"Методический документ. Регламент включения информации об уязвимостях программного обеспечения и программно-аппаратных средств в банк данных угроз безопасности информации ФСТЭК России" (утв. ФСТЭК России 26.06.2018)

Приложение N 2

к Регламенту включения информации

об уязвимостях программного обеспечения

и программно-аппаратных средств банк

данных угроз безопасности информации

ФСТЭК России

ОПРЕДЕЛЕНИЕ

РЕЙТИНГА ИССЛЕДОВАТЕЛЕЙ, ПРЕДОСТАВИВШИХ ИНФОРМАЦИЮ

ОБ УЯЗВИМОСТЯХ В БАНК ДАННЫХ УГРОЗ

Исследователь получает рейтинговые баллы за предоставленные сведения об уязвимостях в Банк данных угроз безопасности при выполнении следующих условий:

1) сведения об уязвимости не опубликованы ранее в Банке данных угроз или других общедоступных источниках;

2) исследователем представлены информация об уязвимости и контактная информация исследователя в соответствии с Регламентом обращения с информацией об уязвимостях программного обеспечения и программно-аппаратных средств в Банке данных угроз безопасности информации ФСТЭК России.

Количество рейтинговых баллов за выявленную уязвимость определяется по следующей формуле:

A = (T + P + R) * C, где

T - показатель, характеризующий объект исследований (выбирается тип программного обеспечения с максимальным значением);

P - показатель, характеризующий алгоритм проверки уязвимости и подтверждающие материалы;

R - показатель, характеризующий уровень опасности уязвимости;

C - показатель, характеризующий количество затрагиваемого программного обеспечения.

Общий рейтинг исследователя определяется простым суммированием всех рейтинговых баллов, полученных исследователем за информацию об уязвимостях, сведения о которых были представлены в Банк данных угроз.

Приложение N 1. Описание уязвимости для размещения в Банке данных угроз Значения показателей при определении рейтинга