Информационная безопасность


              

в пределах тех временных рамок,




0



0



>< 1 день



2



4



>< 1 месяц



3



6



>> 1 месяц



4



9



>Не практично



*



*



Оборудование



Отсутствует



0



0



>Стандартное



1



2



>Специализированное



3



4



>Заказное



5



6



* Означает, что нападение невозможно в пределах тех временных рамок, которые были бы приемлемы для нарушителя. Любое значение "*" указывает на противостояние нарушителю с высоким потенциалом нападения.



При определении потенциала нападения для данной уязвимости из каждого столбца (столбцы 2 и 3 Таб. 2) для каждого фактора следует выбрать определенное значение (10 значений). При выборе значений должна учитываться предопределенная среда ОО. Выбранные 10 значений суммируются, давая итоговое значение. Это значение затем сверяется с Таб. 3 для определения рейтинга уязвимости и соответственно по Таб. 1 — уровня СФБ. Полученный уровень стойкости функции безопасности говорит о том, нарушителю с каким потенциалом противостоит ОО.

Таблица 3. Рейтинг уязвимостей


>

Диапазон значений

ОО противостоит нарушителю с потенциалом нападения:



< 10



Нет рейтинга



10-17



Низкий



18-24



Умеренный



> 25



Высокий



Когда значение фактора оказывается близким к границе диапазона, то оценщику следует подумать об использовании значения, усредняющего табличные. Например, если для использования уязвимости требуется доступ к ОО в течение одного часа или если доступ обнаруживается очень быстро, то для этого фактора может быть выбрано значение между 0 и 4.

Для конкретной уязвимости может возникнуть необходимость сделать несколько проходов (Таб. 2) для различных сценариев нападения (например, попеременно использовать разные значения компетентности в сочетании с определенными значениями факторов времени или оборудования). При этом ориентироваться нужно на наименьшее значение, полученное для этих проходов.

В случае уязвимости, которая уже идентифицирована и информация о которой общедоступна, значения "при идентификации уязвимости" нарушителем (столбец 3 Таб. 2) следует выбирать, исходя из раскрытия этой уязвимости в общедоступных источниках, а не из начальной ее идентификации нарушителем.


Содержание  Назад  Вперед