Уязвимость

Уязвимость

Содержание

Выявляем психологические уязвимости людей

В основе того, о чем мы будем говорить, лежит циничный принцип — мы все общаемся друг с другом с определенными целями. Чтобы что-то получить.

Эти цели могут быть материальными, но чаще всего они психологические.

У каждого из нас своя коллекция тараканов в голове. Свои комплексы, страхи, внутренние конфликты. И мы стараемся с помощью других людей решить эти конфликты. Вовлекаем людей в свои проблемы.

Это происходит на бессознательном уровне, с этим ничего не поделать. Но это нужно использовать. Я вам расскажу на личном примере, как вы это можете использовать, и как это могут использовать против вас.

Когда ко мне обращается какой-то человек, я стараюсь понять – что он действительно хочет от меня получить? В чем состоит его психологическая потребность общения со мной?

Даже если это деловое общение, я начинаю его с обсуждения каких-то личных вопросов. Например, похвалю человека в чем-то, поинтересуюсь, как у него идут дела на работе, дома… Спрошу, как он съездил в отпуск.

Это, с одной стороны, позволяет лучше установить контакт, настроиться на собеседника, а с другой стороны, так можно понять, какие свои психологические проблемы он хотел бы решить с моей помощью.

Вот небольшой список таких проблем.

Первое, это потребность в понимании. У человека накопились эмоции и ему просто нужно высказаться. Разделите вместе с ним его радость или его негодование, или любые другие эмоции.

Иногда людям требуется поощрение. Например, человек работает на пределе сил, но никто этого не ценит. Он мечтает, чтобы хоть кто-то заметил и оценил по достоинству его труд.

Или ему хочется получить от вас подтверждение своей значимости. Услышать, какой он гениальный. Я постоянно встречаю такие желания у тех, с кем общаюсь.

Иногда это может быть «отпущение грехов». Человек хочет, чтобы вы успокоили его чувство вины. Он кается, хочет, чтобы вы простили его за какие-то поступки, которые он совершил в отношении других людей.

А может, ему предстоит принять сложное решение. Он не уверен в себе, у него борьба мотивов. И подсознательно стремится услышать от вас слова «Это сильный поступок. Правильно, что ты решился на него. У тебя все получится!».

Также целью общения может являться устранение чувства опасности. Ваш собеседник чего-то боится и хочет, чтобы вы его элементарно успокоили. Поэтому он рассказывает вам о своих проблемах, делится переживаниями. Он ждет от вас поддержки.

***

Здесь есть интересный момент. Скажем, сегодня человек поделился с вами своей проблемой, вы ему посочувствовали. В следующий раз он высказал какие-то свои опасения – вы его поддержали, сказали что у него все получится. В третий раз он пожаловался на своего начальника. Вы разделили с ним уверенность в том, что его шеф козел.

Если вы будете регулярно обращать внимание на то, что человек хочет в психологическом плане, и подыгрывать ему в этом, он начнет воспринимать вас как своего лучшего друга. Потому что из всех людей он только к вам может обратиться со своими проблемами и переживаниями, и всегда получит поддержку!

***

И здесь кроется вторая интересная деталь.

В психологии скрытого влияния есть правило: «Оправдайте человека и вы получите над ним власть».

Это означает, что принимая психологическую поддержку со стороны, вы рискуете незаметно попасть в зависимость от этого человека.

Люди любят тех, кто их оправдывает, и не любят тех, кто их критикует.

К первым они склонны привязываться помимо своей воли. Понимаете, к чему я клоню?

Если вы позволите постороннему человеку, я повторюсь – именно постороннему, а не другу или родственнику, — стать вашим психотерапевтом, то автоматически поставите его выше себя.

Поэтому, готовясь к сложной встрече, обязательно отслеживайте, нет ли у вас психологических целей общения с данным человеком. Например, не стремитесь ли вы утвердиться в его глазах и т.д.

Если вы этого не сделаете, то будете уязвимы. Наблюдательный переговорщик обязательно заметит вашу подсознательную потребность, и сможет легко и незаметно вами управлять.

***

Уязвимость

К этой теме сложно подступиться, ведь говорить приходится о чем-то очень глубоком и хрупком, таком, что пробирает до мурашек. Первое, с чем ассоциируется уязвимость – это слабость. Когда я думаю об этом, то мне видится очень хрупкий и беззащитный образ, похожий на новорожденного ребенка. Поначалу не понимаешь, как к нему подступиться, как взять на руки и ничем не навредить, но точно знаешь, что без твоего внимания и заботы он погибнет.
В этом достаточно много тревоги. С одной стороны, при общении с таким человеком боишься его ранить, сделать что-нибудь не то. Чувствуешь себя реставратором, в руках которого редкая китайская ваза – одно неверное движение, и разобьется вдребезги. Тут нужна бережная и спокойная уверенность. С другой стороны, попадая в состояние уязвимости, тревожно, потому что своих ресурсов не хватает, а гарантии на заботу и поддержку со стороны на сто процентов никто не даст.

