Методика ФСТЭК России от 28.10.2022 (уязвимости) «Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств»

Приказ Федеральной службы по техническому и экспортному контролю от 28.10.2022 № б/н «Методический документ “Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств”»

Ссылки

• Официальный текст на сайте в формате PDF
• Сохранённый текст в формате PDF
• Консультант+
• Гарант

Обзоры документа

Аналитический центр УЦСБ

Методика подлежит применению операторами информационных систем (далее – ИС) при выявлении и устранении уязвимостей программных и программно-аппаратных средств в соответствии с требованиями безопасности информации, содержащейся в государственных ИС, объекта критической информационной инфраструктуры, а также иными требованиями законодательства РФ.

Приоритет при устранении уязвимостей отдается сертифицированным средствам. Оценка уровня критичности согласно методике проводится специалистами по информационной безопасности (требований к составу рабочей группы и уровню компетенций методикой не предъявляются).

Методика устанавливает порядок оценки уровня критичности уязвимостей. Показатель критичности вычисляется по формуле и зависит от уровня опасности уязвимости и влияния уязвимости на функционирование ИС. Уровень опасности рассчитывается путем расчета базовых, временных и контекстных метрик по методике Common Vulnerability Scoring System (CVSS) 3.0 или 3.1. В методике приведены подробные комментарии как рассчитать нужные параметры, используя калькулятор Банка данных угроз ФСТЭК России. Влияние уязвимости на функционирование ИС также рассчитывается по формуле и зависит от показателей, характеризующих:

• тип компонента ИС, подверженного уязвимости;
• количество уязвимых компонентов ИС;
• влияние уязвимого компонента на защищенность периметра ИС.

Для всех трех показателей приведена таблица со шкалой оценки. Итоговая оценка уровня критичности по приведенной в методике таблице переводится в невербальное значение (низкий, средний, высокий, критичный). Методика также содержит рекомендации по оперативности и порядку применения защитных мер.

Гарант ПРАЙМ

Утверждена методика оценки уровня критичности уязвимостей программных и программно-аппаратных средств. Она определяет порядок оценки уровня критичности уязвимостей, выявленных в указанных средствах информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления.

Методика применяется операторами информсистем при принятии ими мер по устранению уязвимостей программных и программно-аппаратных средств в соответствии с требованиями о защите информации, содержащейся в ГИС, требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры, а также иными НПА и методическими документами ФСТЭК.

Устранение уязвимостей в сертифицированных программных и программно-аппаратных средствах защиты информации обеспечивается в приоритетном порядке.

Текст документа

Быстрый просмотр сохранённой копии