allgosts.ru35. ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ. МАШИНЫ КОНТОРСКИЕ35.020. Информационные технологии (ИТ) в целом

ГОСТ Р 56545-2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей

Обозначение:
ГОСТ Р 56545-2015
Наименование:
Защита информации. Уязвимости информационных систем. Правила описания уязвимостей
Статус:
Действует
Дата введения:
04/01/2016
Дата отмены:
-
Заменен на:
-
Код ОКС:
35.020

Текст ГОСТ Р 56545-2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей



ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ


ГОСТ Р

56545—

2015


НАЦИОНАЛЬНЫЙ

СТАНДАРТ

РОССИЙСКОЙ

ФЕДЕРАЦИИ

Защита информации

УЯЗВИМОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ Правила описания уязвимостей

Издание официальное

Москва

Стандарте иформ 2015

Предисловие

1    РАЗРАБОТАН Обществом с ограниченной ответственностью «Центр безопасности информации» (ООО «ЦБИ»)

2    ВНЕСЕН Технический комитетом по стандартизации ТК 362 «Защита информации»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому ре-гулировадою и метрологии от 19 августа 2015 г. N9 1180-ст

4    ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется е ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты». а официальный текст изменений и поправок - в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя •Национальные стандарты». Соответствующая информация, уведомления и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет ()

© Стандартинформ, 2015

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

Содержание

Введение

Настоящий стандарт входит в комплекс стандартов, устанавливающих классификацию уязвимостей, правила описания уязвимостей, содержание и порядок выполнения работ по выявлен**) и оцедее уязвимостей информационных систем (ИС).

Настоящий стандарт распространяется на деятельность по защите информации, связанную с выявлением. описанием, устранением или исключением возможности использования уязвимостей ИС при разработке, внедрении и эксплуатации ИС.

В настоящем стандарте примяты правила описания уязвимостей, которые могут быть использованы специалистами по информационной безопасности при создании и ведении базы данных уязвимостей ИС. разработке средств контроля (анализа) защищенности информации, разработке моделей угроз безопасности информации и проектировании систем защиты информации, проведении работ по идентификации, выявлению уязвимостей, их анализу и устранению.

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Защита информации

УЯЗВИМОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ Правила описания уязвимостей

Information protection. Vulnerabilities in rrformabon systems. Riies of vulnerabilities description

Дата введения — 2016—04—01

1    Область применения

Настоящий стандарт устанавливает общие требоважя к структуре описания уязвимости и правилам описания уязвимости информационной системы (ИС). В настоящем стандарте принята структура описания уязвимости, использование которой позволит обеспечить достаточность информации для идентификации уязвимости ИС и выполнения работ по анализу уязвимостей ИС.

Настоящий стандарт не распространяется на уязвимости ИС. связанные с утечкой информации по техническим каналам, в том числе уязвимостями электронных компонентов технических (аппаратных и аппаратно-программных) средств информационных систем.

2    Нормативные ссылки

В настоящем стандарте использована нормативная ссылка на следующий стандарт.

ГОСТ Р 56546-2015 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем

Примечание - При пользован ж настоящим стандартом целесообразно проверить действие ссыпо**ых стандартов в информационной системе общего пользовался - на офи^агьном сайте нациоиагьного органа Fbc-сииской Федерации по стандартизации в сети Интернет или по ежегодному информационному указателе кНаиио-магъиые стандарты», который опублюгоеан по состоянию на 1 января текущего года, и по выпускам ежемесячного |мфпрмаципмипт угахятрпв «Мянипмапьныр гтям/даргтм» уя тгу|цим rryi Яг.пм гаивмям ггмппчимй стандарт ия который дана недатированная ссылка, то рекомендуется использовать действующую верояо этого стандарта с учетом всех внесе»*ых в данную версию изменений. Если заменен ссыломый стандарт, на который дана датированная осыпка, то рекомендуется использовать еероео этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссыломый стандарт на которым дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это полажена рекомендуется применять без учета данного измене»ыя. Если ссылочный стандарт отменен без замены, то попожекме. в котором дана ссыпка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3    Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1    информационная система: Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Примечание -Определены© термина соответствует[1].

