allgosts.ru35. ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ. МАШИНЫ КОНТОРСКИЕ35.020. Информационные технологии (ИТ) в целом

ГОСТ Р 56546-2015 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем

Обозначение:
ГОСТ Р 56546-2015
Наименование:
Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем
Статус:
Действует
Дата введения:
04/01/2016
Дата отмены:
-
Заменен на:
-
Код ОКС:
35.020

Текст ГОСТ Р 56546-2015 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем



ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ


ГОСТ Р

56546—

2015


НАЦИОНАЛЬНЫЙ

СТАНДАРТ

РОССИЙСКОЙ

ФЕДЕРАЦИИ

Защита информации

УЯЗВИМОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ

Классификация уязвимостей информационных систем

Издание официальное

Москва

Стандарте иформ 2015

Предисловие

1    РАЗРАБОТАН Обществом с ограниченной ответственностью «Центр безопасности информации» (ООО «ЦБИ»)

2    ВНЕСЕН Технический комитетом по стандартизации ТК 362 «Защита информации»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому ре-гулировадою и метрологии от 19 августа 2015 г. N9 1181-ст

4    ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется е ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты». а официальный текст изменений и поправок - в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя •Национальные стандарты». Соответствующая информация, уведомления и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет ()

© Стандартинформ, 2015

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

Содержание

Введение

Настоящий стандарт входит в комплекс стандартов, устанавливающих классификацию уязвимостей, правила описания уязвимостей, содержание и порядок выполнения работ по выявлен**) и оцеисе уязвимостей информационных систем (ИС).

Настоящий стандарт распространяется на деятельность по защите информации, связанную с выявлением и устранением уязвимостей ИС при создании и эксплуатации ИС.

8 настоящем стандарте принята классификация уязвимостей ИС. исходя из области происхождения уязвимостей, типов недостатков ИС и мест возникновения (проявления) уязвимостей ИС.

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Защита информации

УЯЗВИМОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ Классификация уязвимостей информационных систем Information protection. Vulnerabilities in information systems The classification of vulnerabilities in information systems

Дата введения — 2016—04—01

1    Область применения

Настоящий стандарт устанавливает классификацию уязвимостей информационных систем (ИС). Настоящий стандарт направлен на совершенствование методического обеспечения определения и описания угроз безопасности информации при проведении работ по защите информации в ИС.

Настоящий стандарт не распространяется на уязвимости информационных систем, связанные с утечкой информации по техническим каналам, в том числе уязвимостями электронных компонентов технических (аппаратных и аппаратно-программных) средств информационных систем.

2    Нормативные ссылки

В настоящем стандарте использована нормативная ссылка на следующий стандарт:

ГОСТ Р 50922-2006 Защита информации. Основные термины и определения

Примечание - При пользована настоящим стандартом целесообразно проверить действие ссыпо*«ьсх стандартов в информационной системе общего пользования - на официальном сайте национального органа Российской Федерации по стандарткэащы в сети Интернет или по ежегодному информационному указэтего «Нацио-иагьные стандарты», который олублюоеан по состоя»**) на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого документа с учетом всех внесе»*ых в да»чую версию изменений. Если заменен ссылочный стандарт, на который дана датм-роеаиная ссылка, то рекомендуется нспопьдоеатъ вероео этого документа с ука»»чьи< воше гадом утеерждотм (пргыятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это полажвюю рекомендуется применять без учета данного мзмеиеьыя. Если ссылочный стандарт отменен без замены, то полаже»#*е. в котором д»*а ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3    Термины и определения

В настоящем стандарте применены термины по ГОСТ Р 50922. а также следующие термины с соответствующими определениями:

3.1    информационная система: Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Примечание - Определение термине соответствует J1J.

3.2    компонент информационной системы Часть информационной системы, включающая некоторую совокупность информации и обеспечивающих ее обработку отдельных информационных технологий и технических средств.

