Дослідження баз даних уразливостей інформаційної безпеки

Александр Григорьевич Корченко, Светлана Владимировна Казмирчук, Алиреза Арджомандифард, Татьяна Валерьевна Панивко

Анотація


Існуючі загальнодоступні бази даних уразливостей зберігають в собі різні дані про відомі вразливості ресурсів інформаційних систем. Описи уразливостей містять як передумови, так і оцінки, що характеризують результат реалізації атак, які експлуатують ці уразливості. Часто перед фахівцями, які займаються дослідженням стану безпеки інформаційних систем, виникає питання про вибір відповідних баз даних. Ці бази, відповідно визначених критеріїв, можуть ефективно використовуватися для побудови різних систем оцінювання стану інформаційної безпеки, наприклад, систем оцінювання ризиків. У зв'язку з цим досліджено широкий спектр відповідних баз даних і визначені критерії, за якими можна здійснити їх порівняльний аналіз. Це дасть можливість підвищити ефективність вирішення завдань оцінювання стану безпеки ресурсів інформаційних систем.

Ключові слова


база даних уразливостей; оцінювання уразливостей; ресурси інформаційних систем; інформаційна безпека; аналіз баз даних уразливостей

Посилання


Банк данных угроз безопасности информации [Электронный ресурс] / Федеральной службой по техническому и экспортному контролю России – Москва, 2016 – Режим доступа: World Wide Web. – URL: http://bdu.fstec.ru/.

Белобородов А.Ю. Применение баз данных уязвимостей в задачах исследования безопасности про-граммных средств / А.Ю. Белобородов, А.В. Горбенко // Вісник Харківського національного технічного університету сільського господарства імені Петра Василенка. – 2015. – Вип. 165. – С. 83-85.

Компания Positive Technologies: Оценка уязвимостей CVSS 3.0 [Электронный ресурс] / HABRAHABR Сообщество IT-специалистов – Москва, 2016 – Режим доступа: World Wide Web. – URL: https://habrahabr.ru/ company/ pt/blog / 266485/.

Малюк А.А. Один из подходов к оценке рисков информационной безопасности в облачных средах / А.А. Малюк, А.В. Царегородцев, Е.В. Макаренко // Безопасность информационных технологий. – 2014. – № 4. – С. 68-74.

Порядок проведення робіт із створення комплек-сної системи захисту інформації в інформаційно-телекомунікаційній системі, НД ТЗІ 3.7-003-05, Державна служба спеціального зв'язку та захисту інформації України, 2005, 11 с.

Урзов А.Ю. Модель защищенной информаци-онной системы на основе автоматизации процессов управления и мониторинга угроз безопасности / А.Ю. Урзов, С.К. Варлатая // Доклады ТУСУРа. – 2013. – № 2 (28). – С. 142-146.

Федорченко А.В. Исследование открытых баз уязвимостей и оценка возможности их применения в системах анализа защищенности компьютерных сетей / А. В. Федорченко, А. А. Чечулин, И.В. Котенко // Информационно-управляющие системы. – 2014. - №5 (72). – С. 72-79.

Федорченко А.В. Построение интегрированной базы уязвимостей / А.В. Федорченко, А.А. Чечулин, И.В. Котенко // Известия высших учебных заведений. Приборостроение. 2014. – Т.57. – №11. – С. 62-67.

Харченко В.С. Формирование подмножеств уязвимостей доступности коммерческих Веб-сервисов / В.С. Харченко, Алаа Мохаммед Абдул-Хади, Ю.Л. Поночовный // Системи обробки інформації. – 2013. – випуск 7 (114). – C. 112-115.

A Complete Guide to the Common Vulnerability Scoring System. Version 2.0 [Electronic resource] / Forum of Incident Response and Security Teams – Morrisville, 2016 – Access mode: World Wide Web. – URL: http://www.first.org/cvss/v2/guide.

Common Vulnerability Scoring System v3.0: User Guide [Electronic resource] / Forum of Incident Response and Security Teams – Morrisville, 2016 – Access mode: World Wide Web. – URL: http://www.first.org/cvss/user-guide.

CWE™ International in scope and free for public use [Electronic resource] / MITRE – Bedford, 2016 – Access mode: World Wide Web. – URL: http://cwe.mitre.org/index.html.

IBM X-Force Exchange [Electronic resource] / IBM Corporation – New York, 2016 – Access mode: World Wide Web. – URL: https:// exchange. xforce. ibmcloud.com/ vulnerabilities/109429.

Information technology. Security techniques. Information security management systems. Requirements: ISO/IEC 27001:2013, International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC), 2013, 34 р.

National Vulnerability Database [Electronic re-source] / National Institute of Standards and Technology – Gaithersburg, 2016 – Access mode: World Wide Web. – URL: https://nvd.nist.gov/home.cfm.

Open Sourced Vulnerability Database [Electronic resource] / Open Security Foundation – Lafayette, 2016 – Access mode: World Wide Web. – URL: https:// http://osvdb.org/

Security and Privacy Controls for Federal Information Systems and Organizations [Rebecca M. Blank, Pat-rick D. Gallagher] : National Institute of Standards and Technology Special Publication 800-53r4 – Falls Church : Natl. Inst. Stand. Technol, 2013. – 462 p.

Vulnerabilities [Electronic resource] / SecurityFocus - Mountain View, 2016 - Access mode: World Wide Web. – URL: http://www.securityfocus.com/-53r4 – Falls Church : Natl. Inst. Stand. Technol, 2013. – 462 p.

Vulnerability Notes Database [Electronic resource] / United States Computer Emergency Readiness Team - Murray Lane, 2016 - Access mode: World Wide Web. – URL: https://www.kb.cert.org/vuls/#

X-Force – команда исследователей и разработчиков IBM Internet Security Systems (ISS) [Электрон-ный ресурс] / IBM Corporation – New York, 2016 – Режим доступа: World Wide Web. – URL: https://www.ibm.com/ru/services/iss/research.html


Повний текст: PDF

Посилання

  • Поки немає зовнішніх посилань.


ISSN 2410-7840 (Online), ISSN 2221-5212 (Print)

Ліцензія Creative Commons
Цей твір ліцензовано за ліцензією Creative Commons Із зазначенням авторства - Некомерційна - Без похідних творів 3.0 Неадаптована

РИНЦ SSM WorldCat BASE Національна бібліотека ім. Вернадського Науково-технічна бібліотека НАУ Ulrich's Periodicals Directory

Ulrich's Periodicals Directory