Из ГОСТ Р 56545-2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей

5.2.5 ГОСТ Р 56545-2015

5.2.5 Элемент «Краткое описание уязвимости» представляет собой текстовую информацию об уязвимости и возможностях ее использования.

Пример - Описание уязвимости в части элемента «Краткое описание уязвимости»: уязвимость обнаружена в службе RPC DCOM. Нарушитель может вызвать отказ в обслуживании (аварийное завершение работы системы или перезагрузка), создавая два потока для одного и того же RPC-запроса. По сообщению разработчика, уязвимость может использоваться для выполнения произвольного кода в уязвимой системе. Разработчик оценил, что уязвимость имеет «критический» уровень опасности [из 5.2.5 ГОСТ Р 56545-2015]

    5.2.6 ГОСТ Р 56545-2015

    5.2.6 Элемент «Класс уязвимости» представляет собой текстовую информацию, которую определяют в соответствии с ГОСТ Р 56546.

    Пример - Описание уязвимости в части элемента «Класс уязвимости»: уязвимость кода [из 5.2.6 ГОСТ Р 56545-2015]

      5.2.7 ГОСТ Р 56545-2015

      5.2.7 Элемент «Наименование программного обеспечения и его версия» представляет собой информацию о наименовании ПО и его версии.

      Пример - Описание уязвимости в части элемента «Наименование программного обеспечения и его версия»: RPC/DCOM Microsoft Windows 4.0/2000/ХР/2003 [из 5.2.7 ГОСТ Р 56545-2015]

        5.2.8 ГОСТ Р 56545-2015

        5.2.8 Элемент «Служба (порт), которую(ый) используют для функционирования ПО», представляет собой комбинированную информацию о службе (системной или сетевой), о сетевом порте, который используют для функционирования ПО, и о наименовании сетевого протокола передачи данных. Номер сетевого порта и наименование сетевого протокола передачи данных отделяют друг от друга знаком «/».

        Примечание - Служба (порт), которую(ый) используют для функционирования ПО, может не иметь постоянного значения. ПО может быть назначен порт по умолчанию, но практически любое ПО может быть переконфигурировано на другой порт.

        Пример - Описание уязвимости в части элемента «Служба (порт), которую(ый) используют для функционирования ПО»: RPC 139/tcp [из 5.2.8 ГОСТ Р 56545-2015]

          5.2.9 ГОСТ Р 56545-2015

          5.2.9 Элемент «Язык программирования ПО» представляет собой наименование языка программирования, используемого при разработке (представлении) ПО. Современное ПО, как правило, разрабатывают с использованием семейства языков программирования, поэтому данный элемент может включать информацию о технологии (среде) программирования.

          Пример - Описание уязвимости в части элемента «Язык программирования ПО»: C++ [из 5.2.9 ГОСТ Р 56545-2015]

            Библиография ГОСТ Р 56545-2015

            [1] Федеральный закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 149-ФЗ

            [2] Федеральный закон Российской Федерации «О персональных данных» от 27 июля 2006 г. № 152-ФЗ

            [из Библиография ГОСТ Р 56545-2015]

              Введение ГОСТ Р 56545-2015

              Настоящий стандарт входит в комплекс стандартов, устанавливающих классификацию уязвимостей, правила описания уязвимостей, содержание и порядок выполнения работ по выявлению и оценке уязвимостей информационных систем (ИС).

              Настоящий стандарт распространяется на деятельность по защите информации, связанную с выявлением, описанием, устранением или исключением возможности использования уязвимостей ИС при разработке, внедрении и эксплуатации ИС.

              В настоящем стандарте приняты правила описания уязвимостей, которые могут быть использованы специалистами по информационной безопасности при создании и ведении базы данных уязвимостей ИС, разработке средств контроля (анализа) защищенности информации, разработке моделей угроз безопасности информации и проектировании систем защиты информации, проведении работ по идентификации, выявлению уязвимостей, их анализу и устранению [из Введение ГОСТ Р 56545-2015]

                ГОСТ Р 56545-2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей

                ГОСТ Р 56545-2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей. Information protection. Vulnerabilities in information systems. Rules of vulnerabilities description. УДК 004: 006.354 ОКС 35.020. Редакция от 10.11.2022.

                  Из ГОСТ Р 56545-2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей

                  Из ГОСТ Р 56545-2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей

                  ГОСТ Р 56545-2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей. Information protection. Vulnerabilities in information systems. Rules of vulnerabilities description. УДК 004: 006.354 ОКС 35.020. Редакция от 10.11.2022.

                    Страницы

                    Подписка на Из ГОСТ Р 56545-2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей