БИБЛИОТЕКА НОРМАТИВНЫХ ДОКУМЕНТОВ

ГОСТ Р 56545-2015. Национальный стандарт Российской Федерации. Защита информации. Уязвимости информационных систем. Правила описания уязвимостей

5. Структура и содержание описания уязвимостей

 

5.1 Общие требования к структуре описания уязвимости

5.1.1 Структура описания уязвимости должна обеспечивать достаточность информации для идентификации уязвимости ИС и выполнения работ по анализу уязвимостей ИС.

5.1.2 Для однозначной идентификации уязвимости описание должно включать следующие элементы:

- идентификатор уязвимости;

- наименование уязвимости;

- класс уязвимости;

- наименование программного обеспечения (ПО) и его версия.

5.1.3 Для обеспечения работ по анализу уязвимостей ИС описание должно включать следующие элементы:

- идентификатор типа недостатка;

- тип недостатка;

- место возникновения (проявления) уязвимости;

- способ (правило) обнаружения уязвимости;

- возможные меры по устранению уязвимости.

5.1.4 Для обеспечения детальной информации об уязвимости описание может включать следующие элементы:

- наименование операционной системы и тип аппаратной платформы;

- язык программирования ПО;

- служба (порт), которую(ый) используют для функционирования ПО;

- степень опасности уязвимости.

- краткое описание уязвимости;

- идентификаторы других систем описаний уязвимостей;

- дата выявления уязвимости;

- автор, опубликовавший информацию о выявленной уязвимости;

- критерии опасности уязвимости.

5.1.5 Дополнительно описание уязвимости ИС может включать прочую информацию в составе следующих элементов:

- описание реализуемой технологии обработки (передачи) информации;

- описание конфигурации ПО, определяемой параметрами установки;

- описание настроек ПО, при которых выявлена уязвимость;

- описание полномочий (прав доступа) к ИС, необходимых нарушителю для эксплуатации уязвимости;

- описание возможных угроз безопасности информации, реализация которых возможна при эксплуатации уязвимости;

- описание возможных последствий от эксплуатации уязвимости ИС;

- наименование организации, которая опубликовала информацию о выявленной уязвимости;

- дата опубликования уведомления о выявленной уязвимости, а также дата устранения уязвимости разработчиком ПО;

- другие сведения.

5.2 Общие требования к содержанию описания уязвимости

5.2.1 Содержание описания уязвимости должны обеспечить однозначность и полноту информации об уязвимости.

5.2.2 Элемент "Наименование уязвимости" представляет собой текстовую информацию об уязвимости, на основе которой возможно установить причину и (или) последствия уязвимости. Наименование уязвимости должно быть представлено на русском языке (в скобках на английском языке - при необходимости).

Пример - Описание уязвимости в части элемента "Наименования уязвимости": Уязвимость, приводящая к переполнению буфера в службе RPC DCOM в операционных системах Microsoft Windows 4.0/2000/XP/2003 (Vulnerability Windows XP RPCSS DCOM Buffer Overflow).

5.2.3 Элемент "Идентификатор уязвимости" представляет собой алфавитно-цифровой код, включающий код базы данных уязвимостей, год выявления уязвимости и порядковый номер уязвимости, выявленной в текущем году. При определении идентификатора уязвимости код базы данных уязвимостей, год выявления уязвимости и порядковый номер уязвимости должны быть отделены друг от друга знаком "-", при этом знак пробела не ставится.

Пример - Описание уязвимости в части элемента "Идентификатор уязвимости": XXX-2003-0813.

5.2.4 Элемент "Идентификаторы других систем описаний уязвимостей" представляет собой идентификаторы уязвимости в других системах описаний. Данный элемент включает идентификаторы уязвимости из общедоступных источников и содержит, как правило, цифровой или алфавитно-цифровой код. Описание может быть выполнено в виде гиперссылок в формате адресов URL.

Пример - Описание уязвимости в части элемента "Идентификаторы других систем описаний уязвимостей": CVE ID: CVE-2003-0813; Bugtraq ID: 52018; OSVDB ID: 65465; Qualys ID: 90777; Secunia Advisory: SA48183; SecurityTracker Alert ID: 1025250; Nessus Plugin ID: 38099.

5.2.5 Элемент "Краткое описание уязвимости" представляет собой текстовую информацию об уязвимости и возможностях ее использования.

