Приложение 2 Международный метод оценки уязвимостей информационных объектов CVSS (Common Vulnerability Scoring System) Метод CVSS имеет ряд преимуществ перед другими методами: во-первых, этот метод является количественным, а значит, превосходит качественный метод по своей полноте оценки; во-вторых, в данном методе вычисления оценки уязвимости используется больше критериев, чем в оценке уязвимостей через показатели риска, поэтому результатом применения этого метода станет оценка, превосходящая по точности оценки, полученные другими методами. По стандарту CVSS оценка уязвимости вычисляется по следующей формуле: BaseScore=round_to_1_decimal(((0.6*Impact)+(0.4*Exploitability)1.5)*f(Impact)), (1) где BaseScore– базовая оценка уязвимости, round_to_1_decimal – функция округления до десятой, Impact – влияние на целостность, доступность и конфиденциальность, Exploitability – легкость эксплуатации уязвимости, f(Impact)=0, если Impact =0, f(Impact)=1.176 если Impact <>0. При этом влияние Impact вычисляется по формуле: Impact =10.41*(1-(1-Ci)*(1-Ii)*(1-Ai)), (2) где Ci – влияние на конфиденциальность, Ii – влияние на целостность, Ai – влияние на доступность. Легкость эксплуатации уязвимости вычисляется по формуле: Exploitability =20*Av*Ac*А, (3) где Av – вектор доступа, Ac – сложность доступа, А – аутентификация. Новая версия программы включает возможность уточнения базовой оценки по времени, а затем по окружению. При оценке характеристик уязвимости, изменяющихся параметры, как с возможность течением времени, использованиия используются (Exploitability), такие наличие возможности устранения уязвимости (Remediation Level) и достоверность информации об уязвимости (Report Confidence). По стандарту CVSS временная оценка вычисляется по следующей формуле: TemporalScore = round_to_1_decimal(BaseScore*Exploitability *RemediationLevel*ReportConfidence), (4) где BaseScore - базовая оценка уязвимости, Exploitability – возможность использования уязвимости, RemediationLevel – существующая возможность исправления уязвимости, ReportConfidence – достоверность существования уязвимости. Оценка по окружению позволяет учесть влияние уязвимости на конкретную информационную систему. Учитываются два параметра — потенциальный ущерб от использования уязвимости (Collateral Damage Potential) и количество уязвимых систем (Target Distribution), а также пересчитывается влияние на целостность, конфиденциальность и доступность, в соответствии с важностью сохранения этих параметров в системе. По стандарту CVSS оценка по окружению вычисляется по следующей формуле: EnvironmentalScore = round_to_1_decimal((AdjustedTemporal+ (10-AdjustedTemporal)*CollateralDamagePotential)*TargetDistribution), где AdjustedTemporal пересчитанная с учетом – важности временная оценка сохранения (5) уязвимости, целостности, конфиденциальности и доступности в конкретном оцениваемом объекте, CollateralDamagePotential – потенциальный ущерб от использования уязвимости, TargetDistribution – количество целей (подсистем) объекта при использовании уязвимости.