3.3    признак классификации уязвимостей: Свойство или характеристика уязвимостей, по которым производится классификация.

3.4    информационная технология [технология обработки (передачи) информации в информационном системе]: Процесс, метод поиска, сбора, хранения, обработки, предоставления, распространения информации и способ осуществления таких процессов и методов.

Издание официальное

3.5    конфигурация информационной системы: Взаимосвязанные структурно-функциональные характеристики информационной системы, включающие структуру и состав информационной системы . физические, логические, функциональные и технологические взаимосвязи между компонентами информационной системы, с иными информационными системами и информационно-телекоммуникационными сетями, а также с полномочиями субъектов доступа к объектам доступа информационной системы.

3.6    угроза безопасности информации Совокупность условии и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

3.7    уязвимость: Недостаток (слабость) программного (программно-технического) средства или информационной системы в целом, которым (которая) может быть использована для реализации угроз безопасности информации.

3.8    уязвимость кода: Уязвимость, появившаяся в процессе разработки программного обеспечения.

3.9    уязвимость конфигурации: Уязвимость, появившаяся в процессе задания конфигурации (применения параметров настройки) программного обеспечения и технических средств информационной системы.

3.10    уязвимость архитектуры Уязвимость, появившаяся в процессе проектирования информационной системы.

3.11    уязвимость организационная Уязвимость, появившаяся в связи с отсутствием (или недостатками) организационных мер защиты информации в информационной системе и (или) несоблюдением правил эксплуатации системы зашиты информации информацио*#юй системы, требований организационно-распорядительных документов по защите информации и (или) несвоевременном выполнении соответствующих действий должностным лицом (работником) или подразделением, ответственными за защиту информации.

3.12    уязвимость многофакторная УЯэвимость. появившаяся в результате наличия нескольких недостатков различных типов.

3.13    язык программирования: Язык, предназначенный для разработки (представления) программного обеспечения.

3.14    степень опасности уязвимости Мера (сравнительная величина), характеризующая подвержен ность информационной системы уязвимости и ее влияние на нарушение свойств безопасности информации (конфиденциальность, целостность, доступность).

4 Основные положения

4.1В основе классификации уязвимостей ИС используются следующие классификационные признаки:

-    область происхождения уязвимости;

-    типы недостатков ИС;

-    место вознжновения (проявления) уязвимости ИС.

Примечание - В качестве уязвимых компонентов информационной системы рассматриваются: общесистемное (общее), прикладное, специальное программное обеспечение, технические средства, сетевое (комму-имсащюююе. талекоммундеационное) оборудовало. средства защиты информащм.

4.2    Помимо классификационных признаков уязвимостей ИС используются поисковые признаки (основные и дополнительные). Поисковые признаки предназначены для организации расширенного поиска в базах данных уязвимостей.

4.3    К основным поисковым признакам уязвимостей ИС относятся следующие:

• наименование операционной системы (ОС) и тип аппаратной платформы;

-    наименование программного обеспечения (ПО) и его версия;

-    степень опасности уязвимости.

4.4    К дополнительным поисковым признакам уязвимостей ИС относятся следующие;

-    язык программирования;

-    служба (порт), которая (который) используется для функционирования ПО.

5 Классификация

5.1    Уязвимости ИС по области происхождения подразделяются на следующие классы:

•    уязвимости кода:

-    уязвимости конфигурации:

-    уязвимости архитектуры:

•    организационные уязвимости:

•    многофакторные уязвимости.

Примечание - 8 целях выявления и оценки уязвимостей информационных систем могут выделяться подклассы уязвимостей.

5.2    Уязвимости ИС по типам недостатков ИС подразделяются на следующие:

•    недостатки, связанные с неправильной настройкой параметров ПО.

