"Методический документ "Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств" (утв. ФСТЭК России 30.06.2025)

II. Порядок оценки уровня критичности уязвимостей программных, программно-аппаратных средств

II. ПОРЯДОК ОЦЕНКИ УРОВНЯ КРИТИЧНОСТИ УЯЗВИМОСТЕЙ

ПРОГРАММНЫХ, ПРОГРАММНО-АППАРАТНЫХ СРЕДСТВ

7. Уровень критичности уязвимостей оценивается в целях принятия обоснованного решения операторами информационных систем о необходимости устранения уязвимостей, выявленных в программных, программно-аппаратных средствах по результатам анализа уязвимостей в информационных системах.

8. Исходными данными для определения критичности уязвимостей являются:

а) база уязвимостей программного обеспечения, программно-аппаратных средств, содержащаяся в Банке данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru), а также иные источники, содержащие сведения об известных уязвимостях;

б) официальные информационные ресурсы разработчиков программного обеспечения, программно-аппаратных средств и исследователей в области информационной безопасности;

в) сведения о составе и архитектуре информационных систем, полученные по результатам их инвентаризации и (или) приведенные в документации на информационные системы;

г) результаты контроля уровня защищенности информационных систем и содержащейся в них информации, проведенные оператором (в том числе тестирование на проникновение, учения (тренировки), мероприятия по проведению эксперимента по повышению уровня защищенности государственных информационных систем федеральных органов исполнительной власти и подведомственных им учреждений, установленные постановлением Правительства Российской Федерации от 26 марта 2025 г. N 372).

Указанные исходные данные могут уточняться или дополняться с учетом особенностей сферы деятельности, в которой функционируют информационные системы.

9. Оценка уровня критичности уязвимостей программных, программно-аппаратных средств проводится специалистами по защите информации.

10. В случае, если информационная система функционирует на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, то оценка уровня критичности уязвимостей программных, программно-аппаратных средств проводится с учетом используемой инфраструктуры центра обработки данных.

11. Оценка уровня критичности уязвимостей программных, программно-аппаратных средств применительно к информационным системам включает:

1) определение перечня программных, программно-аппаратных средств, подверженных уязвимостям;

2) определение мест установки программных, программно-аппаратных средств, подверженных уязвимостям (например, на периметре информационных систем, во внутреннем сегменте систем, при реализации критических процессов (бизнес-процессов) и других сегментах информационной системы);

3) расчет уровня критичности уязвимости программных, программно-аппаратных средств в системе (V).

12. Расчет уровня критичности уязвимости программных, программно-аппаратных средств в информационной системе V осуществляется по следующей формуле:

V = Icvss x Iinfr x (Iat + Iimp), где

Icvss - показатель, характеризующий уровень опасности уязвимости;

Iinfr - показатель, характеризующий влияние уязвимости программных, программно-аппаратных средств на функционирование информационных систем;

Iat - показатель, характеризующий возможность эксплуатации уязвимости программных, программно-аппаратных средств в информационных системах;

Iimp - показатель, характеризующий последствия эксплуатации уязвимости программных, программно-аппаратных средств в информационных системах.

13. В качестве показателя Icvss берется значение, рассчитанное разработчиком (вендором) программного обеспечения по базовым метрикам в соответствии с методикой Common Vulnerability Scoring System <2> (CVSS) 3.1, которая содержится в Банке данных угроз безопасности информации ФСТЭК России <3>, а также иных известных базах данных уязвимостей. В случае отсутствия для уязвимости оценки уровня опасности по базовым метрикам в соответствии с методикой Common Vulnerability Scoring System (CVSS) 3.1, специалист самостоятельно определяет версию CVSS, по которой производится оценка критичности уязвимости.

--------------------------------

<2> https://www.first.org/cvss.

<3> https://bdu.fstec.ru/calc31.

