Приложение N 2. Определение рейтинга исследователей, предоставивших информацию об уязвимостях в Банк данных угроз. Методический документ "Регламент включения информации об уязвимостях программного обеспечения и программно-аппаратных средств в банк данных угроз безопасности информации ФСТЭК России" (утв. Федеральной службой по техническому и экспортному контролю 26 июня 2018 г.)

Приложение N 2
к Регламенту включения информации об
уязвимостях программного обеспечения и
программно-аппаратных средств в банк
данных угроз безопасности информации
ФСТЭК России

Определение рейтинга исследователей, предоставивших информацию об уязвимостях в Банк данных угроз

Исследователь получает рейтинговые баллы за предоставленные сведения об уязвимостях в Банк данных угроз безопасности при выполнении следующих условий:

1) сведения об уязвимости не опубликованы ранее в Банке данных угроз или других общедоступных источниках;

2) исследователем представлены информация об уязвимости и контактная информация исследователя в соответствии с Регламентом обращения с информацией об уязвимостях программного обеспечения и программно-аппаратных средств в Банке данных угроз безопасности информации ФСТЭК России.

Количество рейтинговых баллов за выявленную уязвимость определяется по следующей формуле:

А = (Т + Р + R)* С, где

Т - показатель, характеризующий объект исследований (выбирается тип программного обеспечения с максимальным значением);

Р - показатель, характеризующий алгоритм проверки уязвимости и подтверждающие материалы;

R - показатель, характеризующий уровень опасности уязвимости;

С - показатель, характеризующий количество затрагиваемого программного обеспечения.

Общий рейтинг исследователя определяется простым суммированием всех рейтинговых баллов, полученных исследователем за информацию об уязвимостях, сведения о которых были представлены в Банк данных угроз.

Значения показателей при определении рейтинга:

Критерии	Значения	Баллы
Показатель, характеризующий объект исследований (Т)	Встроенное программное (микропрограммное) обеспечение, программное обеспечение телекоммуникационного оборудования, программное обеспечение средств защиты информации	10
	Общесистемное программное обеспечение (в том числе программное обеспечение виртуализации), программное обеспечение автоматизированных систем управления технологическими процессами	7
	Прикладное программное обеспечение (в том числе системы управления базами данных)	5
Показатель, характеризующий алгоритм проверки уязвимости и подтверждающие материалы (P)	Разработан PoC или представлен алгоритм действий	3
	Представлено видеоподтверждение	2
	Прочие методы	1
Показатель, характеризующий уровень опасности уязвимости (R)	Определяется в соответствии с оценкой CVSS v.3.0:
	критический (10)	10
	высокий (7-9,9);	7
	средний (4-6,9);	3
	низкий (0-3,9)	1
Показатель количества затрагиваемого уязвимостью ПО (С)	Уязвимость актуальна для нескольких типов программного обеспечения (множественная уязвимость)	1,5
	Уязвимость актуальна только для одного типа программного обеспечения	1,0

В случае если исследователем дополнительно представлено описание уязвимости на языке OVAL, то к общему количеству рейтинговых баллов, рассчитанному по приведенной выше формуле, прибавляется дополнительно 2 балла.

Максимальное возможное количество рейтинговых баллов за одну уязвимость - 36,5.

Минимальное возможное количество рейтинговых баллов за одну уязвимость - 7.