МЕНЕДЖМЕНТ ВРАЗЛИВОСТЕЙ ЯК СКЛАДОВА ЧАСТИНА ПОЛІТИКИ БЕЗПЕКИ ІТС
DOI:
https://doi.org/10.26906/SUNZ.2020.4.055Ключові слова:
Менеджмент вразливостей, СУІБ, CVSS, ISO/IEC 27005, ISO/IEC 27035, ISO/IEC 35001, NVDАнотація
Предметом дослідження в статті є менеджмент вразливостей у складі системи управління інформаційною безпекою. Мета роботи – розгляд сучасних стандартів, нормативних документів, що встановлюють та регулюють процеси управління вразливостями та ризиками, що пов’язані з вразливостями. В статі здійснюється розгляд процесу інтеграції менеджменту вразливостей в системі управління інформаційною безпекою та його форми. Висновки: в сучасних системах управління інформаційною безпекою належним чином не враховуються вразливості та ризики, пов’язані з вразливостями, сучасна нормативна база України майже не регулює та не встановлює вимог для систем захисту інформації в області вразливостей. В даний час процеси керування та оцінювання ризиків покладено на адміністраторів, тому для ефективного менеджменту вразливостей необхідна чітка система правил і методик. Розробка такої системи являється перспективною задачею, а при процесі модернізації стандартів, вимог України через деякий час стане необхідністю. При додаванні якісної системи оцінки вразливостей така система буде чіткою, нормованою та слугуватиме вказівником щодо дій в конкретній ситуації
Завантаження
Посилання
Замула А.А., Северинов А.В., Корниенко М.А. Анализ моделей оценки рисков информационной безопасности для построения системы защиты информации //Наука і техніка Повітряних Сил Збройних Сил України. – 2014. – No. 2. – С. 133-138.
Cybersecurity Help s.r.o. [Електроний ресурс]:[Веб-сайт]-Режим доступу: https://www.cybersecurity-help.cz/.
National Vulnerability Database [Електроний ресурс]:[Веб-сайт]-Режим доступу: https://nvd.nist.gov/vuln/search/statistics?form_type=Advanced&results_type=statistics&search_type=all.
Кучук Н.Г., Гавриленко С.Ю., Лукова-Чуйко Н.В., Собчук В.В. Перерозподіл інформаційних потоків у гіперконвенгертній системі / С.Ю. Гавриленко. Сучасні інформаційні системи. 2019. Т.3, No2. С. 116-121. DOI: https://doi.org/10.20998/2522-9052.2019.2.20
Nechausov A., Mamusuĉ I., Kuchuk N. Synthesis of the air pollution level control system on the basis of hyperconvergent infrastructures. Сучасні інформаційні системи. 2017. Т. 1, No 2. С. 21-26. DOI: https://doi.org/10.20998/2522-9052.2017.2.04
Mozhaiev M., Kuchuk N., Usatenko M. (2019) The method of jitter determining in the telecommunication network of a computer system on a special software platform. Innovative technologies and scientific solutions for industries, 2019. Vol. 4 (10), pp. 134-140. doi: https://doi.org/10.30837/2522-9818.2019.10.134
Зиков І. С., Кучук Н. Г., Шматков С. І. Синтез архітектури комп'ютерної системи управління транзакціями e-learning. Сучасні інформаційні системи. 2018. Т. 2, No 3. С. 60–66. DOI: https://doi.org/10.20998/2522-9052.2018.3.10
Гахов Р.П. Моделирование трафика беспроводной сети передачи данных / Р. П. Гахов, Н. Г. Кучук// Научные ведомости БелГУ. – 2014. – No 1 (172). – Вып. 29(1). – С. 175-181.
Коваленко А. А., Кучук Г. А. Методи синтезу інформаційної та технічної структур системи управління об’єктом критичного застосування. Сучасні інформаційні системи. 2018. Т. 2, No 1. С. 22–27. DOI: https://doi.org/10.20998/2522-9052.2018.1.04
Кучук, Г.А. Розрахунок навантаження мультисервісної мережі [Текст] / Г.А. Кучук, Я.Ю. Стасєва, О.О. Болюбаш // Системи озброєння і військова техніка. – 2006. – No 4 (8). – С. 130 – 134.
Сєвєрінов О. В., Черниш В. І., Молчанова М. Є. Управління інформаційною безпекою згідно міжнародних стандартів //Системи управління, навігації та зв'язку.–Вип. – 2011. – Т. 4. – С. 250-253.
ISO/IEC 27035:2016. Information technology — Security techniques — Information security incident management, 2016.
ISO/IEC 27005 Information technology — Security techniques — Information security risk management, 2018.
ISO/IEC 27001 Information technology — Security techniques — Information security management systems — Requirements, 2013.
Tom Palmaers, Dennis Distler, Implementing a Vulnerability Management Process //SANS Institute Information Security Reading Room, 2013. - 24 с.
Про встановлення вимог з безпеки та захисту інформації до кваліфікованих надавачів електронних довірчих послуг та їхніх відокремлених пунктів реєстрації: затв. Адміністрацією Державної служби спеціального зв’язку та захисту інформації України від 14.05.2020 No269.