3.2    угроза безопасности информации Совокупность условии и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

3.3    уязвимость: Недостаток (слабость) программного (программно-технического) средства или информационной системы в целом, который (которая) может быть использована для реализации угроз безопасности информации.

3.4    правила описания уязвимости: Совокупность положений, регламентирующих структуру и содержащего описания уязвимости.

Издание официальное

3.5    описание уязвимости: Информация о выявленной уязвимости.

3.6    паспорт уязвимости: Документ (формализованное представление), содержащий описание уязвимости, определяющий характеристики уязвимости и выполненный в соответствии с правилами описания уязвимости.

3.7    известная уязвимость: Уязвимость, опу6гмкова*#чая в общедоступных источниках с описанием соответствующих мер защиты информации, исправлений недостатков или соответствующих обновлений.

3.8    уязвимость нулевого дня: Уязвимость, которая становится известной до момента выпуска разработчиком компонента информационной системы соответствующих мер защиты информации, исправлений мед остатков или соответствующих обновлений.

3.9    впервые выявленная уязвимость. Уязвимость, неопубликованная в общедоступных источниках.

4    Основные положения

4.1    Описание уязвимости ИС выполняется в соответствии с правилами описания.

4.2    Правила описания уязвимостей ИС распространяются на известные уязвимости, уязвимости кулевого дня и впервые выявленные уязвимости.

4.3    Описание уязвимости ИС оформляется в виде паспорта уязвимости, форма которого и пример заполнения представлены в таблице А.1 (приложение А).

5    Структура и содержание описания уязвимостей

5.1    Общие требования к структуре описания уязвимости

5.1.1    Структура описания уязвимости должна обеспечивать достаточность информации для идентификации уязвимости ИС и выполнения работ по анализу уязвимостей ИС.

5.1.2    Для однозначной идентификации уязвимости описание должно включать следующие элементы:

-    идентификатор уязвимости:

•    наименование уязвимости:

-    класс уязвимости:

•    наименование программного обеспечения (ПО) и его версия.

5.1.3    Для обеспечения работ по анализу уязвимостей ИС описание должно включать следующие элементы:

-    идентификатор типа недостатка;

-    тип недостатка;

-    место возникновения (проявления) уязвимости:

-    способ (правило) обнаружения уязвимости:

•    возможные меры по устранению уязвимости.

5.1.4    Для обеспечения детальной информации об уязвимости описание может включать следующие элементы:

•    наименование операционной системы и тип аппаратной платформы.

•    язык программирования ПО:

-    служба (порт), которую(ый) используют для функционирования ПО:

-    степень опасности уязвимости.

-    краткое описание уязвимости:

-    идентификаторы других систем описаний уязвимостей;

-    дата выявления уязвимости;

-    автор, опубликовавший информацию о выявленной уязвимости;

-    критерии опасности уязвимости.

5.1.5    Дополнительно описание уязвимости ИС может включать прочую информацию в составе следующих элементов:

-    описание реализуемой технологии обработки (передачи) информации:

•    описание конфигурации ПО. определяемой параметрами установки:

•    описание настроек ПО. при которых выявлена уязвимость;

•    описание погыомсмий (прав доступа) к ИС. необходимых нарушителю для эксплуатации уязвимости;

•    описание возможных угроз безопасности информации, реализация которых возможна при эксплуатации уязвимости;

-    описание возможных последствий от эксплуатации уязвимости ИС;

•    наименование организации, которая опубликовала информацию о выявленной уязвимости:

. дата опубликования уведомления о выявленной уязвимости, а также дата устранения уязвимости разработчиком ПО;

-    другие сведения.

5.2 Общие требования к содержанию описания уязвимости

5.2.1 Содержание описания уязвимости должны обеспечить однозначность и полноту информации об уязвимости.