Такая безоговорочная защищенность встречается в нашем опыте разве что в материнской утробе. После того как ребенок встречается с миром, возникает необходимость выстраивания собственных границ. Эти границы должны быть достаточно надежными, чтобы защитить, но при этом проницаемы. Такой закон обмена энергии действует даже на клеточном уровне и обеспечивает жизнедеятельность. Задача – впустить в себя нужное и полезное и не дать проникнуть вредному. Однако в такой проницаемости границ и кроется уязвимость. Подобно тому, как в мембране клетки существуют наиболее тонкие участки, сквозь которые легко может проникнуть какой-либо вирус, так и в нашей личности есть слабые звенья и болевые точки, задев которые нас легко ранить, обидеть и даже разрушить.
Еще одним аспектом уязвимости является ее связь с чем-то очень важным для нас. Мы неуязвимы в том, что не имеет для нас значения. Есть байка о том, что хорошими разведчиками становятся те, кто не имеет серьезных привязанностей. Ведь в таком случае энергия не распыляется на беспокойство о близких, а в случае провала задания врагу почти нечем будет зацепить. Как правило, самым важным для нас является то, что ближе всего находится к ядру личности и крепче всего с ним связано. Это базовые, системообразующие ценности и привязанности. Они являются такой же основой, как несущая конструкция в здании. Они прочно цементируют нас изнутри и связывают нас с миром. Но удар по ним будет самым ощутимым и разрушительным. Мы можем декларировать одно, но вспомните хоть одну ситуацию, когда вам было по-настоящему больно, страшно, стыдно или обидно. Это переживание было гораздо ближе к основам вашей личности, чем любые номинальные идеалы и ценности.
Уязвимость – это не само страдание. Это открытость и беззащитность перед ним. Как часто мы мучительно ожидаем чего-то тревожного и испытываем облегчение, когда оно случается? Ожидание и беззащитность переживаются порой острее, чем сама боль. В нем много тревоги и неопределенности, а значит меньше энергии и возможности действовать. Следующий немаловажный аспект заключается в том, что уязвимость тесно связана со взаимодействием. Уязвимым можно быть только перед кем-то или чем-то. Проиллюстрирую эту мысль цитатой из «Маленького Принца».
Так Маленький Принц приручил Лиса. И вот настал час прощания.
— Я буду плакать о тебе,- вздохнул Лис.
— Ты сам виноват,- сказал Маленький Принц, — я ведь не хотел, чтобы тебе было больно. Ты сам пожелал, чтобы я тебя приручил.
— Да, конечно,- сказал Лис.
— Но ты будешь плакать.
— Да, конечно.
— Значит тебе от этого плохо?
— Нет, мне хорошо,- возразил Лис, — вспомни, что я говорил про золотые колосья. Теперь они будут напоминать мне твои волосы.
Эта история про уникальность отношений и близость. Именно близость позволяет проявиться уязвимости. Наличие значимого другого призывает и нас открываться, а значит становиться уязвимыми. В принципе, в этой небольшой зарисовке собрано почти все, что касается темы уязвимости. Хрупкость и ранимость героев, потребность в близости и заботе, открытость и проницаемость границ, соприкосновение с чем-то глубоким и важным, тревога и беспомощность перед болью и потерей, но вместе с тем невероятная трогательность и настоящесть, искренность и истинность.
В этой истории присутствует и терапевтический посыл о том, как обходиться со своей уязвимостью. Быть слабым и уязвимым тревожно и неприятно. Хочется себя защитить, закрыться и укрепить оборону. Но не всегда это возможно. Иногда просто не хватает ресурсов. К тому же важно помнить, что подобная «глухая оборона» оборачивается изолированностью. Что происходит с клеткой, чья мембрана становится слишком толстой и непроницаемой? Она погибает. Ей нечем дышать и некуда девать то, что накопилось. Укрепляя одну брешь, не замечаешь вторую, третью, десятую и в итоге истощаешься морально. Безусловно, нужно себя беречь, знать свои сильные стороны и опираться на них, уметь принимать и ценить поддержку. В этом, кстати, отличие уязвимости от жертвенности. Уязвимый человек, в отличие от мазохистичного манипулятора, внимателен к своим потребностям, умеет уважать себя и другого, умеет просить и принимать помощь.
Уязвимость это данность. Мы не можем уберечь себя от всего на свете. Да, часто бывает больно, стыдно или обидно. Но вычеркивая это из своей жизни, мы вместе с тем исключаем из своей жизни близость, нежность и тепло. Мы остаемся на поверхности. Это касается как собственной личности, так и отношений. Лис остается просто Лисом, а золотые колосья ничем не напоминают волос маленького звездного мальчика.
Уязвимость предполагает доверие. Доверие к себе в том, что любая боль окажется переносимой. Доверие к другому в том, чтобы позволить ему видеть, что ты не справляешься, и позволить ему быть рядом. На одной из последних конференций, на которых я была, мы делали одно интересное упражнение об уязвимости. Сначала думали о том, в чем мы наиболее уязвимы. Всплывали довольно глубокие вещи. Для меня эти переживания похожи на ощущения человека без кожи. Потом мы соорудили для своей уязвимости конвертик-защиту, изобразив на нем все то, что позволяет нам выдерживать свою слабость. Здесь тоже открылось немало важных вещей. В конце мы обсуждали это в парах с тем, кому более всего доверяем в этой группе. Получился удивительный опыт не-одиночества.
Это история про соприкоснуться-прожить-разделить. Так обычно и строится терапевтическая работа с любой данностью, с любым переживанием. Именно наша уязвимость делает нас более бережными, глубокими и доверяющими. Напоследок расскажу вам еще одну присказку «на подумать».
— Вот мы и пришли,- сказал маленький Принц, — дай мне сделать еще шаг одному. И он сел на песок, потому что ему стало страшно.
Потом он сказал:
-Знаешь, моя роза… я за нее в ответе. А она такая слабая и такая простодушная. У нее только и есть, что четыре жалких шипа. Больше ей нечем защититься от мира.

Как определить уязвимость человека? И для чего?

Добавить в избранное

В тоже время, необходимо установить Вашу правильную позицию, относительно этого человека, для того, чтобы не использовали Вас!

Все мы живем в социуме и контактируем друг с другом. Цель контактов всегда разная. Доверительные и деловые контакты сильно отличаются друг от друга. Психологическое давление или материальное вымогательство — все это манипуляторство. Глубину всех манипуляций, на первый взгляд не определить, однако имея ряд ответов на вопросы, мы можем существенно облегчить себе жизнь, распознав человека. Возьмите эту методику и ряд вопросов на вооружение, ответы на которые помогут это сделать!

В основном, все наши контакты и разговоры предназначены для того, чтобы что-то получить и имеют определенную цель. Эти цели могут быть материальными эмоциональными. Очень часто эти цели служат для эмоционального насыщения и удовлетворения голодных чувств разной направленности.

Если Вы в чем то нуждаетесь — то это Ваша уязвимость. Всё это называется психологические уязвимости человека. Уязвимым человеком легко управлять и манипулировать. После прошедшего дня, всегда делайте анализ всех Ваших слов и поступков, вспоминайте разговоры, переговоры, события, слова, отдельные фразы, контекст, обстановку, музыку. Анализу подвергайте всё, даже мелкие факты, любую информацию накладывающуюся в разговоре, тексте.

Весь анализ проводите, собрав максимум событий, записанных в Вашу память за текущий день или за определенный период. Порой одна –две фразы, скажут об истинных целях этого человека, о его предполагаемых шагах. Для более глубокого анализа — Я даю Вам в руки универсальный инструмент, как защиты, так и нападения. Используйте эти рекомендации, как шаблонные, накладывая на состоявшуюся беседу или событие.

Будьте бдительны!

Как только Вы почувствуете эмоциональное удовлетворение от разговора с человеком, знакомым, приятелем по работе, то вы становитесь зависимым от него. Вы можете быть зависимым от кого-либо или наоборот, многие будут любить Вас и слушать Ваше мнение и советы. Разберем подробнее, что это за зависимости. В зависимости от Вашей уверенности говорить, сказать аргументы против – Вы попадете под меньшее влияние. И наоборот, позиция соглашательства – делает Вас в управляемый объект.

Тараканы в Голове у него или у Вас?

У каждого из нас своя коллекция тараканов в голове. Свои комплексы, страхи, внутренние конфликты или навязанные социальными сетями пословицы, приметы, поговорки. В большинстве своем, мы стараемся с помощью других людей решить эти конфликты и ситуации, вовлекая других людей в свои проблемы. Это происходит на бессознательном уровне, с этим ничего не поделать. Но, это можно и нужно использовать. Итак, разберем, как Вы это можете использовать, и как это могут использовать против вас.

