Купить ГОСТ Р 56546-2015 — бумажный документ с голограммой и синими печатями. подробнее
Распространяем нормативную документацию с 1999 года. Пробиваем чеки, платим налоги, принимаем к оплате все законные формы платежей без дополнительных процентов. Наши клиенты защищены Законом. ООО "ЦНТИ Нормоконтроль"
Наши цены ниже, чем в других местах, потому что мы работаем напрямую с поставщиками документов.
Устанавливает классификацию уязвимостей информационных систем (ИС). Стандарт направлен на совершенствование методического обеспечения определения и описания угроз безопасности информации при проведении работ по защите информации в ИС.
Стандарт не распространяется на уязвимости ИС, связанные с утечкой информации по техническим каналам, в том числе уязвимости электронных компонентов технических (аппаратных и аппаратно-программных) средств ИС.
Переиздание. Ноябрь 2018 г.
1 Область применения
2 Нормативные ссылки
3 Термины и определения
4 Основные положения
5 Классификация
Библиография
Дата введения | 01.04.2016 |
---|---|
Добавлен в базу | 12.02.2016 |
Актуализация | 01.01.2021 |
19.08.2015 | Утвержден | Федеральное агентство по техническому регулированию и метрологии | 1181-ст |
---|---|---|---|
Разработан | ООО ЦБИ | ||
Издан | Стандартинформ | 2015 г. | |
Издан | Стандартинформ | 2016 г. | |
Издан | Стандартинформ | 2018 г. |
Чтобы бесплатно скачать этот документ в формате PDF, поддержите наш сайт и нажмите кнопку:
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ
ГОСТР
56546—
2015
НАЦИОНАЛЬНЫЙ
СТАНДАРТ
РОССИЙСКОЙ
ФЕДЕРАЦИИ
Издание официальное
Москва Стандартинформ 2016 |
Предисловие
1 РАЗРАБОТАН Обществом с ограниченной ответственностью «Центр безопасности информации» (ООО «ЦБИ»)
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 «Защита информации»
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 19 августа 2015 г. № 1181-ст
4 ВВЕДЕН ВПЕРВЫЕ
5 ПЕРЕИЗДАНИЕ. Ноябрь 2016 г.
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок - в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомления и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
© Стандартинформ, 2016
Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии
УДК 004: 006.354 ОКС 35.020
Ключевые слова: информационная система, программное обеспечение, защита информации, уязвимость, недостаток, классификация, угроза безопасности
7
Редактор М.И. Максимова Технический редактор А.Б. Заварзина Корректор В.Г. Смолин Компьютерная верстка Д.Е. Першин
Подписано в печать 02.11.2016. Формат 60x841/8. Гарнитура Ариал. Уел. печ. л. 1,40. Уч.-изд. л. 0,70. Тираж 18 экз. Зак. 2753.
Набрано в ООО «Академиздат». www.academizdat.com lenin@academizdat.ru
Издано и отпечатано во ФГУП «СТАНДАРТИНФОРМ», 123995 Москва, Гранатный пер., 4. www.gostinfo.ru info@gostinfo.ru
ГОСТ P 56546-2015
Содержание
1 Область применения....................................................................................................................................1
2 Нормативные ссылки....................................................................................................................................1
3 Термины и определения...............................................................................................................................1
4 Основные положения...................................................................................................................................2
5 Классификация.............................................................................................................................................3
Библиография..................................................................................................................................................6
Настоящий стандарт входит в комплекс стандартов, устанавливающих классификацию уязвимостей, правила описания уязвимостей, содержание и порядок выполнения работ по выявлению и оценке уязвимостей информационных систем (ИС).
Настоящий стандарт распространяется на деятельность по защите информации, связанную с выявлением и устранением уязвимостей ИС при создании и эксплуатации ИС.
В настоящем стандарте принята классификация уязвимостей ИС, исходя из области происхождения уязвимостей, типов недостатков ИС и мест возникновения (проявления) уязвимостей ИС.
IV
Защита информации УЯЗВИМОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ Классификация уязвимостей информационных систем
Information protection. Vulnerabilities in information systems. The classification of vulnerabilities in information system
Дата введения — 2016—04—01
Настоящий стандарт устанавливает классификацию уязвимостей информационных систем (ИС). Настоящий стандарт направлен на совершенствование методического обеспечения определения и описания угроз безопасности информации при проведении работ по защите информации в ИС.