5 2-2 Элемент «Наименование уязвимости» представляет собой текстовую информацию об уязвимости. на основе которой возможно установить причину и (или) последствия уязвимости. Наименование уязвимости должно быть представлено на русском языке (в скобках на английском языке - при необходимости).

Пример - Описание уязвимости е части элемента *Наименования уязвимости»: Уязвимость, приводящая к переполнению буфера в службе RPC DCOM в операционных системах Microsoft Windows 4.0/2000/ХР/2003 (Vulnerability Windows XP RPCSS DCOM Buffer Overflow).

5.2.3    Элемент «Идентификатор уязвимости» представляет собой алфавитно-цифровой кед. включающий кед базы данных уязвимостей, год выявления уязвимости и порядковый номер уязвимости, выявленной в текущем году. При определении идентификатора уязвимости код базы данных уязвимостей, год выявления уязвимости и порядковый номер уязвимости должны быть отделены друг от друга знаком «-». при этом знак пробела не ставится.

Пример - Описание уязвимости в части элемента • Идентификатор уязвимости»: ХХХ-2003-0813.

5.2.4    Элемент «Идентификаторы других систем описаний уязвимостей» представляет собой идентификаторы уязвимости в других системах описаний. Данный элемент включает идентификаторы уязвимости из общедоступных источников и содержит, как правило, цифровой или алфавитно-цифровой код. Описание может быть выполнено в виде гиперссылок в формате адресов URL.

Пример - Описание уязвимости в части элемента * Идентификаторы других систем описании уязвимостей»: CVE ID: CVE-2003-0313: Bugtraq ID; 5201$: OSVDB ID: 65465: Quatys ID: 90777: Secunia AdvibXJty. 3A43163. SvuuiityTtachvt АМя( ID. 1025250. Mvmu» Pluyiti ID. 33099.

5.2.5    Элемент «Краткое описание уязвимости» представляет собой текстовую информацию об уязвимости и возможностях ее использования.

Пример - Описание уязвимости в части элемента * Краткое описание уязвимости»: уязвимость обнаружена в службе RPC DCOM. Нарушитель может вызвать отказ в обслуживании (аварийное завершение работы системы или перезагрузка), создавая два потока для одного и того же RPC-запроса. По сообщению разработчика, уязвимость может использоваться для выполнения произвольного кода в уязвимой системе. Разработчик оценил, что уязвимость имеет «критический» уровень опасности.

5.2.6    Элемент «Класс уязвимости» представляет собой текстовую информацию, которую определяют в соответствии с ГОСТ Р 56546-2015.

Пример - Описание уязвимости в части элемента кКласс уязвимости»: уязвимость кода.

5.2.7    Элемент «Наименование программного обеспечения и его версия» представляет собой информацию о наименовании ПО и его верам.

Пример - Описание уязвимости в части элемента *Наименование программного обеспечения и его версия»: RPC/DCOM Microsoft Windows 4.0/200С/ХР/2003.

5.2.8    Элемент «Служба (порт). которую(ый) используют для функционирования программного обеспечения» представляет собой комбинированную информацию о службе (системной или сетевой), о сетевом порте, который используют для функционирования ПО. и о наименовании сетевого протокола передачи данных. Номер сетевого порта и наименование сетевого протокола передачи данных отделяют друг от друга знаком «У».

Примечание - Служба (порту. которую(ый) используют для фуккционироеания программного обеспечения. мажет не иметь nocrowoiD значения. Программному обеспеченно может бьггъ назначен порт по умопчанео. но практичесхи любое ПО может быть переконфигурировано на другой порт.

При и ер - Описание уязвимости в части элемента «Служба (порт). которую(ый) используют для функционирования программного обеспечения»: RPC 139/tcp.

5.2.9    Элемент «Язык программирования программного обеспечения» представляет собой наименование языка программирования, используемого при разработке (представлении) ПО. Современное ПО. как правило, разрабатывают с использованием семейства языков программирования, поэтому данный элемент может включать информацию о технологии (среде) программирования.

