Cisco включает балльную оценку угроз безопасности
Начиная с 2007 года, группа реагирования на угрозы безопасности, связанные с уязвимостями решений Cisco - Cisco Product Security Incident Response Team будет включать во все свои рекомендации по обеспечению безопасности балльную оценку угрозы. В настоящее время рекомендации группы PSIRT включают балльные оценки, выводимые на основе базовых и временных показателей - т.е. показателей, которые относятся к двум из трех категорий, предусмотренных единой системой оценки уязвимостей CVSS (Common Vulnerability Scoring System).
К категории базовых показателей относятся семь основных и неизменных характеристик уязвимостей, например, системные требования аутентификации. Категория временных показателей представлена характеристиками, которые зависят от времени (например, возможность использования уязвимости в преступных целях), и включает в себя три компонента. Третья категория в данном случае не применяется, так как входящие в нее показатели отражают характеристики уязвимостей, которые сказываются на реализации проектов и окружающей действительности и, следовательно, должны оцениваться самими заказчиками.
Система CVSS представляет собой открытый отраслевой стандарт, описывающий общие признаки уязвимостей компьютерного оборудования и программного обеспечения. Ее создание - результат сотрудничества между Национальным консультативным советом США по инфраструктуре (National Infrastructure Advisory Council) и рядом поставщиков и исследовательских организаций, занимающихся вопросами обеспечения безопасности информационных систем, к числу которых относится и компания Cisco. Популяризация системы CVSS во всем мире поручена международному форуму FIRST (Forum of Incident Response and Security Teams), объединяющему структуры, которые отвечают за реагирование на угрозы в сфере информационных технологий.
К категории базовых показателей относятся семь основных и неизменных характеристик уязвимостей, например, системные требования аутентификации. Категория временных показателей представлена характеристиками, которые зависят от времени (например, возможность использования уязвимости в преступных целях), и включает в себя три компонента. Третья категория в данном случае не применяется, так как входящие в нее показатели отражают характеристики уязвимостей, которые сказываются на реализации проектов и окружающей действительности и, следовательно, должны оцениваться самими заказчиками.
Система CVSS представляет собой открытый отраслевой стандарт, описывающий общие признаки уязвимостей компьютерного оборудования и программного обеспечения. Ее создание - результат сотрудничества между Национальным консультативным советом США по инфраструктуре (National Infrastructure Advisory Council) и рядом поставщиков и исследовательских организаций, занимающихся вопросами обеспечения безопасности информационных систем, к числу которых относится и компания Cisco. Популяризация системы CVSS во всем мире поручена международному форуму FIRST (Forum of Incident Response and Security Teams), объединяющему структуры, которые отвечают за реагирование на угрозы в сфере информационных технологий.