Примечание - Неправильная настройка параметров ПО заюжмэется е отсутствие необходимого параметра. присвоении параметру непраемгыиых значений, иагычии избыточного ‘ысла параметров или неопределенных параметров ПО:

-    недостатки, связанные с неполнотой проверки вводимых (входных) данных.

Примечание - Недостаточность проверки вводимых (входных) данных заключается в отсутствии проверяй знэчееый. избыточном количестве зна*ю»кы. неопределенности значений вводимых (вхошых) данных;

. недостатки, связанные с возможностью прослеживания пути доступа к каталогам.

Примечание - Прослеживание пути доступа к каталогам заключается в отслеживании пути доступа к каталогу (по адресной сгрокв/составному имеям) и получении доступа к предыдухцему/кориевому месту хранения лгьчых.

-    недостатки, связанные с возможностью перехода по ссылкам:

Примечание - Переход по ссылкам связан с возможностью внедрения нарушителем ссылки на стором-мке ресурсы, которые могут содержать вредоносный код. Для файловых систем недостатками являются chmbotv-»ые ссылки и возможности прослежиоаыя по нш нахождения ресурса, доступ к которому ограничен:

•    недостатки, связанные с возможностью внедрения команд ОС:

Примечание - Внедрение команд ОС закгьо^еется в возможности выпетые ния пользователем команд операционной системы (например, просмотре структуры каталогов, копирование, удаление файлов и другие го- недостатки, связанные с межсайтовым скриптингом (выполнением сценариев).

Примечание - Межсайтовый скрипты»* обычно распространен в веб-приложениях и позволяет внедрять код в веб-страницы, которые могут просматривать нелегитимные пользователи. Примерами такого кода являются скрипты, выполняющиеся на стороне пользователя;

-    недостатки, связанные с внедрением интерпретируемых операторов языков программирования или разметки.

Примечание - Недостатки связаны с внедрением интерпретируемых операторов языков программирования (например, операции выбора, добавления, удапеюся и другие) или разметки в исходный код ввб-лриложемкя;

. недостатки, связанные с внедрением произвольного кода.

Примечание - Недостатки связаны с внедре»ыем произвольного кода и части кода, которые могут привести к нарушению процесса выполиееыя операций:

. недостатки, связанные с переполнением буфера памяти.

Примечание - Переполнение буфера возникает в случае, когда ПО осуществляет запись данных за предела им вьделеыюго а памяти буфера. Перепал ме*ме буфера обычно возникает из-за неправильной работы с данные**. получе»»ыми извне, и памятью, при отсутствии зашиты со стороны среды программирования и операционной системы. В рвзу/ътатв переполнения буфера могут быть испорчен данные, расположен»»*) следом за буфером или перед ним. Переполнение буфера может вызывать аварийное завершение игы зависание ПО. Отдельные виды перелагые»*«й буфера (например. переполиеы«е в стековом кадре) поэеолзьот нарушителю выполнить произвольный код от имени ПО и с правами учетной затеей, от которой она выполняется;

•    недостатки, связаюгые с неконтролируемой форматной строкой.

Примечание - Форматная строка в языках C/C++ является специальным аргументом функции с динамически изменяемым «мелом параметров. Ее значение в момент вызова функции определяет фактическое когьгче-ство и типы параметров функции. Оомбки форматной строки потенциально позволяют наруимтелю динамически изменять путь испагыеюгя программ, е ряде случаев - внедрять произвольный код:

-    недостатки, связанные с вычислениями.

Примечание -К недостаткам, связанным с вычислениями относятся следующие: некорректный диапазон, когда ПО использует неверное максимальное игм мъыимальное значимо, которое отличается от верного на ед*ьыцу в богьшую или меньшую сторону:

ошибка числа со знаком, когда нарушите*» может ввести дэгчые. содержащие отрицательное целое число, которые программа преобразует в положительное нецелое число:

ошибка усечегыя числа, когда часть числа отсекается (например, вследствие явного игм неявного преобразования или иных переходов между типами ^мсел);

ошибка индикации порядка байтов в числах, когда в ПО смешивается порядок обработки битое (например, обратный и прямой порядок битов), что приводит к неверному члелу в содержимом, имеющем критическое злаченые для безопасности:

-    недостатки, приводящие к утечке/расхрытию информации ограниченного доступа.