Пример - Описание уязвимости е части элемента «Язык программирования программного обеспечения»: C++.

5.2.10    Элемент «Тип недостатка» представляет собой текстовую информацию, которую определяют в соответствии с ГОСТ Р 56546-2015.

Пример - Описание уязвимости в части элемента «Тип недостатка»: недостатки, связанные с переполнением буфера памяти.

5.2.11    Элемент «Идентификатор типа недостатка» представляет собой уникальный идентификатор типа недостатка и содержит алфавитно-цифровой кед Идентификатор может быть взят (и при необходимости дополнен) из общедоступных источников.

Пример - Описание уязвимости в части элемента «Идентификатор типа недостатка»: CWE-119.

5.2.12    Элемент «Место возникновения (проявления) уязвимости» представляет собой текстовую информацию о компонентах информационной системы, которые содержат рассматриваемую уязвимость.

Пример - Описание уязвимости в части элемента «Место возникновения (проявления) уязвимости»: уязвимость в общесистемном (общем) программном обеспечении.

5.2.13    Элемент «Наименование операционной системы и тип аппаратной платформы» представляет собой информацию об операционной системе и типе аппаратной платформы. Типами аппаратной платформы являются: IA-32. IA-64. Х86. ARM. РА-RISC. SPARC. System z и другие.

Пример - Описание уязвимости в части элемента «Наименование операционной системы и тип аппаратной платформы»: Microsoft Windows 4ХУ2000/ХР/2003 (*32).

5.2.14    Элемент «Дата выявления уязвимости» представляет собой информацию о дате выявления уязвимости в формате ДД/ММ/ПТГ. Дата выявления уязвимости в случае фактической невозможности ее установления считается совпадающей с датой регистрации сообщения об уязвимости в базе данных уязвимостей.

Пример - Описание уязвимости в части элемента «Дата выявления уязвимости»: 23/12/2004

5.2.15    Элемент «Автор, опубликовавший информацию о выявленной уязвимости» представляет собой информацию об авторе, который обнаружил и опубликовал уязвимость первым.

Примечание - Эле мен г является необязательным к заполнению. Размещение »ыформац»ы об авторе осуществляется с учетом (2J.

5.2.16    Элемент «Способ (правило) обнаружения уязвимости» представляет собой формализованное правило определения уязвимости. Способ (правило) обнаружения уязвимости позволяет при помощи специальной процедуры провести проверку наличия уязвимости.

Пример - Описание уязвимости е части элемента «Способ (правило) обнаружения уязвимости» на языке описания OVAL:

AND Software section Criterion: Windows XP is installed

registry_test (o val:org.mitre. ovaJ:tst:2B38): check _ex is fence = at_least_one_exists. check = at least one

registry_otject (oval:org.mitre.oval:otj:419): hive: HKEVJLOCAL_MACHINE key: sdfTWARE\MictosoffiWindows NJ\CurrentVersk>n name: CurrentVersion

regis try_s ta te (ovat.org. mitre. ovat:s te:26S7): value: S. I

OR a vulnerable version of rpcrtd.dii exists on XP

AND 32-bit version of Windows and a vulnerable version of rpcrt4.dll exists Criterion: 32-Bit version of Windows is installed

registry_test (ov al.org.mitre.ov at: tst2748): check_ex is fence = at_least_one_exists. check = at least one

registryjobject (ovat:org.mhre.oval:obj: 1576): hive: HKEY_LOCAL_MACHINE key: SYSTEM\CurrentControlSeOContrct\Session ManageriEnvironment name: PROCESSOR_ARCHfTECTURE regis tryjs ta te (ovat.org. mitre, oval:ste:2569) :

value: x86

Применение - OVAL (Open Vi4nerab6ty and Assessment Language) - открытый язык олисагеы уязвимостей и проведения оценок. OVAL детально огмсываег метод проверки параметров комфигурац»ы для определен*» магмчия уязвимости.

