Антиплагиат (1209233), страница 5
Текст из файла (страница 5)
Однако все уязвимости, описанные в банке, являютсяуязвимостями кода приложений. Также далеко не все производители ПОпредставлены в банке. В основном, внимание отдается операционным системами программному обеспечению, занимающим большие сегменты своего рынка.В запись уязвимости банка данных угроз ФТСЭК входят следующиеосновные поля:описание уязвимости – общий текст, поясняющий причинувозникновения уязвимости и возможные последствия ее эксплуатации;24производитель программного обеспечения, имеющего уязвимость;наименование и версия ПО – те версии, для которых уязвимость имеетместо;тип ошибки – описание ошибки, способствующей возникновениюуязвимости;класс уязвимости (согласно ГОСТ Р 56546-2015);сложность реализации и величина и вид последствий от реализацииуязвимости по системе оценки CVSS;уровень опасности;возможные меры по устранению;ссылки на источники и на другие базы уязвимостей.В среднем, на уязвимость приходится 4,5 ссылок на источники информацииоб уязвимости.База данных уязвимостей IBM X-Force (по данным на 04.2017) содержит82550 записей об уязвимостях.
Записи имеются как о программном, так итехническом обеспечении большого числа производителей. Организованудобный поиск по различным ключевым словам, таким как производитель,наименование программного и технического обеспечения, типам и видамуязвимостей и другим.В запись уязвимости в базе X-Force входят следующие основные поля:общее описание уязвимости и способа ее эксплуатации;ближайшие последствия от реализации уязвимости;базовая оценка по системе CVSS – сложность и параметры реализации ивлияние на параметры информации (конфиденциальность, целостность,доступность);существующие способы исправления;ссылки на источники и другие базы данных уязвимостей.В среднем, на каждую уязвимость база данных IBM X-Force предоставляет 6ссылок на источники информации об уязвимости.25База данных уязвимостей CVE (по данным на 04.2017) имеет 85402 записи оподтвержденных уязвимостях.
Эта база ведется с 1999 года и содержит записи омножестве производителей и моделей программного и техническогообеспечения. Эта база данных ведется усилиями общественности, что дает ейполноту и объективность, но и приводит к некоторой несогласованности.Основные поля записи об уязвимости в базе данных CVE составляют:общее описание уязвимости;ссылки на другие базы данных и 1 источники информации об уязвимостях; 1внутренняя информация базы данных об уязвимости, котораяпредназначена для подтверждения существования уязвимости.В среднем, на каждую уязвимость база данных уязвимостей CVEпредоставляет 5,6 ссылок на источники информации об уязвимости.Важно заметить, что уязвимости в базе данных CVE не привязаны кпрограммному и техническому обеспечению, а также не производится ихоценка с позиции сложности реализации и степени производимогоэксплуатацией ущерба.
Но при этом база данных CVE представляет собойдостаточно полный список уязвимостей. 74База данных уязвимостей США NVD (по данным на 04.2017) имеет 89610записей об уязвимостях. Эта база поддерживается Национальным ИнститутомСтандартов и Технологий США с 1988 года.В запись об уязвимости в базе данных NVD входят следующие основныеполя:общее описание уязвимости;оценка уязвимости по системе CVSS – сложность и область реализации ивлияние на параметры защищенности информации;ссылки на сторонние источники информации об уязвимости;тип уязвимости;наименование и версия уязвимого программного или техническогообеспечения по системе CPE.26В среднем на уязвимость база данных NVD предоставляет 5,3 ссылок наисточники информации об уязвимости.Таблица 3.1 представляет основные данные о рассматриваемых базахданных уязвимостей.Таблица 3.1 – Сравнение баз данных уязвимостейБДУ ФСТЭК IBM X-Force CVE NVDКоличество записей 16332 82550 85402 89610Среднее количество ссылок 4,5 6 5,6 5,3Общее описание уязвимости + + + +Наименование ПО или ТО + + +Оценка уязвимости + + +Рекомендации по устранению + +По результатам сравнения видно, что Банк данных ФСТЭК сильно уступаетдругим базам по количеству записей об уязвимостях.
Это связано с малымсроком жизни базы (с 2014 года) и сконцентрированностью на основныхпроизводителях программного обеспечения на рынке. Также Банк данных покане учитывает уязвимости микропроцессорного программного обеспечениятехнических средств. Остальные базы показывают близкое количество записей(лидер – NVD).Структура записи наиболее полная у баз данных уязвимостей ФСТЭК и XForce.
Наименьшее количество информации представляется в записях CVE,предполагается, что всю недостающую информацию можно найти по ссылкам.Таким образом, к использованию рекомендуются все указанные базыуязвимостей по различным причинам:банк данных угроз ФСТЭК – как национальная база данных угрозРоссии;база данных уязвимостей X-Force – из-за наиболее полной структурызаписей и наибольшего количества ссылок на информацию;27база данных CVE – как общественно-поддерживаемая полная ипроверяемая база;база данных США NVD – из-за наибольшего количества записей ииспользуемого удобного словаря программных и технических продуктов.При этом, использование нескольких баз данных уязвимостей одновременнокрайне рекомендуется, так как возможно отсутствие конкретного случая вкакой-то одной из баз.Использование баз данных уязвимостей представляет собой ручной поискуязвимостей в базах для каждого программного и технического продукта,используемого в информационной системе.