Примечание - Утечка информации - преднамеренное или неуьышленыое разглашение юформэшы ограниченного доступа (например, существует утечки информации при гвмерироозгмн ПО сообщения об ошибке, которое содержит сведения ограниченного доступа). Недостатки, приводящие к утечке/раафытию нетформашяг ограниченного доступа, могут быть образованы вследствие нали^ыя иных ошибок (например, ошибок, связаюых с использованием скриптов):

-    недостатки, связанные с управлением полномочия** (учетными данными).

Примечание - К недостаткам, свяэа»»ьвг с управлением полномочиями (учетными данными) относятся, например, нарушение погетжи разграничения доступа, отсутствие необходимых ролей пользователей. ошибки при удале»** ненужных ученых даюых и другие.

•    недостатки, связаюгые с управлением разрешениями, привилегиями и доступом.

Примечание - К недостаткам, связа^ым с управлением разрешениями, привилегиями и доступом относятся. например, превышение привилегий и полмомо»мй. необоснованному иалмеео суперпользователей в системе. нарушение политики разграничения доступа и другие:

-    недостатки, связаюгые с аутеитиф+асаиией.

Примечание - К недостаткам, сеязажым с аутектифмеэцией относятся: возможность обхода аутентификации. ошибки логики процесса аутентификации, отсутствие запрета множествеюых неудачных погыток аутм«-тифжащм. отсутствие требования аутентификации для вылолнегыя критичных фумщий;

. недостатки, связанные с криптографическими преобразованиями (недостатки шифрования).

Примечание - К недостаткам, связанным с криптографическими преобразованиями относятся ошибки хранения ^формации в незашифрованном виде, ошибки при управлении ключами, использование месертифици-рованных средств кригтто графтегесхом защиты деформации;

-    недостатки, связанные с подмен ой межсайтовых запросов.

Примечание - Подмена мвжеайтоеого запроса заюксмается в том. что используемое ПО не осуществляет или не может осуществить проверку праеи/ьностм формирования запроса:

•    недостатки, приводящие к «состоянию гонки».

Примечание - «Состояние гонки» - ошибка проектирования многопогоыой системы или приложегыя. при котором функционирооа! мо системы или приложения зависит от порядка выполнения части кода. «Состоякме помог» является специфической ошибкой, проявляющейся в случайные моменты времени:

•    недостатки, связанные с управлением ресурсами.

Примечание - К недостаткам управления ресурсами относятся: недостаточность мер освобождения выделенных участков памяти после использования, что приводит к сокращению свободных областей памяти, отсутствие оыстки ресурса и процессов от сведений ограниченного доступа перед повторив* использованием и другие:

•    иные типы недостатков.

Примечание -По результатам выявления уязвим ост ей «формационных систем перечень типов неоостатков может дополняться.

5.3 Уязвимости ИС по месту возникновения (проявления) подразделяются на следующие:

-    уязвимости в общесистемном (общем) программном обеспечении.

Примечание - К уязвимостям в общесистемном (общем) программном обеспечении относятся уязвимости операционных систем (уязвимости файловых систем, уязвимости режимов загрузки, уязвимости, связанные с наличием средств разработки и отладки программного обеспечения, уязвимости механизмов управления процессами и другие), уязвимости систем управления базами даиых (уязвимости серверном и клиентской частей системы управления базами данных, уязвимости специального инструментария, уязвимости исполняемых объектов баз данных (хранимые процедуры, триггеры) и другие), уязвимости иных типов общесистемного (общего) программного обеспечения:

•    уязвимости в прикладном программном обеспечении.

