Система оцінювання ризиків інформаційної безпеки - «РИЗИК-КАЛЬКУЛЯТОР»
DOI:
https://doi.org/10.18372/2225-5036.23.11824Ключові слова:
ризик, оцінювання ризиків, оцінювання ризиків інформаційної безпеки, система оцінювання ризиків, ризик-калькулятор, характеристики ризику, безпека ресурсів інформаційних систем, CVSS метрикиАнотація
В забезпеченні надійності процесів обробки інформації та досягненні необхідного рівня інформаційної безпеки особливе місце займає управління ризиками порушення базових характеристик безпеки ресурсів інформаційних систем, таких як конфіденційність, цілісність та доступність. На поточний момент для ефективного функціонування більшості існуючих систем оцінювання ризиків інформаційної безпеки потрібна підтримка експерта. Як наслідок, це підвищує вартість і час реалізації зазначеного процесу. Тому актуальною є розробка таких систем, які дозволять автоматизувати процес оцінювання ризиків інформаційної безпеки, наприклад, шляхом використання необхідних для роботи вхідних величин (наприклад, CVSS метрик) з відповідних баз даних. У зв'язку з цим запропоновано структурно-параметричну модель системи оцінюванні ризиків - «РИЗИК-КАЛЬКУЛЯТОР», яка за рахунок базових структурних компонент (підсистем формування первинних і вторинних даних) дозволяє мінімізувати участь експерта і максимально автоматизувати процес формування необхідних для оцінювання параметрів. На її основі розроблені базовий алгоритм і програмний засіб, який, на відміну від відомих, використовує в якості вхідних даних оціночні параметри у вигляді метрик CVSS. Це забезпечує високу гнучкість і зручність при оцінюванні ризиків безпекою ресурсів інформаційних систем в реальному часі без залучення експертів відповідної предметної області.Посилання
А. Корченко, Построение систем защиты информации на нечетких множествах. Теория и практические решения, К.: МК-Пресс, 2006, с.320.
«Порядок проведення робіт із створення комплексної системи захисту інформації в інфор-маційно-телекомунікаційній системі [Текст]», НД ТЗІ 3.7-003.2005, Чин. 2005.11.08, К., ДСТСЗІ СБ Укра-їни, 2005, с. 12.
«Information technology. Security tech-niques. Information security management systems. Requirements», ISO/IEC 27001:2013, International Or-ganization for Standardization (ISO) and the Interna-tional Electrotechnical Commission (IEC), 2013, р. 34.
«International standard Risk management. Principles and guidelines», ISO/FDIS 31000:2009(E), International Organization for Standardization, JISC, 2009, р. 24.
«Common Vulnerability Scoring System v3.0: User Guide» [Electronic resource], Forum of Inci-dent Response and Security Teams, Morrisville, 2016, [Online]. Access mode: http://www.first.org/cvss/us er-guide.
С. Казмирчук, А. Гололобов, А. Арджо-мандифард, «Синтез систем оценивания рисков безопасности ресурсов информационных систем», Вісник Інженерної академії наук, №3, c. 78-81. 2016.
А. Корченко, А. Архипов, С. Казмирчук, Анализ и оценивание рисков информационной безопасности. Монография, Киев: ООО «Лазурит-Полиграф», 2013, с. 275.
А. Корченко, С. Казмирчук, «Качествен-но-количественный метод оценивания рисков ин-формационной безопасности», Захист інформації, №2, c. 157-170, 2016.
А. Корченко, С. Казмирчук, «Метод оце-нивания рисков информационной безопасности на основе открытых баз данных уязвимостей», Безпека інформації, №2, c. 216-226, 2016.
А. Корченко, С. Казмирчук, Ю. Дрейс, А. Гололобов, «Бистабильная интегрированная кортежная модель характеристик риска», Защита информации, №4, c. 314-323, 2016.
А. Корченко, С. Казмирчук, «Метод пре-образования интервалов в нечеткие числа для си-стем анализа и оценивания рисков», Правовое, нор-мативное и метрологическое обеспечение системы за-щиты информации в Украине, № 1(31), c. 57-64, 2016.
А. Корченко, Б. Ахметов, С. Казмирчук, Н. Сейлова, А. Гололобов, «Метод n-кратного по-нижения числа термов лингвистических перемен-ных в задачах анализа и оценивания рисков», За-хист інформації, Т. 16, №. 4, c. 284-291, 2014.
А. Корченко, Б. Ахметов, С. Казмирчук, М. Жекамбаева, «Метод n-кратного инкрементиро-вания числа термов лингвистических переменных в задачах анализа и оценивания рисков», Безпека ін-формації, Т.21, №2, c. 191-200, 2015.