Пример вхождения в контакт с другим человеком

Когда ко мне обращается какой-то человек, я стараюсь понять – что он действительно хочет от меня получить? В чем состоит его необходимость в общения со мной? Даже если это деловое общение: Я всегда начинаю его с обсуждения каких-то личных вопросов. Например, похвалю человека в чем-то, поинтересуюсь, как у него идут дела на работе, дома… Спрошу, как он съездил в отпуск.

Результат первого вхождения в контакт – доверие человека Вам, как собеседнику с абсолютно далеким от любых знакомств и деталей контактов, адресов, знакомств, подробностей биографии человека, его связей. Первый контакт может очень сложным. С одной стороны, это позволяет лучше установить контакт, настроиться на собеседника, а с другой стороны, так можно понять, какие свои внутренние проблемы он хотел бы решить с моей помощью. Манипуляторы, профессионально используют лесть,страх, нужду, лишения, жалость, сострадание, внушение, эмоции, лживые чувства. Это малый перечень инструментов Манипулятора. Вот небольшой список проблем или потребностей, которые можно отнести к серьезной уязвимости любого человека. Все они относятся к получению эмоционального насыщения, получения информации для последующего использования против Вас:

Потребность во внимании

У человека накопились эмоции и ему просто нужно высказаться. Разделите вместе с ним его радость или его негодование, или любые другие эмоции.

Потребность в поощрении

Иногда людям требуется поощрение. Например, человек работает на пределе сил, но никто этого не ценит. Он мечтает, чтобы хоть кто-то заметил и оценил по достоинству его труд.

Потребность в подтверждении своей значимости

Человеку хочется услышать, какой он гениальный. Я постоянно встречаю такие желания у тех, с кем общаюсь. Лесть и Тщеславность людей, делают людей ущербными. Одни используют это в свою корыстную пользу, другие теряют, имея недостатки характера такие, как Тщеславие и Высокомерие.

Потребность в оправдании

Иногда это может быть «отпущение грехов». Человек хочет, чтобы вы успокоили его чувство вины. Он кается, хочет, чтобы вы простили его за какие-то поступки, которые он совершил в отношении других людей. А иногда потребность в оправдании действий в качестве защиты или нападения.

Потребность в поддержке сложного решения

А может, ему предстоит принять сложное решение. Он не уверен в себе, у него борьба мотивов. И подсознательно стремится услышать от Вас фразы — это сильный поступок. Правильно, что ты решился на него. У тебя все получится! Лестные фразы, имеют волшебную силу.

Потребность в устранении чувства опасности или страха

Также целью общения может являться устранение чувства опасности. Ваш собеседник чего-то боится и хочет, чтобы вы его элементарно успокоили. Поэтому он рассказывает вам о своих проблемах, делится переживаниями. Он ждет от вас поддержки.

Нагнетание собеседнику возможной опасной ситуации или страхов

Нагнетание опасной ситуации, надуманных фактов, возможных исходов события, откровенных страшилок или запугиваний – однозначно можно отнести к средствам манипуляции или подчинения в своих интересах. Страх – это первое, на чем строится Вся пирамида управления человеком.

Потребность в общении и сочувствии

Здесь есть интересный момент. Скажем, сегодня человек поделился с вами своей проблемой, вы ему посочувствовали. В следующий раз он высказал какие-то свои опасения – вы его поддержали, сказали, что у него все получится. В третий раз он пожаловался на своего начальника. Вы разделили с ним уверенность в том, что его шеф козел. Если вы будете регулярно обращать внимание на то, что человек хочет в психологическом плане, и подыгрывать ему в этом, он начнет воспринимать Вас как своего лучшего друга. Это происходит потому, что из всех людей, он только к Вам может обратиться, со своими проблемами и переживаниями, и всегда получит поддержку!

Потребность в информации, знаниях и опыте

Любой человек ищет средства для проживания, улучшения своего материального благополучия. Потребность получить знания и опыт основаны на современных требованиях для зарабатывания денег. Организация бизнеса, лучшее место работы — опыт других людей всегда выслушивается и берется во внимание, однако не всегда он используется. И здесь есть интересная деталь, запомните это:

Для управления и подчинения людей, используйте правило скрытого влияния. Оно звучит так — оправдайте человека в его любом поступке, будьте ему нужны, и вы получите безграничную власть доверия.

Это означает что, принимая психологическую поддержку со стороны, Вы рискуете незаметно попасть в зависимость от этого человека. Люди любят тех, кто их оправдывает, и не любят тех, кто их критикует. К первым они склонны привязываться помимо своей воли. Это уровень подсознательного признания “свой-чужой”.

Если вы позволите постороннему человеку, важное замечание- именно постороннему, а не другу или родственнику, — стать вашим психотерапевтом, то автоматически поставите его выше себя. И наоборот!

Поэтому, готовясь к сложной встрече, обязательно отслеживайте, нет ли у вас психологических целей общения с данным человеком. Например, не стремитесь ли вы утвердиться в его глазах и т.д.

Если вы этого не сделаете, то будете уязвимы. Наблюдательный переговорщик обязательно заметит вашу подсознательную потребность, и сможет легко и незаметно Вами управлять.

Вы можете самостоятельно попробовать силу этих манипуляций. В течение следующей недели отслеживайте — какие внутренние потребности и конфликты люди транслируют, когда общаются с Вами. Когда надо, похвалите человека, когда надо — посочувствуйте ему. Но не будьте назойливы – если ваш собеседник не стал развивать эту тему, не стоит лезть ему в душу.

Вы однозначно увидите, что через несколько таких терапевтических бесед, насколько более прочным стал Ваш контакт. Если люди начали преследовать вас, чтобы рассказать о своих новых проблемах, значит вы все сделали правильно.

В этой статье, перечислены Вербальные атаки манипулятора. Однако, есть еще материальные атаки, в виде подарков, взяток, премий, дополнительных бонусов, возможности украсть, подслушать. Материальных средств манипуляции очень много. За их использование существует административное и уголовное наказание. За использование психологических атак, оговоры, публичные ложные обвинения, предусмотрена уголовная статья, имеет свой состав и рассматривается согласно ст.128.1.УК России.

Эмоциональная уязвимость и непринятие собственных чувств

Эмоциональная уязвимость

Общие характеристики

В главе 2 я рассказывала об эмоциональной уязвимости пациентов с симптомами ПРЛ как основном компоненте эмоциональной дисрегуляции, действующей в качестве личностной переменной при транзактном развитии пограничных характеристик. Одна из этих пограничных характеристик – длительная эмоциональная уязвимость, т. е. долго проявляющиеся эмоциональные восприимчивость и интенсивность в сочетании со стойкостью отрицательных чувств. Подобная уязвимость, с моей точки зрения, представляет собой основную характеристику ПРЛ. Когда я говорю об эмоциональной уязвимости на данном уровне, я имею в виду и фактическую уязвимость индивида, и сопутствующее осознание и переживание им этой уязвимости.

