Утвержден и введен в действие
Приказом Федерального агентства
по техническому регулированию
и метрологии
от 19 августа 2015 г. N 1180-ст
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ЗАЩИТА ИНФОРМАЦИИ
УЯЗВИМОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ
ПРАВИЛА ОПИСАНИЯ УЯЗВИМОСТЕЙ
Information protection. Vulnerabilities in information
systems. Rules of vulnerabilities description
ГОСТ Р 56545-2015
ОКС 35.020
Дата введения
1 апреля 2016 года
Предисловие
1 РАЗРАБОТАН Обществом с ограниченной ответственностью "Центр безопасности информации" (ООО "ЦБИ")
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 "Защита информации"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 19 августа 2015 г. N 1180-ст
4 ВВЕДЕН ВПЕРВЫЕ
Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомления и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Введение
Настоящий стандарт входит в комплекс стандартов, устанавливающих классификацию уязвимостей, правила описания уязвимостей, содержание и порядок выполнения работ по выявлению и оценке уязвимостей информационных систем (ИС).
Настоящий стандарт распространяется на деятельность по защите информации, связанную с выявлением, описанием, устранением или исключением возможности использования уязвимостей ИС при разработке, внедрении и эксплуатации ИС.
В настоящем стандарте приняты правила описания уязвимостей, которые могут быть использованы специалистами по информационной безопасности при создании и ведении базы данных уязвимостей ИС, разработке средств контроля (анализа) защищенности информации, разработке моделей угроз безопасности информации и проектировании систем защиты информации, проведении работ по идентификации, выявлению уязвимостей, их анализу и устранению.
1. Область применения
Настоящий стандарт устанавливает общие требования к структуре описания уязвимости и правилам описания уязвимости информационной системы (ИС). В настоящем стандарте принята структура описания уязвимости, использование которой позволит обеспечить достаточность информации для идентификации уязвимости ИС и выполнения работ по анализу уязвимостей ИС.
Настоящий стандарт не распространяется на уязвимости ИС, связанные с утечкой информации по техническим каналам, в том числе уязвимостями электронных компонентов технических (аппаратных и аппаратно-программных) средств информационных систем.
2. Нормативные ссылки
В настоящем стандарте использована нормативная ссылка на следующий стандарт:
ГОСТ Р 56546-2015 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте национального органа Российской Федерации по стандартизации в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
3. Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1 информационная система: Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Примечание - Определение термина соответствует [1].
3.2 угроза безопасности информации: Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.
3.3 уязвимость: Недостаток (слабость) программного (программно-технического) средства или информационной системы в целом, который (которая) может быть использована для реализации угроз безопасности информации.
3.4 правила описания уязвимости: Совокупность положений, регламентирующих структуру и содержание описания уязвимости.
3.5 описание уязвимости: Информация о выявленной уязвимости.
3.6 паспорт уязвимости: Документ (формализованное представление), содержащий описание уязвимости, определяющий характеристики уязвимости и выполненный в соответствии с правилами описания уязвимости.
3.7 известная уязвимость: Уязвимость, опубликованная в общедоступных источниках с описанием соответствующих мер защиты информации, исправлений недостатков или соответствующих обновлений.
3.8 уязвимость нулевого дня: Уязвимость, которая становится известной до момента выпуска разработчиком компонента информационной системы соответствующих мер защиты информации, исправлений недостатков или соответствующих обновлений.
3.9 впервые выявленная уязвимость: Уязвимость, неопубликованная в общедоступных источниках.
4. Основные положения
4.1 Описание уязвимости ИС выполняется в соответствии с правилами описания.
4.2 Правила описания уязвимостей ИС распространяются на известные уязвимости, уязвимости нулевого дня и впервые выявленные уязвимости.
4.3 Описание уязвимости ИС оформляется в виде паспорта уязвимости, форма которого и пример заполнения представлены в таблице А.1 (приложение А).
5. Структура и содержание описания уязвимостей
5.1 Общие требования к структуре описания уязвимости
5.1.1 Структура описания уязвимости должна обеспечивать достаточность информации для идентификации уязвимости ИС и выполнения работ по анализу уязвимостей ИС.
5.1.2 Для однозначной идентификации уязвимости описание должно включать следующие элементы:
- идентификатор уязвимости;
- наименование уязвимости;
- класс уязвимости;
- наименование программного обеспечения (ПО) и его версия.
5.1.3 Для обеспечения работ по анализу уязвимостей ИС описание должно включать следующие элементы:
- идентификатор типа недостатка;
- тип недостатка;
- место возникновения (проявления) уязвимости;
- способ (правило) обнаружения уязвимости;
- возможные меры по устранению уязвимости.
5.1.4 Для обеспечения детальной информации об уязвимости описание может включать следующие элементы:
- наименование операционной системы и тип аппаратной платформы;
- язык программирования ПО;
- служба (порт), которую(ый) используют для функционирования ПО;
- степень опасности уязвимости.
- краткое описание уязвимости;
- идентификаторы других систем описаний уязвимостей;
- дата выявления уязвимости;
- автор, опубликовавший информацию о выявленной уязвимости;
- критерии опасности уязвимости.
5.1.5 Дополнительно описание уязвимости ИС может включать прочую информацию в составе следующих элементов:
- описание реализуемой технологии обработки (передачи) информации;
- описание конфигурации ПО, определяемой параметрами установки;
- описание настроек ПО, при которых выявлена уязвимость;
- описание полномочий (прав доступа) к ИС, необходимых нарушителю для эксплуатации уязвимости;
- описание возможных угроз безопасности информации, реализация которых возможна при эксплуатации уязвимости;
- описание возможных последствий от эксплуатации уязвимости ИС;
- наименование организации, которая опубликовала информацию о выявленной уязвимости;
- дата опубликования уведомления о выявленной уязвимости, а также дата устранения уязвимости разработчиком ПО;
- другие сведения.
5.2 Общие требования к содержанию описания уязвимости
5.2.1 Содержание описания уязвимости должны обеспечить однозначность и полноту информации об уязвимости.
5.2.2 Элемент "Наименование уязвимости" представляет собой текстовую информацию об уязвимости, на основе которой возможно установить причину и (или) последствия уязвимости. Наименование уязвимости должно быть представлено на русском языке (в скобках на английском языке - при необходимости).
Пример - Описание уязвимости в части элемента "Наименования уязвимости": Уязвимость, приводящая к переполнению буфера в службе RPC DCOM в операционных системах Microsoft Windows 4.0/2000/XP/2003 (Vulnerability Windows XP RPCSS DCOM Buffer Overflow).
5.2.3 Элемент "Идентификатор уязвимости" представляет собой алфавитно-цифровой код, включающий код базы данных уязвимостей, год выявления
Для просмотра документа целиком скачайте его >>>