В наше время актуальной становится проблема управления уязвимостями информационной системы. Различные системы оценки уязвимостей, например CVSS, позволяют провести ранжирование уязвимостей на основании их уровней опасности. Возникает необходимость в определении целесообразности применения защитных мер и средств для устранения непропатченных уязвимостей. Для решения этой задачи предлагается использовать риск-ориентированный подход, который позволяет выбрать наиболее оптимальный способ для устранения обнаруженных уязвимостей. Риск предлагается оценивать как комбинацию вероятности нарушения критических свойств информационного актива и величины возникающего при этом ущерба. Для расчета вероятности нарушения конфиденциальности, целостности и доступности информационного актива предлагается использовать значения базовых и временных CVSS метрик уязвимостей информационной системы. Представленный метод позволяет определить вероятностную составляющую риска без привлечения экспертов, поэтому он может быть полезен при построении автоматизированной системы оценки рисков.
Nowadays the problem of information system vulnerability management has become an actual. There are different vulnerability scoring systems, e. g. CVSS, which allow to rank detected vulnerabilities based on their severity values. It is necessary to determinate the feasibility of additional countermeasures using for elimination of unpatched vulnerabilities. To solve this problem the risk-oriented approach is offered, which allows choose the best way for detected vulnerabilities eliminating. It is proposed to assess the risk as combination of the likelihood of information asset critical properties losing, and the impact caused by this. To calculate the probability of information asset confidentiality, integrity and availability losing, it is offered to use base and temporal CVSS metrics of information system vulnerabilities. The presented method allows determine the probability component of risk without expert involvement, thereby it can be useful to build an automated risk assessment system.
1. ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности.
2. ГОСТ Р ИСО/МЭК 50922-2006. Защита информации. Основные термины и определения.
3. Хакер : интернет-журнал [Электронный ресурс]. – URL: http://www.xakep.ru (дата обращения: 28.05.2014).
4. CVE database [Электронный ресурс]. – URL: http://cve.mitre.org (дата обращения: 22.04.2014).
5. Joh H. and Malaiya Y.K. A Framework for Software Security Risk Evaluation using the Vulnerability Lifecycle and CVSS Metrics, Proc. International Workshop on Risk and Trust in Extended Enterprises, November 2010, pp. 430-434.
6. Houmb S.H. and Franqueira V.N.L. Estimating ToE Risk Level Using CVSS, International Conference on Availability, Reliability and Security, 2009, pp.718-725.
7. Mell P., Scarfone K., Romanosky S. A Complete Guide to the Common Vulnerability Scoring System Version 2.0, 2007 – 23 c.
8. NIST 800-37 Guide for Applying the Risk Management Framework to Federal Information Systems, 2011.