Настоящий стандарт не распространяется на уязвимости информационных систем, связанные с утечкой информации по техническим каналам, в том числе уязвимостями электронных компонентов технических (аппаратных и аппаратно-программных) средств информационных систем.
В настоящем стандарте использована нормативная ссылка на следующий стандарт:
ГОСТ Р 50922-2006 Защита информации. Основные термины и определения
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте национального органа Российской Федерации по стандартизации в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого документа с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого документа с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
В настоящем стандарте применены термины по ГОСТ Р 50922, а также следующие термины с соответствующими определениями:
3.1 информационная система: Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Примечание - Определение термина соответствует [1].
3.2 компонент информационной системы: Часть информационной системы, включающая некоторую совокупность информации и обеспечивающих ее обработку отдельных информационных технологий и технических средств.
3.3 признак классификации уязвимостей: Свойство или характеристика уязвимостей, по которым производится классификация.
3.4 информационная технология [технология обработки (передачи) информации в информационной системе]: Процесс, метод поиска, сбора, хранения, обработки, предоставления, распространения информации и способ осуществления таких процессов и методов.
Издание официальное
3.5 конфигурация информационной системы: Взаимосвязанные структурно-функциональные характеристики информационной системы, включающие структуру и состав информационной системы, физические, логические, функциональные и технологические взаимосвязи между компонентами информационной системы, с иными информационными системами и информационно-телекоммуникационными сетями, а также с полномочиями субъектов доступа к объектам доступа информационной системы.
3.6 угроза безопасности информации: Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.
3.7 уязвимость: Недостаток (слабость) программного (программно-технического) средства или информационной системы в целом, который (которая) может быть использована для реализации угроз безопасности информации.
3.8 уязвимость кода: Уязвимость, появившаяся в процессе разработки программного обеспечения.
3.9 уязвимость конфигурации: Уязвимость, появившаяся в процессе задания конфигурации (применения параметров настройки) программного обеспечения и технических средств информационной системы.
3.10 уязвимость архитектуры: Уязвимость, появившаяся в процессе проектирования информационной системы.
3.11 уязвимость организационная: Уязвимость, появившаяся в связи с отсутствием (или недостатками) организационных мер защиты информации в информационной системе и (или) несоблюдением правил эксплуатации системы защиты информации информационной системы, требований организационно-распорядительных документов по защите информации и (или) несвоевременном выполнении соответствующих действий должностным лицом (работником) или подразделением, ответственными за защиту информации.
3.12 уязвимость многофакторная: Уязвимость, появившаяся в результате наличия нескольких недостатков различных типов.
3.13 язык программирования: Язык, предназначенный для разработки (представления) программного обеспечения.
3.14 степень опасности уязвимости: Мера (сравнительная величина), характеризующая подверженность информационной системы уязвимости и ее влияние на нарушение свойств безопасности информации (конфиденциальность, целостность, доступность).
4.1 В основе классификации уязвимостей ИС используются следующие классификационные признаки:
- область происхождения уязвимости;
- типы недостатков ИС;
- место возникновения (проявления) уязвимости ИС.
Примечание - В качестве уязвимых компонентов информационной системы рассматриваются: общесистемное (общее), прикладное, специальное программное обеспечение, технические средства, сетевое (коммуникационное, телекоммуникационное) оборудование, средства защиты информации.
4.2 Помимо классификационных признаков уязвимостей ИС используются поисковые признаки (основные и дополнительные). Поисковые признаки предназначены для организации расширенного поиска в базах данных уязвимостей.
4.3 К основным поисковым признакам уязвимостей ИС относятся следующие:
- наименование операционной системы (ОС) и тип аппаратной платформы;
- наименование программного обеспечения (ПО) и его версия;
- степень опасности уязвимости.
4.4 К дополнительным поисковым признакам уязвимостей ИС относятся следующие:
- язык программирования;
- служба (порт), которая (который) используется для функционирования ПО.
2
5 Классификация
Примечание - В целях выявления и оценки уязвимостей информационных систем могут выделяться подклассы уязвимостей.
