ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

НАЦИОНАЛЬНЫЙ

СТАНДАРТ

РОССИЙСКОЙ

ФЕДЕРАЦИИ

Защита информации

УЯЗВИМОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ

Классификация уязвимостей информационных систем

Издание официальное

Стандарте иформ 2015

Предисловие

1 РАЗРАБОТАН Обществом с ограниченной ответственностью «Центр безопасности информации» (ООО «ЦБИ»)

2 ВНЕСЕН Технический комитетом по стандартизации ТК 362 «Защита информации»

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому ре-гулировадою и метрологии от 19 августа 2015 г. N9 1181-ст

4 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется е ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты». а официальный текст изменений и поправок - в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя Национальные стандарты». Соответствующая информация, уведомления и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет ()

© Стандартинформ, 2015

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

Введение

Настоящий стандарт входит в комплекс стандартов, устанавливающих классификацию уязвимостей, правила описания уязвимостей, содержание и порядок выполнения работ по выявлен**) и оцеисе уязвимостей информационных систем (ИС).

Настоящий стандарт распространяется на деятельность по защите информации, связанную с выявлением и устранением уязвимостей ИС при создании и эксплуатации ИС.

8 настоящем стандарте принята классификация уязвимостей ИС. исходя из области происхождения уязвимостей, типов недостатков ИС и мест возникновения (проявления) уязвимостей ИС.

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Защита информации

УЯЗВИМОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ Классификация уязвимостей информационных систем Information protection. Vulnerabilities in information systems The classification of vulnerabilities in information systems

Дата введения - 2016-04-01

1 Область применения

Настоящий стандарт устанавливает классификацию уязвимостей информационных систем (ИС). Настоящий стандарт направлен на совершенствование методического обеспечения определения и описания угроз безопасности информации при проведении работ по защите информации в ИС.

Настоящий стандарт не распространяется на уязвимости информационных систем, связанные с утечкой информации по техническим каналам, в том числе уязвимостями электронных компонентов технических (аппаратных и аппаратно-программных) средств информационных систем.

2 Нормативные ссылки

В настоящем стандарте использована нормативная ссылка на следующий стандарт:

ГОСТ Р 50922-2006 Защита информации. Основные термины и определения

Примечание - При пользована настоящим стандартом целесообразно проверить действие ссыпо*«ьсх стандартов в информационной системе общего пользования - на официальном сайте национального органа Российской Федерации по стандарткэащы в сети Интернет или по ежегодному информационному указэтего «Нацио-иагьные стандарты», который олублюоеан по состоя»**) на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого документа с учетом всех внесе»*ых в да»чую версию изменений. Если заменен ссылочный стандарт, на который дана датм-роеаиная ссылка, то рекомендуется нспопьдоеатъ вероео этого документа с ука»»чьи< воше гадом утеерждотм (пргыятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это полажвюю рекомендуется применять без учета данного мзмеиеьыя. Если ссылочный стандарт отменен без замены, то полаже»#*е. в котором д»*а ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3 Термины и определения

В настоящем стандарте применены термины по ГОСТ Р 50922. а также следующие термины с соответствующими определениями:

3.1 информационная система: Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Примечание - Определение термине соответствует J1J.

3.2 компонент информационной системы Часть информационной системы, включающая некоторую совокупность информации и обеспечивающих ее обработку отдельных информационных технологий и технических средств.

3.3 признак классификации уязвимостей: Свойство или характеристика уязвимостей, по которым производится классификация.

3.4 информационная технология [технология обработки (передачи) информации в информационном системе]: Процесс, метод поиска, сбора, хранения, обработки, предоставления, распространения информации и способ осуществления таких процессов и методов.

Издание официальное

3.5 конфигурация информационной системы: Взаимосвязанные структурно-функциональные характеристики информационной системы, включающие структуру и состав информационной системы. физические, логические, функциональные и технологические взаимосвязи между компонентами информационной системы, с иными информационными системами и информационно-телекоммуникационными сетями, а также с полномочиями субъектов доступа к объектам доступа информационной системы.

3.6 угроза безопасности информации Совокупность условии и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

3.7 уязвимость: Недостаток (слабость) программного (программно-технического) средства или информационной системы в целом, которым (которая) может быть использована для реализации угроз безопасности информации.

3.8 уязвимость кода: Уязвимость, появившаяся в процессе разработки программного обеспечения.

3.9 уязвимость конфигурации: Уязвимость, появившаяся в процессе задания конфигурации (применения параметров настройки) программного обеспечения и технических средств информационной системы.

3.10 уязвимость архитектуры Уязвимость, появившаяся в процессе проектирования информационной системы.

3.11 уязвимость организационная Уязвимость, появившаяся в связи с отсутствием (или недостатками) организационных мер защиты информации в информационной системе и (или) несоблюдением правил эксплуатации системы зашиты информации информацио*#юй системы, требований организационно-распорядительных документов по защите информации и (или) несвоевременном выполнении соответствующих действий должностным лицом (работником) или подразделением, ответственными за защиту информации.

3.12 уязвимость многофакторная УЯэвимость. появившаяся в результате наличия нескольких недостатков различных типов.

3.13 язык программирования: Язык, предназначенный для разработки (представления) программного обеспечения.

3.14 степень опасности уязвимости Мера (сравнительная величина), характеризующая подвержен ность информационной системы уязвимости и ее влияние на нарушение свойств безопасности информации (конфиденциальность, целостность, доступность).

4 Основные положения

4.1В основе классификации уязвимостей ИС используются следующие классификационные признаки:

Область происхождения уязвимости;

Типы недостатков ИС;

Место вознжновения (проявления) уязвимости ИС.

Примечание - В качестве уязвимых компонентов информационной системы рассматриваются: общесистемное (общее), прикладное, специальное программное обеспечение, технические средства, сетевое (комму-имсащюююе. талекоммундеационное) оборудовало. средства защиты информащм.

4.2 Помимо классификационных признаков уязвимостей ИС используются поисковые признаки (основные и дополнительные). Поисковые признаки предназначены для организации расширенного поиска в базах данных уязвимостей.

4.3 К основным поисковым признакам уязвимостей ИС относятся следующие:

Наименование операционной системы (ОС) и тип аппаратной платформы;

Наименование программного обеспечения (ПО) и его версия;

Степень опасности уязвимости.

4.4 К дополнительным поисковым признакам уязвимостей ИС относятся следующие;

Язык программирования;

Служба (порт), которая (который) используется для функционирования ПО.

5 Классификация

5.1 Уязвимости ИС по области происхождения подразделяются на следующие классы:

Уязвимости кода:

Уязвимости конфигурации:

Уязвимости архитектуры:

Организационные уязвимости:

Многофакторные уязвимости.

Примечание - 8 целях выявления и оценки уязвимостей информационных систем могут выделяться подклассы уязвимостей.

5.2 Уязвимости ИС по типам недостатков ИС подразделяются на следующие:

Недостатки, связанные с неправильной настройкой параметров ПО.

Примечание - Неправильная настройка параметров ПО заюжмэется е отсутствие необходимого параметра. присвоении параметру непраемгыиых значений, иагычии избыточного ‘ысла параметров или неопределенных параметров ПО:

Недостатки, связанные с неполнотой проверки вводимых (входных) данных.

Примечание - Недостаточность проверки вводимых (входных) данных заключается в отсутствии проверяй знэчееый. избыточном количестве зна*ю»кы. неопределенности значений вводимых (вхошых) данных;

Недостатки, связанные с возможностью прослеживания пути доступа к каталогам.

Примечание - Прослеживание пути доступа к каталогам заключается в отслеживании пути доступа к каталогу (по адресной сгрокв/составному имеям) и получении доступа к предыдухцему/кориевому месту хранения лгьчых.

Недостатки, связанные с возможностью перехода по ссылкам:

Примечание - Переход по ссылкам связан с возможностью внедрения нарушителем ссылки на стором-мке ресурсы, которые могут содержать вредоносный код. Для файловых систем недостатками являются chmbotv-»ые ссылки и возможности прослежиоаыя по нш нахождения ресурса, доступ к которому ограничен:

Недостатки, связанные с возможностью внедрения команд ОС:

Примечание - Внедрение команд ОС закгьо^еется в возможности выпетые ния пользователем команд операционной системы (например, просмотре структуры каталогов, копирование, удаление файлов и другие го- недостатки, связанные с межсайтовым скриптингом (выполнением сценариев).

Примечание - Межсайтовый скрипты»* обычно распространен в веб-приложениях и позволяет внедрять код в веб-страницы, которые могут просматривать нелегитимные пользователи. Примерами такого кода являются скрипты, выполняющиеся на стороне пользователя;

Недостатки, связанные с внедрением интерпретируемых операторов языков программирования или разметки.

Примечание - Недостатки связаны с внедрением интерпретируемых операторов языков программирования (например, операции выбора, добавления, удапеюся и другие) или разметки в исходный код ввб-лриложемкя;

Недостатки, связанные с внедрением произвольного кода.

Примечание - Недостатки связаны с внедре»ыем произвольного кода и части кода, которые могут привести к нарушению процесса выполиееыя операций:

Недостатки, связанные с переполнением буфера памяти.

Примечание - Переполнение буфера возникает в случае, когда ПО осуществляет запись данных за предела им вьделеыюго а памяти буфера. Перепал ме*ме буфера обычно возникает из-за неправильной работы с данные**. получе»»ыми извне, и памятью, при отсутствии зашиты со стороны среды программирования и операционной системы. В рвзу/ътатв переполнения буфера могут быть испорчен данные, расположен»»*) следом за буфером или перед ним. Переполнение буфера может вызывать аварийное завершение игы зависание ПО. Отдельные виды перелагые»*«й буфера (например. переполиеы«е в стековом кадре) поэеолзьот нарушителю выполнить произвольный код от имени ПО и с правами учетной затеей, от которой она выполняется;

Недостатки, связаюгые с неконтролируемой форматной строкой.

Примечание - Форматная строка в языках C/C++ является специальным аргументом функции с динамически изменяемым «мелом параметров. Ее значение в момент вызова функции определяет фактическое когьгче-ство и типы параметров функции. Оомбки форматной строки потенциально позволяют наруимтелю динамически изменять путь испагыеюгя программ, е ряде случаев - внедрять произвольный код:

Недостатки, связанные с вычислениями.

Примечание -К недостаткам, связанным с вычислениями относятся следующие: некорректный диапазон, когда ПО использует неверное максимальное игм мъыимальное значимо, которое отличается от верного на ед*ьыцу в богьшую или меньшую сторону:

ошибка числа со знаком, когда нарушите*» может ввести дэгчые. содержащие отрицательное целое число, которые программа преобразует в положительное нецелое число:

ошибка усечегыя числа, когда часть числа отсекается (например, вследствие явного игм неявного преобразования или иных переходов между типами ^мсел);

ошибка индикации порядка байтов в числах, когда в ПО смешивается порядок обработки битое (например, обратный и прямой порядок битов), что приводит к неверному члелу в содержимом, имеющем критическое злаченые для безопасности:

Недостатки, приводящие к утечке/расхрытию информации ограниченного доступа.

Примечание - Утечка информации - преднамеренное или неуьышленыое разглашение юформэшы ограниченного доступа (например, существует утечки информации при гвмерироозгмн ПО сообщения об ошибке, которое содержит сведения ограниченного доступа). Недостатки, приводящие к утечке/раафытию нетформашяг ограниченного доступа, могут быть образованы вследствие нали^ыя иных ошибок (например, ошибок, связаюых с использованием скриптов):

Недостатки, связанные с управлением полномочия** (учетными данными).

Примечание - К недостаткам, свяэа»»ьвг с управлением полномочиями (учетными данными) относятся, например, нарушение погетжи разграничения доступа, отсутствие необходимых ролей пользователей. ошибки при удале»** ненужных ученых даюых и другие.

Недостатки, связаюгые с управлением разрешениями, привилегиями и доступом.

Примечание - К недостаткам, связа^ым с управлением разрешениями, привилегиями и доступом относятся. например, превышение привилегий и полмомо»мй. необоснованному иалмеео суперпользователей в системе. нарушение политики разграничения доступа и другие:

Недостатки, связаюгые с аутеитиф+асаиией.

