NIST SP 800-33 2.0.1 dice che "disponibilità" parte della triade della CIA protegge da tentativi intenzionali o accidentali di:
- eseguire la cancellazione non autorizzata di dati o
- altrimenti causa un rifiuto del servizio o dei dati
Ciò rende abbastanza chiaro che la possibilità di cancellare dati modifica la disponibilità da un punto di vista della sicurezza in generale. Tuttavia, la specifica CVSS v afferma:
This metric measures the impact to availability of a successfully exploited vulnerability. Availability refers to the accessibility of information resources. Attacks that consume network bandwidth, processor cycles, or disk space all impact the availability of a system.
Tutti gli esempi forniti discutono sulla disponibilità del servizio, non sulla disponibilità dei dati. So che CVSS v3 lo cancella affermando esplicitamente:
...That is, the Availability metric speaks to the performance and operation of the service itself – not the availability of the data.
Quando si attribuisce un punteggio a una vulnerabilità che consente di eliminare i dati con CVSS v2, viene valutata come impattante la disponibilità? È sicuro assumere che questo chiarimento possa essere riportato alla v2?