Оглавление
С учетом конкретной инфраструктуры клиента уровень риска, который несет в себе уязвимость, может меняться. Инфраструктурный показатель CVSS учитывает конкретные особенности рабочего окружения у клиента, у которого была обнаружена уязвимость. Так как расчет инфраструктурного показателя проводиться по желанию и не обязателен по методике CVSS, каждый параметр можно пропустить, для чего среди возможных значений всегда есть значение «не определено».
Показатель представляет собой характеристику возможных потерь среди людей или оборудования в результате успешной эксплуатации уязвимости. Показатель также может характеризовать снижение продуктивности или финансовый убыток. Возможные значения показателя отражены в таблице №10. Чем выше потенциальный урон, тем больше значение показателя.
Таблица №10
Возможные значения показателя «Степень достоверности информации»
Значение показателя |
Описание |
Нет (N) |
Отсутствует возможность людских потерь, потерь в оборудовании, снижения продуктивности или дохода в результате эксплуатации уязвимости. |
Низкий -средний (LM) |
Может выразиться в небольшом уроне оборудованию или недвижимости, возможно небольшое снижение продуктивности или дохода. |
Средний – высокий (MH) |
Может выразиться в среднем уроне оборудованию или недвижимости, возможно ощутимое снижение продуктивности или дохода. |
Высокий (H) |
Может выразиться в значительном уроне оборудованию или недвижимости, возможно катастрофическое снижение продуктивности или дохода. |
Не определён (ND) |
Значение метрики не определено и на общий счет не влияет. |
Задача организации – определить точные значения «небольшого, среднего и значительного» урона.
Этот показатель характеризует, какая часть IT-систем клиента подвержена данной уязвимости. Возможные значения приведены в таблице №11. Чем большая доля IT-систем уязвима, тем выше показатель.
Таблица №11
Возможные значения показателя «Степень достоверности информации»
Значение показателя |
Описание |
Нет (N) |
0% IT-систем уязвимы. |
Низкий (M) |
1%-25% IT-систем уязвимы. |
Средний (M) |
26%-75% IT-систем уязвимы. |
Высокий (H) |
76%-100% IT-систем уязвимы. |
Не определён (ND) |
Значение метрики не определено и на общий счет не влияет. |
Данный показатель позволяет аналитику уточнить значение CVSS в соответствии с важностью уязвимых IT-систем для клиента с позиций конфиденциальности, целостности и доступности. Т.е., если уязвимая IT-система обеспечивает такую функцию бизнеса, для которой наиболее важна постоянная доступность, то аналитик присваивает ей более высокое значение, чем целостности и конфиденциальности. Важность каждого из компонентом может представлена одним из четырех значений: «низкий», «высокий», «средний» и «не определено».
Совокупный эффект инфраструктурного показателя определяется с помощью соответствующих значений частных показателей из базовой метрики– урон конфиденциальности, целостности и доступности. Например, важность конфиденциальности повышена, если требование к ее обеспечению «высокое». Подобным же образом, важность конфиденциальности понижена, если требование к ее обеспечению «низкое». Важность конфиденциальности считается нейтральной, если требование к ее обеспечению «среднее». Подобная логика применяется для определения важности целостности и доступности.
Отметим, что если базовое значение урона конфиденциальности «отсутствует», то требование к обеспечению конфиденциальности не будет оказывать никакого влияния на расчет совокупного инфраструктурного показателя. Точно также, увеличение требования конфиденциальности со «среднего» до «высокого» не изменит инфраструктурный показатель, если базовый показатель урона конфиденциальности – «полный», потому что промежуточный показатель (часть базового показателя урона конфиденциальности) уже принял максимальное значение.
Возможные значения предъявляемых требований к компонентам безопасности перечислены в таблице №12. Для краткости, одна и та же таблица значений используется для каждого из компонентов безопасности. Эти показатели могут изменить общее значение на плюс или минус 2,5.
Таблица №12
Возможные значения показателя «Степень достоверности информации»
Значение показателя |
Описание |
Низкий (M) |
Урон [конфиденциальности, целостности, доступности] имеет ограниченный эффект на организацию или касается лиц, связанных с компанией. |
Средний (M) |
Урон [конфиденциальности, целостности, доступности] имеет серьезный эффект на организацию или касается лиц, связанных с компанией. |
Высокий (H) |
Урон [конфиденциальности, целостности, доступности] имеет катастрофический эффект на организацию или касается лиц, связанных с компанией. |
Не определён (ND) |
Значение метрики не определено и на общий счет не влияет. |
Во многих организациях различные IT ресурсы маркируют по степени важности в соответствии с местоположением в сети, бизнес-функции, возможному снижению дохода. Например, правительство США присваивает каждому несекретному IT активу номер в группе, называемой «система». Каждая «система» получает 3 рейтинга по [конфиденциальности, целостности, доступности], который зависит от того, насколько возможная компрометация нанесет урон организации по этим трем характеристикам. Такая рейтинговая система описана в стандарте FIPS 199.