Примечание - К недостаткам, сеязажым с аутектифмеэцией относятся: возможность обхода аутентификации. ошибки логики процесса аутентификации, отсутствие запрета множествеюых неудачных погыток аутм«-тифжащм. отсутствие требования аутентификации для вылолнегыя критичных фумщий;

Недостатки, связанные с криптографическими преобразованиями (недостатки шифрования).

Примечание - К недостаткам, связанным с криптографическими преобразованиями относятся ошибки хранения ^формации в незашифрованном виде, ошибки при управлении ключами, использование месертифици-рованных средств кригтто графтегесхом защиты деформации;

Недостатки, связанные с подмен ой межсайтовых запросов.

Примечание - Подмена мвжеайтоеого запроса заюксмается в том. что используемое ПО не осуществляет или не может осуществить проверку праеи/ьностм формирования запроса:

Недостатки, приводящие к «состоянию гонки».

Примечание - «Состояние гонки» - ошибка проектирования многопогоыой системы или приложегыя. при котором функционирооа! мо системы или приложения зависит от порядка выполнения части кода. «Состоякме помог» является специфической ошибкой, проявляющейся в случайные моменты времени:

Недостатки, связанные с управлением ресурсами.

Примечание - К недостаткам управления ресурсами относятся: недостаточность мер освобождения выделенных участков памяти после использования, что приводит к сокращению свободных областей памяти, отсутствие оыстки ресурса и процессов от сведений ограниченного доступа перед повторив* использованием и другие:

Иные типы недостатков.

Примечание -По результатам выявления уязвим ост ей «формационных систем перечень типов неоостатков может дополняться.

5.3 Уязвимости ИС по месту возникновения (проявления) подразделяются на следующие:

Уязвимости в общесистемном (общем) программном обеспечении.

Примечание - К уязвимостям в общесистемном (общем) программном обеспечении относятся уязвимости операционных систем (уязвимости файловых систем, уязвимости режимов загрузки, уязвимости, связанные с наличием средств разработки и отладки программного обеспечения, уязвимости механизмов управления процессами и другие), уязвимости систем управления базами даиых (уязвимости серверном и клиентской частей системы управления базами данных, уязвимости специального инструментария, уязвимости исполняемых объектов баз данных (хранимые процедуры, триггеры) и другие), уязвимости иных типов общесистемного (общего) программного обеспечения:

Уязвимости в прикладном программном обеспечении.

Примечание - К уязвимостям в присланном программном обеспечении относятся уязвимости офиоых пакетов программ и и»мх типов прикладного программного обеспечения (калине средств разработки мобильного кода, недостатки механизмов контроля исполнения мобильного кеда, ошибки программирования, наличие функциональных возмаююстей. способных оказать влияние на средства зашиты информации и другие уязвимости):

Уязвимости в специальном программном обеспечении.

Примечание - К уязвимостям в специальном программном обеспеченны относятся уязвимости программного обеспечения, разработанного для решения специфических задач конкретной информационной системы (ошибки программирования, наличие функциома/ъных возможностей, способных оказать влияние на средства зашиты информации, недостатки механизмов разграничения доступа к объектам специального программного обеспечения и другие уязвимости);

Уязвимости в технических средствах.

Примечание - К уязвимостям в технических средствах относятся уязвимости программного обеспечения технических средств (уязвимости микропрограмм а посгонниых запоминающих устройствах, уязвимости микропрограмм в программируемых логииесюи интегральных схемах, уязвимости базовой системы вееда-вывода, уязвимости программного обеспечения контроллеров управления, интерфейсов у правое нш и другие уязвимости), «ые уязвимости технических средств:

Уязвимости в портативных технических средствах.

Примечание - К уязвимостям в портативных технических средств относятся уязвимости операционных систем моби/ыых (портативных) устройств, уязвимости приложений для получения с мобильно устройства доступа к №териет-сервисам. уязвимости интерфейсов беспроводного доступа, игые уязвимости портативных технических средств:

Уязвимости в сетевом (коммуникационном, телекоммуникационном) оборудовании.

Примечание - К уязвимостям в сетевом (коммуникационном. телекоммуиесациоином) оборудовании относятся уязвимости маршрутизаторов, коммутаторов, концентраторов. мугыиплексорое. мостов и талекоммуиъжа-letOHHoro оборудования иных типов (уязвимости протоколов и сетевых сервисов, уязвимости средств и протоколов управленея телекоммуникационным оборудованием, недостатки механизмов управления потоками информации, недостатки механизмов разграничения доступа к функциям управления телекоммуникационным оборудованием, другие уязвимости):

Уязвимости в средствах защиты информации.

Примечание - К уязвимостям в средствах защиты информации относятся уязвимости а средствах управления доступом, средствах идентификации и эутемтификацен. средствах контроля целостности, средствах доверенной загрузки, средствах антивирусной защиты, системах обнаружения вторжений, средствах межсетевого экранирования, средствах управления потоками информации, средствах огражмемся программной среды, средствах стирания информации и контроля удаления информации, средствах зашиты Качалов передачи ««формации, уязвимости в иных средствах защиты ««формации (ошибки программированы. недостатки, связанные возможностью обхода, отключения, преодолены функций безопасности, другие уязвимости).

Библиография

Федеральный закон Российской Федерации «Об информации, информационных технологиях и о

защите информации» от 27.07.2006 No 149-ФЗ

УДК 004. 006.354 ОКС 35.020

Ключевые слова: информационная система, программное обеспечение, защита информации, уязвимость, недостаток, классификация, угроза безопасности

Редактор JU JU. Menaced Технический редактор АБ. Заеарзша Корректор В.Г. Смолин Компьютерная верстка Д.Е. Першин

Сошно ш набор 24.09 2015. Подписано а печать в. 10-2015. Формат 60x841 <8 Г арии тура Ареал. Ус», веч. л. 1.40. Уч.«*за я. 0.70. Тирам 32 ж За* 3410.

