Все уязвимости имеют разную степень опасности Коу, которую можно количественно оценить, проведя их ранжирование. При этом оценка степени опасности проводится по косвенным показателям. В качестве критериев сравнения (показателей) можно выбрать:
– доступность Кд – определяет удобство (возможность) использования уязвимости источником угроз (массогабаритные размеры, сложность, стоимость необходимых средств, возможность использования не специализированной аппаратуры);
– количество Кк – определяет количество элементов объекта, которым характерна та или иная уязвимость;
– фатальность Кф – определяет степень влияния уязвимости на неустранимость последствий реализации угрозы. Для объективных уязвимостей это информативность – способность уязвимости полностью (без искажений) передать полезный информационный сигнал.
Каждый показатель оценивается экспертно-аналитическим методом по пятибалльной системе. При этом оценка 1 соответствует минимальной степени влияния оцениваемого показателя на опасность использования уязвимости, а оценка 5 – максимальной.
|
|
Степень опасности для отдельной уязвимости можно определить как отношение произведения вышеприведенных показателей к максимальному значению (125):
Коу = (Кд * Кк * Кф ) \ 125. (2.2)
Для подгруппы уязвимостей Коу определяется как среднее арифметическое коэффициентов отдельных уязвимостей в подгруппе.
Для группы уязвимостей Коу определяется как среднее арифметическое коэффициентов уязвимостей в подгруппах.
Для класса уязвимостей Коу определяется как среднее арифметическое коэффициентов уязвимостей в группах.
Общая уязвимость информационной безопасности определяется как среднее арифметическое коэффициентов уязвимостей в классах.