ГРАЖДАНСКОЕ ЗАКОНОДАТЕЛЬСТВО
ЗАКОНЫ КОММЕНТАРИИ СУДЕБНАЯ ПРАКТИКА
Гражданский кодекс часть 1
Глава 1. ГРАЖДАНСКОЕ ЗАКОНОДАТЕЛЬСТВО
Глава 2. ВОЗНИКНОВЕНИЕ ГРАЖДАНСКИХ ПРАВ И ОБЯЗАННОСТЕЙ, ОСУЩЕСТВЛЕНИЕ И ЗАЩИТА ГРАЖДАНСКИХ ПРАВ
Глава 3. ГРАЖДАНЕ (ФИЗИЧЕСКИЕ ЛИЦА)
Глава 4. ЮРИДИЧЕСКИЕ ЛИЦА
Глава 5. УЧАСТИЕ РОССИЙСКОЙ ФЕДЕРАЦИИ, СУБЪЕКТОВ РОССИЙСКОЙ ФЕДЕРАЦИИ, МУНИЦИПАЛЬНЫХ ОБРАЗОВАНИЙ В ОТНОШЕНИЯХ, РЕГУЛИРУЕМЫХ ГРАЖДАНСКИМ ЗАКОНОДАТЕЛЬСТВОМ
Глава 6. ОБЩИЕ ПОЛОЖЕНИЯ
Глава 7. ЦЕННЫЕ БУМАГИ
Глава 8. НЕМАТЕРИАЛЬНЫЕ БЛАГА И ИХ ЗАЩИТА
Глава 9. СДЕЛКИ
Глава 9.1. РЕШЕНИЯ СОБРАНИЙ
Глава 10. ПРЕДСТАВИТЕЛЬСТВО. ДОВЕРЕННОСТЬ
Глава 11. ИСЧИСЛЕНИЕ СРОКОВ
Глава 12. ИСКОВАЯ ДАВНОСТЬ
Глава 13. ОБЩИЕ ПОЛОЖЕНИЯ
Глава 14. ПРИОБРЕТЕНИЕ ПРАВА СОБСТВЕННОСТИ
Глава 15. ПРЕКРАЩЕНИЕ ПРАВА СОБСТВЕННОСТИ
Глава 16. ОБЩАЯ СОБСТВЕННОСТЬ
Глава 17. ПРАВО СОБСТВЕННОСТИ И ДРУГИЕ ВЕЩНЫЕ ПРАВА НА ЗЕМЛЮ
Глава 18. ПРАВО СОБСТВЕННОСТИ И ДРУГИЕ ВЕЩНЫЕ ПРАВА НА ЖИЛЫЕ ПОМЕЩЕНИЯ
Глава 19. ПРАВО ХОЗЯЙСТВЕННОГО ВЕДЕНИЯ, ПРАВО ОПЕРАТИВНОГО УПРАВЛЕНИЯ
Глава 20. ЗАЩИТА ПРАВА СОБСТВЕННОСТИ И ДРУГИХ ВЕЩНЫХ ПРАВ
Глава 21. ПОНЯТИЕ ОБЯЗАТЕЛЬСТВА
Глава 22. ИСПОЛНЕНИЕ ОБЯЗАТЕЛЬСТВ
Глава 23. ОБЕСПЕЧЕНИЕ ИСПОЛНЕНИЯ ОБЯЗАТЕЛЬСТВ
Глава 24. ПЕРЕМЕНА ЛИЦ В ОБЯЗАТЕЛЬСТВЕ
Глава 25. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ОБЯЗАТЕЛЬСТВ
Глава 26. ПРЕКРАЩЕНИЕ ОБЯЗАТЕЛЬСТВ
Глава 27. ПОНЯТИЕ И УСЛОВИЯ ДОГОВОРА
Глава 28. ЗАКЛЮЧЕНИЕ ДОГОВОРА
Глава 29. ИЗМЕНЕНИЕ И РАСТОРЖЕНИЕ ДОГОВОРА
Гражданский кодекс часть 2
Глава 30. КУПЛЯ-ПРОДАЖА
Глава 31. МЕНА
Глава 32. ДАРЕНИЕ
Глава 33. РЕНТА И ПОЖИЗНЕННОЕ СОДЕРЖАНИЕ С ИЖДИВЕНИЕМ
