Из ГОСТ Р 56545-2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей

ГОСТ Р 56545-2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей. Information protection. Vulnerabilities in information systems. Rules of vulnerabilities description. УДК 004: 006.354 ОКС 35.020. Редакция от 10.11.2022.

5.1.2 ГОСТ Р 56545-2015

5.1.2 Для однозначной идентификации уязвимости описание должно включать следующие элементы:

идентификатор уязвимости;
наименование уязвимости;
класс уязвимости;
наименование программного обеспечения (ПО) и его версия.

[из 5.1.2 ГОСТ Р 56545-2015]

Из ГОСТ Р 56545-2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей

⇪В 33138 💥

Открыть в новой вкладке

5.1.3 ГОСТ Р 56545-2015

5.1.3 Для обеспечения работ по анализу уязвимостей ИС описание должно включать следующие элементы:

идентификатор типа недостатка;
тип недостатка;
место возникновения (проявления) уязвимости;
способ (правило) обнаружения уязвимости;
возможные меры по устранению уязвимости.

[из 5.1.3 ГОСТ Р 56545-2015]

Из ГОСТ Р 56545-2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей

⇪В 33138 💥

Открыть в новой вкладке

5.1.4 ГОСТ Р 56545-2015

5.1.4 Для обеспечения детальной информации об уязвимости описание может включать следующие элементы:

наименование операционной системы и тип аппаратной платформы;
язык программирования ПО;
служба (порт), которую(ый) используют для функционирования ПО;
степень опасности уязвимости.
краткое описание уязвимости;
идентификаторы других систем описаний уязвимостей;
дата выявления уязвимости;
автор, опубликовавший информацию о выявленной уязвимости;
критерии опасности уязвимости.

[из 5.1.4 ГОСТ Р 56545-2015]

Из ГОСТ Р 56545-2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей

⇪В 33138 💥

Открыть в новой вкладке

5.1.5 ГОСТ Р 56545-2015

5.1.5 Дополнительно описание уязвимости ИС может включать прочую информацию в составе следующих элементов:

описание реализуемой технологии обработки (передачи) информации;
описание конфигурации ПО, определяемой параметрами установки;
описание настроек ПО, при которых выявлена уязвимость;
описание полномочий (прав доступа) к ИС, необходимых нарушителю для эксплуатации уязвимости;
описание возможных угроз безопасности информации, реализация которых возможна при эксплуатации уязвимости;
описание возможных последствий от эксплуатации уязвимости ИС;
наименование организации, которая опубликовала информацию о выявленной уязвимости;
дата опубликования уведомления о выявленной уязвимости, а также дата устранения уязвимости разработчиком ПО;
другие сведения.

[из 5.1.5 ГОСТ Р 56545-2015]

Из ГОСТ Р 56545-2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей

⇪В 33138 💥

Открыть в новой вкладке

5.2 Общие требования к содержанию описания уязвимости ГОСТ Р 56545-2015

Из ГОСТ Р 56545-2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей

⇪В 33137 💥

Открыть в новой вкладке

5.2.1 ГОСТ Р 56545-2015

5.2.1 Содержание описания уязвимости должно обеспечить однозначность и полноту информации об уязвимости [из 5.2.1 ГОСТ Р 56545-2015]

Из ГОСТ Р 56545-2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей

⇪В 33144 💥

Открыть в новой вкладке

5.2.10 ГОСТ Р 56545-2015

5.2.10 Элемент «Тип недостатка» представляет собой текстовую информацию, которую определяют в соответствии с ГОСТ Р 56546.

Пример - Описание уязвимости в части элемента «Тип недостатка»: недостатки, связанные с переполнением буфера памяти [из 5.2.10 ГОСТ Р 56545-2015]

Из ГОСТ Р 56545-2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей

⇪В 33144 💥

Открыть в новой вкладке

5.2.11 ГОСТ Р 56545-2015

5.2.11 Элемент «Идентификатор типа недостатка» представляет собой уникальный идентификатор типа недостатка и содержит алфавитно-цифровой код. Идентификатор может быть взят (и при необходимости дополнен) из общедоступных источников.

Пример - Описание уязвимости в части элемента «Идентификатор типа недостатка»: CWE-119 [из 5.2.11 ГОСТ Р 56545-2015]

Из ГОСТ Р 56545-2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей

⇪В 33144 💥

Открыть в новой вкладке

5.2.12 ГОСТ Р 56545-2015

5.2.12 Элемент «Место возникновения (проявления) уязвимости» представляет собой текстовую информацию о компонентах информационной системы, которые содержат рассматриваемую уязвимость.

Пример - Описание уязвимости в части элемента «Место возникновения (проявления) уязвимости»: уязвимость в общесистемном (общем) ПО [из 5.2.12 ГОСТ Р 56545-2015]

Из ГОСТ Р 56545-2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей

⇪В 33144 💥

Открыть в новой вкладке

5.2.13 ГОСТ Р 56545-2015

5.2.13 Элемент «Наименование операционной системы и тип аппаратной платформы» представляет собой информацию об операционной системе и типе аппаратной платформы. Типами аппаратной платформы являются: IA-32, IA-64, Х86, ARM, РА-RISC, SPARC, System z и другие.

Пример - Описание уязвимости в части элемента «Наименование операционной системы и тип аппаратной платформы»: Microsoft Windows 4.0/2000/ХР/2003 (х32) [из 5.2.13 ГОСТ Р 56545-2015]