The risk assessment method of information security based on open databases vulnerabilities

Authors

  • Александр Григорьевич Корченко Национальный авиационный университет
  • Светлана Владимировна Казмирчук Национальный авиационный университет,

DOI:

https://doi.org/10.18372/2225-5036.22.10716

Keywords:

risk, risk assessment, risk assessment system, risk parameters, fuzzy variable, fuzzy numbers, conversion of fuzzy numbers standards, the method of risk assessment, open database vulnerabilities

Abstract

The basis of information security management system (ISMS) is the processes of analysis and risk assessment. The known methods of analysis and risk assessment based on expert assessments are applied for their implementation. Often in the process of assessment there are situations when the expert cannot always clearly determine a particular vulnerability of Information Systems Resources (ISR). Also at practical use of such systems there is a need for rapid risk assessment and monitoring (real-time) without the involvement of experts. Therefore, it is advisable to use the corresponding database vulnerabilities. The existing approaches do not solve the task effectively. For this purpose, the risk assessment method based on open databases vulnerabilities is offered. It, in contrast to the known methods, through the use of assessments that are available in existing databases, automates the process of risk assessment not involving the experts for this related subject area.

Author Biographies

Александр Григорьевич Корченко, Национальный авиационный университет

Год и место рождения: 1961 год, г. Киев, Украина.
Образование: Киевский институт инженеров гражданской авиации (с 2000 года -
Национальный авиационный университет), 1983 год.
Должность: заведующий кафедрой безопасности информационных технологий, НАУ, Визит-профессор, Университет в Бельско-Бялой (г. Бельско-Бяла, Польша) .
Научные интересы: информационная и авиационная безопасность.
Публикации: более 300 научных публикаций, среди которых монографии, словари,
учебники, учебные пособия, научные статьи и патенты на изобретения.

Светлана Владимировна Казмирчук, Национальный авиационный университет,

Год и место рождения: 1985 год, г. Алматы, Республика Казахстан.
Образование: Национальный авиационный университет, 2006 год.
Должность: доцент кафедры безопасности информационных технологий с 2012 года.
Научные интересы: информационная безопасность, системы менеджмента
информационной безопасности, защита программного обеспечения, комплексные
системы защиты информации, управления информационными рисками.
Публикации: более 60 научных публикаций, среди которых монографии, учебные пособия, учебно-методические комплексы дисциплин, научные статьи и материалы и тезисы
докладов на конференциях.

References

Банк данных угроз безопасности информации [Электронный ресурс] / Федеральной службой по техническому и экспортному контролю Рос-

сии – М., 2016 – Режим доступа: World Wide Web. – URL: http://bdu.fstec.ru/

Казмирчук С.В. Интегрированный метод анализа и оценивания рисков информационной безопасности / С.В. Казмирчук, А.Ю. Гололобов //

Защита информации – 2014. – №3. – С. 252-261.

Корченко А.А. Система формирования нечетких эталонов сетевых параметров / А.А. Корченко // Захист інформації. – 2013. – №3, Т.15. – С. 240- 246.

Корченко А.А. Метод формирования лингвистических эталонов для систем выявления вторжений / А.А. Корченко // Захист інформації. –

– №1. Т.16. – С. 5-12.

Корченко А.Г. Анализ и оценивание рисков информационной безопасности / А.Г. Корченко, А.Е. Архипов, С.В. Казмирчук // Монография. – К.: ООО «Лазурит-Полиграф», 2013. – 275 с.

Корченко А.Г. Качественно-количественный метод оценивания рисков информационной безопасности / А.Г. Корченко, С.В. Казмирчук // Защита информации – 2016. – Том 18 №2, квітень-червень. –

С. 157-170.

Корченко А.Г. Метод n-кратного инкрементирования числа термов лингвистических переменных в задачах анализа и оценивания рисков /

А.Г. Корченко, Б.С. Ахметов, С.В. Казмирчук, М.Н. Жекамбаева // Безпека інформації. – 2015. – Т.21. – №2. – С. 191-200.

Корченко А.Г. Метод n-кратного понижения числа термов лингвистических переменных в задачах анализа и оценивания рисков /

А.Г. Корченко, Б.С. Ахметов, С.В. Казмирчук, А.Ю. Гололобов, Н.А. Сейлова // Защита информации – 2014. – Том 16 №4 (65), жовтень-грудень. – С. 284-291.

Корченко А.Г. Метод преобразования ин-тервалов в нечеткие числа для систем анализа и оце-нивания рисков / А.Г. Корченко, С.В. Казмирчук // Правовое, нормативное и метрологическое обеспе-чение системы защиты информации в Украине – 2016. – № 1(31). – С. 57-64.

Корченко А.Г. Построение систем защиты информации на нечетких множествах. Теория и практические решения / А.Г. Корченко – К. : «МК-Пресс», 2006. – 320с.

Порядок проведення робіт із створення комплексної системи захисту інформації в інфор-маційно-телекомунікаційній системі [Текст] : НД ТЗІ 3.7-003 – 2005. Чин. 2005.11.08. – К. : ДСТСЗІ СБ України, 2005. – 12 с.

IBM X-Force Exchange [Electronic resource] / IBM Corporation – New York, 2016 – Access mode: World Wide Web. – URL: https:// ex-change.xforce.ibmcloud.com/vulnerabilities/109429.

Information technology. Security techniques. Information security management systems. Require-ments: ISO/IEC 27001:2013, International Organization

for Standardization (ISO) and the International Electro-technical Commission (IEC), 2013, 34 р.

Common Vulnerability Scoring System v3.0: Specification Document [Electronic resource] / Forum of Incident Response and Security Teams – Morrisville, 2016 – Access mode: World Wide Web. – URL: https://www.first.org/cvss/specification-document.

National Vulnerability Database [Electronic resource] / National Institute of Standards and Technol-ogy – Gaithersburg, 2016 – Access mode: World Wide Web. – URL: https:// nvd.nist.gov / home.cfm.

Open Sourced Vulnerability Database [Elec-tronic resource] / Open Security Foundation – Lafayette, 2016 – Access mode: World Wide Web. – URL: https:// http://osvdb.org/.

Vulnerabilities [Electronic resource] / Securi-tyFocus - Mountain View, 2016 - Access mode: World Wide Web. – URL: http:// www. securityfocus.com /.

Vulnerability Notes Database [Electronic re-source] / United States Computer Emergency Readiness Team Murray Lane, 2016 Access mode: World Wide Web. – URL: https:// www. kb.cert.org /vuls/#.

Published

2016-07-07

Issue

Section

Information Security Management