Обычно присутствуют четыре характеристики частого, сильного эмоционального возбуждения, которые создают особые трудности для индивидов с ПРЛ. Во-первых, следует помнить о том, что эмоции не есть просто внутренние физиологические события, хотя физиологическое возбуждение, конечно же, составляет важный аспект эмоций. Как я рассказывала в главе 2, эмоции – это полносистемные реакции. Таким образом, они интегрируют паттерны переживаний, а также когнитивных, экспрессивных и физиологических реакций. Одна из составляющих комплексной эмоциональной реакции не обязательно должна быть важнее других. Таким образом, проблема не просто в том, что индивиды с ПРЛ не могут регулировать свое физиологическое возбуждение; скорее, им часто трудно регулировать весь комплекс реакций, связанных с определенным эмоциональным состоянием. Например, они могут быть неспособны модулировать враждебное выражение лица, агрессивные действия либо словесное проявление гнева. Или же такие индивиды не в состоянии избавиться от навязчивых забот и переживаний либо удержаться от вызванного страхом бегства. Если мы будем об этом помнить, нам будет легче представить сложность проблемы, с которой сталкиваются пациенты с ПРЛ, а также понять характерную для них тенденцию проявлять порой дисфункциональность в самых разных аспектах поведения.

Во-вторых, интенсивное эмоциональное возбуждение обычно препятствует действию других поведенческих реакций. Так, регулируемое, планируемое и, очевидно, функциональное поведение совладания (копинг) временами может терпеть неудачу, будучи прерываемым эмоционально значимыми раздражителями. Возникающие при этом чувства разочарования и неудовлетворенности еще больше усугубляют проблему. Более того, сильное возбуждение связано с дихотомическим мышлением в категориях «или/или»; навязчивыми и повторяющимися мыслями; физическим дистрессом и болезнями; а также поведением избегания и/или нападения.

В-третьих, сильное возбуждение и неспособность к его регуляции приводят к тому, что у индивида возникает чувство утраты контроля и некоторой непредсказуемости собственных реакций. Такая непредсказуемость возникает из неспособности индивида с ПРЛ контролировать начало и окончание внутренних и внешних событий, влияющих на его чувства, а также невозможности модулировать собственные реакции на эти события. Ситуация усугубляется за счет того, что время от времени (с непрогнозируемой периодичностью) индивиду удается контролировать свои чувства. Проблема здесь в том, что время и продолжительность адекватной эмоциональной регуляции непредсказуемы для него самого (а также для окружающих). Иметь подобные переживания – все равно что видеть страшный сон и быть не в состоянии проснуться.

Наконец, этот недостаток контроля порождает особый страх, который еще больше усугубляет эмоциональную уязвимость. Прежде всего, необходимо отметить, что индивиды с ПРЛ боятся ситуаций, в которых контролировать события труднее, чем обычно (как правило, новые ситуации, а также те, которые в прошлом были сопряжены с трудностями). Частые попытки контроля терапевтических ситуаций со стороны пациентов с ПРЛ становятся вполне объяснимыми, как только мы поймем этот аспект эмоциональной уязвимости. Кроме того, пациентам часто внушают сильный страх поведенческие ожидания людей, к которым они привязаны. Этот страх вполне оправдан, если учесть, что пациенты переживают потерю контроля не только над определенными чувствами, но и над поведенческими паттернами, связанными с теми или иными эмоциональными состояниями. (Например, подготовка к экзамену требует сосредоточенности, а удерживать внимание в периоды сильной тревоги, глубокой печали или гнева может быть очень трудно.) Неподконтрольность и непредсказуемость делают проблемными ожидания со стороны окружения. В один момент, будучи в определенном эмоциональном состоянии, пациент может соответствовать этим ожиданиям, а в другой момент может потерпеть неудачу.

Важный аспект этой проблемы состоит в связи между похвалой и ожиданиями. Похвала, кроме сообщения об одобрении, часто подразумевает оказываемое пациенту доверие в том, что он может продемонстрировать одобренное поведение, а также ожидание от пациента такового поведения в будущем. Пациенты с ПРЛ как раз и опасаются того, что не смогут оправдать этих ожиданий и повторить одобряемое поведение. Хотя я описала страх похвалы как когнитивно опосредованное явление, подобная опосредованность не является его обязательной характеристикой. Вполне достаточно опыта прошлого, в котором похвала сопровождается ожиданиями, ожидания сопровождаются неспособностью им соответствовать, что в свою очередь сопровождается наказанием. Именно такая последовательность событий характерна для инвалидирующего окружения.

Результирующее влияние этих эмоциональных трудностей можно считать психологическим эквивалентом ожогов третьей степени. Пациенты с ПРЛ, образно выражаясь, теряют «эмоциональный кожный покров». Малейшее прикосновение или движение вызывает сильнейшую боль. С другой стороны, жизнь есть непрерывное движение. Терапия требует и движения, и прикосновений. Поэтому и клиницист, и сам терапевтический процесс не могут не причинять индивидам с ПРЛ острых эмоциональных страданий. И терапевт, и пациент должны обладать достаточным мужеством, чтобы не избегать этой боли. Именно опыт собственной уязвимости подчас приводит индивидов с ПРЛ к экстремальному поведению (включая суицидальное), к попыткам одновременно позаботиться о себе и сообщить окружению о необходимости проявить заботу о них. Завершенный суицид среди индивидов с ПРЛ – не что иное, как окончательная потеря надежды на то, что их уязвимость когда-нибудь уменьшится. Иногда это и последнее сообщение о том, что эти пациенты нуждались в большей заботе.

Понимание природы этой уязвимости и ее учет в клинической практике имеют решающее значение для эффективности терапии. К сожалению, слишком часто происходит так, что терапевты не замечают уязвимости пациентов с ПРЛ или забывают о ней. Проблема в том, что если чувствительность кожи у пострадавших от ожогов очевидна, то эмоциональная уязвимость людей часто недоступна для непосредственного наблюдения. По причинам, которые я буду обсуждать позже, индивиды с ПРЛ могут иногда производить на окружающих (включая терапевтов) обманчивое впечатление менее уязвимых, чем на самом деле. Одно из последствий такого положения вещей состоит в том, что восприимчивость пациентов с ПРЛ гораздо труднее понять, о ней гораздо труднее помнить, чем о болезненной чувствительности обожженной кожи. Мы можем представить, какую боль испытывает человек, потерявший кожный покров; гораздо труднее для большинства из нас вообразить, что чувствует эмоционально уязвимый человек и каково это – не иметь психологической «кожи». Именно такие проблемы встают перед индивидами с ПРЛ.

Уязвимость как качество личности – склонность обнаруживать слабость, недостаток, малую защищенность, посредством которой можно легко уязвить человека, обидеть, ранить, нарушить безопасность, усилить эффект неблагоприятных сценариев реализации рисков.

