4.1. Оценка уязвимостей производится с целью определения уровня критичности уязвимостей применительно к информационным системам органа (организации).
4.2. На этапе оценки уязвимостей выполняются операции, приведенные в таблице 4.1.
|
Получение выборки объектов информационных систем, подверженных уязвимости |
||
|
Расчет базовой, контекстной и временной метрик по методике CVSS с использованием калькулятора CVSS <6> V3 или V3.1, размещенного в БДУ ФСТЭК России <7> |
||
|
Определение влияния уязвимого компонента на защищенность информационных систем выполняется с использованием результатов процесса "Оценка угроз" (в части сведений о недопустимых негативных последствиях и возможных объектах воздействий), при этом могут быть использованы данные об ИТ-инфраструктуре, полученные из баз данных управления конфигурациями (отдельные результаты из процесса "Управление конфигурацией") |
||
|
Получение значений уровней критичности обнаруженных уязвимостей |
--------------------------------
<6> CVSS (англ. Common Vulnerability Scoring System) - общая система оценки уязвимостей (адрес: https://www.first.org/cvss)
<7> Адреса: https://bdu.fstec.ru/calc3, https://bdu.fstec.ru/calc31
Операции по определению уровня опасности уязвимости, ее влияния на информационные системы и расчету критичности уязвимости выполняются в соответствии с Методикой оценки уровня критичности уязвимостей программных и программно-аппаратных средств, утвержденной ФСТЭК России 28 октября 2022 г. <8>
--------------------------------
<8> Адрес: https://bdu.fstec.ru/documents/31
4.3. На основе таблицы 4.1. в органе (организации) должно разрабатываться детальное описание операций, включающее наименование операций, описание операций, исполнителей, продолжительность, входные и выходные данные. Детальное описание операций включается в организационно-распорядительные документы по защите информации органа (организации).
4.4. Схема этапа оценки уязвимостей представлена на рисунке 4.1.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей