ГОСТ Р 56546-2015
3.5 конфигурация информационной системы: Взаимосвязанные структурно-функциональные
характеристики информационной системы, включающие структуру и состав информационной систе
мы. физические, логические, функциональные и технологические взаимосвязи между компонентами
информационной системы, с иными информационными системами и информационно-телекоммуни
кационными сетями, а также с полномочиями субъектов доступа к объектам доступа информационной
системы.
3.6 угроза безопасности информации: Совокупность условий и факторов, создающих потенци
альную или реально существующую опасность нарушения безопасности информации.
3.7 уязвимость: Недостаток (слабость) программного (программно-технического) средства или
информационной системы в целом, который (которая) может быть использована для реализации угроз
безопасности информации.
3.8 уязвимость кода: Уязвимость, появившаяся в процессе разработки программного обеспе
чения.
3.9 уязвимость конфигурации: Уязвимость, появившаяся в процессе задания конфигурации
(применения параметров настройки) программного обеспечения и технических средств информацион
ной системы.
3.10 уязвимость архитектуры. Уязвимость, появившаяся в процессе проектирования информа
ционной системы.
3.11 уязвимость организационная: Уязвимость, появившаяся в связи с отсутствием (или недо
статками) организационных мер защиты информации в информационной системе и (или) несоблю
дением правил эксплуатации системы защиты информации информационной системы, требований
организационно-распорядительных документов по защите информации и (или) несвоевременном вы
полнении соответствующих действий должностным лицом (работником) или подразделением, ответ
ственными за защиту информации.
3.12 уязвимость многофакторная: Уязвимость, появившаяся в результате наличия нескольких
недостатков различных типов.
3.13 язык программирования Язык, предназначенный для разработки (представления) про
граммного обеспечения.
3.14 степень опасности уязвимости. Мера (сравнительная величина), характеризующая под
верженность информационной системы уязвимости и ее влияние на нарушение свойств безопасности
информации (конфиденциальность, целостность, доступиость).
4 Основные положения
4.1 В основе классификации уязвимостей ИС используются следующие классификационные при
знаки:
- область происхождения уязвимости;
- типы недостатков ИС;
- место возникновения (проявления) уязвимости ИС.
П р и м е ч а н и е - В качестве уязвимых компонентов информационной системы рассматриваются: обще
системное (общее), прикладное, специальное программное обеспечение, технические средства, сетевое (комму
никационное. телекоммуникационное) оборудование, средства защиты информации.
4.2 Помимо классификационных признаков уязвимостей ИС используются поисковые признаки
(основные и дополнительные). Поисковые признаки предназначены для организации расширенного по
иска в базах данных уязвимостей.
4.3 К основным поисковым признакам уязвимостей ИС относятся следующие:
- наименование операционной системы (ОС) и тип аппаратной платформы;
- наименование программного обеспечения (ПО) и его версия;
- степень опасности уязвимости.
4.4 К дополнительным поисковым признакам уязвимостей ИС относятся следующие.
- язык программирования;
- служба (порт), которая (который) используется для функционирования ПО.
2