Примечание - Неправильная настройка параметров ПО заключается в отсутствии необходимого параметра, присвоении параметру неправильных значений, наличии избыточного числа параметров или неопределенных параметров ПО;
Примечание - Недостаточность проверки вводимых (входных) данных заключается в отсутствии проверки значений, избыточном количестве значений, неопределенности значений вводимых (входных) данных;
Примечание - Прослеживание пути доступа к каталогам заключается в отслеживании пути доступа к каталогу (по адресной строке/составному имени) и получении доступа к предыдущему/корневому месту хранения данных;
Примечание - Переход по ссылкам связан с возможностью внедрения нарушителем ссылки на сторонние ресурсы, которые могут содержать вредоносный код. Для файловых систем недостатками являются символьные ссылки и возможности прослеживания по ним нахождения ресурса, доступ к которому ограничен;
Примечание - Внедрение команд ОС заключается в возможности выполнения пользователем команд операционной системы (например, просмотра структуры каталогов, копирование, удаление файлов и другие команды);
Примечание - Межсайтовый скриптинг обычно распространен в веб-приложениях и позволяет внедрять код в веб-страницы, которые могут просматривать нелегитимные пользователи. Примерами такого кода являются скрипты, выполняющиеся на стороне пользователя;
Примечание - Недостатки связаны с внедрением интерпретируемых операторов языков программирования (например, операции выбора, добавления, удаления и другие) или разметки в исходный код веб-приложения;
Примечание - Недостатки связаны с внедрением произвольного кода и части кода, которые могут привести к нарушению процесса выполнения операций;
Примечание - Переполнение буфера возникает в случае, когда ПО осуществляет запись данных за пределами выделенного в памяти буфера. Переполнение буфера обычно возникает из-за неправильной работы с данными, полученными извне, и памятью, при отсутствии защиты со стороны среды программирования и операционной системы. В результате переполнения буфера могут быть испорчены данные, расположенные следом за буфером или перед ним. Переполнение буфера может вызывать аварийное завершение или зависание ПО. Отдельные виды переполнений буфера (например, переполнение в стековом кадре) позволяют нарушителю выполнить произвольный код от имени ПО и с правами учетной записи, от которой она выполняется;
3
Примечание - Форматная строка в языках C/C++ является специальным аргументом функции с динамически изменяемым числом параметров. Ее значение в момент вызова функции определяет фактическое количество и типы параметров функции. Ошибки форматной строки потенциально позволяют нарушителю динамически изменять путь исполнения программы, в ряде случаев - внедрять произвольный код;
Примечание - К недостаткам, связанным с вычислениями относятся следующие:
некорректный диапазон, когда ПО использует неверное максимальное или минимальное значение, которое отличается от верного на единицу в большую или меньшую сторону;
ошибка числа со знаком, когда нарушитель может ввести данные, содержащие отрицательное целое число, которые программа преобразует в положительное нецелое число;
ошибка усечения числа, когда часть числа отсекается (например, вследствие явного или неявного преобразования или иных переходов между типами чисел);
ошибка индикации порядка байтов в числах, когда в ПО смешивается порядок обработки битов (например, обратный и прямой порядок битов), что приводит к неверному числу в содержимом, имеющем критическое значение для безопасности;
Примечание - Утечка информации - преднамеренное или неумышленное разглашение информации ограниченного доступа (например, существует утечки информации при генерировании ПО сообщения об ошибке, которое содержит сведения ограниченного доступа). Недостатки, приводящие к утечке/раскрытию информации ограниченного доступа, могут быть образованы вследствие наличия иных ошибок (например, ошибок, связанных с использованием скриптов);
Примечание - К недостаткам, связанным с управлением полномочиями (учетными данными) относятся, например, нарушение политики разграничения доступа, отсутствие необходимых ролей пользователей, ошибки при удалении ненужных учетных данных и другие;
Примечание - К недостаткам, связанным с управлением разрешениями, привилегиями и доступом относятся, например, превышение привилегий и полномочий, необоснованному наличию суперпользователей в системе, нарушение политики разграничения доступа и другие;
Примечание - К недостаткам, связанным с аутентификацией относятся: возможность обхода аутентификации, ошибки логики процесса аутентификации, отсутствие запрета множественных неудачных попыток аутентификации, отсутствие требования аутентификации для выполнения критичных функций;
Примечание - К недостаткам, связанным с криптографическими преобразованиями относятся ошибки хранения информации в незашифрованном виде, ошибки при управлении ключами, использование несертифици-рованных средств криптографической защиты информации;
Примечание - Подмена межсайтового запроса заключается в том, что используемое ПО не осуществляет или не может осуществить проверку правильности формирования запроса;
Примечание - «Состояние гонки» - ошибка проектирования многопоточной системы или приложения, при которой функционирование системы или приложения зависит от порядка выполнения части кода. «Состояние гонки» является специфической ошибкой, проявляющейся в случайные моменты времени;
Примечание - К недостаткам управления ресурсами относятся: недостаточность мер освобождения выделенных участков памяти после использования, что приводит к сокращению свободных областей памяти, отсутствие очистки ресурса и процессов от сведений ограниченного доступа перед повторным использованием и
другие;
Примечание - По результатам выявления уязвимостей информационных систем перечень типов недостатков может дополняться.
