CVSS – Genel Açık Derecelendirme Sistemi


CVSS Nedir?

Genel Açık Derecelendirme Sistemi (CVSS, Common Vulnerability Scoring System), güvenlik açıklarının önem ve önceliklerinin belirlenmesi açısından risk seviyelerinin belirlenebilmesinde kullanılabilecek açık bir standarttır. Birbirleri ile uyumsuz, farklı seviye belirleme sistemlerinin yerine kullanılması amaçlanmıştır. CERT, Mitre, Cisco, Symantec, Microsoft, Qualys gibi güvenlik organizasyonları ve üreticiler tarafından kullanılmaya başlanan CVSS’in kullanımı, gittikçe daha yaygın hale gelmektedir.

CVSS Risk Seviyeleri
CVSS’in kullanımıyla, son kullanıcıya da bir güvenlik açığının önem ve risk seviyesinin sunulması amaçlanmaktadır. Risk seviyeleri üç ayrı kategori olarak hesaplanmaktadır. Bunlar; Temel Risk Seviyesi (Base Metric Scoring), Geçici Risk Seviyesi (Temporal Metric Scoring) ve Yapısal Risk Seviyesi (Environmental Score Metrics)’dir.

Temel risk seviyesi, güvenlik açığına özgü, zaman içerisinde veya yapıya göre değişmeyen, temel risk seviyesidir. Geçici risk seviyesi, güvenlik açığının zaman içerisinde değişebilecek risk seviyesidir. Yapısal risk seviyesi ise, güvenlik açığının organizasyon/firma yapısına olan etkisidir. Yapısal risk seviyesinin her organizasyon/firma için tekrardan hesaplanması gerekmektedir.

Kimler CVSS’i Nasıl Kullanabilir?
Payment Card Industry(PCI) onaylı güvenlik denetim firmaları, bilgi güvenliği organizasyonları, güvenlik denetimi yapan firmalar ve üreticiler CVSS’i kullanabilir.
İleride CVSS’in daha yaygın kullanılması durumunda, daha çok kişi CVSS risk seviyesini bir önkoşul olarak isteyecektir. Dolayısıyla şimdiden CVSS’in hizmet ve ürünlere entegre edilmesi rekabet açısından da faydalı olabilir.

Son kullanıcılar (organizasyonların bilgi güvenliği ekibi, bilgi işlem kadrosu vb.) CVSS’i Yapısal Risk Seviyesini hesaplamada kullanabilirler. Bunu hesaplayabilmek için gereken temel risk seviyesi ve geçici risk seviyesi üreticiler tarafından verilmektedir.

CVSS Risk Seviyesinin Hesaplanması
CVSS risk seviyeleri, CVSS standards guide dokümanına göre hesaplanabilir.
Bu işlem için CVSS Calculator denilen online arabirimler bulunmaktadır.
Türkçe olarak hazırladığım CVSS Risk Seviyesi Hesaplayıcıya buradan ulaşabilirsiniz.