СТ РК 3089-2017
Сети передачи данных, взаимосвязь открытых систем и безопасность
Обмен информацией, касающейся кибербезопасности
Обмен информацией об уязвимости/состоянии
(ITU-T X.1520 (01/2014) Common vulnerabilities and exposures, MOD)
Содержание
1. Область применения
2. Термины и определения
3. Обозначения и сокращения
4. Требования высокого уровня
5. Точность
6. Документация
7. Использование данных CVE
8 Поддержка различных стилей названия CVE
9. Отзыв совместимости с CVE
10. Организация по анализу
Приложение A (информационное) Специфические требования
Приложение Б (информационное) Требования, предъявляемые к среде передачи
Приложение В (информационное) Требования, предъявляемые к среде передачи
Приложение Г (информационное) Перечень технических отклонений с разъяснением причин их внесения
Библиография
Введение
В настоящем стандарте представлены руководящие принципы решения проблемы риска проникновения шпионского и потенциально нежелательного ПО, предназначенные для поставщиков услуг электросвязи (TSP).
Стандарт предлагает для внедрения передовой опыт, в основе которого применение ясных по содержанию извещений и обеспечение для пользователя возможности выдачи разрешений, а также функций управления в рамках предоставляемых TSP услуг веб-хостинга. В стандарте представлены и предлагаются для внедрения образцы передового опыта для пользователей по обеспечению защиты персонального компьютера (ПК), включая применение программ обнаружения обезвреживания шпионского ПО и вирусов, применение персональных брандмауэров и программ обновления защитных средств в клиентских системах.
Соблюдение положений данного стандарта носит добровольный характер.
1. Область применения
Настоящий стандарт устанавливает структурированное средство обмена информацией для глобального обмена информации об уязвимостях и незащищенности (CVE) выявленных средствами защиты.
Цель настоящего стандарта заключается в определении использования CVE, с тем чтобы упростить обмен данными между отдельными средствами идентификации уязвимости (инструментальные средства, репозитарии и услуги).
2. Термины и определения
В настоящем стандарте применяются следующие термины с соответствующими определениями:
2.1 Точность в процентах (accuracy percentage): Процент элементов безопасности в анализируемой выборке, указывающих корректные идентификаторы CVE.
2.2 Средство (capability): Средство защиты, база данных, веб-сайт, инструкция или услуга, выполняющая функцию идентификации уязвимости или незащищенности.
2.3 Незащищенность (exposure): Незащищенность информационной безопасности - это следствие ошибки в программном обеспечении, позволяющей получить доступ к информации или возможностям, которые могут быть использованы хакером для проникновения в систему или сеть.
2.4 Отображать/отображение (map/mapping): Описание связей между элементами безопасности в репозитарии и названиями CVE, относящимися к этим элементам.
