Блог
Инфраструктурный показатель Группы показателей ч.4 «Руководство по общему стандарту оценки уязвимостей» CVSS v2
Оглавление
- Вступление
- Часть 1. Введение
- Часть 2. Группы показателей. Базовая метрика
- Часть 3. Группы показателей. Временная метрика
- Часть 4. Группы показателей. Инфраструктурная метрика
- Часть 5. Подготовка вектора. Основы расчета
- Часть 6. Расчет
С учетом конкретной инфраструктуры клиента уровень риска, который несет в себе уязвимость, может меняться. Инфраструктурный показатель CVSS учитывает конкретные особенности рабочего окружения у клиента, у которого была обнаружена уязвимость. Так как расчет инфраструктурного показателя проводиться по желанию и не обязателен по методике CVSS, каждый параметр можно пропустить, для чего среди возможных значений всегда есть значение «не определено».
1. Сопутствующий ущерб
Показатель представляет собой характеристику возможных потерь среди людей или оборудования в результате успешной эксплуатации уязвимости. Показатель также может характеризовать снижение продуктивности или финансовый убыток. Возможные значения показателя отражены в таблице №10. Чем выше потенциальный урон, тем больше значение показателя.
Таблица №10
Возможные значения показателя «Степень достоверности информации»
|
Значение показателя |
Описание |
|
Нет (N) |
Отсутствует возможность людских потерь, потерь в оборудовании, снижения продуктивности или дохода в результате эксплуатации уязвимости. |
|
Низкий -средний (LM) |
Может выразиться в небольшом уроне оборудованию или недвижимости, возможно небольшое снижение продуктивности или дохода. |
|
Средний – высокий (MH) |
Может выразиться в среднем уроне оборудованию или недвижимости, возможно ощутимое снижение продуктивности или дохода. |
|
Высокий (H) |
Может выразиться в значительном уроне оборудованию или недвижимости, возможно катастрофическое снижение продуктивности или дохода. |
|
Не определён (ND) |
Значение метрики не определено и на общий счет не влияет. |
Задача организации – определить точные значения «небольшого, среднего и значительного» урона.
2. Распределение уязвимых систем
Этот показатель характеризует, какая часть IT-систем клиента подвержена данной уязвимости. Возможные значения приведены в таблице №11. Чем большая доля IT-систем уязвима, тем выше показатель.
Таблица №11
Возможные значения показателя «Степень достоверности информации»
|
Значение показателя |
Описание |
|
Нет (N) |
0% IT-систем уязвимы. |
|
Низкий (M) |
1%-25% IT-систем уязвимы. |
|
Средний (M) |
26%-75% IT-систем уязвимы. |
|
Высокий (H) |
76%-100% IT-систем уязвимы. |
|
Не определён (ND) |
Значение метрики не определено и на общий счет не влияет. |
3. Характеристика предъявляемых требований к обеспечению конфиденциальности, целостности и доступности
Данный показатель позволяет аналитику уточнить значение CVSS в соответствии с важностью уязвимых IT-систем для клиента с позиций конфиденциальности, целостности и доступности. Т.е., если уязвимая IT-система обеспечивает такую функцию бизнеса, для которой наиболее важна постоянная доступность, то аналитик присваивает ей более высокое значение, чем целостности и конфиденциальности. Важность каждого из компонентом может представлена одним из четырех значений: «низкий», «высокий», «средний» и «не определено».
Совокупный эффект инфраструктурного показателя определяется с помощью соответствующих значений частных показателей из базовой метрики– урон конфиденциальности, целостности и доступности. Например, важность конфиденциальности повышена, если требование к ее обеспечению «высокое». Подобным же образом, важность конфиденциальности понижена, если требование к ее обеспечению «низкое». Важность конфиденциальности считается нейтральной, если требование к ее обеспечению «среднее». Подобная логика применяется для определения важности целостности и доступности.
Отметим, что если базовое значение урона конфиденциальности «отсутствует», то требование к обеспечению конфиденциальности не будет оказывать никакого влияния на расчет совокупного инфраструктурного показателя. Точно также, увеличение требования конфиденциальности со «среднего» до «высокого» не изменит инфраструктурный показатель, если базовый показатель урона конфиденциальности – «полный», потому что промежуточный показатель (часть базового показателя урона конфиденциальности) уже принял максимальное значение.
Возможные значения предъявляемых требований к компонентам безопасности перечислены в таблице №12. Для краткости, одна и та же таблица значений используется для каждого из компонентов безопасности. Эти показатели могут изменить общее значение на плюс или минус 2,5.
Таблица №12
Возможные значения показателя «Степень достоверности информации»
|
Значение показателя |
Описание |
|
Низкий (M) |
Урон [конфиденциальности, целостности, доступности] имеет ограниченный эффект на организацию или касается лиц, связанных с компанией. |
|
Средний (M) |
Урон [конфиденциальности, целостности, доступности] имеет серьезный эффект на организацию или касается лиц, связанных с компанией. |
|
Высокий (H) |
Урон [конфиденциальности, целостности, доступности] имеет катастрофический эффект на организацию или касается лиц, связанных с компанией. |
|
Не определён (ND) |
Значение метрики не определено и на общий счет не влияет. |
Во многих организациях различные IT ресурсы маркируют по степени важности в соответствии с местоположением в сети, бизнес-функции, возможному снижению дохода. Например, правительство США присваивает каждому несекретному IT активу номер в группе, называемой «система». Каждая «система» получает 3 рейтинга по [конфиденциальности, целостности, доступности], который зависит от того, насколько возможная компрометация нанесет урон организации по этим трем характеристикам. Такая рейтинговая система описана в стандарте FIPS 199.