Дослідження баз даних уразливостей інформаційної безпеки

Автор(и)

  • Александр Григорьевич Корченко Національний авіаційний університет
  • Светлана Владимировна Казмирчук Національний авіаційний університет
  • Алиреза Арджомандифард Національний авіаційний університет
  • Татьяна Валерьевна Панивко Національний авіаційний університет

DOI:

https://doi.org/10.18372/2410-7840.18.10847

Ключові слова:

база даних уразливостей, оцінювання уразливостей, ресурси інформаційних систем, інформаційна безпека, аналіз баз даних уразливостей

Анотація

Існуючі загальнодоступні бази даних уразливостей зберігають в собі різні дані про відомі вразливості ресурсів інформаційних систем. Описи уразливостей містять як передумови, так і оцінки, що характеризують результат реалізації атак, які експлуатують ці уразливості. Часто перед фахівцями, які займаються дослідженням стану безпеки інформаційних систем, виникає питання про вибір відповідних баз даних. Ці бази, відповідно визначених критеріїв, можуть ефективно використовуватися для побудови різних систем оцінювання стану інформаційної безпеки, наприклад, систем оцінювання ризиків. У зв'язку з цим досліджено широкий спектр відповідних баз даних і визначені критерії, за якими можна здійснити їх порівняльний аналіз. Це дасть можливість підвищити ефективність вирішення завдань оцінювання стану безпеки ресурсів інформаційних систем.

Біографії авторів

Александр Григорьевич Корченко, Національний авіаційний університет

доктор технічних наук, професор, лауреат Державної премії України в галузі науки і техніки, завідувач кафедри безпеки інформаційних технологій Національного авіаційного університету, старший науковий співробітник Національної академії СБ України.

Светлана Владимировна Казмирчук, Національний авіаційний університет

кандидат технічних наук, доцент, доцент кафедри безпеки інформаційних технологій Національного авіаційного університету

Алиреза Арджомандифард, Національний авіаційний університет

аспірант кафедри безпеки інформаційних технологій Національного авіаційного університету

Татьяна Валерьевна Панивко, Національний авіаційний університет

аспірант кафедри безпеки інформаційних технологій Національного авіаційного університету

Посилання

Банк данных угроз безопасности информации [Электронный ресурс] / Федеральной службой по техническому и экспортному контролю России – Москва, 2016 – Режим доступа: World Wide Web. – URL: http://bdu.fstec.ru/.

Белобородов А.Ю. Применение баз данных уязвимостей в задачах исследования безопасности про-граммных средств / А.Ю. Белобородов, А.В. Горбенко // Вісник Харківського національного технічного університету сільського господарства імені Петра Василенка. – 2015. – Вип. 165. – С. 83-85.

Компания Positive Technologies: Оценка уязвимостей CVSS 3.0 [Электронный ресурс] / HABRAHABR Сообщество IT-специалистов – Москва, 2016 – Режим доступа: World Wide Web. – URL: https://habrahabr.ru/ company/ pt/blog / 266485/.

Малюк А.А. Один из подходов к оценке рисков информационной безопасности в облачных средах / А.А. Малюк, А.В. Царегородцев, Е.В. Макаренко // Безопасность информационных технологий. – 2014. – № 4. – С. 68-74.

Порядок проведення робіт із створення комплек-сної системи захисту інформації в інформаційно-телекомунікаційній системі, НД ТЗІ 3.7-003-05, Державна служба спеціального зв'язку та захисту інформації України, 2005, 11 с.

Урзов А.Ю. Модель защищенной информаци-онной системы на основе автоматизации процессов управления и мониторинга угроз безопасности / А.Ю. Урзов, С.К. Варлатая // Доклады ТУСУРа. – 2013. – № 2 (28). – С. 142-146.

Федорченко А.В. Исследование открытых баз уязвимостей и оценка возможности их применения в системах анализа защищенности компьютерных сетей / А. В. Федорченко, А. А. Чечулин, И.В. Котенко // Информационно-управляющие системы. – 2014. - №5 (72). – С. 72-79.

