The risk assessment method of information security based on open databases vulnerabilities
DOI:
https://doi.org/10.18372/2225-5036.22.10716Keywords:
risk, risk assessment, risk assessment system, risk parameters, fuzzy variable, fuzzy numbers, conversion of fuzzy numbers standards, the method of risk assessment, open database vulnerabilitiesAbstract
The basis of information security management system (ISMS) is the processes of analysis and risk assessment. The known methods of analysis and risk assessment based on expert assessments are applied for their implementation. Often in the process of assessment there are situations when the expert cannot always clearly determine a particular vulnerability of Information Systems Resources (ISR). Also at practical use of such systems there is a need for rapid risk assessment and monitoring (real-time) without the involvement of experts. Therefore, it is advisable to use the corresponding database vulnerabilities. The existing approaches do not solve the task effectively. For this purpose, the risk assessment method based on open databases vulnerabilities is offered. It, in contrast to the known methods, through the use of assessments that are available in existing databases, automates the process of risk assessment not involving the experts for this related subject area.References
Банк данных угроз безопасности информации [Электронный ресурс] / Федеральной службой по техническому и экспортному контролю Рос-
сии – М., 2016 – Режим доступа: World Wide Web. – URL: http://bdu.fstec.ru/
Казмирчук С.В. Интегрированный метод анализа и оценивания рисков информационной безопасности / С.В. Казмирчук, А.Ю. Гололобов //
Защита информации – 2014. – №3. – С. 252-261.
Корченко А.А. Система формирования нечетких эталонов сетевых параметров / А.А. Корченко // Захист інформації. – 2013. – №3, Т.15. – С. 240- 246.
Корченко А.А. Метод формирования лингвистических эталонов для систем выявления вторжений / А.А. Корченко // Захист інформації. –
– №1. Т.16. – С. 5-12.
Корченко А.Г. Анализ и оценивание рисков информационной безопасности / А.Г. Корченко, А.Е. Архипов, С.В. Казмирчук // Монография. – К.: ООО «Лазурит-Полиграф», 2013. – 275 с.
Корченко А.Г. Качественно-количественный метод оценивания рисков информационной безопасности / А.Г. Корченко, С.В. Казмирчук // Защита информации – 2016. – Том 18 №2, квітень-червень. –
С. 157-170.
Корченко А.Г. Метод n-кратного инкрементирования числа термов лингвистических переменных в задачах анализа и оценивания рисков /
А.Г. Корченко, Б.С. Ахметов, С.В. Казмирчук, М.Н. Жекамбаева // Безпека інформації. – 2015. – Т.21. – №2. – С. 191-200.
Корченко А.Г. Метод n-кратного понижения числа термов лингвистических переменных в задачах анализа и оценивания рисков /
А.Г. Корченко, Б.С. Ахметов, С.В. Казмирчук, А.Ю. Гололобов, Н.А. Сейлова // Защита информации – 2014. – Том 16 №4 (65), жовтень-грудень. – С. 284-291.
Корченко А.Г. Метод преобразования ин-тервалов в нечеткие числа для систем анализа и оце-нивания рисков / А.Г. Корченко, С.В. Казмирчук // Правовое, нормативное и метрологическое обеспе-чение системы защиты информации в Украине – 2016. – № 1(31). – С. 57-64.
Корченко А.Г. Построение систем защиты информации на нечетких множествах. Теория и практические решения / А.Г. Корченко – К. : «МК-Пресс», 2006. – 320с.
Порядок проведення робіт із створення комплексної системи захисту інформації в інфор-маційно-телекомунікаційній системі [Текст] : НД ТЗІ 3.7-003 – 2005. Чин. 2005.11.08. – К. : ДСТСЗІ СБ України, 2005. – 12 с.
IBM X-Force Exchange [Electronic resource] / IBM Corporation – New York, 2016 – Access mode: World Wide Web. – URL: https:// ex-change.xforce.ibmcloud.com/vulnerabilities/109429.
Information technology. Security techniques. Information security management systems. Require-ments: ISO/IEC 27001:2013, International Organization
for Standardization (ISO) and the International Electro-technical Commission (IEC), 2013, 34 р.
Common Vulnerability Scoring System v3.0: Specification Document [Electronic resource] / Forum of Incident Response and Security Teams – Morrisville, 2016 – Access mode: World Wide Web. – URL: https://www.first.org/cvss/specification-document.
National Vulnerability Database [Electronic resource] / National Institute of Standards and Technol-ogy – Gaithersburg, 2016 – Access mode: World Wide Web. – URL: https:// nvd.nist.gov / home.cfm.
Open Sourced Vulnerability Database [Elec-tronic resource] / Open Security Foundation – Lafayette, 2016 – Access mode: World Wide Web. – URL: https:// http://osvdb.org/.
Vulnerabilities [Electronic resource] / Securi-tyFocus - Mountain View, 2016 - Access mode: World Wide Web. – URL: http:// www. securityfocus.com /.
Vulnerability Notes Database [Electronic re-source] / United States Computer Emergency Readiness Team Murray Lane, 2016 Access mode: World Wide Web. – URL: https:// www. kb.cert.org /vuls/#.
