Стандарты информационной безопасности


Основные понятия и идеи "Общей методологии оценки безопасности информационных технологий" - часть 4


Перечисленные составляющие не являются независимыми. Высокая квалификация может сэкономить время, а специальное оборудование - упростить и ускорить доступ к ОО. Следовательно, если оценивать каждый параметр количественно, то результирующую функцию, характеризующую серьезность уязвимости, естественно сделать аддитивной.

В таблицах 2.1 - 2.5 содержатся условные баллы, присваиваемые параметрам уязвимости в зависимости от того, в какой диапазон или на какой уровень они попадают. Для получения общего рейтинга нужно выбрать по одному значению из обоих числовых столбцов всех таблиц и сложить эти десять чисел. При оценке стойкости функций безопасности фаза идентификации не рассматривается (предполагается, что уязвимость известна), поэтому достаточно выбрать и сложить пять чисел из последних столбцов.

Таблица 2.1. Условные баллы, присваиваемые уязвимости в зависимости от времени, которое понадобится для ее идентификации и использования.

ДиапазонИдентификация уязвимостиИспользование уязвимости
< 0.5 часа00
< суток23
< месяца35
> месяца58

Таблица 2.2. Условные баллы, присваиваемые уязвимости в зависимости от уровня квалификации, необходимого для ее идентификации и использования.

УровеньИдентификация уязвимостиИспользование уязвимости
Любитель00
Специалист22
Эксперт54

Таблица 2.3. Условные баллы, присваиваемые уязвимости в зависимости от уровня знаний об объекте оценки, необходимого для ее идентификации и использования.

УровеньИдентификация уязвимостиИспользование уязвимости
Отсутствие знаний00
Общедоступные знания22
Конфиденциальные сведения54

Таблица 2.4. Условные баллы, присваиваемые уязвимости в зависимости от времени доступа к объекту оценки, требуемого для ее идентификации и использования.

ДиапазонИдентификация уязвимостиИспользование уязвимости
< 0.5 часа или доступ незаметен00
< суток24
< месяца36
> месяца49

Таблица 2.5. Условные баллы, присваиваемые уязвимости в зависимости от аппаратно-программных и иных ресурсов (оборудования), необходимых для ее идентификации и использования.

УровеньИдентификация уязвимостиИспользование уязвимости
Отсутствие оборудования00
Стандартное оборудование12
Специальное оборудование34
Заказное оборудование56




Начало  Назад  Вперед



Книжный магазин