.14 ГОСТ Р 56546—2015]

4 Основные положения ГОСТ Р 56546-2015

4.1 В основе классификации уязвимостей ИС используются следующие классификационные признаки:

Примечание — В качестве уязвимых компонентов ИС рассматриваются общесистемное (общее), прикладное, специальное программное обеспечение (ПО), технические средства, сетевое (коммуникационное, телекоммуникационное) оборудование, средства защиты информации.

[из 4.1 ГОСТ Р 56546—2015]

5 Классификация ГОСТ Р 56546-2015

5.1 Уязвимости ИС по области происхождения подразделяются на следующие классы:

Примечание — В целях выявления и оценки уязвимостей информационных систем могут выделяться подклассы уязвимостей.

[из 5.1 ГОСТ Р 56546—2015]

5.2 Уязвимости ИС по типам недостатков ИС подразделяются на следующие:

Примечание — Неправильная настройка параметров ПО заключается в отсутствии необходимого параметра, присвоении параметру неправильных значений, наличии избыточного числа параметров или неопределенных параметров ПО.

[из 5.2.(1) Недостатки, связанные с неправильной настройкой параметров ПО ГОСТ Р 56546—2015]

Примечание — Недостаточность проверки вводимых (входных) данных заключается в отсутствии проверки значений, избыточном количестве значений, неопределенности значений вводимых (входных) данных.

[из 5.2.(2) Недостатки, связанные с неполнотой проверки вводимых (входных) данных ГОСТ Р 56546—2015]

  • недостатки, связанные с возможностью прослеживания пути доступа к каталогам.

Примечание — Прослеживание пути доступа к каталогам заключается в отслеживании пути доступа к каталогу (по адресной строке/составному имени) и получении доступа к предыдущему/корневому месту хранения данных.

[из 5.2.(3) Недостатки, связанные с возможностью прослеживания пути доступа к каталогам ГОСТ Р 56546—2015]

  • недостатки, связанные с возможностью перехода по ссылкам.

Примечание — Переход по ссылкам связан с возможностью внедрения нарушителем ссылки на сторонние ресурсы, которые могут содержать вредоносный код. Для файловых систем недостатками являются символьные ссылки и возможности прослеживания по ним нахождения ресурса, доступ к которому ограничен.

[из 5.2.(4) Недостатки, связанные с возможностью перехода по ссылкам ГОСТ Р 56546—2015]

  • недостатки, связанные с возможностью внедрения команд ОС.

Примечание — Внедрение команд ОС заключается в возможности выполнения пользователем команд ОС (например, просмотра структуры каталогов, копирование, удаление файлов и другие команды).

[из 5.2.(5) Недостатки, связанные с возможностью внедрения команд ОС ГОСТ Р 56546—2015]

  • недостатки, связанные с межсайтовым скриптингом (выполнением сценариев).

Примечание — Межсайтовый скриптинг обычно распространен в веб–приложениях и позволяет внедрять код в веб–страницы, которые могут просматривать нелегитимные пользователи. Примерами такого кода являются скрипты, выполняющиеся на стороне пользователя.

[из 5.2.(6) Недостатки, связанные с межсайтовым скриптингом (выполнением сценариев) ГОСТ Р 56546—2015]

Примечание — Недостатки связаны с внедрением интерпретируемых операторов языков программирования (например, операции выбора, добавления, удаления и другие) или разметки в исходный код веб–приложения.

[из 5.2.(7) Недостатки, связанные с внедрением интерпретируемых операторов языков программирования или разметки ГОСТ Р 56546—2015]

  • недостатки, связанные с внедрением произвольного кода.

Примечание — Недостатки связаны с внедрением произвольного кода и части кода, которые могут приводить к нарушению процесса выполнения операций.

[из 5.2.(8) Недостатки, связанные с внедрением произвольного кода ГОСТ Р 56546—2015]

Примечание — Переполнение буфера возникает в случае, когда ПО осуществляет запись данных за пределами выделенного в памяти буфера. Переполнение буфера обычно возникает из–за неправильной работы с данными, полученными извне, и памятью, при отсутствии защиты со стороны среды программирования и ОС. В результате переполнения буфера могут быть испорчены данные, расположенные следом за буфером или перед ним. Переполнение буфера может вызывать аварийное завершение или зависание ПО. Отдельные виды переполнений буфера (например, переполнение в стековом кадре) позволяют нарушителю выполнить произвольный код от имени ПО и с правами учетной записи, от которой она выполняется.