Священная Птица — Хранительница Чёрного Камня часто воевала с разбойниками и тиграми-людоедами, всегда одерживая в этих битвах победы. Однажды молодые воины из клана «Ветви дерева» решили пойти на поклон к Птице, чтобы узнать, в чём заключается секрет её непобедимости. Придя к жилищу Птицы и выполнив положенный ритуал приветствия, воины расселись на лужайке перед домом Хранительницы Чёрного Камня, и самый старший обратился к ней с такими словами: — О, Великая Воительница и Хранительница Чёрного Камня! Вести о твоих победах над врагами достигли самых удалённых уголков Поднебесной. Открой нам, в чём секрет твоей непобедимости? — Действительно, — отвечала Птица, — мои многочисленные враги сильны, свирепы и внушают ужас в бою. Но у всех моих неприятелей есть глаза, а у меня — крепкий клюв, которым я хорошо умею пользоваться. В этом и заключается тайна моей непобедимости. Не зря говорят старики: «Враг уязвим — воин непобедим».

Ахиллесова пята эмоциональной уязвимости человека находится в травмируемости души, в неспособности защитить себя от болезненных переживаний, от эмоционального выгорания. Фразеологизм «ахиллесова пята», то есть уязвимое место, вошло в речевой оборот благодаря римскому поэту Гигину, передавшему миф об Ахилле – одному из храбрейших греческих героев, осаждавших Трою. Мать Ахилла, Фетида, пожелала сделать тело своего сына неуязвимым и для этого погружала его в священные воды Стикса. Лишь на пятку младенца, за которою его держала мать, так и не попали священные капли святой воды. Ахилл был смертельно ранен отравленной стрелой Париса, поразившей его в пятку. Миф мифом, но в действительности ахиллово сухожилие способно выдерживать нагрузку в 400 кг и более и является одним из самых уязвимых мест человека.

Уязвимость как качество личности, как правило, свойственно людям с негативным мировосприятием, низкой самооценкой, не умеющим или нежелающим управлять своими чувствами, эмоциями, переживаниями.

Уязвимость характерна для обоих полов. У мужчин уязвимое место – эго. Мужчина не любит переживать страх, чувство вины, скорбь и стыд. Проявлять данные эмоции – значит, прослыть неудачником, трусом, то есть стать уязвимым для внешнего мира. Когда мужчина совершает какую-либо ошибку, он становится сильно уязвимым. В этот момент важна адекватная женская реакция на его ошибку. Если она груба, насмешлива и беспощадна, мужское эго будет страдать и отчуждаться от женщины, нанесшей ему боль. В ответ на унижение оно обязательно займет оборонительную позицию, включит оправдательный механизм и агрессию. Неуважительность со стороны женщины уязвляет всё мужское существо. Чрезмерная женская реакция на ошибку ведет к холодности и разрыву отношений. Эго нашептывает мужчине: «Ты оступился, тебе нужна была ее поддержка, понимание и вера, что ты сможешь всё исправить, подняться и победить. А что ты увидел? Она, как ядовитая змея, нанесла тебе удар в уязвимое место, старалась уколоть больнее. Этот человек опасен для тебя. Беги от нее, пока не поздно».

Когда женщина злословит о муже, она делает свою семью уязвимой, подписывает ей приговор. Женщина никогда не должна критиковать своего мужа за глаза или в присутствии посторонних. Это неверность в чувствах. Признаками женской неверности в чувствах служат: постоянно считать мужа причиной своей неудовлетворенности: «Все делает шиворот навыворот. Совсем меня не понимает, думает только о себе». Далее – понапрасну, без особо веской причины обижаться на своего мужа, ходить надутой, как будто под носом мешок с экскрементами подвесили, ходить в присутствии мужа с несчастным, недовольным видом. С эмоциональной реактивностью реагировать на мужа, насмехаться над ним в присутствии компании или детей, закатывать истерики, производить слезные атаки и демонстрировать ненависть.

Близкие люди хорошо знают уязвимые места друг друга и порой не скрывают их, ибо не страшатся, что их за это отвергнут. Прятаться от собственной уязвимости всё равно, что убегать от близости. Открытость и искренность с любимым человеком делает, к примеру, женщину притягательной. Скрытность наоборот ведет к холодности и отчужденности. Когда мужчина любит женщину, он любит не ее социальные маски, а ее внутреннего ребенка – искреннего и уязвимого.

Уязвимость может стать следствием пережитого предательства. Человек не верит, что есть в этом мире кто-то, кто не способен его предать. Эмоциональный шрам от предательства нескоро зарастает. Человек чувствует в этом контексте свою уязвленность во всем спектре человеческих отношений. Психолог Руслан Нарушевич пишет: «Предательство — вещь, которая может настигнуть человека в любой сфере отношений. И если в человеке есть страх предательства, которое он однажды пережил, но пережил в смысле подвергся предательству, но не пережил саму эмоцию, то эта эмоция может преследовать его и сама провоцировать определенные шаги, определенное поведение. И даже может привлекать людей определенного склада природы, которые будут вести себя именно так, чтобы помочь человеку пережить эту эмоцию. Например, если девушка, с которой молодой человек общался, прекращает общение с ним или увлекается другим мужчиной, то он точно также это может болезненно воспринять и сделать из этого неправильные выводы о том, что действительно предательство существует, что в этом мире никому нельзя доверять. Второе, я никому не ценен, потому что меня периодически от меня отворачиваются или меня игнорируют, меня предают. И, в конечном счете, человек теряет всякое восприятие жизни. Всякую радость жизни. То есть человек оказывается перед началом деградации. То есть возникает большой риск того, что человек, потеряв жажду жизни, потеряв страсть жизни, потеряв желание делать кого-то счастливым, может начать очень быстро и стремительно деградировать».

Уязвимым человека делает предсказуемость. Иногда такие достоинства как обязательность, последовательность, постоянство служат для манипуляторов помощниками, как рассчитать будущие действия и поступки жертвы манипуляции. Джеффри Арчер в «Стечении обстоятельств» пишет: «Я обратился к детективным романам, но, увы, там все во многом строилось на совпадениях, везении и неожиданности. Я же не хотел доверяться случаю. И вот однажды я наткнулся на стоящий совет Конан Дойла: «Всякая жертва, следующая одному и тому же заведенному распорядку, становится более уязвимой».

Окунемся в историю. Екатерина II хранила в глубочайшей тайне свою связь с Григорием Орловым, но ее муж – император Петр III подозревал, что изменщица беременна и решил ее наказать, отправив в монастырь. Вольдемар Балязин описывает случай, когда знание привычек императора сделало его уязвимым перед молодой императрицей.

В начале апреля 1762 года Екатерина почувствовала, что роды совсем близки и поделилась своими опасениями с одним из наиболее доверенных слуг Василием Григорьевичем Шкуриным. Когда Екатерина приехала в Петербург, он служил истопником в ее апартаментах в Зимнем дворце и с самого начала сумел завоевать ее симпатии и доверие. Шкурин свято хранил тайны своей госпожи, особенно потворствуя ее роману с Григорием Орловым.