Набраж» в ООО «Ахадеммаоаг»

Academtfdal.com lenngacademizdataj

Иаоаио и отпечатано во

ФГУП «СТАИДАРТИИФОРМ». 123995 Мосжаа. Гранат"** пер. 4 vrww 90stnfo.ru mfoQgosanfo.oj

• ГОСТ 22731-77 Системы передачи данных процедуры управления звеном передачи данных в основном режиме для полудуплексного обмена информацией
• ГОСТ 26525-85 Системы обработки данных. Показатели использования
• ГОСТ 27771-88 Процедурные характеристики на стыке между оконечным оборудованием данных и аппаратурой окончания канала данных. Общие требования и нормы
• ГОСТ 28082-89 Системы обработки информации. Методы обнаружения ошибок при последовательной передаче данных
• ГОСТ 28270-89 Системы обработки информации. Спецификация файла описания данных для обмена информацией
• ГОСТ Р 43.2.11-2014 Информационное обеспечение техники и операторской деятельности. Язык операторской деятельности. Структурированное представление текстовых сведений в форматах сообщений
• ГОСТ Р 43.2.8-2014 Информационное обеспечение техники и операторской деятельности. Язык операторской деятельности. Форматы сообщений для технической деятельности
• ГОСТ Р 43.4.1-2011 Информационное обеспечение техники и операторской деятельности. Система «человек-информация»
• ГОСТ Р 53633.10-2015 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eTOM). Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Управление организацией. Управление рисками организации
• ГОСТ Р 53633.11-2015 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eTOM).Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Управление организацией. Управление эффективностью организации
• ГОСТ Р 53633.4-2015 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eTOM). Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Основная деятельность. Управление и эксплуатация услуг
• ГОСТ Р 53633.7-2015 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eTOM). Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Стратегия, инфраструктура и продукт. Разработка и управление ресурсами
• ГОСТ Р 53633.9-2015 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eTOM). Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Управление организацией. Планирование стратегии и развития организации
• ГОСТ Р 55767-2013 Информационная технология. Европейская рамка ИКТ-компетенций 2.0. Часть 1. Общая европейская рамка компетенций ИКТ-специалистов для всех секторов индустрии
• ГОСТ Р 55768-2013 Информационная технология. Модель открытой Грид-системы. Основные положения
• ГОСТ Р 56093-2014 Защита информации. Автоматизированные системы в защищенном исполнении. Средства обнаружения преднамеренных силовых электромагнитных воздействий. Общие требования
• ГОСТ Р 56115-2014 Защита информации. Автоматизированные системы в защищенном исполнении. Средства защиты от преднамеренных силовых электромагнитных воздействий. Общие требования
• ГОСТ Р 56545-2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей
• ГОСТ Р 56546-2015 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем
• ГОСТ IEC 60950-21-2013 Оборудование информационных технологий. Требования безопасности. Часть 21. Удаленное электропитание
• ГОСТ IEC 60950-22-2013 Оборудование информационных технологий. Требования безопасности. Часть 22. Оборудование, предназначенное для установки на открытом воздухе
• ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения
• ГОСТ Р 55766-2013 Информационная технология. Европейская рамка ИКТ-компетенций 2.0. Часть 3. Создание e-CF - соединение методологических основ и опыта экспертов
• ГОСТ Р 55248-2012 Электробезопасность. Классификация интерфейсов для оборудования, подсоединяемого к сетям информационных и коммуникационных технологий
• ГОСТ Р 43.0.11-2014 Информационное обеспечение техники и операторской деятельности. Базы данных в технической деятельности
• ГОСТ Р 56174-2014 Информационные технологии. Архитектура служб открытой Грид-среды. Термины и определения
• ГОСТ IEC 61606-4-2014 Аудио- и аудиовизуальное оборудование. Компоненты цифровой аудиоаппаратуры. Основные методы измерений звуковых характеристик. Часть 4. Персональный компьютер
• ГОСТ Р 43.2.5-2011 Информационное обеспечение техники и операторской деятельности. Язык операторской деятельности. Грамматика
• ГОСТ Р 53633.5-2012 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eTOM). Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Стратегия, инфраструктура и продукт. Управление маркетингом и предложением продукта
• ГОСТ Р 53633.6-2012 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eTOM). Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Стратегия, инфраструктура и продукт. Разработка и управление услугами
• ГОСТ Р 53633.8-2012 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eTOM). Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Стратегия, инфраструктура и продукт. Разработка и управление цепочками поставок
• ГОСТ Р 43.0.7-2011 Информационное обеспечение техники и операторской деятельности. Гибридно-интеллектуализированное человекоинформационное взаимодействие. Общие положения
• ГОСТ Р 43.2.6-2011 Информационное обеспечение техники и операторской деятельности. Язык операторской деятельности. Морфология
• ГОСТ Р 53633.14-2016 Информационные технологии. Сеть управления электросвязью расширенная схема деятельности организации связи (eTOM). Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Управление организацией. Управление отношениями с заинтересованными сторонами и внешними связями
• ГОСТ Р 56938-2016 Защита информации. Защита информации при использовании технологий виртуализации. Общие положения
• ГОСТ Р 56939-2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования
• ГОСТ Р ИСО/МЭК 17963-2016 Спецификация веб-служб для управления (WS-management)
• ГОСТ Р 43.0.6-2011 Информационное обеспечение техники и операторской деятельности. Естественно-интеллектуализированное человекоинфомационное взаимодействие. Общие положения
• ГОСТ Р 54817-2011 Воспламенение аудио-, видеоаппаратуры, оборудования информационных технологий и связи, случайно возникшее от пламени свечи
• ГОСТ Р МЭК 60950-23-2011 Оборудование информационных технологий. Требования безопасности. Часть 23. Оборудование для хранения больших объемов данных
• ГОСТ Р МЭК 62018-2011 Потребление энергии оборудованием информационных технологий. Методы измерения
• ГОСТ Р 53538-2009 Многопарные кабели с медными жилами для цепей широкополосного доступа. Общие технические требования
• ГОСТ Р 53633.0-2009 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eТОМ). Общая структура бизнес-процессов
• ГОСТ Р 53633.1-2009 Информационная технология. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eТОМ). Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Основная деятельность. Управление взаимоотношениями с поставщиками и партнерами
• ГОСТ Р 53633.2-2009 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eТОМ). Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Основная деятельность. Управление и эксплуатация ресурсов
• ГОСТ Р 53633.3-2009 Информационная технология. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eТОМ). Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Основная деятельность. Управление взаимоотношениями с клиентами
• ГОСТ Р ИСО/МЭК 20000-2-2010 Информационная технология. Менеджмент услуг. Часть 2. Кодекс практической деятельности
• ГОСТ Р 43.0.3-2009 Информационное обеспечение техники и операторской деятельности. Ноон-технология в технической деятельности. Общие положения
• ГОСТ Р 43.0.4-2009 Информационное обеспечение техники и операторской деятельности. Информация в технической деятельности. Общие положения
• ГОСТ Р 43.0.5-2009 Информационное обеспечение техники и операторской деятельности. Процессы информационно-обменные в технической деятельности. Общие положения
• ГОСТ Р 43.2.1-2007 Информационное обеспечение техники и операторской деятельности. Язык операторской деятельности. Общие положения
• ГОСТ Р 43.2.2-2009 Информационное обеспечение техники и операторской деятельности. Язык операторской деятельности. Общие положения по применению
• ГОСТ Р 43.2.3-2009 Информационное обеспечение техники и операторской деятельности. Язык операторской деятельности. Виды и свойства знаковых компонентов
• ГОСТ Р 43.2.4-2009 Информационное обеспечение техники и операторской деятельности. Язык операторской деятельности. Cинтактика знаковых компонентов
• ГОСТ Р 52919-2008 Информационная технология. Методы и средства физической защиты. Классификация и методы испытаний на огнестойкость. Комнаты и контейнеры данных
• ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения
• ГОСТ Р 53245-2008 Информационные технологии. Системы кабельные структурированные. Монтаж основных узлов системы. Методы испытания
• ГОСТ Р 53246-2008 Информационные технологии. Системы кабельные структурированные. Проектирование основных узлов системы. Общие требования