[из 5.2.(9) Недостатки, связанные с переполнением буфера памяти ГОСТ Р 56546—2015]

  • недостатки, связанные с неконтролируемой форматной строкой.

Примечание — Форматная строка в языках C/C++ является специальным аргументом функции с динамически изменяемым числом параметров. Ее значение в момент вызова функции определяет фактическое количество и типы параметров функции. Ошибки форматной строки потенциально позволяют нарушителю динамически изменять путь исполнения программы, в ряде случаев — внедрять произвольный код.

[из 5.2.(10) Недостатки, связанные с неконтролируемой форматной строкой ГОСТ Р 56546—2015]

  • недостатки, связанные с вычислениями.

Примечание — К недостаткам, связанным с вычислениями, относятся следующие:

  • некорректный диапазон, когда ПО использует неверное максимальное или минимальное значение, которое отличается от верного на единицу в большую или меньшую сторону;
  • ошибка числа со знаком, когда нарушитель может вводить данные, содержащие отрицательное целое число, которые программа преобразует в положительное нецелое число;
  • ошибка усечения числа, когда часть числа отсекается (например, вследствие явного или неявного преобразования или иных переходов между типами чисел);
  • ошибка индикации порядка байтов в числах, когда в ПО смешивается порядок обработки битов (например, обратный и прямой порядок битов), что приводит к неверному числу в содержимом, имеющем критическое значение для безопасности;
  • недостатки, приводящие к утечке/раскрытию информации ограниченного доступа.

ПримечаниеУтечка информации — преднамеренное или неумышленное разглашение информации ограниченного доступа (например, существуют утечки информации при генерировании ПО сообщения об ошибке, которое содержит сведения ограниченного доступа). Недостатки, приводящие к утечке/раскрытию информации ограниченного доступа, могут возникать вследствие наличия иных ошибок (например, ошибок, связанных с использованием скриптов).

[из 5.2.(11) Недостатки, связанные с вычислениями ГОСТ Р 56546—2015]

Примечание — К недостаткам, связанным с управлением полномочиями (учетными данными) относятся, например, нарушение политики разграничения доступа, отсутствие необходимых ролей пользователей, ошибки при удалении ненужных учетных данных и другие.

[из 5.2.(12) Недостатки, связанные с управлением полномочиями (учетными данными) ГОСТ Р 56546—2015]

  • недостатки, связанные с управлением разрешениями, привилегиями и доступом.

Примечание — К недостаткам, связанным с управлением разрешениями, привилегиями и доступом, относятся, например, превышение привилегий и полномочий, необоснованное наличие суперпользователей в системе, нарушение политики разграничения доступа и другие.

[из 5.2.(13) Недостатки, связанные с управлением разрешениями, привилегиями и доступом ГОСТ Р 56546—2015]

Примечание — К недостаткам, связанным с аутентификацией, относятся возможность обхода аутентификации, ошибки логики процесса аутентификации, отсутствие запрета множественных неудачных попыток аутентификации, отсутствие требования аутентификации для выполнения критичных функций.

[из 5.2.(14) Недостатки, связанные с аутентификацией ГОСТ Р 56546—2015]

Примечание — К недостаткам, связанным с криптографическими преобразованиями, относятся ошибки хранения информации в незашифрованном виде, ошибки при управлении ключами, использование несертифицированных средств криптографической защиты информации.

[из 5.2.(15) Недостатки, связанные с криптографическими преобразованиями (недостатки шифрования) ГОСТ Р 56546—2015]

  • недостатки, связанные с подменой межсайтовых запросов.

Примечание — Подмена межсайтового запроса заключается в том, что используемое ПО не осуществляет или не может осуществить проверку правильности формирования запроса.

из 5.2.(16) Недостатки, связанные с подменой межсайтовых запросов ГОСТ Р 56546—2015]

  • недостатки, приводящие к «состоянию гонки».

Примечание — «Состояние гонки» — ошибка проектирования многопоточной системы или приложения, при которой функционирование системы или приложения зависит от порядка выполнения части кода. «Состояние гонки» является специфической ошибкой, проявляющейся в случайные моменты времени.