За несколько дней до родов Екатерина сказала Шкурину, что боится, как бы из-за ее крика Петр Федорович не узнал об этой тайне. На что Шкурин, бывший в то время уже не истопником, а камердинером, сказал: — Чего бояться, матушка? Ты уж дважды рожала. Родишь и в третий — дело бабье. А что касаемо до государя, то я так сделаю, что его в тот момент во дворце не будет.

— Не много ли на себя берешь, Вася? — усомнилась Екатерина. — Петр Федорович все же император, а кто — ты? — Не сомневайся, матушка. Как я сказал, так тому и статься, — ответил камердинер.

На следующее утро Шкурин пришел во дворец со своим двенадцатилетним сыном Сергеем, и сказал Екатерине, что приехали они сюда о двуконь, и кони их стоят рядом с дворцом, у коновязи возле кордегардии, на Миллионной улице. — Сына, матушка я оставлю здесь, а ты вели ему постелить где-нибудь в соседней комнате. И как тебе пристанет, как почувствуешь, что вот-вот начнется, скажи ему, что он-де более тебе не надобен, и пусть скачет домой, поелику можно быстрее, и о том мне скажет. А я знаю, как свое дело делать.

Затем Шкурин сказал Екатерине, где его искать, и с тем уехал, а мальчик остался. Шкурин жил на самой окраине Петербурга, в большой бревенчатой избе с женой, сыном и двумя дочерьми. Приехав, Василий Григорьевич вывез весь домашний скарб, отправил жену и дочерей на другую улицу, где жили его родственники, а сам, запершись в пустой избе, стал заниматься тем делом, которое и задумал. Сотворив все, что было надобно, он лег на пол и заснул. Проснулся Шкурин от того, что услышал под окном конский топот и тут же увидел, как с седла слетел его сын.

Шкурин вышел к нему навстречу и спросил: — Как государыня? — Велели скакать во весь дух и сказать, что я более им не надобен, выпалил мальчик. — Садись на коня и поезжай к матушке и сестрам, — велел ему Шкурин, объяснив и то, где они нынче живут. Мальчик уехал, а Василий Григорьевич быстро оседлал коня, затем вернулся в избу и вскоре снова показался во дворе. Взглянув на избу, Шкурин перекрестился, вскочил в седло и рысью выехал за ворота. Оглянувшись через несколько минут назад, Шкурин увидел над своим двором струйки дыма.

…Шкурин сам поджег свою избу, основательно все к тому подготовив. Изба горела хорошо — медленно, но верно, выкидывая снопы искр и облака черного дыма. Недаром, видать, был Шкурин долгие годы истопником, — знал толк в том, как надежно разжечь хороший огонь.

Расчет его был прост. Он знал, что Петр Федорович в городе, и что по заведенному им порядку, как только петербургский обер-полицмейстер получит сообщение о пожаре, то тут же помчится конный полицейский офицер известить государя, где и что горит. И государь прикажет немедленно ехать на пожар, ибо, хотя и было Петру Федоровичу за тридцать, — детская страсть к созерцанию пожаров засела в нем навечно.

Расчет Шкурина оправдался. В то время, как он скакал к центру города, навстречу ему попала карета государя, запряженная шестериком, несшаяся во весь опор по направлению к его дому. …Когда Шкурин вошел в опочивальню Екатерины, он услышал тонкий и неуверенный детский крик. Екатерина лежала на постели счастливая и обессиленная. Заметив Шкурина, она чуть-чуть улыбнулась и тихо проговорила: — Мальчик.

Было 11 апреля 1762 года. А Петр Федорович в это время сидел в карете и с замиранием сердца следил, как крючники растаскивают баграми горящие бревна, как в облаках дыма и пара дюжие мужики тянут от бочек с водой заливные трубы, усмиряя бушующий огонь. А в опочивальне Екатерины бабка-повитуха, принимавшая роды, ловко запеленала младенца и вместе со Шкуриным никем не замеченная, осторожно вышла из дворца…

Предисловие

Предисловие

1 РАЗРАБОТАН Обществом с ограниченной ответственностью «Центр безопасности информации» (ООО «ЦБИ»)

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 «Защита информации»

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 19 августа 2015 г. N 1180-ст

4 ВВЕДЕН ВПЕРВЫЕ

5 ПЕРЕИЗДАНИЕ. Октябрь 2018 г.
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

2 Нормативные ссылки

В настоящем стандарте использована нормативная ссылка на следующий стандарт:
ГОСТ Р 56546 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем
Примечание — При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1 информационная система: Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Примечание — Определение термина соответствует .

3.2 угроза безопасности информации: Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

3.3 уязвимость: Недостаток (слабость) программного (программно-технического) средства или информационной системы в целом, который (которая) может быть использована для реализации угроз безопасности информации.

3.4 правила описания уязвимости: Совокупность положений, регламентирующих структуру и содержание описания уязвимости.

3.5 описание уязвимости: Информация о выявленной уязвимости.

3.6 паспорт уязвимости: Документ (формализованное представление), содержащий(ее) описание уязвимости, определяющий(ее) характеристики уязвимости и выполненный(ое) в соответствии с правилами описания уязвимости.

3.7 известная уязвимость: Уязвимость, опубликованная в общедоступных источниках с описанием соответствующих мер защиты информации, исправлений недостатков или соответствующих обновлений.

3.8 уязвимость нулевого дня: Уязвимость, которая становится известной до момента выпуска разработчиком компонента информационной системы соответствующих мер защиты информации, исправлений недостатков или соответствующих обновлений.

3.9 впервые выявленная уязвимость: Уязвимость, не опубликованная в общедоступных источниках.

5 Структура и содержание описания уязвимостей

5.1 Общие требования к структуре описания уязвимости

5.1.1 Структура описания уязвимости должна обеспечивать достаточность информации для идентификации уязвимости ИС и выполнения работ по анализу уязвимостей ИС.

5.1.2 Для однозначной идентификации уязвимости описание должно включать следующие элементы:
— идентификатор уязвимости;
— наименование уязвимости;
— класс уязвимости;
— наименование программного обеспечения (ПО) и его версия.

5.1.3 Для обеспечения работ по анализу уязвимостей ИС описание должно включать следующие элементы:
— идентификатор типа недостатка;
— тип недостатка;
— место возникновения (проявления) уязвимости;
— способ (правило) обнаружения уязвимости;
— возможные меры по устранению уязвимости.

5.1.4 Для обеспечения детальной информации об уязвимости описание может включать следующие элементы:
— наименование операционной системы и тип аппаратной платформы;
— язык программирования ПО;
— служба (порт), которую(ый) используют для функционирования ПО;
— степень опасности уязвимости.
— краткое описание уязвимости;
— идентификаторы других систем описаний уязвимостей;
— дата выявления уязвимости;
— автор, опубликовавший информацию о выявленной уязвимости;
— критерии опасности уязвимости.

5.1.5 Дополнительно описание уязвимости ИС может включать прочую информацию в составе следующих элементов:
— описание реализуемой технологии обработки (передачи) информации;
— описание конфигурации ПО, определяемой параметрами установки;
— описание настроек ПО, при которых выявлена уязвимость;
— описание полномочий (прав доступа) к ИС, необходимых нарушителю для эксплуатации уязвимости;
— описание возможных угроз безопасности информации, реализация которых возможна при эксплуатации уязвимости;
— описание возможных последствий от эксплуатации уязвимости ИС;
— наименование организации, которая опубликовала информацию о выявленной уязвимости;
— дата опубликования уведомления о выявленной уязвимости, а также дата устранения уязвимости разработчиком ПО;
— другие сведения.

5.2 Общие требования к содержанию описания уязвимости

5.2.1 Содержание описания уязвимости должны обеспечить однозначность и полноту информации об уязвимости.

5.2.2 Элемент «Наименование уязвимости» представляет собой текстовую информацию об уязвимости, на основе которой возможно установить причину и (или) последствия уязвимости. Наименование уязвимости должно быть представлено на русском языке (в скобках на английском языке — при необходимости).
Пример — Описание уязвимости в части элемента «Наименования уязвимости»: уязвимость, приводящая к переполнению буфера в службе RPC DCOM в операционных системах Microsoft Windows 4.0/2000/ХР/2003 (Vulnerability Windows XP RPCSS DCOM Buffer Overflow).

5.2.3 Элемент «Идентификатор уязвимости» представляет собой алфавитно-цифровой код, включающий код базы данных уязвимостей, год выявления уязвимости и порядковый номер уязвимости, выявленной в текущем году. При определении идентификатора уязвимости код базы данных уязвимостей, год выявления уязвимости и порядковый номер уязвимости должны быть отделены друг от друга знаком «-«, при этом знак пробела не ставится.
Пример — Описание уязвимости в части элемента «Идентификатор уязвимости»: ХХХ-2003-0813.

5.2.4 Элемент «Идентификаторы других систем описаний уязвимостей» представляет собой идентификаторы уязвимости в других системах описаний. Данный элемент включает идентификаторы уязвимости из общедоступных источников и содержит, как правило, цифровой или алфавитно-цифровой код. Описание может быть выполнено в виде гиперссылок в формате адресов URL.
Пример — Описание уязвимости в части элемента «Идентификаторы других систем описаний уязвимостей»: CVE ID: CVE-2003-0813; Bugtraq ID: 52018; OSVDB ID: 65465; Qualys ID: 90777; Secunia Advisory: SA48183; SecurityTracker Alert ID: 1025250; Nessus Plugin ID: 38099.

5.2.5 Элемент «Краткое описание уязвимости» представляет собой текстовую информацию об уязвимости и возможностях ее использования.
Пример — Описание уязвимости в части элемента «Краткое описание уязвимости»: уязвимость обнаружена в службе RPC DCOM. Нарушитель может вызвать отказ в обслуживании (аварийное завершение работы системы или перезагрузка), создавая два потока для одного и того же RPC-запроса. По сообщению разработчика, уязвимость может использоваться для выполнения произвольного кода в уязвимой системе. Разработчик оценил, что уязвимость имеет «критический» уровень опасности.

5.2.6 Элемент «Класс уязвимости» представляет собой текстовую информацию, которую определяют в соответствии с ГОСТ Р 56546.
Пример — Описание уязвимости в части элемента «Класс уязвимости»: уязвимость кода.

5.2.7 Элемент «Наименование программного обеспечения и его версия» представляет собой информацию о наименовании ПО и его версии.
Пример — Описание уязвимости в части элемента «Наименование программного обеспечения и его версия»: RPC/DCOM Microsoft Windows 4.0/2000/ХР/2003.

5.2.8 Элемент «Служба (порт), которую(ый) используют для функционирования ПО» представляет собой комбинированную информацию о службе (системной или сетевой), о сетевом порте, который используют для функционирования ПО, и о наименовании сетевого протокола передачи данных. Номер сетевого порта и наименование сетевого протокола передачи данных отделяют друг от друга знаком «/».
Примечание — Служба (порт), которую(ый) используют для функционирования ПО, может не иметь постоянного значения. ПО может быть назначен порт по умолчанию, но практически любое ПО может быть переконфигурировано на другой порт.
Пример — Описание уязвимости в части элемента «Служба (порт), которую(ый) используют для функционирования ПО»: RPC 139/tcp.

5.2.9 Элемент «Язык программирования ПО» представляет собой наименование языка программирования, используемого при разработке (представлении) ПО. Современное ПО, как правило, разрабатывают с использованием семейства языков программирования, поэтому данный элемент может включать информацию о технологии (среде) программирования.
Пример — Описание уязвимости в части элемента «Язык программирования ПО»: C++.

5.2.10 Элемент «Тип недостатка» представляет собой текстовую информацию, которую определяют в соответствии с ГОСТ Р 56546.
Пример — Описание уязвимости в части элемента «Тип недостатка»: недостатки, связанные с переполнением буфера памяти.

5.2.11 Элемент «Идентификатор типа недостатка» представляет собой уникальный идентификатор типа недостатка и содержит алфавитно-цифровой код. Идентификатор может быть взят (и при необходимости дополнен) из общедоступных источников.
Пример — Описание уязвимости в части элемента «Идентификатор типа недостатка»: CWE-119.

5.2.12 Элемент «Место возникновения (проявления) уязвимости» представляет собой текстовую информацию о компонентах информационной системы, которые содержат рассматриваемую уязвимость.
Пример — Описание уязвимости в части элемента «Место возникновения (проявления) уязвимости»: уязвимость в общесистемном (общем) ПО.

5.2.13 Элемент «Наименование операционной системы и тип аппаратной платформы» представляет собой информацию об операционной системе и типе аппаратной платформы. Типами аппаратной платформы являются: IA-32, IA-64, Х86, ARM, PA-RISC, SPARC, System z и другие.
Пример — Описание уязвимости в части элемента «Наименование операционной системы и тип аппаратной платформы»: Microsoft Windows 4.0/2000/ХР/2003 (х32).

5.2.14 Элемент «Дата выявления уязвимости» представляет собой информацию о дате выявления уязвимости в формате ДД/ММ/ГГГГ. Дата выявления уязвимости в случае фактической невозможности ее установления считается совпадающей с датой регистрации сообщения об уязвимости в базе данных уязвимостей.
Пример — Описание уязвимости в части элемента «Дата выявления уязвимости»: 23/12/2004.

5.2.15 Элемент «Автор, опубликовавший информацию о выявленной уязвимости» представляет собой информацию об авторе, который обнаружил и опубликовал уязвимость первым.
Примечание — Элемент является необязательным к заполнению. Размещение информации об авторе осуществляется с учетом .