Пример - Описание уязвимости в части элемента "Краткое описание уязвимости": уязвимость обнаружена в службе RPC DCOM. Нарушитель может вызвать отказ в обслуживании (аварийное завершение работы системы или перезагрузка), создавая два потока для одного и того же RPC-запроса. По сообщению разработчика, уязвимость может использоваться для выполнения произвольного кода в уязвимой системе. Разработчик оценил, что уязвимость имеет "критический" уровень опасности.

5.2.6 Элемент "Класс уязвимости" представляет собой текстовую информацию, которую определяют в соответствии с ГОСТ Р 56546-2015.

Пример - Описание уязвимости в части элемента "Класс уязвимости": уязвимость кода.

5.2.7 Элемент "Наименование программного обеспечения и его версия" представляет собой информацию о наименовании ПО и его версии.

Пример - Описание уязвимости в части элемента "Наименование программного обеспечения и его версия": RPC/DCOM Microsoft Windows 4.0/2000/XP/2003.

5.2.8 Элемент "Служба (порт), которую(ый) используют для функционирования программного обеспечения" представляет собой комбинированную информацию о службе (системной или сетевой), о сетевом порте, который используют для функционирования ПО, и о наименовании сетевого протокола передачи данных. Номер сетевого порта и наименование сетевого протокола передачи данных отделяют друг от друга знаком "/".

Примечание - Служба (порт), которую(ый) используют для функционирования программного обеспечения, может не иметь постоянного значения. Программному обеспечению может быть назначен порт по умолчанию, но практически любое ПО может быть переконфигурировано на другой порт.

 

Пример - Описание уязвимости в части элемента "Служба (порт), которую(ый) используют для функционирования программного обеспечения": RPC 139/tcp.

5.2.9 Элемент "Язык программирования программного обеспечения" представляет собой наименование языка программирования, используемого при разработке (представлении) ПО. Современное ПО, как правило, разрабатывают с использованием семейства языков программирования, поэтому данный элемент может включать информацию о технологии (среде) программирования.

Пример - Описание уязвимости в части элемента "Язык программирования программного обеспечения": C++.

5.2.10 Элемент "Тип недостатка" представляет собой текстовую информацию, которую определяют в соответствии с ГОСТ Р 56546-2015.

Пример - Описание уязвимости в части элемента "Тип недостатка": недостатки, связанные с переполнением буфера памяти.

5.2.11 Элемент "Идентификатор типа недостатка" представляет собой уникальный идентификатор типа недостатка и содержит алфавитно-цифровой код. Идентификатор может быть взят (и при необходимости дополнен) из общедоступных источников.

Пример - Описание уязвимости в части элемента "Идентификатор типа недостатка": CWE-119.

5.2.12 Элемент "Место возникновения (проявления) уязвимости" представляет собой текстовую информацию о компонентах информационной системы, которые содержат рассматриваемую уязвимость.

Пример - Описание уязвимости в части элемента "Место возникновения (проявления) уязвимости": уязвимость в общесистемном (общем) программном обеспечении.

5.2.13 Элемент "Наименование операционной системы и тип аппаратной платформы" представляет собой информацию об операционной системе и типе аппаратной платформы. Типами аппаратной платформы являются: IA-32, IA-64, X86, ARM, PA-RISC, SPARC, System z и другие.

Пример - Описание уязвимости в части элемента "Наименование операционной системы и тип аппаратной платформы": Microsoft Windows 4.0/2000/XP/2003 (x32).

5.2.14 Элемент "Дата выявления уязвимости" представляет собой информацию о дате выявления уязвимости в формате ДД/ММ/ГГГГ. Дата выявления уязвимости в случае фактической невозможности ее установления считается совпадающей с датой регистрации сообщения об уязвимости в базе данных уязвимостей.

Пример - Описание уязвимости в части элемента "Дата выявления уязвимости": 23/12/2004.

5.2.15 Элемент "Автор, опубликовавший информацию о выявленной уязвимости" представляет собой информацию об авторе, который обнаружил и опубликовал уязвимость первым.

Примечание - Элемент является необязательным к заполнению. Размещение информации об авторе осуществляется с учетом [2].

 

5.2.16 Элемент "Способ (правило) обнаружения уязвимости" представляет собой формализованное правило определения уязвимости. Способ (правило) обнаружения уязвимости позволяет при помощи специальной процедуры провести проверку наличия уязвимости.