Глава 34. АРЕНДА
Глава 35. НАЕМ ЖИЛОГО ПОМЕЩЕНИЯ
Глава 36. БЕЗВОЗМЕЗДНОЕ ПОЛЬЗОВАНИЕ
Глава 37. ПОДРЯД
Глава 38. ВЫПОЛНЕНИЕ НАУЧНО-ИССЛЕДОВАТЕЛЬСКИХ, ОПЫТНО-КОНСТРУКТОРСКИХ И ТЕХНОЛОГИЧЕСКИХ РАБОТ
Глава 39. ВОЗМЕЗДНОЕ ОКАЗАНИЕ УСЛУГ
Глава 40. ПЕРЕВОЗКА
Глава 41. ТРАНСПОРТНАЯ ЭКСПЕДИЦИЯ
Глава 42. ЗАЕМ И КРЕДИТ
Глава 43. ФИНАНСИРОВАНИЕ ПОД УСТУПКУ ДЕНЕЖНОГО ТРЕБОВАНИЯ
Глава 44. БАНКОВСКИЙ ВКЛАД
Глава 45. БАНКОВСКИЙ СЧЕТ
Глава 46. РАСЧЕТЫ
Глава 47. ХРАНЕНИЕ
Глава 47.1. УСЛОВНОЕ ДЕПОНИРОВАНИЕ (ЭСКРОУ)
Глава 48. СТРАХОВАНИЕ
Глава 49. ПОРУЧЕНИЕ
Глава 50. ДЕЙСТВИЯ В ЧУЖОМ ИНТЕРЕСЕ БЕЗ ПОРУЧЕНИЯ
Глава 51. КОМИССИЯ
Глава 52. АГЕНТИРОВАНИЕ
Глава 53. ДОВЕРИТЕЛЬНОЕ УПРАВЛЕНИЕ ИМУЩЕСТВОМ
Глава 54. КОММЕРЧЕСКАЯ КОНЦЕССИЯ
Глава 55. ПРОСТОЕ ТОВАРИЩЕСТВО
Глава 56. ПУБЛИЧНОЕ ОБЕЩАНИЕ НАГРАДЫ
Глава 57. ПУБЛИЧНЫЙ КОНКУРС
Глава 58. ПРОВЕДЕНИЕ ИГР И ПАРИ
Глава 59. ОБЯЗАТЕЛЬСТВА ВСЛЕДСТВИЕ ПРИЧИНЕНИЯ ВРЕДА
Глава 60. ОБЯЗАТЕЛЬСТВА ВСЛЕДСТВИЕ НЕОСНОВАТЕЛЬНОГО ОБОГАЩЕНИЯ
Гражданский кодекс часть 3
Глава 61. ОБЩИЕ ПОЛОЖЕНИЯ О НАСЛЕДОВАНИИ
Глава 62. НАСЛЕДОВАНИЕ ПО ЗАВЕЩАНИЮ
Глава 63. НАСЛЕДОВАНИЕ ПО ЗАКОНУ
Глава 64. ПРИОБРЕТЕНИЕ НАСЛЕДСТВА
Глава 65. НАСЛЕДОВАНИЕ ОТДЕЛЬНЫХ ВИДОВ ИМУЩЕСТВА
Глава 66. ОБЩИЕ ПОЛОЖЕНИЯ
Гражданский кодекс часть 4
Глава 69. ОБЩИЕ ПОЛОЖЕНИЯ
Глава 70. АВТОРСКОЕ ПРАВО
Глава 71. ПРАВА, СМЕЖНЫЕ С АВТОРСКИМИ
Глава 72. ПАТЕНТНОЕ ПРАВО
Глава 73. ПРАВО НА СЕЛЕКЦИОННОЕ ДОСТИЖЕНИЕ
Глава 74. ПРАВО НА ТОПОЛОГИИ ИНТЕГРАЛЬНЫХ МИКРОСХЕМ

Методический документ Методика оценки уровня критичности уязвимостей программных, (утв. ФСТЭК России 28.10.2022)

Утвержден
ФСТЭК России
28 октября 2022 г.