Уязвимость информационной системы - это любая характери­стика информационной системы, использование которой нарушителем мо­жет привести к реализации угрозы.Угрозой информационной систе­ме называется потенциально возможное событие, действие, процесс или явление, которое может вызвать нанесение ущерба (материального, мораль­ного или иного) ресурсам системы.

Классификация уязвимостей

В 1996 году компания ISS(InternetSecuritySystems) разработала следующую классификацию уязвимостей:

Уязвимости, реализованные или созданные продавцом (разработчиком) программного или аппаратного обеспечения. Включают: ошиб­ки, не установленные обновления (SP, patchиhotfix) операционной систе­мы, уязвимые сервисы и незащищенные конфигурации по умолчанию.

Уязвимости, добавленные администратором в процессе управления ком­понентами системы. Представляют собой доступные, но неправильно используемые настройки и параметры инфор­мационной системы, не отвечающие политике безопасности (например, требования к минимальной длине пароля и несанкционированные измене­ния в конфигурации системы).

уязвимости, привнесенные пользователем в процессе эксплуатации сис­темы. Включают уклоне­ния от предписаний принятой политики безопасности, например, отказ запускать ПО для сканирования вирусов или использование модемов для вы­хода в сеть Internetв обход межсетевых экранов и другие, более враждебные действия.

В более общем виде уязвимости могут быть классифицированы по этапам жизненного цикла ИС:

Уязвимости проектирования (проектирование)

Уязвимости реализации (реализация)

Уязвимости конфигурации (эксплуатация)

Уязвимости проектирования наиболее серьезны - они обнаруживаются и уст­раняются с большим трудом. В этом случае уязвимость свойственна проекту или алгоритму и, следовательно, даже совершенная его реализация (что в принципе невозможно) не избавит от заложенной в нем слабости. Напри­мер, уязвимость стека протоколов TCP/IP. Недооценка требований по безо­пасности при создании этого стека протоколов привела к тому, что не про­ходит месяца, чтобы не было объявлено о новой уязвимости в протоколах стека TCP/IP. И раз и навсегда устранить эти недостатки уже невозможно - существуют только временные или неполные меры. Однако бывают и ис­ключения. Например, внесение в проект корпоративной сети множества модемов, облегчающих работу персонала, но существенно усложняющих работу службы безопасности. Это приводит к появлению потенциальных путей обходов межсетевого экрана, обеспечивающего защиту внутренних ресурсов от несанкционированного использования. И обнаружить, и устра­нить эту уязвимость достаточно легко.

Уязвимости реализации состоят в появлении ошибки на этапе реализации в программном или аппаратном обеспечении корректного с точки зрения безопасности проекта или алгоритма. Яркий пример такой уязвимости -"переполнение буфера" во многих реализациях программ, например, sendmailилиInternetExplorer. Обнаруживаются и устраняются подобного рода уязвимости относительно легко. Если нет исходного кода программного обеспечения, в котором обна­ружена уязвимость, то ее устранение заключается или в обновлении версии уязвимого ПО или в полной его замене или отказе от него.

Уязвимости конфигурации состоят в ошибках при конфигурации программного или аппаратного обеспечения. Этот вид наряду с уязвимостями реализации является самой распространенной категорией уязвимостей. Существует множество примеров таких уязвимостей. К их числу можно от­нести, например, доступный, но не используемый на узле сервисTelnet, разрешение "слабых" паролей или паролей длиной менее 6 символов, учет­ные записи и пароли, остановленные по умолчанию (например, SYSADMилиDBSNMPв СУБДOracle), и т. д. Локализовать и исправить такие уязвимости проще всего. Основная проблема - определить, является ли конфигурация уязвимой.

Ежедневно сотнями хакеров обнаруживаются тысячи уязвимостей, – после чего
взламывается куча сайтов, и детали багов выкладываются в багтрак на всеобщее
обозрение. Наверняка, ты читал подобные обзоры и замечал, что каждый баг
определенным образом классифицируется. Что собой представляет измерение
уязвимости, по каким критериям производится и на кой черт это вообще нужно
знать? Ответы ты найдешь в этой статье.

"Общепринятых систем по классификации брешей в нашей стране не существует" –
эту фразу я поставлю во главу угла. Продвинутым государством в этом плане стали
США. Там ведут несколько классификаций и активно используют их как в
образовательном процессе, так и в технологиях. Одной из самых известных систем
классификации является CVE , которая курируется компанией NCSD (National Cyber
Security Division) при одном из Министерств США. Рассмотрим эту систему
подробнее.

