ГОСТ Р 56545-2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей

     5 Структура и содержание описания уязвимостей

5.1 Общие требования к структуре описания уязвимости

5.1.1 Структура описания уязвимости должна обеспечивать достаточность информации для идентификации уязвимости ИС и выполнения работ по анализу уязвимостей ИС.

5.1.2 Для однозначной идентификации уязвимости описание должно включать следующие элементы:

- идентификатор уязвимости;

- наименование уязвимости;

- класс уязвимости;

- наименование программного обеспечения (ПО) и его версия.

5.1.3 Для обеспечения работ по анализу уязвимостей ИС описание должно включать следующие элементы:

- идентификатор типа недостатка;

- тип недостатка;

- место возникновения (проявления) уязвимости;

- способ (правило) обнаружения уязвимости;

- возможные меры по устранению уязвимости.

5.1.4 Для обеспечения детальной информации об уязвимости описание может включать следующие элементы:

- наименование операционной системы и тип аппаратной платформы;

- язык программирования ПО;

- служба (порт), которую(ый) используют для функционирования ПО;

- степень опасности уязвимости.

- краткое описание уязвимости;

- идентификаторы других систем описаний уязвимостей;

- дата выявления уязвимости;

- автор, опубликовавший информацию о выявленной уязвимости;

- критерии опасности уязвимости.

5.1.5 Дополнительно описание уязвимости ИС может включать прочую информацию в составе следующих элементов:

- описание реализуемой технологии обработки (передачи) информации;

- описание конфигурации ПО, определяемой параметрами установки;

- описание настроек ПО, при которых выявлена уязвимость;

- описание полномочий (прав доступа) к ИС, необходимых нарушителю для эксплуатации уязвимости;