Question 1

Что такое CVSS v4.0 и чем отличается от v3.1?

Accepted Answer

CVSS v4.0 — последняя версия стандарта оценки критичности уязвимостей от FIRST (Forum of Incident Response and Security Teams). Главные отличия от v3.1: новая группа Threat-метрик вместо Temporal, разделение Environmental-метрик на Requirements и Modified, добавление Supplemental-метрик (Safety, Automatable, Recovery). Калькулятор использует 32 метрики вместо 14 в v3.1, что даёт более точную оценку.

Question 2

Как рассчитывается балл CVSS v4.0?

Accepted Answer

Балл CVSS v4.0 рассчитывается через систему MacroVector — комбинацию значений Base-метрик, которая определяет одну из 162 записей в lookup-таблице. Base-метрики (11 обязательных) определяют вектор атаки, сложность, необходимые привилегии и влияние на конфиденциальность, целостность и доступность. Опциональные Threat, Environmental и Supplemental метрики корректируют базовый балл.

Question 3

Какие сроки устранения уязвимостей по приказу ФСТЭК №117?

Accepted Answer

Приказ ФСТЭК России №117 (раздел 4) устанавливает сроки устранения уязвимостей на основе их критичности по CVSS: критические уязвимости (балл ≥9.0) — 24 часа, высокие (7.0–8.9) — 7 дней, средние (4.0–6.9) — 30 дней, низкие (0.1–3.9) — 90 дней. Калькулятор автоматически показывает SLA после расчёта балла.

Question 4

Можно ли использовать CVSS v4.0 для российских требований?

Accepted Answer

Да. ФСТЭК России в приказе №117 и методических рекомендациях ссылается на CVSS как стандарт оценки критичности уязвимостей. БДУ ФСТЭК использует CVSS v2 и v3 для маркировки уязвимостей. CVSS v4.0 обратно совместим — балл в диапазоне 0–10 и уровни критичности (None, Low, Medium, High, Critical) совпадают с v3.1.

Question 5

Чем отличаются Base, Threat и Environmental метрики?

Accepted Answer

Base-метрики (11 шт.) — обязательные характеристики самой уязвимости: вектор атаки, сложность, привилегии, воздействие. Threat-метрики (1 шт.) — зрелость эксплойта: существует ли PoC или активная эксплуатация. Environmental-метрики (13 шт.) — адаптация под вашу инфраструктуру: требования к конфиденциальности/целостности/доступности и модифицированные Base-метрики.

Question 6

Как сохранить и поделиться результатом CVSS?

Accepted Answer

Нажмите кнопку «Поделиться» — в буфер обмена скопируется URL с вектором CVSS в параметре. Любой, кто откроет эту ссылку, увидит калькулятор с вашими метриками. Также можно скопировать CVSS Vector String (например, CVSS:4.0/AV:N/AC:L/AT:N/...) кнопкой рядом со строкой вектора. Метрики автоматически сохраняются в сессии браузера.

Калькулятор CVSS v4.0 и v3.1

Эксплуатируемость

Влияние на уязвимую систему

Влияние на смежные системы

SLA по приказу ФСТЭК №117

Импорт вектора

Шкала критичности

Путь CISO: от уязвимости до отчёта

Кому и зачем нужен CVSS-калькулятор

Оценка уязвимости из БДУ ФСТЭК

Подготовка к проверке ФСТЭК

Категорирование объектов КИИ

Оценка рисков ИСПДн

Приоритизация патч-менеджмента

Автоматизируйте управление уязвимостями в КиберОснова SGRC

Частые вопросы о CVSS v4.0