14. Показатель Iinfr определяется по следующей формуле:

Iinfr = k x K + l x L + p x P, где

K - показатель, характеризующий тип компонента информационной системы <4>, подверженного уязвимости;

--------------------------------

<4> ГОСТ 34.003-90. Компонент автоматизированной системы - это часть автоматизированной системы, выделенная по определенному признаку или совокупности признаков и рассматриваемая как единое целое. В контексте настоящей Методики рассматриваемые типы компонентов информационной системы представлены в таблице 1.

L - показатель, характеризующий количество уязвимых компонентов информационной системы (автоматизированных рабочих мест, серверов, телекоммуникационного оборудования, средств защиты информации и других компонентов);

P - показатель, характеризующий влияние уязвимого компонента на защищенность периметра информационной системы или периметра сегмента информационной системы (в случае сегментирования информационной системы);

k, l, p - весовые коэффициенты показателей (значения приведены в таблице 1 настоящей Методики).

15. В случае, если уязвимости подвержено несколько компонентов информационной системы (например, имеются сведения о подверженности уязвимости компонентов, обеспечивающих реализацию критических процессов, функций, полномочий, а также межсетевых экранов, сетевых устройств и шлюзов, автоматизированных рабочих мест, серверов, телекоммуникационного оборудования, средств защиты информации, систем хранения данных и других компонентов), то итоговой оценке показателя, характеризующего тип компонента информационной системы (K), присваивается наибольшее из значений.

16. Показатель Iat определяется в соответствии с имеющейся у оператора информацией о возможности эксплуатации уязвимости на момент оценки уровня критичности уязвимостей программных, программно-аппаратных средств по следующей формуле:

Iat = e x E, где

E - показатель, характеризующий эксплуатацию уязвимости нарушителями в реальных компьютерных атаках;

e - весовой коэффициент для показателя E (значения приведены в таблице 1 настоящей Методики).

Если показатель, характеризующий возможность эксплуатации уязвимости нарушителями (E), может принимать несколько значений (например, имеются сведения об эксплуатации уязвимости в реальных компьютерных атаках и имеются сведения о продаже средств эксплуатации (эксплойта)), то итоговой оценке данного показателя присваивается наибольшее из значений.

В случае изменения в Банке данных угроз безопасности информации ФСТЭК России сведений об эксплуатации уязвимости, расчет уровня критичности уязвимости программных, программно-аппаратных средств в информационной системе должен проводиться повторно с учетом всех изменений.

17. Показатель Iimp определяется с учетом возможных последствий воздействий, которым может подвергнуться информационная система при эксплуатации уязвимости, по следующей формуле:

Iimp = h x H, где

H - показатель, характеризующий возможные последствия, которые могут наступить в информационной системе при эксплуатации уязвимости;

h - весовой коэффициент для показателя H (значения приведены в таблице 1 настоящей Методики).

Если показатель, характеризующий возможные последствия, которые могут наступить в информационной системе при эксплуатации уязвимости (H), принимает несколько значений (например, нарушение целостности данных и повышение привилегий), то итоговой оценке данного показателя присваивается наибольшее из значений.

В случае изменения условий, которые влияют на последствия эксплуатации уязвимости, расчет уровня критичности уязвимости программных, программно-аппаратных средств в информационной системе должен проводиться повторно с учетом всех изменений.

Значения весовых коэффициентов и оценок показателей, определяющих влияние уязвимости программных, программно-аппаратных средств на информационную систему приведены в таблице 1.

Таблица 1 - Значения весовых коэффициентов и оценок показателей, определяющих влияние уязвимости на информационную систему

N п/п

Наименование

Весовой коэффициент показателя

(k, l, p, e, h)

Наименование возможных значений показателя

Значение показателя

(Ki, Lj, Pm, En, Hk)

Итог

(k x Ki,

l x Lj,

p x Pm,

e x En,

h x Hk)

Данные для расчета показателя Iinfr

1

Тип компонента информационной системы, подверженного уязвимости (K)

0,5

Уязвимости подвержены компоненты системы, обеспечивающие реализацию важных процессов (бизнес-процессов), функций, полномочий

1,1

0,55

Уязвимости подвержены межсетевые экраны

0,9

0,45

Уязвимости подвержены сетевые устройства и шлюзы

0,9

0,45

Уязвимости подвержены телекоммуникационное оборудование, система управления сетью передачи данных

0,8

0,4

Уязвимости подвержены серверы (центральные вычислительные узлы)

0,7

0,35

Уязвимости подвержены пользовательские устройства (автоматизированные рабочие места)

0,5

0,25

Уязвимости подвержены системы хранения данных

0,4

0,2

Уязвимости подвержены другие компоненты

0,1

0,05

2

Количество уязвимых компонентов информационной системы (обеспечивающих реализацию критических процессов, функций, полномочий, межсетевых экранов, сетевых устройств и шлюзов, автоматизированных рабочих мест, серверов, телекоммуникационного оборудования, средств защиты информации, систем хранения данных и других компонентов) (L)

0,2

Более 70% компонентов от общего числа компонентов в информационной системе

1,0

0,2

50 - 70%

компонентов от общего числа компонентов в информационной системе

0,8

0,16

10 - 50%

компонентов от общего числа компонентов в информационной системе

0,6

0,12

Менее 10% компонентов от общего числа компонентов в информационной системе

0,5

0,1

3

Влияние на эффективность защиты периметра информационной системы (P)

0,3

Уязвимое программное, программно-аппаратное средство доступно из сети "Интернет"

1,1

0,33

Уязвимое программное, программно-аппаратное средство недоступно из сети "Интернет"

0,6

0,18

Данные для расчета показателя Iat

4

Эксплуатация уязвимости (E)

1,0

Эксплуатируется в реальных атаках

0,6

0,6

Имеются сведения о наличии средств эксплуатации (эксплойта) уязвимости

0,3

0,3

Отсутствуют сведения об эксплуатации в реальных атаках (наличии эксплойта)

0,1

0,1

Данные для расчета показателя Iimp

5

Последствия воздействий, которым подвергается информационная система при эксплуатации уязвимости (H)

1,0

Выполнение произвольного кода

(Arbitrary Code Execution)

0,5

0,5

Повышение привилегий

(Privilege Escalation)

0,5

0,5

Обход механизмов безопасности

(Security Bypass)

0,4

0,4

Внедрение кода

(Code Injection)

0,34

0,34

Получение конфиденциальной информации (Obtain Sensitive Information)

0,3

0,3

Нарушение целостности данных (Loss of Integrity)

0,3

0,3

Отказ в обслуживании (DoS)

0,26

0,26

Перезапись произвольных файлов (Overwrite Arbitrary Files)

0,22

0,22

Запись локальных файлов (Write Local Files)

0,2

0,2

Чтение локальных файлов (Read Local Files)

0,18

0,18

Поддельный пользовательский интерфейс

(Spoof User Interface)

0,12

0,12

Межсайтовый скриптинг

(Cross Site Scripting)

0,1

0,1

18. По результатам расчета уровню критичности уязвимости применительно к конкретной системе (V) присваивается одно из значений, указанных в таблице 2. Примеры расчета уровня критичности уязвимости представлены в приложении 1 к настоящей Методике.

Таблица 2 - Значения итоговой оценки уровня критичности уязвимости

N п/п

Итоговая оценка уровня критичности уязвимости

Наименование уровня критичности уязвимости

1

V > 8,0

Критический

2

5,0 Рисунок 1 V Рисунок 2 8,0

Высокий

3

2,0 Рисунок 3 V < 5,0

Средний

4

V < 2,0

Низкий

19. Пересчет значения уровня критичности уязвимости должен осуществляться на постоянной основе (по возможности автоматизированными средствами) при выявлении новых сведений об уязвимости (например, выпуске разработчиком обновлений, устраняющих уязвимость, появление в открытом доступе средств эксплуатации уязвимости).

I. Общие положения III. Принятие мер защиты информации, направленных на устранение уязвимостей