Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

Рейтинг исследователей, предоставивших сведения об уязвимостях программного обеспечения

Благодарим исследователей за предоставленную информацию об уязвимостях программного обеспечения!

Рейтинг исследователя определяется суммированием всех рейтинговых баллов, полученных исследователями за предоставленные сведения об уязвимостях программного обеспечения. Рейтинговые баллы рассчитывается в соответствии с Порядком определения рейтинга, установленным в соответствии с Регламентом включения уязвимостей.

Позиция в рейтинге	Исследователь	Кол-во	Важность	Качество	Критичность	Рейтинг
1.	Ростелеком-Солар	137	8.33	1.15	7.74	2221.00
2.	Бею Д.Н. (ГКУ ТО "ЦИТТО")	41	5.24	2.95	6.66	587.00
3.	Лука Сафонов	25	5.00	1.24	6.52	281.00
4.	Владислав Савченко	7	7.14	3.00	5.71	104.00
5.	Positive Technologies	8	5.00	1.00	7.13	95.00
6.	Ярослав Сташевский (asciiblck)	10	5.00	1.20	4.80	92.00
7.	Андрей Леонов (4lemon)	7	4.43	1.00	7.00	82.00
8.	ООО "НеоБИТ"	4	7.00	3.00	6.00	60.00
9.	Илья Карпов	3	10.00	1.00	8.33	56.00
10.	RedSearch	5	5.00	3.00	6.00	55.00
11.	Дмитрий Мирошников (АО Синклит)	5	5.00	1.00	5.00	51.00
12.	Андрей Ловянников	3	10.00	1.00	4.67	44.00
13.	Евгений Дружинин	2	10.00	1.00	7.50	35.00
14.	Георгий Кигурадзе	3	5.00	3.00	4.00	33.00
15.	Иван Полотнянщиков	2	10.00	3.00	4.50	30.00
16.	ООО «Лизинговая компания «Сименс Финанс»	2	5.00	1.00	7.00	26.00
17.	Руслан Черткоев	1	10.00	3.00	10.00	23.00
18.	Александр Шведов	3	5.00	1.00	2.67	21.00
19.	Виктор Никитин	1	10.00	3.00	7.00	20.00
20.	ЗАО "Перспективный мониторинг"	1	10.00	1.00	7.00	18.00
21.	Баринов А.Е. (ФГАОУ ВО «ЮУрГУ (НИУ)»)	1	10.00	1.00	8.00	18.00
22.	ООО "КБ-ЛАБ"	2	5.00	1.00	4.50	16.00
23.	Игорь Пекарев	1	5.00	1.00	10.00	16.00
24.	Origin Security	1	5.00	1.00	9.00	13.00
25.	Александр Фефилов	1	5.00	1.00	7.00	13.00
26.	Дмитрий Кирюхин	1	7.00	1.00	5.00	11.00
27.	Инфосистемы Джет	1	5.00	1.00	5.00	9.00

ВНИМАНИЕ! Страница рейтинга исследователей функционирует в тестовом режиме!

Определение рейтинга исследователей, предоставивших информацию об уязвимостях в Банк данных угроз

Исследователь получает рейтинговые баллы за предоставленные сведения об уязвимостях в Банк данных угроз безопасности при выполнении следующих условий:

1) сведения об уязвимости не опубликованы ранее в Банке данных угроз или других общедоступных источниках;

2) исследователем представлены информация об уязвимости и контактная информация исследователя в соответствии с Регламентом обращения с информацией об уязвимостях программного обеспечения и программно аппаратных средств в Банке данных угроз безопасности информации ФСТЭК России.

Количество рейтинговых баллов за выявленную -уязвимость определяется по следующей формуле:

А = (Т + Р + R)* С, где

Т – показатель, характеризующий объект исследований (выбирается тип программного обеспечения с максимальным значением);

Р – показатель, характеризующий алгоритм проверки уязвимости и подтверждающие материалы;

R – показатель, характеризующий уровень опасности уязвимости;

С – показатель, характеризующий количество затрагиваемого программного обеспечения.

Общий рейтинг исследователя определяется простым суммированием всех рейтинговых баллов, полученных исследователем за информацию об уязвимостях, сведения о которых были представлены в Банк данных угроз.

Значения показателей при определении рейтинга:

Критерии	Значения	Баллы
Показатель, характеризующий объект исследований (Т)	Встроенное программное (микропрограммное) обеспечение, программное обеспечение телекоммуникационного оборудования, программное обеспечение средств защиты информации	10
	Общесистемное программное обеспечение (в том числе программное обеспечение виртуализации), программное обеспечение автоматизированных систем управления технологическими процессами	7
	Прикладное программное обеспечение (в том числе системы управления базами данных)	5
Показатель, характеризующий алгоритм проверки уязвимости и подтверждающие материалы (P)	Разработан PoC или представлен алгоритм действий	3
	Представлено видеоподтверждение	2
	Прочие методы	1
Показатель, характеризующий уровень опасности уязвимости (R)	Определяется в соответствии с оценкой CVSS v.3.0: критический (10) высокий (7-9,9); средний (4-6,9); низкий (0-3,9)	10 7 3 1
Показатель количества затрагиваемого уязвимостью ПО (С)	Уязвимость актуальна для нескольких типов программного обеспечения (множественная уязвимость)	1,5
Показатель количества затрагиваемого уязвимостью ПО (С)	Уязвимость актуальна только для одного типа программного обеспечения	1,0

В случае если исследователем дополнительно представлено описание уязвимости на языке OVAL, то к общему количеству рейтинговых баллов, рассчитанному по приведенной выше формуле, прибавляется дополнительно 2 балла.

Максимальное возможное количество рейтинговых баллов за одну уязвимость - 36,5.

Минимальное возможное количество рейтинговых баллов за одну уязвимость - 7.