метод оценки уязвимостей информационных объектов

Приложение 2
Международный метод оценки уязвимостей
информационных объектов CVSS (Common Vulnerability Scoring System)
Метод CVSS имеет ряд преимуществ перед другими методами:

во-первых, этот метод является количественным, а значит,
превосходит качественный метод по своей полноте оценки;

во-вторых, в данном методе вычисления оценки уязвимости
используется больше критериев, чем в оценке уязвимостей через показатели
риска, поэтому результатом применения этого метода станет оценка,
превосходящая по точности оценки, полученные другими методами.
По стандарту CVSS оценка уязвимости вычисляется по следующей
формуле:
BaseScore=round_to_1_decimal(((0.6*Impact)+(0.4*Exploitability)1.5)*f(Impact)),
(1)
где BaseScore– базовая оценка уязвимости,
round_to_1_decimal – функция округления до десятой,
Impact – влияние на целостность, доступность и конфиденциальность,
Exploitability – легкость эксплуатации уязвимости,
f(Impact)=0, если Impact =0,
f(Impact)=1.176 если Impact <>0.
При этом влияние Impact вычисляется по формуле:
Impact =10.41*(1-(1-Ci)*(1-Ii)*(1-Ai)),
(2)
где Ci – влияние на конфиденциальность,
Ii – влияние на целостность,
Ai – влияние на доступность.
Легкость эксплуатации уязвимости вычисляется по формуле:
Exploitability =20*Av*Ac*А,
(3)
где Av – вектор доступа,
Ac – сложность доступа,
А – аутентификация.
Новая версия программы включает возможность уточнения базовой
оценки по времени, а затем по окружению. При оценке характеристик
уязвимости,
изменяющихся
параметры,
как
с
возможность
течением
времени,
использованиия
используются
(Exploitability),
такие
наличие
возможности устранения уязвимости (Remediation Level) и достоверность
информации об уязвимости (Report Confidence).
По стандарту CVSS временная оценка вычисляется по следующей
формуле:
TemporalScore = round_to_1_decimal(BaseScore*Exploitability
*RemediationLevel*ReportConfidence),
(4)
где BaseScore - базовая оценка уязвимости,
Exploitability – возможность использования уязвимости,
RemediationLevel
–
существующая
возможность
исправления
уязвимости,
ReportConfidence – достоверность существования уязвимости.
Оценка по окружению позволяет учесть влияние уязвимости на
конкретную информационную систему. Учитываются два параметра —
потенциальный ущерб от использования уязвимости (Collateral Damage
Potential) и количество уязвимых систем (Target Distribution), а также
пересчитывается влияние на целостность, конфиденциальность и доступность,
в соответствии с важностью сохранения этих параметров в системе.
По стандарту CVSS оценка по окружению вычисляется по следующей
формуле:
EnvironmentalScore = round_to_1_decimal((AdjustedTemporal+
(10-AdjustedTemporal)*CollateralDamagePotential)*TargetDistribution),
где
AdjustedTemporal
пересчитанная с учетом
–
важности
временная
оценка
сохранения
(5)
уязвимости,
целостности,
конфиденциальности и доступности в конкретном оцениваемом объекте,
CollateralDamagePotential – потенциальный ущерб от использования
уязвимости,
TargetDistribution – количество целей (подсистем) объекта при
использовании уязвимости.