СVE (Common Vulnerabilities and Exposures)

По сути, CVE — это "словарь" известных уязвимостей, имеющий строгую
характеристику по описательным критериям, что отличает его, скажем, от
Bugtrack-ленты. Полностью CVE можно отыскать в Национальной Базе Уязвимостей США
(NVD — nvd.nist.gov) или на
официальном сайте (cve.mitre.org/data/downloads).
Причем, распространяется база в нескольких форматах: xml, html, csf, xsd schema.
Из-за такой доступности, открытости и удобства к базе CVE часто обращаются сами
разработчики различного ПО (в первую очередь, нацеленного на рынок
информационной безопасности).

Общий вид записи CVE выглядит примерно так:

CVE ID, Reference и Description.

ID записывается с указанием кода и порядкового номера, например
"CVE-1999-03". В поле Reference записываются различного рода ссылки на патчи,
рекомендательного рода документы или комментарии разработчика. Description
отвечает за описание самой уязвимости. Короче, CVE — система широкого профиля и
никоим образом не сосредотачивается только на клиентских уязвимостях или,
скажем, исключительно на WEB-протоколе. Изначально она задумывалась как единый
стандарт идентификации уязвимостей, который должен охватывать несколько звеньев
информационной системы: систему поиска и обнаружения брешей (например, сканер
безопасности), антивирусное ПО, а также исследуемое ПО.

Как появилась идея ее создания? Многие компании занимаются поиском брешей в
различных продуктах на основе политики (не)разглашения информации и
взаимодействия с производителями. Как-то, при исследовании одного из продуктов
десятью различными компаниями, одной и той же уязвимости были присвоены
абсолютно разные названия. После выявления сей вопиющей несправедливости было
принято соглашение о едином стандарте. Тогда же компания MITRE Corporation (mitre.org)
предложила решение, независимое от различных производителей средств поиска
уязвимостей, и взяла на себя ответственность за его воплощение. Нельзя сказать,
что после этого все баги стали упорядоченными. Разработчики продолжают активно
развивать самостоятельные начинания. Часть из них имеют платную подписку, и
антивирусные компании частенько обращаются к ним и добавляют соответствующие
сигнатуры в свои продукты. Стоимость такой годовой подписки составляет около
$5000 и выше.

BID

Эта классификация присутствует исключительно на портале Securityfocus
(используется в ленте

securityfocus.com/vulnerabilities). Одна из отличительных особенностей BID –
совместимость с CVE. Условно говоря, найденная уязвимость в BID имеет ссылку на
номер CVE и, соответственно, равнозначна по информации. У системы есть ряд
описательных свойств – например, класс, возможность локального или удаленного
исполнения и т.п. В будущем ты убедишься, что этих параметров недостаточно для
полной характеристики, но, тем не менее, BID дает разработчику вполне наглядную
информацию о выявленной бреши.

OSVDB

Название расшифровывается примерно как: "Открытая база данных уязвимостей ".
Все просто и со вкусом. Классификация создана тремя некоммерческими
организациями. Двести волонтеров со всего мира активно участвуют в ее
наполнении. Среди прочего присутствуют: локация эксплуатации (сетевой
доступ/локальный доступ) и импакт (ущерб от уязвимости, воздействие на
какую-либо часть целевой информационной системы).

Secunia

Эта датская компания, лента уязвимостей которой доступна по адресу
secunia.com , уже заработала
себе достаточно славы. Не сказать, чтобы их портал внес какую-то особую,
добавочную классификацию, но именно он предлагает услуги платной подписки на
базу уязвимостей.

ISS X-Force

ISS затрагивает все перечисленные выше критерии, но вдобавок описывает
бизнес-импакт, а именно – материальный ущерб, который может повлечь за собой
угроза эксплуатации. Например, баг "Microsoft Excel Remote Code Execution",
нацеленный на компьютер сотрудника банка или предприятия, способен привести к
краже важных документов, ущерб от разглашения которых может исчисляться
миллионами. Оценить урон от различных видов атак можно, ознакомившись с одним из
ведущих блогов в русскоязычном сегменте о security-бричах и утечках — Perimetrix.

Также в системе присутствует качественно новая черта — переход к метрикам
безопасности для описания свойств уязвимости. Для этого используется общая
система подсчета рисков уязвимостей CVSS версии 2. Она представляет собой шкалы,
на основе которых выставляются баллы. Система метрик была придумана для
разделения приоритетов над исправлением уязвимостей. Каждая шкала относится к
определенному смысловому разделу, который называется метрикой. В CVSS v.2 их
три: базовая метрика, временная метрика и контекстная метрика. Хакеров
заинтересует только первая.

Базовая метрика

Нередко на солидных порталах по безопасности можно увидеть фразу – "CVSS Base
Score = 9.2". Как это понимать? Параметр вычисляется по специальной формуле:

– плюс еще несколько. Все эти формулы можно найти по адресу
first.org/cvss .

Чтобы все стало понятнее, рассмотрим пример. Задан вектор уязвимости базовой
метрики вида: "AV:N/AC:L/Au:N/C:N/I:N/A:C". Все красуется на странице описания,
но ты абсолютно не можешь расшифровать эти иероглифы! Я тебе помогу. Итак,
расшифровываем по порядку.

Access Vector: Network — возможность доступа к объекту исключительно
через сеть. Для эксплуатации уязвимости злоумышленник должен обладать доступом к
уязвимому ПО, причем этот доступ ограничен только величиной сетевого стека.
Локального доступа или доступа из соседней сети не требуется. Такие уязвимости
часто называют эксплуатируемыми удаленно. Примером такой сетевой атаки служит
переполнение буфера RPC.

Access Complexity : Low — сложность доступа к ресурсу: низкая. Для
эксплуатации специальных условий и особых обстоятельств не требуется — все
стандартно, шаблонно, общедоступно.

Authentication : None – для эксплуатации не нужна авторизация.
Например, если бы это был сервис, который требует предварительной авторизации по
какой-нибудь мудреной схеме (смарт-карты, ключи, токены), то значение этого
вектора было другим.

Confidentiality Impact : None — влияние на разглашение критичной
информации.

Integrity Impact : None — нарушение целостности. Понятие "целостность"
связано с достоверностью и точностью информации. Если бы у злоумышленника была
возможность модификации файлов, изменения области исполнения файлов, то мы бы
поставили здесь C (полное) или P (частичное, от "partial").

Availability Impact : Complete — атаки, потребляющие пропускную
способность сети, циклы процессора или дисковое пространство, которые влияют на
доступность системы. Если эксплуатация уязвимости вызывает отказ в обслуживании,
то Availability Impact имеет значение "Complete".

Временная метрика

Более глубоким анализом занимаются временные и контекстные метрики. Дело в
том, что описанные векторы базовой метрики со временем не меняются. Они
постоянны и могут характеризовать уязвимость по назначению и опасности. А какие
критерии могут изменяться с течением времени? Представь, что ты нашел
критическую уязвимость и уведомил разработчика. Временной интервал исправления
уязвимости в таком случае имеет значение, да и к тому же сам изменяется во
времени (это может быть день, час, либо производитель вообще никак не
отреагирует). Или ситуация, когда твой друг написал боевой эксплойт на недавнюю
уязвимость "нулевого дня". Как долго этот код будет актуален? Он ускорит риск
эксплуатации, следовательно, должен учитываться при ее описании. Доступна ли
будет его технология к завтрашнему дню?

На все эти вопросы отвечают временные метрики. Рассмотрим некоторые их
векторы.

Exploitability (E) — возможность эксплуатации. Пожалуй, один из
важнейших критериев. Речь идет конкретно о доступности средства (кода, эксплойта,
технологии), которое успешно работает. Важно учитывать и то, что доступный
эксплойт можно использовать далеко не всегда. Используемые описательные флаги: U
(недоступен или непроверен), Proof-of-Concept (POC — опубликована наглядная
демонстрация уязвимости), F (функциональный, и рабочий эксплойт у тебя в руках),
H ("high risk" всей темы, чаще всего характерен для червей или для уязвимостей с
широко популярным описанием), ND (без разницы, вектор метрики не влияет ни на
что существенное, поэтому учитывать его не надо).

Remediation Level (RL) — уровень исправления. Голос уязвимости услышал
весь свет, вот только как поступят разработчики? Порой они просто молчат, потому
что их уже не осталось в живых (простите, за цинизм и черный юмор), а иногда
абсолютно сторонние организации и неофициальные источники начинают заботиться о
безопасности на первый взгляд чужих продуктов и оперативно писать заплатки.

Report Confidence (RC) — степень достоверности отчета. Сколько слухов
и разговоров крутится вокруг! Банальный пример: человек написал информацию якобы
о рабочей критической уязвимости. А на деле оказалось, что это программный
дефект и ничего существенного собой не представляет. Подтверждена ли уязвимость
экспертами или же это просто проделки хакерских слухов? Ответ на этот вопрос
даст вектор Report Confidence.

Параметры всех указанных векторов градируются вариантами "да/нет/возможно".

Контекстная метрика

Эти группы векторов отражают влияние на среду пользователя и изучают
поведение после эксплуатации уязвимости. Как правило, метрика используется в
качестве дополнения к базовой.

Collateral Damage Potential (CDP) — вероятность нанесения косвенного
ущерба. Описывает экономические или технические потери. Скажем, нам встретится
уязвимость, приводящая к DoS-атаке. После ее эксплуатации часть сетевого
оборудования перегревается, не справляясь с работой, и выходит из строя. Но при
этом ущерб оказывается незначительным из-за низкой стоимости устройства и его
расположения (вне защищаемых и важных объектов).

Target Distribution (TD) — плотность целей. Влияет ли уязвимость
только на одну цель, либо с ее помощью можно поработить огромное число машин?
Если это стендовое показательное выступление, лабораторный практикум или
эксплуатация на машине, изолированной от других, то значение этого вектора равно
нулю.

Использование классификаторов в сканерах

Современные автоматизированные аудиторы принято затачивать под какую-либо
конкретную базу знаний. Во-первых, это престижно, во-вторых — полезно. К
примеру, при подготовке к аттестации по одному из современных стандартов (NERC-CIP,
PCI, FISMA, GLBA или HIPAA) администратору предоставляется возможность получить
шаблонный отчет, соответствующий документу, издаваемому аудитором. Я встречал
такое в современных сканерах беспроводной безопасности, типа AirMagnet, а также
дорогих коммерческих сканерах вроде ISS Security Scanner. Порой сканеры
безопасности прибегают к использованию собственного разделения брешей по ID.
Подобная практика применяется в Nessus, который таки сменил лицензию на
полукоммерческую.

Отдельные классификации

Подчас в Сети можно заметить абсолютно самопальные классификации, вроде
Common Criteria Web Application Security Scoring (CCWAPSS) 1.1. Естественно,
большого веса такая система не имеет, потому что составляться она должна
реальными экспертами, которые понимают суть проблемы.

Так ли оно все важно?

Безусловно, к делу следует подходить без фанатизма. В первую очередь,
подобные системы классификации нацелены на экспертное звено либо специалистов,
которые заботятся о своевременном устранении брешей. Но, на мой взгляд, каждый
уважающий себя хакер должен знать и понимать общепринятые классификации
уязвимостей, разбираться в метриках и их векторах, чтобы четко и ясно
представлять формулу оценки всех недавно взломанных им ресурсов.

INFO

Истинные корни создания единой классификации багов и их контроля – это
Unix Known Problem List , Internal Sun Microsystems Bug List , каталоги
служб реагирования на компьютерные инциденты CERT ранних версий.

