Метод оцінювання ризиків інформаційної безпеки на основі відкритих баз даних уразливостей
DOI:
https://doi.org/10.18372/2225-5036.22.10716Ключові слова:
ризик, оцінювання ризиків, система оцінювання ризиків, параметри ризику, нечітка змінна, нечіткі числа, перетворення еталонів нечітких чисел, метод оцінювання ризиків, відкриті база даних уразливостейАнотація
В основу побудови різних систем захисту інформації покладено процес оцінювання ризиків. Для його реалізації застосовуються відомі методи аналізу та оцінювання ризиків, засновані на експертних оцінках. Часто в процесі оцінювання доводиться стикатися з ситуаціями, при яких виникають труднощі з залученням експертів або вони не завжди чітко можуть оцінити ту чи іншу вразливість ресурсів інформаційних систем. Також при практичному використанні таких систем виникає необхідність оперативного оцінювання та моніторингу (в реальному часі) ризиків без залучення експертів. У зв'язку з цим доцільно використовувати відповідні бази даних уразливостей. Відомі підходи поки не дозволяють ефекти-вно вирішувати поставлені завдання. Для цього пропонується метод оцінювання ризиків на основі відкритих баз даних уразливостей. Він, на відміну від відомих методів, шляхом використання оцінок, які надаються в існуючих базах даних, дозволяє автоматизувати процес оцінювання ризиків без залучення експертів відповідної предметної області.Посилання
Банк данных угроз безопасности информации [Электронный ресурс] / Федеральной службой по техническому и экспортному контролю Рос-
сии – М., 2016 – Режим доступа: World Wide Web. – URL: http://bdu.fstec.ru/
Казмирчук С.В. Интегрированный метод анализа и оценивания рисков информационной безопасности / С.В. Казмирчук, А.Ю. Гололобов //
Защита информации – 2014. – №3. – С. 252-261.
Корченко А.А. Система формирования нечетких эталонов сетевых параметров / А.А. Корченко // Захист інформації. – 2013. – №3, Т.15. – С. 240- 246.
Корченко А.А. Метод формирования лингвистических эталонов для систем выявления вторжений / А.А. Корченко // Захист інформації. –
– №1. Т.16. – С. 5-12.
Корченко А.Г. Анализ и оценивание рисков информационной безопасности / А.Г. Корченко, А.Е. Архипов, С.В. Казмирчук // Монография. – К.: ООО «Лазурит-Полиграф», 2013. – 275 с.
Корченко А.Г. Качественно-количественный метод оценивания рисков информационной безопасности / А.Г. Корченко, С.В. Казмирчук // Защита информации – 2016. – Том 18 №2, квітень-червень. –
С. 157-170.
Корченко А.Г. Метод n-кратного инкрементирования числа термов лингвистических переменных в задачах анализа и оценивания рисков /
А.Г. Корченко, Б.С. Ахметов, С.В. Казмирчук, М.Н. Жекамбаева // Безпека інформації. – 2015. – Т.21. – №2. – С. 191-200.
Корченко А.Г. Метод n-кратного понижения числа термов лингвистических переменных в задачах анализа и оценивания рисков /
А.Г. Корченко, Б.С. Ахметов, С.В. Казмирчук, А.Ю. Гололобов, Н.А. Сейлова // Защита информации – 2014. – Том 16 №4 (65), жовтень-грудень. – С. 284-291.
Корченко А.Г. Метод преобразования ин-тервалов в нечеткие числа для систем анализа и оце-нивания рисков / А.Г. Корченко, С.В. Казмирчук // Правовое, нормативное и метрологическое обеспе-чение системы защиты информации в Украине – 2016. – № 1(31). – С. 57-64.
Корченко А.Г. Построение систем защиты информации на нечетких множествах. Теория и практические решения / А.Г. Корченко – К. : «МК-Пресс», 2006. – 320с.
Порядок проведення робіт із створення комплексної системи захисту інформації в інфор-маційно-телекомунікаційній системі [Текст] : НД ТЗІ 3.7-003 – 2005. Чин. 2005.11.08. – К. : ДСТСЗІ СБ України, 2005. – 12 с.
IBM X-Force Exchange [Electronic resource] / IBM Corporation – New York, 2016 – Access mode: World Wide Web. – URL: https:// ex-change.xforce.ibmcloud.com/vulnerabilities/109429.
Information technology. Security techniques. Information security management systems. Require-ments: ISO/IEC 27001:2013, International Organization
for Standardization (ISO) and the International Electro-technical Commission (IEC), 2013, 34 р.
Common Vulnerability Scoring System v3.0: Specification Document [Electronic resource] / Forum of Incident Response and Security Teams – Morrisville, 2016 – Access mode: World Wide Web. – URL: https://www.first.org/cvss/specification-document.
National Vulnerability Database [Electronic resource] / National Institute of Standards and Technol-ogy – Gaithersburg, 2016 – Access mode: World Wide Web. – URL: https:// nvd.nist.gov / home.cfm.
Open Sourced Vulnerability Database [Elec-tronic resource] / Open Security Foundation – Lafayette, 2016 – Access mode: World Wide Web. – URL: https:// http://osvdb.org/.
Vulnerabilities [Electronic resource] / Securi-tyFocus - Mountain View, 2016 - Access mode: World Wide Web. – URL: http:// www. securityfocus.com /.
Vulnerability Notes Database [Electronic re-source] / United States Computer Emergency Readiness Team Murray Lane, 2016 Access mode: World Wide Web. – URL: https:// www. kb.cert.org /vuls/#.
