На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера
№ 4 июль-август 2011 г.
Тема номера:
ТЕХНОЛОГИИ ЗАЩИТЫ ОТ ВРЕДОНОСНЫХ ПРОГРАММ
Методы оценивания уязвимостей:
использование для анализа защищенности компьютерных систем

И. В. Котенко, д. т. н., профессор,
заведующий научно-исследовательской лабораторией проблем компьютерной безопасности
Е. В. Дойникова, аспирант
СПИИРАН
Предыдущая статьяСледующая статья

В статье рассматриваются существующие методы оценки уязвимостей, их роль в процессе оценивания рисков безопасности и способы применения. Выделяются три группы методов оценки уязвимостей: использование нескольких категорий уязвимостей (или качественное ранжирование), количественное ранжирование, применение комплексных показателей оценки уязвимостей. Анализируются особенности различных методов, их недостатки и ограничения.
 

1. Введение

Определение уязвимостей и рисков безопасности информационных технологий остается одной из актуальных задач для современных компаний и организаций. На сегодняшний день существует множество методов и инструментальных средств управления уязвимостями и рисками. Тем не менее востребованной остается проблема эффективной оценки или приоритезации уязвимостей.

Возможность обоснованно и объективно оценивать уязвимые состояния компонентов информационных систем позволяет лучше представлять инфраструктуру защищаемых систем и фокусироваться на тех компонентах инфраструктуры, для которых ограниченные ресурсы, выделяемые для защиты информации, могут быть наиболее эффективны для снижения общих бизнес-рисков. Адекватный и жизнеспособный показатель уязвимостей — необходимая основа для любой деятельности в области информационной безопасности.

Цель данной статьи — проанализировать существующие методы оценки уязвимостей, их достоинства и недостатки, а также способы их применения.

В статье выделяются три базовых группы методов оценки уязвимостей:

  • использование нескольких категорий уязвимостей или качественное ранжирование;
  • количественное ранжирование;
  • применение комплексных показателей оценки уязвимостей.

Для демонстрации сущности метода рассматриваются примеры реализованных методов и систем оценки уязвимостей, в частности: схема классификации уязвимостей NIPC, шкала анализа уязвимостей SANS, система оценки критичности уязвимостей Microsoft, система оценки уязвимостей по стандарту PCI DSS, системы US-CERT, CVSS и nCircle. Каждая из этих систем имеет свои преимущества, но все они отличаются по используемым рангам или показателям оценивания. Анализируются особенности методов оценки уязвимостей, их место в процессе оценивания рисков и практическое применение.

< ... >
 

 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»

Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        +7 (921) 958-25-50, +7 (911) 921-68-24

Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2024 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

   Rambler's Top100    Технологии разведки для бизнеса