Реестр уязвимостей

Уязвимость – это любой недостаток в информационном активе, который может привести к реализации угроз безопасности.

В области информационной безопасности под уязвимостями принято подразумевать прежде всего технические уязвимости в программном обеспечении, зафиксированные в базах уязвимостей, таких как CVE – Common Vulnerabilities and Exposures от компании MITRE или БДУ – База уязвимостей программного обеспечения ФСТЭК России.
В Сервисе уязвимости это более широкое понятие. Уязвимостью может быть любое свойство актива, в том числе сам факт его существования.

У уязвимостей в сервисе нет дополнительных полей и классификаций, как у угроз, за исключением связей с каталогами угроз и значения базовой вероятности реализации.

Вероятность реализации уязвимости оценивается качественно: отсутствует, низкая, средняя, высокая, критическая.
Стоит отметить, что в процессе тестирования сервиса качественная оценка на уровне конкретных уязвимостей показала свою недостаточную объективность. В большинстве случаев следует переопределять вероятность реализации на уровне конкретных рисков, связанных с уязвимостью т.к. для точной оценки необходим контекст в виде типа актива, в котором содержится уязвимость и угрозы, к реализации которой уязвимость приводит.

Определения уязвимости

Существуют различные определения уязвимости:

уязвимость (vulnerability): Слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами.

ГОСТ Р ИСО/МЭК 27002-2012

уязвимость (информационной системы); брешь: Свойство информационной системы, предоставляющее возможность реализации угроз безопасности обрабатываемой в ней информации.

Р 50.1.056-2005

уязвимость (информационной системы); брешь: Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.

ГОСТ Р 50922-2006

Уязвимость: недостаток (слабость) программного (программно-технического) средства или системы и сети в целом, который(ая) может быть использован(а) для реализации угроз безопасности информации.

Методический документ ФСТЭК России от 05.02.2021 "Методика оценки угроз безопасности информации"

Куда я попал?

SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Подробнее

Наш канал

Название	Дата	Связи
Отсутствие навыков реагирования на инциденты безопасности 01.03.2023	01.03.2023	1
Отсутствие требуемых законодательством форм и документов 04.12.2022	04.12.2022	2
Приостановка услуг облачных провайдеров 10.10.2022	10.10.2022	1
Отсутствие установленного средства антивирусной защиты 12.09.2022	12.09.2022	1
Непонимание контекста, целей и задач компании 03.08.2022	03.08.2022	1
Возможность физической поломки 20.06.2022	20.06.2022	1
Непроставление грифа конфиденциальности на документах 24.05.2022	24.05.2022	1
Блокировка сайтов регуляторами 22.03.2022	22.03.2022	1
Возможность отзыва TLS-сертификата 21.03.2022	21.03.2022	1
Использование ненадежных публичных DNS серверов 03.03.2022	03.03.2022	1 4