Các số liệu này cho phép nhà phân tích tùy chỉnh điểm CVSS tùy thuộc vào mức độ quan trọng của tài sản CNTT bị ảnh hưởng đối với tổ chức người dùng, được đo bằng các biện pháp kiểm soát bảo mật bổ sung / thay thế tại chỗ, Bảo mật, Tính toàn vẹn và Tính khả dụng. Các số liệu tương đương với các số liệu Cơ sở được sửa đổi và được gán các giá trị dựa trên vị trí thành phần trong cơ sở hạ tầng tổ chức.
a) Yêu cầu bảo mật (CR, IR, AR)
Các số liệu này cho phép nhà phân tích tùy chỉnh điểm CVSS tùy thuộc vào mức độ quan trọng của tài sản CNTT bị ảnh hưởng đối với tổ chức người dùng, được đo lường về tính Bảo mật, tính Toàn vẹn và tính Khả dụng. Nghĩa là, nếu một tài sản CNTT hỗ trợ chức năng kinh doanh mà Tính khả dụng là quan trọng nhất, nhà phân tích có thể gán giá trị lớn hơn cho Tính khả dụng liên quan đến Bảo mật và Tính toàn vẹn. Mỗi Yêu cầu bảo mật có ba giá trị có thể: Thấp, Trung bình hoặc Cao.
Ảnh hưởng đầy đủ đến điểm số môi trường được xác định bởi các số liệu Tác động cơ sở sửa đổi tương ứng. Đó là, các số liệu này sửa đổi điểm số môi trường bằng cách xem xét lại các số liệu tác động Bảo mật, Tính toàn vẹn và Tính khả dụng. Ví dụ: số liệu Tác động bảo mật đã sửa đổi (MC) đã tăng trọng số nếu Yêu cầu bảo mật (CR) cao. Tương tự, số liệu tác động Bảo mật được sửa đổi đã giảm trọng lượng nếu Yêu cầu bảo mật thấp. Trọng số số liệu tác động Bảo mật đã sửa đổi là trung tính nếu Yêu cầu bảo mật là Trung bình. Quá trình tương tự này được áp dụng cho các yêu cầu Tính toàn vẹn và Sẵn có.
Lưu ý rằng Yêu cầu bảo mật sẽ không ảnh hưởng đến điểm môi trường nếu tác động bảo mật (Cơ sở đã sửa đổi) được đặt thành Không có. Ngoài ra, việc tăng Yêu cầu bảo mật từ Trung bình lên Cao sẽ không thay đổi điểm Môi trường khi các số liệu tác động (Cơ sở được sửa đổi) được đặt thành Cao. Điều này là do Điểm phụ tác động được sửa đổi (một phần của Điểm cơ sở đã sửa đổi để tính toán tác động) đã có giá trị tối đa là 10. Để đơn giản, cùng một bảng được sử dụng cho cả ba số liệu. Yêu cầu bảo mật càng lớn, điểm càng cao (nhắc lại rằng Phương tiện được coi là mặc định).
Bảng 2.12: Yêu cầu bảo mật
Giá trị Số liệu Mô tả
Not Defined (X) Việc chỉ định giá trị này cho thấy không có đủ thông tin để chọn một trong các giá trị khác và không có tác động đến Điểm môi trường tổng thể, tức là, nó có tác dụng tương tự đối với việc ghi điểm khi gán Phương tiện.
High (H) Mất [Bảo mật | Toàn vẹn | Tính khả dụng] có thể có tác động bất lợi thảm khốc đối với tổ chức hoặc cá nhân liên quan đến tổ chức (ví dụ: nhân viên, khách hàng).
Medium (M) Mất [Bảo mật | Toàn vẹn | Tính khả dụng] có thể có ảnh hưởng xấu nghiêm trọng đến tổ chức hoặc cá nhân liên quan đến tổ chức (ví dụ: nhân viên, khách hàng).
Low (L) Mất [Bảo mật | Toàn vẹn | Tính khả dụng] có thể chỉ có tác động bất lợi hạn chế đối với tổ chức hoặc cá nhân được liên kết với tổ chức (ví dụ: nhân viên, khách hàng).
b) Số liệu Cơ sở sửa đổi (Modified Base Metric)
Các số liệu này cho phép nhà phân tích ghi đè các số liệu Cơ sở riêng dựa trên các đặc điểm cụ thể của môi trường người dùng. Các đặc điểm ảnh hưởng đến Khả năng khai thác, Phạm vi hoặc Tác động có thể được phản ánh thông qua Điểm môi trường được sửa đổi phù hợp.
Ảnh hưởng đầy đủ đến điểm Môi trường được xác định bởi các số liệu Cơ sở tương ứng. Đó là, các số liệu này sửa đổi Điểm Môi trường bằng cách ghi đè các giá trị số liệu Cơ sở, trước khi áp dụng Yêu cầu An ninh Môi trường. Ví dụ: cấu hình mặc định cho một thành phần dễ bị tổn thương có thể là chạy một dịch vụ nghe với các đặc quyền của quản trị viên, do đó một sự thỏa hiệp có thể mang lại cho kẻ tấn công Bảo mật, tính toàn vẹn và các tác động sẵn có đều cao. Tuy nhiên, trong môi trường phân tích, một dịch vụ Internet tương tự có thể đang chạy với các đặc quyền giảm; trong trường hợp đó, tính bảo mật được sửa đổi, tính toàn vẹn được sửa đổi và tính khả dụng đã được sửa đổi có thể được đặt thành Thấp.
Để cho ngắn gọn, chỉ có tên của các số liệu Cơ sở được sửa đổi được đề cập. Mỗi số liệu Môi trường được sửa đổi có cùng các giá trị với số liệu Cơ sở tương ứng của nó, cộng với giá trị Không được Xác định. Không xác định là mặc định và sử dụng giá trị số liệu của số liệu Cơ sở được liên kết.
Bảng 2.13: Số liệu Cơ sở sửa đổi (Modified Base Metric)
Số liệu Cơ sở sửa đổi Giá trị tương ứng
Vector tấn công sửa đổi (MAV) Độ phức tạp tấn công đã sửa đổi (MAC)
Yêu cầu đặc quyền sửa đổi (MPR) Tương tác người dùng đã sửa đổi (MUI)
Các giá trị tương tự như Số liệu Cơ sở tương ứng (xem Số liệu Cơ sở ở trên), cũng như Không được xác định (mặc định).
Phạm vi sửa đổi (MS) Bảo mật sửa đổi (MC)
Tính toàn vẹn đã sửa đổi (MI) Dạng có sẵn (MA)