5.2.16 Элемент «Способ (правило) обнаружения уязвимости» представляет собой формализованное правило определения уязвимости. Способ (правило) обнаружения уязвимости позволяет при помощи специальной процедуры провести проверку наличия уязвимости.
Пример — Описание уязвимости в части элемента «Способ (правило) обнаружения уязвимости» на языке описания OVAL:
AND Software section
Criterion: Windows XP is installed
registry_test (oval:org.mitre.oval:tst:2838): check_existence = at_least_one_exists,

value: x86
Примечание — OVAL (Open Vulnerability and Assessment Language) — открытый язык описания уязвимостей и проведения оценок. OVAL детально описывает метод проверки параметров конфигурации для определения наличия уязвимости.

5.2.17 Элемент «Критерии опасности уязвимости» представляет собой совокупность информации о критериях, используемых при оценке степени опасности уязвимости, и о их значениях. Каждый критерий может принимать значения согласно следующей номенклатуре:
— критерий «тип доступа» (локальный, удаленный, другой тип доступа);
— критерий «условия доступа» (управление доступом, другие условия, управление доступом не применяется);
— критерий «требования аутентификации» ;
— критерий «влияние на конфиденциальность» (не оказывает влияния, нарушение конфиденциальности);
— критерий «влияние на целостность» (не оказывает влияния, нарушение целостности);
— критерий «влияние на доступность» (не оказывает влияния, нарушение доступности).
Примечание — Примером описания критериев опасности уязвимости является базовый вектор уязвимости в соответствии с Common Vulnerability Scoring System.

Common Vulnerability Scoring System (CVSS) — общая система оценки уязвимости опубликована на официальном сайте сообщества FIRST по адресу URL: http://www.first.org/cvss.

5.2.18 Элемент «Степень опасности уязвимости» представляет собой текстовую информацию, которая может принимать одно из четырех значений: критический, высокий, средний и низкий уровень опасности. Степень опасности определяют в соответствии с отдельной методикой.
Пример — Описание уязвимости в части элемента «Степень опасности уязвимости»: высокий уровень опасности.

5.2.19 Элемент «Возможные меры по устранению уязвимости» включает в себя предложения и рекомендации по устранению выявленных уязвимостей или исключению возможности использования нарушителем выявленных уязвимостей. Предложения и рекомендации должны содержать ссылки на необходимое ПО и (или) описание конфигураций ПО, для которых угрозы безопасности информации, использующие данную уязвимость, не являются актуальными.
Пример — Описание уязвимости в части элемента «Возможные меры по устранению уязвимости»:
Установите соответствующее обновление:
Microsoft Windows NT Server 4.0 Service Pack 6a;
Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6;
Microsoft Windows XP and Microsoft Windows XP Service Pack 1;
Microsoft Windows XP 64-Bit Edition Service Pack 1;
Microsoft Windows XP 64-Bit Edition Version 2003;
Microsoft Windows Server 2003 64-Bit Edition.

5.2.20 Элементы описания уязвимости с прочей информацией представляют собой текстовую информацию, которая позволяет дополнить общую информацию об уязвимости (см. 5.1.5).
Пример — Описание уязвимости в части элемента «Прочая информация»: специальных полномочий (прав доступа) по отношению к ИС нарушителю не требуется.

Приложение А (рекомендуемое). Форма паспорта уязвимости с примером его заполнения

Приложение А
(рекомендуемое)

Таблица А.1 — Форма паспорта уязвимости с примером его заполнения

Элемент описания уязвимости

Пример заполнения описания уязвимости

Наименование уязвимости

Уязвимость, приводящая к переполнению буфера в службе RPC DCOM в операционных системах Microsoft Windows 4.0/2000/ХР/2003 (Vulnerability Windows ХР RPCSS DCOM Buffer Overflow)

Идентификатор уязвимости

Идентификаторы других систем описаний уязвимостей

CVE ID: CVE-2003-0813
Bugtraq ID: 52018
OSVDB ID: 65465
Qualys ID: 90777
Secunia Advisory: SA48183
Security Tracker Alert ID: 1025250
Nessus Plugin ID: 38099

Краткое описание уязвимости

Уязвимость обнаружена в службе RPC DCOM. Нарушитель может вызвать отказ в обслуживании (аварийное завершение работы системы или перезагрузка), создавая два потока для одного и того же RPC-запроса. По сообщению разработчика, уязвимость может использоваться для выполнения произвольного кода в уязвимой системе. Разработчик оценил, что уязвимость имеет «критический» уровень опасности

Класс уязвимости

Уязвимость кода

Наименование ПО и его версия

RPC DCOM Microsoft Windows 4.0/2000/ХР/2003

Служба (порт), которая(ый) используется для функционирования ПО

RPC 139/tcp

Язык программирования ПО

C++

Тип недостатка

Недостатки, связанные с переполнением буфера памяти

Место возникновения (проявления) уязвимости

Уязвимость в общесистемном (общем) ПО

Идентификатор типа недостатка

Наименование операционной системы и тип аппаратной платформы

Microsoft Windows 4.0/2000/ХР/2003 (32)

Дата выявления уязвимости

Автор, опубликовавший информацию о выявленной уязвимости

Способ (правило) обнаружения уязвимости

AND Software section

Criterion: Windows XP is installed

registry_test (oval:org.mitre.oval:tst:2838): check_existence = at_least_one_exists, check = at least one

registry_object (oval:org.mitre.oval:obj:419):

hive: HKEY_LOCAL_MACHINE

key: SOFTWARE\Microsoft\Windows NT\CurrentVersion

name: CurrentVersion

registry_state (oval:org.mitre.oval:ste:2657):

value: 5.1

OR a vulnerable version of rpcrt4.dll exists on XP

AND 32-bit version of Windows and a vulnerable version of rpcrt4.dll exists

Criterion: 32-Bit version of Windows is installed

registry_test (oval:org.mitre.oval:tst:2748): check_existence = at_least_one_exists, check = at least one

registry_object (oval:org.mitre.oval:obj:1576):

hive: HKEY_LOCAL_MACHINE

key: SYSTEM\CurrentControlSet\Control\Session Manager\Environment

name: PROCESSOR_ARCHITECTURE

registry_state (oval:org.mitre.oval:ste:2569):

value: x86

Критерии опасности уязвимости

Например, в соответствии с CVSS — AV:N/AC:L/Au:N/C:C/l:C/A:C

Степень опасности уязвимости

Высокий уровень опасности

Возможные меры по устранению уязвимости

Установите соответствующее обновление:
Microsoft Windows NT Server 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
Microsoft Windows XP and Microsoft Windows XP Service Pack 1
Microsoft Windows XP 64-Bit Edition Service Pack 1
Microsoft Windows XP 64-Bit Edition Version 2003
Microsoft Windows Server 2003 64-Bit Edition

Прочая информация

Специальных полномочий (прав доступа) по отношению к ИС нарушителю не требуется

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *