Ранжирование уязвимостей

Все уязвимости имеют разную степень опасности К_оу, которую можно количественно оценить, про­ведя их ранжирование. При этом оценка степени опаснос­ти проводится по косвенным пока­зателям. В качестве критериев сравнения (по­казателей) можно выбрать:

– доступность К_д – определяет удобство (возможность) исполь­зования уязвимости источником угроз (массогабаритные разме­ры, сложность, стоимость необ­ходимых средств, возможность использования не специализи­рованной аппаратуры);

– количество К_к – определяет количество элементов объекта, которым характерна та или иная уязвимость;

– фатальность К_ф – определяет степень влияния уязвимости на неустранимость последствий ре­ализации угрозы. Для объектив­ных уязвимостей это информа­тивность – способность уязви­мости полностью (без искаже­ний) передать полезный инфор­мационный сигнал.

Каждый показатель оценивает­ся экспертно-аналитическим ме­тодом по пятибалльной системе. При этом оценка 1 соответствует минимальной степени влияния оцениваемого показателя на опас­ность использования уязвимости, а оценка 5 – максимальной.

Степень опасности для отдельной уязвимос­ти можно определить как отноше­ние произведения вышеприведен­ных показателей к максимальному значению (125):

К_{оу =} (К_{д *} К_{к *} К_ф ) \ 125. (2.2)

Для подгруппы уязвимостей К_оу определяется как среднее арифметическое коэффициентов отдельных уязвимостей в под­группе.

Для группы уязвимостей К_оу определяется как среднее арифметическое коэффициентов уязвимостей в ­подгруппах.

Для класса уязвимостей К_оу определяется как среднее арифметическое коэффициентов уязвимостей в ­группах.

Общая уязвимость информационной безопасности определяется как среднее арифметическое коэффициентов уязвимостей в классах.