Список "междоусобной" совместимости систем классификаций:

CVE : ISS, BID, Secunia, SecurityTracker, OSVDB
BID : CVE, Bugtraq, ISS, Secunia, SecurityTracker, OSVDB
ISS : CVE, BID, Secunia, SecurityTracker, OSVDB
Secunia : CVE, OSVDB
SecurityTracker : CVE, OSVDB, Nessus
Nessus : CVE, BID, OSVDB
OSVDB : CVE, BID, Secunia, SecurityTracker, ISS, Nessus, Snort

Политика разглашения информации об уязвимости

Это соглашение имеет ряд нюансов. Например, хакер, обнаружив уязвимость, ищет
контакты, чтобы направить соответствующий запрос производителю. Если по
истечении пяти дней производитель отмалчивается, вводит в заблуждение своих
пользователей какими-то способами или некорректно вступает в диалог, то ему
отправляется повторное письмо. Выжидаются еще пять рабочих дней, после чего
баг-хантер вправе помещать описание о баге на собственном ресурсе или в
публичные багтраки. При этом в письме требуется оговорить и согласовать дату
публикации, чтобы производитель успел выпустить обновление или советы по защите
от эксплуатации. Важно отметить, что если стороннее третье лицо опубликовало
данные об эксплуатации найденной тобой уязвимости, то ты можешь смело постить ее
подробности без согласования с кем-либо. Вот такая арифметика.

Недокументированные уязвимости

В настоящее время эксперты мозгуют над включением вектора
"недокументированные уязвимости" в одну из метрик. Этот параметр имеет высокое
значение. В недалеком будущем мы сможем лицезреть строку "undercover
vulnerabilities " – вероятно, возможные к исполнению. На сайте, посвященном
развитию метрик информационной безопасности (securitymetrics.org/content/Wiki.jsp)
вывешено публичное обращение по поводу того, как и каким образом исчислять этот
параметр. Все желающие могут отправить туда свои предложения.

Уязвимости современных ОС

Несовершенство операционных систем и программного обеспечения - едва ли не главная причина колоссального ущерба, нанесенного мировой экономике компьютерными злоумышленниками. Большинство хакерских атак становится возможными из-за наличия уязвимостей в существующих ОС и ПО. В Сети появляется все больше вредоносного кода, который использует их для проникновения в компьютеры, выполнения запрограммированных действий и дальнейшего своего распространения.

Статистика показывает, что количество уязвимостей растет год от года. С одной стороны, это связано с тем, что год от года растет количество ПО, а с другой, с тем, что сейчас уязвимости ищутся намеренно, как хакерами, так и компаниями производителями ПО и ОС. Первые преследуют криминальные цели - использовать «дыру» для получения доступа к чужим информационным ресурсам, вторые - чтобы не испортить свою репутацию и обезопасить информационные ресурсы своих клиентов.

Количество обнаруженных уязвимостей

Источник: NIST

* - за 7 месяцев

По данным mi2g, ущерб от различных видов атак достиг в 2004 г. $150 млрд., что примерно в два раза больше, чем в годом ранее. По мнению экспертов, ежегодно хакерами взламывается до 90% сетей предприятий

Сегодня уже никого не удивишь тем, что одним из основных элементов безопасности является операционная система компьютера, так как, по большому счету, именно она аккумулирует в себе подавляющую часть используемых механизмов защиты. Поэтому именно эффективность механизмов защиты ОС определяет уровень безопасности корпоративной сети и информационной системы предприятия в целом.

Основополагающие посылы защиты информации

Текущее состояние защищенности системы может иметь одно из двух состояний: полностью защищена, либо полностью незащищена. Переход системы из одного состояние в другое осуществляется при обнаружении хотя бы одной уязвимости защиты, возвращение в исходное состояние - при устранении известной уязвимости. Другими словами, рассуждения о степени защищенности ОС неуместны - любая обнаруженная в системе уязвимость делает ее полностью незащищенной.

Под уязвимостью системы защиты понимается такое ее свойство (недостаток), которое может быть использовано злоумышленником для осуществления несанкционированного доступа (НСД) к информации. При этом любая уязвимость системы защиты несет в себе угрозу осуществления злоумышленником НСД к информации, посредством реализации атаки на уязвимость в системе защиты. Таким образом, уязвимость системы защиты - это признак системы, а наличие (отсутствие) известных уязвимостей (известных, так как уязвимости в любой системе защиты присутствуют всегда) является характеристикой защищенности (текущего состояния защищенности) системы.

Как следствие, характеристикой защищенности системы следует считать не только реализованный в ней набор механизмов защиты, который должен быть достаточным для условий применения системы, но и продолжительность устранения известной уязвимости разработчиком системы. Причем каждый механизм защиты должен быть реализован корректно, как с точки зрения идеологической продуманности решения, так и с точки зрения ошибок программирования при реализации. Недостаточность и некорректность реализации механизмов защиты - две основные причины уязвимости системы.

Считая, что обнаружение каналов НСД к информации (уязвимостей) - (или в терминологии теории надежности - отказов системы защиты), и процесс их устранения являются пуассоновскими потоками (соответственно, с интенсивностями λ и μ ), можно оценить с использованием простейшей формулы:

Ρ=1-λ/μ

Уязвимости устраняются по мере их обнаружения, иначе нельзя обеспечить высокую интенсивность исправлений. Надежность системы защиты - вероятность того, что в любой момент времени система защищена (определяется тем условием, что число не устраненных уязвимостей равно 0)

Вероятность защищенности системы

Интенсивность отказов		1 в год	2 в год	5 в год	10 в год
Восстановление	1 нед.
	2 нед.
	1 мес.
	2 мес.
	3 мес.
	4 мес.

Рассмотрим, например, значение “0,98” (лучшее значение надежности системы защиты в таблице). Оно достигается в том случае, если в среднем обнаруживается одна уязвимость в год при среднем времени ее восстановления разработчиком, составляющим одну неделю. При этом вероятность того, что в любой момент времени система защищена, равна 0,98, т.е. в любой момент времени с вероятностью 0,02 систему защиты можно считать отказавшей. Для современных систем это практически идеальная ситуация. Сегодня во многих современных системных средствах за год находится отнюдь не одна уязвимость, а продолжительность устранения уязвимости разработчиком может составлять несколько месяцев.

Используя данный подход, можно оценить защищенность современных ОС, с учетом того, что средняя задержка появления исправлений - один-два месяца. Обнаружение лишь 5 уязвимостей в год уже является достаточным для вывода о незащищенности системы.

Таким образом, безопасность ОС характеризуется не только достаточностью и корректностью реализации механизмов защиты, но и ошибками программирования, приводящими к уязвимостям, а также способностью разработчика системы быстро и качественно устранять подобные ошибки.