2. ПОЛУЧЕНИЕ ИНФОРМАЦИИ ОБ УЯЗВИМОСТЯХ

2.1. Сведения об уязвимостях могут быть получены Оператором:

при поступлении информации об уязвимостях от изготовителей;

при поступлении информации об уязвимостях от исследователей;

при выполнении исследований по заданию ФСТЭК России.

2.2. Информация об уязвимости направляется в Банк данных угроз через раздел "Обратная связь" (bdu.fstec.ru) или на адрес электронной почты webmaster@bdu.fstec.ru. В информации об уязвимости указываются следующие сведения:

наименование уязвимости и ее описание;

наименование и версии уязвимого программного обеспечения или программно-аппаратного средства;

разработчик/производитель (вендор) уязвимого программного обеспечения или программно-аппаратного средства (при наличии);

тип и идентификатор ошибки в соответствии с общим перечнем ошибок CWE;

наименования операционных систем и типов аппаратных платформ, для которых актуальна уязвимость;

базовый вектор и степень опасности <1> уязвимости в соответствии с CVSS v.3.0;

--------------------------------

<1> В соответствии с ГОСТ Р 56545-2015 степень опасности уязвимости может принимать одно из четырех значений; критический (оценка по CVSS - 10), высокий (оценка по CVSS - 7 - 9,9), средний (оценка по CVSS - 4 - 6,9), низкий (оценка по CVSS - 0 - 3,9).

порядок проверки уязвимости и подтверждающие материалы (PoC-код, видеодемонстрация или иные);

контактные данные изготовителя (наименование организации и адрес места ее нахождения, должность, фамилию, имя, отчество (при наличии) руководителя организации, наименование подразделения, ответственного за устранение уязвимостей, номер телефона, адрес электронной почты) или исследователя (имя, адрес электронной почты и (или) номер телефона).

2.3. Информация об уязвимости может направляться с использованием PGP-ключей, размещенных в разделе "Обратная связь" Банка данных угроз.