"Методический документ. Регламент включения информации об уязвимостях программного обеспечения и программно-аппаратных средств в банк данных угроз безопасности информации ФСТЭК России" (утв. ФСТЭК России 26.06.2018)

Значения показателей при определении рейтинга

Значения показателей при определении рейтинга:

Критерии

Значения

Баллы

Показатель, характеризующий объект исследований (T)

Встроенное программное (микропрограммное) обеспечение, программное обеспечение телекоммуникационного оборудования, программное обеспечение средств защиты информации

10

Общесистемное программное обеспечение (в том числе программное обеспечение виртуализации), программное обеспечение автоматизированных систем управления технологическими процессами

7

Прикладное программное обеспечение (в том числе системы управления базами данных)

5

Показатель, характеризующий алгоритм проверки уязвимости и подтверждающие материалы (P)

Разработан PoC или представлен алгоритм действий

3

Представлено видеоподтверждение

2

Прочие методы

1

Показатель, характеризующий уровень опасности уязвимости (R)

Определяется в соответствии с оценкой CVSS v.3.0:

критический (10)

10

высокий (7 - 9,9);

7

средний (4 - 6,9);

3

низкий (0 - 3,9)

1

Показатель количества затрагиваемого уязвимостью ПО (C)

Уязвимость актуальна для нескольких типов программного обеспечения (множественная уязвимость)

1,5

Уязвимость актуальна только для одного типа программного обеспечения

1,0

В случае если исследователем дополнительно представлено описание уязвимости на языке OVAL, то к общему количеству рейтинговых баллов, рассчитанному по приведенной выше формуле, прибавляется дополнительно 2 балла.

Максимальное возможное количество рейтинговых баллов за одну уязвимость - 36,5.

Минимальное возможное количество рейтинговых баллов за одну уязвимость - 7.

Приложение N 2. Определение рейтинга исследователей, предоставивших информацию об уязвимостях в Банк данных угроз