Cisco включает балльную оценку угроз безопасности в рекомендации группы PSIRT — Юлия Кряквина @ 09.01.2007 10:56

Начиная с 2007 года, группа реагирования на угрозы безопасности, связанные с уязвимостями решений Cisco — Cisco Product Security Incident Response Team (PSIRT), — будет включать во все свои рекомендации по обеспечению безопасности (Security Advisories) балльную оценку угрозы. Введение балльных оценок, отражающих степень риска, создаваемого той или иной уязвимостью или рядом уязвимостей, призвано помочь заказчикам Cisco правильнее определять приоритетность мероприятий по замене и корректировке программного обеспечения.

В настоящее время рекомендации группы PSIRT включают балльные оценки, выводимые на основе базовых и временных показателей — т.е. показателей, которые относятся к двум из трех категорий, предусмотренных единой системой оценки уязвимостей CVSS (Common Vulnerability Scoring System). К категории базовых показателей относятся семь основных и неизменных характеристик уязвимостей, например, системные требования аутентификации. Категория временных показателей представлена характеристиками, которые зависят от времени (например, возможность использования уязвимости в преступных целях).

Система CVSS представляет собой открытый отраслевой стандарт, описывающий общие признаки уязвимостей компьютерного оборудования и программного обеспечения. Ее создание — результат сотрудничества между Национальным консультативным советом США по инфраструктуре (National Infrastructure Advisory Council) и рядом поставщиков и исследовательских организаций, занимающихся вопросами обеспечения безопасности информационных систем, к числу которых относится и компания Cisco.