ГОСТ Р 56545-2015
- описание полномочий (правдоступа) к ИС, необходимых нарушителюдля эксплуатации уязвимости:
- описание возможных угроз безопасности информации, реализация которых возможна при экс
плуатации уязвимости:
- описание возможных последствий от эксплуатации уязвимости ИС;
- наименование организации, которая опубликовала информацию о выявленной уязвимости;
- дата опубликования уведомления о выявленной уязвимости, а также дата устранения уязвимо
сти разработчиком ПО;
- другие сведения.
5.2 Общие требования к содержанию описания уязвимости
5.2.1 Содержание описания уязвимости должны обеспечить однозначность и полноту информа
ции об уязвимости.
5.2.2 Элемент «Наименование уязвимости» представляет собой текстовую информацию об уяз
вимости, на основе которой возможно установить причину и (или) последствия уязвимости. Наимено
вание уязвимости должно быть представлено на русском языке (в скобках на английском языке - при
необходимости).
П р и м е р - Описание уязвимости в части элемента «Наименования уязвимости»: Уязвимость,
приводящая к переполнению буфера в службе RPC DCOM
в
операционных системах Microsoft Windows
4.0/2000/ХР/2003 (Vulnerability Windows XP RPCSS DCOM Buffer Overflow).
5.2.3 Элемент «Идентификатор уязвимости» представляет собой алфавитно-цифровой код, вклю
чающий код базы данных уязвимостей, год выявления уязвимости и порядковый номер уязвимости,
выявленной в текущем году. При определении идентификатора уязвимости код базы данных уязвимо
стей, год выявления уязвимости и порядковый номер уязвимости должны быть отделены друг от друга
знаком «-», при этом знак пробела не ставится.
П р и м е р -Описаниеуязвимости в части элемента «Идентификатор уязвимости»:ХХХ-2003-0813.
5.2.4 Элемент «Идентификаторы других систем описаний уязвимостей» представляет собой
идентификаторы уязвимости в других системах описаний. Данный элемент включает идентификаторы
уязвимости из общедоступных источников и содержит, как правило, цифровой или алфавитно-цифро
вой код. Описание может быть выполнено в виде гиперссылок в формате адресов URL.
П р и м е р
-
Описание уязвимости в части элемента «Идентификаторы других систем описа
ний уязвимостей»: CVE ID: CVE-2003-0813; Bugtraq ID: 52018; OSVDB ID: 65465: Qualys ID: 90777; Secunia
Advisory: SA48183; SecurityTracker Alert ID: 1025250; Nessus Plugin ID: 38099.
5.2.5 Элемент «Краткое описание уязвимости» представляет собой текстовую информацию об
уязвимости и возможностях ее использования.
П р и м е р - Описаниеуязвимости в части элемента «Краткое описаниеуязвимости»: уязвимость
обнаружена в службе RPC DCOM. Нарушитель может вызвать отказ
в
обслуживании (аварийное завер
шение работы системы или перезагрузка), создавая два потока для одного и того же RPC-запроса. По
сообщению разработчика, уязвимость может использоваться для выполнения произвольного кода в
уязвимой системе. Разработчик оценил, что уязвимость имеет ккритический»уровень опасности.
5.2.6 Элемент «Класс уязвимости» представляет собой текстовую информацию, которую опреде
ляют в соответствии с ГОСТ Р 56546-2015.
П р и м е р - Описание уязвимости в части элемента «Класс уязвимости»: уязвимость кода.
5.2.7 Элемент «Наименование программного обеспечения и его версия» представляет собой ин
формацию о наименовании ПО и его версии.
П р и м е р - Описание уязвимости в части элемента «Наименование программного обеспечения и
его версия»: RPC/DCOM Microsoft Windows 4.0/2000/ХР/2003.
5.2.8 Элемент «Служба (порт), которую(ый) используют для функционирования программного
обеспечения» представляет собой комбинированную информацию о службе (системной или сетевой), о
сетевом порте, который используют для функционирования ПО. и о наименовании сетевого протокола
передачи данных. Номер сетевого порта и наименование сетевого протокола передачи данных отделя ют
друг от друга знаком «/».
3