Примечание - К уязвимостям в присланном программном обеспечении относятся уязвимости офиоых пакетов программ и и»мх типов прикладного программного обеспечения (калине средств разработки мобильного кода, недостатки механизмов контроля исполнения мобильного кеда, ошибки программирования, наличие функциональных возмаююстей. способных оказать влияние на средства зашиты информации и другие уязвимости):

-    уязвимости в специальном программном обеспечении.

Примечание - К уязвимостям в специальном программном обеспеченны относятся уязвимости программного обеспечения, разработанного для решения специфических задач конкретной информационной системы (ошибки программирования, наличие функциома/ъных возможностей, способных оказать влияние на средства зашиты информации, недостатки механизмов разграничения доступа к объектам специального программного обеспечения и другие уязвимости);

-    уязвимости в технических средствах.

Примечание - К уязвимостям в технических средствах относятся уязвимости программного обеспечения технических средств (уязвимости микропрограмм а посгонниых запоминающих устройствах, уязвимости микропрограмм в программируемых логииесюи интегральных схемах, уязвимости базовой системы вееда-вывода, уязвимости программного обеспечения контроллеров управления, интерфейсов у правое нш и другие уязвимости), «ые уязвимости технических средств:

•    уязвимости в портативных технических средствах.

Примечание - К уязвимостям в портативных технических средств относятся уязвимости операционных систем моби/ыых (портативных) устройств, уязвимости приложений для получения с мобильно устройства доступа к №териет-сервисам. уязвимости интерфейсов беспроводного доступа, игые уязвимости портативных технических средств:

-    уязвимости в сетевом (коммуникационном, телекоммуникационном) оборудовании.

Примечание - К уязвимостям в сетевом (коммуникационном. телекоммуиесациоином) оборудовании относятся уязвимости маршрутизаторов, коммутаторов, концентраторов. мугыиплексорое. мостов и талекоммуиъжа-letOHHoro оборудования иных типов (уязвимости протоколов и сетевых сервисов, уязвимости средств и протоколов управленея телекоммуникационным оборудованием, недостатки механизмов управления потоками информации, недостатки механизмов разграничения доступа к функциям управления телекоммуникационным оборудованием, другие уязвимости):

-    уязвимости в средствах защиты информации.

Примечание - К уязвимостям в средствах защиты информации относятся уязвимости а средствах управления доступом, средствах идентификации и эутемтификацен. средствах контроля целостности, средствах доверенной загрузки, средствах антивирусной защиты, системах обнаружения вторжений, средствах межсетевого экранирования, средствах управления потоками информации, средствах огражмемся программной среды, средствах стирания информации и контроля удаления информации, средствах зашиты Качалов передачи ««формации, уязвимости в иных средствах защиты ««формации (ошибки программированы. недостатки, связанные возможностью обхода, отключения, преодолены функций безопасности, другие уязвимости).

Библиография

[1] Федеральный закон Российской Федерации «Об информации, информационных технологиях и о

защите информации» от 27.07.2006 No 149-ФЗ

УДК 004. 006.354    ОКС 35.020

Ключевые слова: информационная система, программное обеспечение, защита информации, уязвимость, недостаток, классификация, угроза безопасности

Редактор JU JU. Menaced Технический редактор АБ. Заеарзша Корректор В.Г. Смолин Компьютерная верстка Д.Е. Першин

Сошно ш набор 24.09 2015. Подписано а печать в. 10-2015. Формат 60x841 <8 Г арии тура Ареал. Ус», веч. л. 1.40. Уч.«*за я. 0.70. Тирам 32 ж За* 3410.

Набраж» в ООО «Ахадеммаоаг»

.academtfdal.com lenngacademizdataj

Иаоаио и отпечатано во

ФГУП «СТАИДАРТИИФОРМ». 123995 Мосжаа. Гранат"** пер. 4 vrww 90stnfo.ru mfoQgosanfo.oj