Пример - Описание уязвимости в части элемента "Способ (правило) обнаружения уязвимости" на языке описания OVAL:

 

AND Software section

Criterion: Windows XP is installed

registry_test (oval:org.mitre.oval:tst:2838): check_existence = at_least_one_exists,

check = at least one

registry_object (oval:org.mitre.oval:obj:419): hive: HKEY_LOCAL_MACHINE

key: SOFTWARE\Microsoft\Windows NT\CurrentVersion

name: CurrentVersion

registry_state (oval:org.mitre.oval:ste:2657):

value: 5.1

OR a vulnerable version of rpcrt4.dll exists on XP

AND 32-bit version of Windows and a vulnerable version of rpcrt4.dll exists

Criterion: 32-Bit version of Windows is installed

registry_test (oval:org.mitre.oval:tst:2748): check_existence = at_least_one_exists,

check = at least one

registry_object (oval:org.mitre.oval:obj:1576): hive: HKEY_LOCAL_MACHINE

key: SYSTEM\CurrentControlSet\Control\Session Manager\Environment

name: PROCESSOR_ARCHITECTURE

registry_state (oval:org.mitre.oval:ste:2569):

value: x86

 

Примечание - OVAL (Open Vulnerability and Assessment Language) - открытый язык описания уязвимостей и проведения оценок. OVAL детально описывает метод проверки параметров конфигурации для определения наличия уязвимости.

 

5.2.17 Элемент "Критерии опасности уязвимости" представляет собой совокупность информации о критериях, используемых при оценке степени опасности уязвимости, и о их значениях. Каждый критерий может принимать значения, согласно следующей номенклатуре:

- критерий "тип доступа" (локальный, удаленный, другой тип доступа);

- критерий "условия доступа" (управление доступом, другие условия, управление доступом не применяется);

- критерий "требования аутентификации" (однократная аутентификация, использование (многократный ввод) различной аутентификационной информации, аутентификация не требуется);

- критерий "влияние на конфиденциальность" (не оказывает влияния, нарушение конфиденциальности);

- критерий "влияние на целостность" (не оказывает влияния, нарушение целостности);

- критерий "влияние на доступность" (не оказывает влияния, нарушение доступности).

Примечание - Примером описания критериев опасности уязвимости является базовый вектор уязвимости в соответствии с Common Vulnerability Scoring System <1>.

--------------------------------

<1> Common Vulnerability Scoring System (CVSS) - общая система оценки уязвимости опубликована на официальном сайте сообщества FIRST по адресу URL: http://www.first.org/cvss.

 

5.2.18 Элемент "Степень опасности уязвимости" представляет собой текстовую информацию, которая может принимать одно из четырех значений: критический, высокий, средний и низкий уровень опасности. Степень опасности определяют в соответствии с отдельной методикой.

Пример - Описание уязвимости в части элемента "Степень опасности уязвимости"; высокий уровень опасности.

 

5.2.19 Элемент "Возможные меры по устранению уязвимости" включает в себя предложения и рекомендации по устранению выявленных уязвимостей или исключению возможности использования нарушителем выявленных уязвимостей. Предложения и рекомендации должны содержать ссылки на необходимое ПО и (или) описание конфигураций ПО, для которых угрозы безопасности информации, использующие данную уязвимость, не являются актуальными.

Пример - Описание уязвимости в части элемента "Возможные меры по устранению уязвимости":

Установите соответствующее обновление:

Microsoft Windows NT Server 4.0 Service Pack 6a;

Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6;

Microsoft Windows XP and Microsoft Windows XP Service Pack 1;

Microsoft Windows XP 64-Bit Edition Service Pack 1;

Microsoft Windows XP 64-Bit Edition Version 2003;

Microsoft Windows Server 2003 64-Bit Edition.

5.2.20 Элементы описания уязвимости с прочей информацией представляют собой текстовую информацию, которая позволяет дополнить общую информацию об уязвимости (см. 5.1.5).

Пример - Описание уязвимости в части элемента "Прочая информация": специальных полномочий (прав доступа) по отношению к ИС нарушителю не требуется.

 

 

 

 

TelegramПодписаться на обновления
Реклама. ООО ЛИТРЕС
Реклама. ООО ЛИТРЕС, ИНН 7719571260, erid: 2VfnxyNkZrY
TOC