5.2.17    Элемент «Критерии опасности уязвимости» представляет собой совокупность информации о критериях, используемых при оценке степени опасности уязвимости, и о их значениях. Каждый Критерий может принимать значения, согласно следующей номенклатуре.

-    критерий «тип доступа» (локальный, удаленный, другой тип доступа);

•    критерий «условия доступа» (управление доступом, другие условия, управление доступом не применяется);

•    критерий «требования аутентификации» (однократная аутентификация, использование (многократный ввод) различной аутентификационной информации, аутентификация не требуется).

•    критерий «влияние на конфиденциальность» (не оказывает влияния, нарушение конфиденциальности);

-    критерий «влияние на целостность» (не оказывает влияния, нарушение целостности);

•    критерий «влияние на доступность» (не оказывает влияния, нарушение доступности).

Примечание - Примером описания критериев опасности уязвимости является базовый вектор уязвимости в соответствии с Common Vulnerably Scoring System.

5.2.18    Элемент «Степень опасности уязвимости» представляет собой текстовую информацию, которая может принимать одно из четырех значений: критический, высокий, средний и низкий уровень опасности. Степень опасности определяют в соответствии с отдельной методикой.

л fj и ал tf fj - Om/Ldm/v /mjhumvumu н miiiu juicwmmd «СП/ьмсякь u<mu«/uiiu /ммимикми#. высиаии уровень опасности.

5.2.19    Элемент «Возможные меры по устранению уязвимости» включает в себя предложения и рекомендации по устранению выявленных уязвимостей или исключению возможности использования нарушителем выявленных уязвимостей. Предложения и рекомендации должны содержать ссылки на необходимое ПО и (или) описание конфигураций ПО. для которых угрозы безопасности информации, использующие данную уязвимость, не являются актуальными.

При и ер - Описание уязвимости в части элемента «возможные меры по устранению уязвимости»:

Установите соответствующее обновление:

Microsoft Windows NT Server 4.0 Service Pack 6a;

Microsoft Windows NT Server 4.0 Terminal Server Edibon Service Pack 6;

Microsoft Windows XPand Microsoft Windows XP Sendee Pack 1;

Microsoft Windows XP 64-Bit Edition Service Pack 1:

Microsoft Windows XP 64-Bit Edition Version 2003;

Microsoft Windows Server 2003 64-Bit Edition.

5.2.20    Элементы описания уязвимости с прочей информацией представляют собой текстовую информацию. которая позволяет дополнить общую информацию об уязвимости (см. 5.1.5).

Ирин ер - Описание уязвимости в части элемента «Прочая информация»: специальных полномочий (прав доступа) по отношению к ИС нарушителю не требуется.

Приложение А (рекомендуемое)

Форма паспорта уязвимости с примером его заполнения

Таблица А.1 - Форма паспорта уязвимости с примером его заполнения

Элемент описаляя уязвимости

Пример заполнения огмса ни я уязеямости

Наименование уязвимости

Уязвимость, приводящая к перепоя не ьаяо буфера в службе RPC DCOM в операционных системах Microsoft Windows 4.(У200СУХР/2003 (Vtifrierabity Windows ХР RPCSS DCOM Buffer Overflow)

Идентификатор

уязвимости

XXX-2003-0813

Идентификаторы других систем описаний уязвимостей

CVE ID: CVE-2003-0813

Bugtraq ID: S2018

OSVDB ID: 65465

Ouafys ID: 90777

Seana Advisory: SA48183

SecurityTracfcer Alert ID: 1025250

Nessus Ptugn ID: 38099

Краткое огмсамие уязвимости

Уязвимость обнаружена в службе RPC DCOM. Нарушитель может вызвать отказ в обслуживала* (аварийное завершение работы системы игы перезагрузка), создавая два потока для одного и того же RPC-запроса. По сообщению разработчика, уязвимость может использоваться для выполнедея произвольного кода в уязвимом системе. Разработчик оце*огл. что уязвимость имеет «критический» уровень опасности.

