Определение рейтинга исследователей, предоставивших информацию об уязвимостях в Банк данных угроз
Исследователь получает рейтинговые баллы за предоставленные сведения об уязвимостях в Банк данных угроз безопасности при выполнении следующих условий:
1) сведения об уязвимости не опубликованы ранее в Банке данных угроз или других общедоступных источниках;
2) исследователем представлены информация об уязвимости и контактная информация исследователя в соответствии с Регламентом обращения с информацией об уязвимостях программного обеспечения и программно аппаратных средств в Банке данных угроз безопасности информации ФСТЭК России.
Количество рейтинговых баллов за выявленную -уязвимость определяется по следующей формуле:
А = (Т + Р + R)* С, где
Т – показатель, характеризующий объект исследований (выбирается тип программного обеспечения с максимальным значением);
Р – показатель, характеризующий алгоритм проверки уязвимости и подтверждающие материалы;
R – показатель, характеризующий уровень опасности уязвимости;
С – показатель, характеризующий количество затрагиваемого программного обеспечения.
Общий рейтинг исследователя определяется простым суммированием всех рейтинговых баллов, полученных исследователем за информацию об уязвимостях, сведения о которых были представлены в Банк данных угроз.
Значения показателей при определении рейтинга:
Критерии
|
Значения
|
Баллы
|
Показатель, характеризующий объект исследований (Т)
|
Встроенное программное (микропрограммное) обеспечение, программное обеспечение телекоммуникационного оборудования, программное обеспечение средств защиты информации
|
10
|
Общесистемное программное обеспечение (в том числе программное обеспечение виртуализации), программное обеспечение автоматизированных систем управления технологическими процессами
|
7
|
Прикладное программное обеспечение (в том числе системы управления базами данных)
|
5
|
Показатель, характеризующий алгоритм проверки уязвимости и подтверждающие материалы (P)
|
Разработан PoC или представлен алгоритм действий
|
3
|
Представлено видеоподтверждение
|
2
|
Прочие методы
|
1
|
Показатель, характеризующий уровень опасности уязвимости (R)
|
Определяется в соответствии с оценкой CVSS v.3.0:
критический (10)
высокий (7-9,9);
средний (4-6,9);
низкий (0-3,9)
|
10
7
3
1
|
Показатель количества затрагиваемого уязвимостью ПО (С) |
Уязвимость актуальна для нескольких типов программного обеспечения (множественная уязвимость) |
1,5 |
Уязвимость актуальна только для одного типа программного обеспечения |
1,0 |
В случае если исследователем дополнительно представлено описание уязвимости на языке OVAL, то к общему количеству рейтинговых баллов, рассчитанному по приведенной выше формуле, прибавляется дополнительно 2 балла.
Максимальное возможное количество рейтинговых баллов за одну уязвимость - 36,5.
Минимальное возможное количество рейтинговых баллов за одну уязвимость - 7.