Федорченко А.В. Построение интегрированной базы уязвимостей / А.В. Федорченко, А.А. Чечулин, И.В. Котенко // Известия высших учебных заведений. Приборостроение. 2014. – Т.57. – №11. – С. 62-67.

Харченко В.С. Формирование подмножеств уязвимостей доступности коммерческих Веб-сервисов / В.С. Харченко, Алаа Мохаммед Абдул-Хади, Ю.Л. Поночовный // Системи обробки інформації. – 2013. – випуск 7 (114). – C. 112-115.

A Complete Guide to the Common Vulnerability Scoring System. Version 2.0 [Electronic resource] / Forum of Incident Response and Security Teams – Morrisville, 2016 – Access mode: World Wide Web. – URL: http://www.first.org/cvss/v2/guide.

Common Vulnerability Scoring System v3.0: User Guide [Electronic resource] / Forum of Incident Response and Security Teams – Morrisville, 2016 – Access mode: World Wide Web. – URL: http://www.first.org/cvss/user-guide.

CWE™ International in scope and free for public use [Electronic resource] / MITRE – Bedford, 2016 – Access mode: World Wide Web. – URL: http://cwe.mitre.org/index.html.

IBM X-Force Exchange [Electronic resource] / IBM Corporation – New York, 2016 – Access mode: World Wide Web. – URL: https:// exchange. xforce. ibmcloud.com/ vulnerabilities/109429.

Information technology. Security techniques. Information security management systems. Requirements: ISO/IEC 27001:2013, International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC), 2013, 34 р.

National Vulnerability Database [Electronic re-source] / National Institute of Standards and Technology – Gaithersburg, 2016 – Access mode: World Wide Web. – URL: https://nvd.nist.gov/home.cfm.

Open Sourced Vulnerability Database [Electronic resource] / Open Security Foundation – Lafayette, 2016 – Access mode: World Wide Web. – URL: https:// http://osvdb.org/

Security and Privacy Controls for Federal Information Systems and Organizations [Rebecca M. Blank, Pat-rick D. Gallagher] : National Institute of Standards and Technology Special Publication 800-53r4 – Falls Church : Natl. Inst. Stand. Technol, 2013. – 462 p.

Vulnerabilities [Electronic resource] / SecurityFocus - Mountain View, 2016 - Access mode: World Wide Web. – URL: http://www.securityfocus.com/-53r4 – Falls Church : Natl. Inst. Stand. Technol, 2013. – 462 p.

Vulnerability Notes Database [Electronic resource] / United States Computer Emergency Readiness Team - Murray Lane, 2016 - Access mode: World Wide Web. – URL: https://www.kb.cert.org/vuls/#

X-Force – команда исследователей и разработчиков IBM Internet Security Systems (ISS) [Электрон-ный ресурс] / IBM Corporation – New York, 2016 – Режим доступа: World Wide Web. – URL: https://www.ibm.com/ru/services/iss/research.html

##submission.downloads##

Опубліковано

2016-09-26

Номер

Том 18 № 3 (2016)

Розділ

Статті

Ліцензія

Автори, які публікуються у цьому журналі, погоджуються з наступними умовами:

  1. Автори залишають за собою право на авторство своєї роботи та передають журналу право першої публікації цієї роботи на умовах ліцензії Creative Commons Attribution License, котра дозволяє іншим особам вільно розповсюджувати опубліковану роботу з обов'язковим посиланням на авторів оригінальної роботи та першу публікацію роботи у цьому журналі.

  2. Автори мають право укладати самостійні додаткові угоди щодо неексклюзивного розповсюдження роботи у тому вигляді, в якому вона була опублікована цим журналом (наприклад, розміщувати роботу в електронному сховищі установи або публікувати у складі монографії), за умови збереження посилання на першу публікацію роботи у цьому журналі.

  3. Політика журналу дозволяє і заохочує розміщення авторами в мережі Інтернет (наприклад, у сховищах установ або на особистих веб-сайтах) рукопису роботи, як до подання цього рукопису до редакції, так і під час його редакційного опрацювання, оскільки це сприяє виникненню продуктивної наукової дискусії та позитивно позначається на оперативності та динаміці цитування опублікованої роботи (див. The Effect of Open Access).