Примечание - К уязвимостям в общесистемном (общем) программном обеспечении относятся уязвимости операционных систем (уязвимости файловых систем, уязвимости режимов загрузки, уязвимости, связанные с наличием средств разработки и отладки программного обеспечения, уязвимости механизмов управления процессами и другие), уязвимости систем управления базами данных (уязвимости серверной и клиентской частей системы управления базами данных, уязвимости специального инструментария, уязвимости исполняемых объектов баз данных (хранимые процедуры, триггеры) и другие), уязвимости иных типов общесистемного (общего) программного обеспечения;
- уязвимости в прикладном программном обеспечении.
Примечание - К уязвимостям в прикладном программном обеспечении относятся уязвимости офисных пакетов программ и иных типов прикладного программного обеспечения (наличие средств разработки мобильного кода, недостатки механизмов контроля исполнения мобильного кода, ошибки программирования, наличие функциональных возможностей, способных оказать влияние на средства защиты информации и другие уязвимости);
- уязвимости в специальном программном обеспечении.
Примечание - К уязвимостям в специальном программном обеспечении относятся уязвимости программного обеспечения, разработанного для решения специфических задач конкретной информационной системы (ошибки программирования, наличие функциональных возможностей, способных оказать влияние на средства защиты информации, недостатки механизмов разграничения доступа к объектам специального программного обеспечения и другие уязвимости);
Примечание - К уязвимостям в технических средствах относятся уязвимости программного обеспечения технических средств (уязвимости микропрограмм в постоянных запоминающих устройствах, уязвимости микропрограмм в программируемых логических интегральных схемах, уязвимости базовой системы ввода-вывода, уязвимости программного обеспечения контроллеров управления, интерфейсов управления и другие уязвимости), иные уязвимости технических средств;
Примечание - К уязвимостям в портативных технических средств относятся уязвимости операционных систем мобильных (портативных) устройств, уязвимости приложений для получения с мобильно устройства доступа к Интернет-сервисам, уязвимости интерфейсов беспроводного доступа, иные уязвимости портативных технических средств;
Примечание - К уязвимостям в сетевом (коммуникационном, телекоммуникационном) оборудовании относятся уязвимости маршрутизаторов, коммутаторов, концентраторов, мультиплексоров, мостов и телекоммуникационного оборудования иных типов (уязвимости протоколов и сетевых сервисов, уязвимости средств и протоколов управления телекоммуникационным оборудованием, недостатки механизмов управления потоками информации, недостатки механизмов разграничения доступа к функциям управления телекоммуникационным оборудованием, другие уязвимости);
Примечание - К уязвимостям в средствах защиты информации относятся уязвимости в средствах управления доступом, средствах идентификации и аутентификации, средствах контроля целостности, средствах доверенной загрузки, средствах антивирусной защиты, системах обнаружения вторжений, средствах межсетевого экранирования, средствах управления потоками информации, средствах ограничения программной среды, средствах стирания информации и контроля удаления информации, средствах защиты каналов передачи информации, уязвимости в иных средствах защиты информации (ошибки программирования, недостатки, связанные возможностью обхода, отключения, преодоления функций безопасности, другие уязвимости).
5
ГОСТ P 56546-2015
Библиография
[1] Федеральный закон Российской Федерации «Об информации, информационных технологиях и о
защите информации» от 27.07.2006 № 149-ФЗ
6