Подобный список состава системысоставляется при реализации других мер обеспечения информационнойбезопасности, в частности АНЗ.4.Для каждого пункта этого списка следует найти все уязвимости ввыбранных базах данных. Почти каждая из них содержит поле «Наименованиепродукта», кроме CVE. Но это наименование дублируется в описании, поэтомупоиск возможен по любой базе данных уязвимостей.Каждая найденная таким образом уязвимость должна быть занесена всписок найденных уязвимостей. В качестве формата записи следуетиспользовать паспорт уязвимости согласно ГОСТ Р 56545-2015.
Паспорт имеетследующие поля, указанные в таблице 3.2.Таблица 3.2 – Паспорт уязвимостиЭлемент описания 34 Описание элементаНаименование уязвимости Текстовая информация обуязвимости, на 34 основании которойвозможно установить причину и (или)последствия уязвимости 34Идентификатор уязвимости Алфавитно-цифровой код,включающий код базы данныхуязвимостей, год выявления и 34порядковый номер в текущем году.28Продолжение таблицы 3.2Элемент описания Описание элементаИдентификаторы других системописанияИдентификаторы уязвимости вобщедоступных базах данныхуязвимостей. Возможно выполнение ввиде гиперссылок.Краткое описание уязвимости Текстовая информация об уязвимостии возможностях ее использованияКласс уязвимости 34 Класс уязвимости в соответствии сГОСТ Р 56546-2015Наименование продукта и его версия Информация о программном илитехническом обеспечении и егоуязвимая версияСлужба (порт) Комбинированная информация ослужбе (системной или сетевой), осетевом порте, который 34 используетсядля функционирования 34 продукта, исетевой проток передачи данныхЯзык программирования Язык (языки) программирования,который был использован в приразработке уязвимого продуктаТип недостатка Тип недостатка информационнойсистемы согласно ГОСТ Р 56546-2015Идентификатор типа недостатка Алфавитно-цифровой код типанедостатка, который берется изобщедоступных источников (вчастности CWE)Место возникновения уязвимости Компоненты системы, которыесодержат уязвимость согласно ГОСТР 56546-2015Наименование операционнойсистемы и тип 34 платформыИнформация об операционнойсистеме и типе аппаратнойплатформы 34Дата выявления уязвимости Информация о дате обнаруженияуязвимости в виде ДД/ММ/ГГГГОкончание таблицы 3.229Элемент описания Описание элементаСпособ (правило) обнаруженияуязвимостиФормализованное правилообнаружения уязвимости, позволяетпри помощи специальной процедурыпровести проверку наличияуязвимости ( 34 например на языкеOVAL).
Возможнонеформализованное описание длявнутреннего пользования.Критерии опасности уязвимости 34 Информация о критериях,используемых при оценке 34 опасностиуязвимости, и их значениях.(например используя систему CVSS)Степень опасности уязвимости Текстовая информация, которая 34принимает одно из четырех значений:« 34 критическая», «высокая», «средняя»или «низкая»Возможные меры по устранению 34 Предложения и рекомендации поустранению 34 обнаруженнойуязвимости или исключениювозможности 34 использованияуязвимости нарушителемПрочая информация Текстовая информация, дополняющаяобщую информацию об уязвимостиТаким образом, будет составлен список найденных в системе уязвимостей спредложениями по их устранению. Рекомендации из этого списка затемнеобходимо преобразовать в набор мероприятий по устранению уязвимостейпутем простого переноса.
Порядок, время выполнения и ответственные лицаназначаются в плане выполнения мероприятий по устранению уязвимостей.Этот план будет дополняться в процессе реализации других способов поискауязвимостей.Возможно, что некоторые уязвимости не имеют способов устранения. Такиеуязвимости сложно устранимы и требуют введения дополнительных мерзащиты информации. Эти меры будут определены в процессе выполнения работпо созданию ( 16 корректированию) системы защиты информации, 16 реализуемой винформационной системе.
В этом процессе используются полученные данныеоб актуальных угрозах безопасности информации, которые, в свою очередь,30определяются существующими уязвимостями информационной системы.Соответственно, необходимо составить список не устраненных уязвимостей суказанием параметров, по которым в дальнейшем будут определятьсяактуальные угрозы.Каждая угроза безопасности информации из банка данных угроз ФСТЭКсодержит в своем описании обстоятельства, при которых возможно реализацияугрозы. Это и является связью с уязвимостью, эксплуатация которой делаетвозможным реализацию угрозы информационной безопасности.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