Класс уязвимости

Уязвимость кода

Наименование ПО и его версия

RPC DCOM Ktcrosoft Windows 4.Q/2000/XP/2003

Служба (порт), которая (которым) используется для фу»яаэ«о»ыроодыя ПО

RPC 139/lcp

Язык программирования ПО

C++

Тип недостатка

Недостатки. связанные с переполнением буфера памяти

Место возникновения (проявления) уязвимости

Уязвимость в общесистемном (общем) программном обеспечении

Идентификатор типа недостатка

CWE-119

Наименование операционной систе*ы и тип аппаратной платформы

Microsoft Windows 4.CV200CVXP/2003 (*32)

Дата выявления уязвимости

10/03/2003

Автор, опубликовавший формацию о выявленной уязвимости

Окончание таблицы А. 1

Элемент олясаяия у* зон мост*

Пример заполнения огмсеяия уязвимости

Способ (правило) обнаружучя уязвимости

AND Software section Criterion: Widows XP is instated

registry_test (oval: org. mitre, oval :tsL2838): check_existence = at_least_one_ exists, check = at least one

negistry_object (ovatorg.mifre.oval:obj419): hive: HKEY_LOCAL_MACHME

key: SOFTWAReAHcmsoft\Windows NT\Cun9niVersion name: Current Version registry_state (oval:org.mitre.oval:ste.2657): value: 5.1

OR a vulnerable version of rpcrt4.c* exists on XP

AND 32-bit version of Windows and a vulnerable version of rpcrM.dl exists Criterion: 32-Brt version of Windows is installed

registry_test (oval:org.mrtre.oval:tst:2748): check_existence = at_least_one_ exists, check = at least one

negistry_object (oval:org.mkre.oval:obj 1576): hive: HKEY_LOCAL_MAChHNE

key: SYSTEM\CvrrentContratSet\Contml\Session Manage^Environment name: PROCESSOR_ARCHITEC TORE registry_state (oval:org.mitre.oval:ste^569): value: x86

Критерии опасности уязвимости

Например, в соответствии c CVSS - AV.H/AC:UAu:N/C:CJ\:CJA:C

Степень опасности уязвимости

Высокий уровень опасности

Возможные меры по устранению уязвимости

Установите соответствующее обновление:

Microsoft Windows NT Server 4.0 Service Pack 6a

Microsoft Windows NT Server 4.0 Terminal Server Eckbon Service Pack 6

Microsoft Windows XP and Microsoft Windows XP Service Pack 1

Microsoft Windows XP 64-Bit Edibon Service Pack 1

Microsoft Windows XP 64-Bit Edibon Version 2003

Microsoft Windows Server 2003 64-Bit Edition

Прочая информация

Специальных полномочий (прав доступа) по отношенде к ИС нарушителю не требуется

Библиография

[1]    Федеральный закон Российской Федерации «Об информации, информационных технологиях и о

защите информации» от 27.07.2006 № 149-ФЗ

[2]    Федеральный закон Российской Федерации «О персональных данных» от 27.07.2006 № 152-ФЗ

УДК 004: 006.354

ОКС 35.020

Ключевые слова, информационная система, программное обеспечение, защита информации, уязвимость. правила описания

Редактор М.М. Меламед Технический редактор А6. Заеарзша Корректор В.Г. Смолин Компьютерная верстка Д.Е. Першин

Сдаао в набор 24.09.201&. Подлиса»о в печагь б.10.2015 Формат 60x841/6. Гаряитура Ариал Уел. печ. л. 1.40. W-иад. а. 1Д0. Тираж 32 »о. Зах. 3409

Набран» в ООО «Ахадемиаоаг»

.academtfdel.com lenngacademixdatru

Ихоаио и отпечатано во

ФГУП «СТАНДАРТИНФОРМ-. 123995 Мосхаа. Граматчый пер. 4 vrww 90stnfo.ru

Common \A*ierab4fy Scoring System (CVSS) - общая система оценки уязвимости опубликована на официальном сайте сообщества FIRST по адресу URL: .