МЕТОДИЧЕСКИЙ ДОКУМЕНТ
МЕТОДИКА
ОЦЕНКИ УРОВНЯ КРИТИЧНОСТИ УЯЗВИМОСТЕЙ ПРОГРАММНЫХ,
ПРОГРАММНО-АППАРАТНЫХ СРЕДСТВ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств (далее - Методика) разработана в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.
1.2. Методика определяет порядок оценки уровня критичности уязвимостей, выявленных в программных, программно-аппаратных средствах информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, в том числе функционирующих на базе информационно-телекоммуникационной инфраструктуры центров обработки данных (далее - информационные системы).
1.3. Настоящая методика подлежит применению операторами информационных систем при принятии ими мер по устранению уязвимостей программных, программно-аппаратных средств информационных систем в соответствии с требованиями о защите информации, содержащейся в государственных информационных системах, требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, а также иными нормативными правовыми актами и методическими документами ФСТЭК России.
1.4. Устранение уязвимостей в сертифицированных программных, программно-аппаратных средствах защиты информации обеспечивается в приоритетном порядке и осуществляется в соответствии с эксплуатационной документацией на них, а также с рекомендациями разработчика.
1.5. В Методике используются термины и определения, установленные национальными стандартами ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения", ГОСТ Р 56545-2015 "Защита информации. Уязвимости информационных систем. Правила описания уязвимостей", ГОСТ Р 56546-2015 "Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем" и иными национальными стандартами в области защиты информации и обеспечения информационной безопасности.
2. ПОРЯДОК ОЦЕНКИ УРОВНЯ КРИТИЧНОСТИ УЯЗВИМОСТЕЙ
ПРОГРАММНЫХ, ПРОГРАММНО-АППАРАТНЫХ СРЕДСТВ
2.1. Уровень критичности уязвимостей оценивается в целях принятия обоснованного решения операторами информационных систем о необходимости устранения уязвимостей, выявленных в программных, программно-аппаратных средствах по результатам анализа уязвимостей в информационных системах.
2.2. Исходными данными для определения критичности уязвимостей являются:
а) база уязвимостей программного обеспечения, программно-аппаратных средств, содержащаяся в Банке данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru), а также иные источники, содержащие сведения об известных уязвимостях;
б) официальные информационные ресурсы разработчиков программного обеспечения, программно-аппаратных средств и исследователей в области информационной безопасности;
в) сведения о составе и архитектуре информационных систем, полученные по результатам их инвентаризации и (или) приведенные в документации на информационные системы;
г) результаты контроля защищенности информационных систем, проведенные оператором.
Указанные исходные данные могут уточняться или дополняться с учетом особенностей области деятельности, в которой функционируют информационные системы.
2.3. Оценка уровня критичности уязвимостей программных, программно-аппаратных средств проводится специалистами по защите информации (информационной безопасности).
2.4. Оценка уровня критичности уязвимостей программных, программно-аппаратных средств применительно к конкретной информационной системе включает:
1) определение программных, программно-аппаратных средств, подверженных уязвимостям;
2) определение в информационной системе места установки программных, программно-аппаратных средств, подверженных уязвимостям (например, на периметре системы, во внутреннем сегменте системы, при реализации критических процессов (бизнес-процессов) и других сегментах информационной системы);
3) расчет уровня критичности уязвимости программных, программно-аппаратных средств в информационной системе (v).
2.5. Расчет уровня критичности уязвимости программных, программно-аппаратных средств в информационной системе v осуществляется по следующей формуле:
V = Icvss x Iinfr,
где Icvss - показатель, характеризующий уровень опасности уязвимости;
Iinfr - показатель, характеризующий влияние уязвимости программных, программно-аппаратных средств на функционирование информационной системы.
2.6. Показатель Icvss определяется путем расчета базовых, временных и контекстных метрик применительно к конкретной информационной системе по методике Common Vulnerability Scoring System (CVSS) 3.0 или 3.1 <1>.
--------------------------------
<1> https://www.first.org/cvss.
Базовые метрики отражают основные характеристики уязвимостей, влияющие на доступность, целостность и конфиденциальность информации, которые не изменяются с течением времени и не зависят от среды функционирования программных, программно-аппаратных средств. Базовые метрики включают показатели, характеризующие вектор атаки, сложность атаки, уровень привилегий, взаимодействие с пользователем, влияние на конфиденциальность, целостность и доступность.
Временные метрики отражают характеристики уязвимости, которые изменяются со временем, но не зависят от среды функционирования программных, программно-аппаратных средств. Временные метрики включают показатели, характеризующие доступность средств эксплуатации, доступность средств устранения, степень доверия к информации об уязвимостях.
Контекстные метрики отражают характеристики уязвимости, зависящие от среды функционирования программных, программно-аппаратных средств.
Показатель Icvss может быть рассчитан с использованием калькулятора, содержащегося в Банке данных угроз безопасности информации ФСТЭК России в разделе "Уязвимости" <2>.
--------------------------------
<2> https://bdu.fstec.ru/calc3, https://bdu.fstec.ru/calc31.
В калькуляторе необходимо определить (уточнить) базовые, временные и контекстные метрики применительно к конкретной системе и сети (рисунки 1, 2, 3).
Рисунок 1 - Расчет базовых метрик уязвимости
Рисунок 2 - Расчет временных метрик уязвимости
Рисунок 3 - Расчет контекстных метрик уязвимости
Уровень опасности уязвимости применительно к конкретной информационной системе при задании оператором различных метрик в калькуляторе рассчитывается автоматически и отображается в поле "Контекстные метрики" (рисунок 4).
Рисунок 4 - Значение уровня опасности уязвимости
применительно к конкретной системе, сети
Итоговый показатель Icvss определяется совокупностью показателей базовых, временных и контекстных метрик применительно к конкретной информационной системе.
2.7. Показатель Iinfr определяется по следующей формуле:
Iinfr = k * K + l * L + p * P, где
K - показатель, характеризующий тип компонента информационной системы, подверженного уязвимости;
L - показатель, характеризующий количество уязвимых компонентов информационной системы (автоматизированных рабочих мест, серверов, телекоммуникационного оборудования, средств защиты информации и других компонентов);
P - показатель, характеризующий влияние уязвимого компонента на защищенность периметра информационной системы;
k, l, p - весовые коэффициенты показателей.
Расчет весовых коэффициентов и оценок показателей, определяющих влияние уязвимости программных, программно-аппаратных средств на информационную систему, проводится в соответствии с таблицей 1.
Таблица 1
N п/п
Показатель
Вес
Значение
Оценка
Итог
(k * Ki, l * Lj, p * Pm)
1
Тип компонента информационной системы, подверженного уязвимости (K)
0,4
Уязвимости подвержены компоненты информационной системы, обеспечивающие реализацию критических процессов (бизнес-процессов), функций, полномочий
1
0,4
Уязвимости подвержены серверы
0,8
0,32
Уязвимости подвержено телекоммуникационное оборудование, система управления сетью передачи данных
0,8
0,32
Уязвимости подвержены автоматизированные рабочие места
0,5
0,20
Уязвимости подвержены другие компоненты
0,5
0,20
2
Количество уязвимых компонентов информационной системы (автоматизированных рабочих мест, серверов, телекоммуникационного оборудования, средств защиты информации и других компонентов) (L)
0,2
Более 70% компонентов от общего числа компонентов в информационной системе
1
0,2
50 - 70% компонентов от общего числа компонентов в информационной системе
0,8
0,16
10 - 50% компонентов от общего числа компонентов в информационной системе
0,6
0,12
Менее 10% компонентов от общего числа компонентов в информационной системе
0,5
0,10
3
Влияние на эффективность защиты периметра системы, сети (P)
0,4
Уязвимое программное, программно-аппаратное средство доступно из сети "Интернет"
1
0,4
Уязвимое программное, программно-аппаратное средство недоступно из сети "Интернет"
0,5
0,2
2.8. По результатам расчета уровень критичности уязвимости применительно к конкретной информационной системе принимает значения, указанные в таблице 2.
Таблица 2
N п/п
Суммарное количество баллов уязвимости
Оценка уровня критичности уязвимости
1
7,0