[из 5.2.(17) Недостатки, приводящие к «состоянию гонки» ГОСТ Р 56546—2015]

Примечание — К недостаткам управления ресурсами относятся недостаточность мер освобождения выделенных участков памяти после использования, что приводит к сокращению свободных областей памяти, и отсутствие очистки ресурса и процессов от сведений ограниченного доступа перед повторным использованием и другие.

[из 5.2.(18) Недостатки, связанные с управлением ресурсами ГОСТ Р 56546—2015]

5.3 Уязвимости ИС по месту возникновения (проявления) подразделяются на следующие:

Примечание — К уязвимостям в общесистемном (общем) ПО относятся уязвимости ОС (уязвимости файловых систем, уязвимости режимов загрузки, уязвимости, связанные с наличием средств разработки и отладки ПО, уязвимости механизмов управления процессами и другие), уязвимости систем управления базами данных (уязвимости серверной и клиентской частей системы управления базами данных, уязвимости специального инструментария, уязвимости исполняемых объектов баз данных (хранимые процедуры, триггеры) и другие), уязвимости иных типов общесистемного (общего) ПО.

[из 5.3.(1) Уязвимости в общесистемном (общем) ПО ГОСТ Р 56546—2015]

Примечание — К уязвимостям в прикладном ПО относятся уязвимости офисных пакетов программ и иных типов прикладного ПО (наличие средств разработки мобильного кода, недостатки механизмов контроля исполнения мобильного кода, ошибки программирования, наличие функциональных возможностей, способных оказать влияние на средства защиты информации, и другие уязвимости).

[из 5.3.(2) Уязвимости в прикладном ПО ГОСТ Р 56546—2015]

Примечание — К уязвимостям в специальном ПО относятся уязвимости ПО, разработанного для решения специфических задач конкретной ИС (ошибки программирования, наличие функциональных возможностей, способных оказать влияние на средства защиты информации, недостатки механизмов разграничения доступа к объектам специального ПО и другие уязвимости).

[из 5.3.(3) Уязвимости в специальном ПО ГОСТ Р 56546—2015]

Примечание — К уязвимостям в технических средствах относятся уязвимости ПО технических средств (уязвимости микропрограмм в постоянных запоминающих устройствах, уязвимости микропрограмм в программируемых логических интегральных схемах, уязвимости базовой системы ввода—вывода, уязвимости ПО контроллеров управления, интерфейсов управления и другие уязвимости), иные уязвимости технических средств.

[из 5.3.(4) Уязвимости в технических средствах ГОСТ Р 56546—2015]

Примечание — К уязвимостям в портативных технических средствах относятся уязвимости ОС мобильных (портативных) устройств, уязвимости приложений для получения с мобильного устройства доступа к Интернет–сервисам, уязвимости интерфейсов беспроводного доступа, иные уязвимости портативных технических средств.

[из 5.3.(5) Уязвимости в портативных технических средствах ГОСТ Р 56546—2015]

Примечание — К уязвимостям в сетевом (коммуникационном, телекоммуникационном) оборудовании относятся уязвимости маршрутизаторов, коммутаторов, концентраторов, мультиплексоров, мостов и телекоммуникационного оборудования иных типов (уязвимости протоколов и сетевых сервисов, уязвимости средств и протоколов управления телекоммуникационным оборудованием, недостатки механизмов управления потоками информации, недостатки механизмов разграничения доступа к функциям управления телекоммуникационным оборудованием, другие уязвимости).

[из 5.3.(6) Уязвимости в сетевом (коммуникационном, телекоммуникационном) оборудовании ГОСТ Р 56546—2015]

Примечание — К уязвимостям в средствах защиты информации относятся уязвимости в средствах управления доступом, средствах идентификации и аутентификации, средствах контроля целостности, средствах доверенной загрузки, средствах антивирусной защиты, системах обнаружения вторжений, средствах межсетевого экранирования, средствах управления потоками информации, средствах ограничения программной среды, средствах стирания информации и контроля удаления информации, средствах защиты каналов передачи информации, уязвимости в иных средствах защиты информации (ошибки программирования, недостатки, связанные с возможностью обхода, отключения, преодоления функций безопасности, другие уязвимости).

[из 5.3.(7) Уязвимости в средствах защиты информации ГОСТ Р 56546—2015]