Добірка наукової літератури з теми "Система оцінки вразливостей"

В роботі запропоновано методика оцінки порушень захищеності інформаційних ресурсів, що обробляються в інформаційно-телекомунікаційних системах (ІТС). Описано функції, які покладено на систему забезпечення безпеки в ІТС, як одного з елементів обробки інформаційних ресурсів. Вразливості складових частин ІТС призводять до порушення захищеності інформаційних ресурсів, що оброблюються в них, та відповідно сприяють реалізації множині загроз інформаційним ресурсам. Методика оцінки порушень захищеності інформаційних ресурсів розроблено на основі врахування множини вразливостей ІТС. Розглянуто множину загроз безпеці інформаційним ресурсам, типи атак які застосовуються на рівнях базової еталонної моделі взаємодії відкритих систем, також приклади проведення атак та варіанти впливу на ІТС, що надало представлення про можливості порушень при реалізації атак на інформаційні ресурси ІТС. До складу системи обробки інформаційних ресурсів зазвичай входить підсистема оцінки порушень захищеності. В основі побудови зазначеної підсистеми запропоновано взяти способи порушення стану захищеності інформаційних ресурсів, оцінки порушень захищеності інформаційних ресурсів від внутрішніх загроз та оцінки захищеності інформаційних ресурсів від зовнішніх загроз. Підсистема оцінки порушень захищеності інформаційних ресурсів враховує множину загроз та елементи ІТС. На основі проведеного аналізу множини загроз направлених на порушення рівня безпеки інформаційним ресурсам та елементам ІТС обробки інформаційних ресурсів було отримано аналітичні вирази для оцінки ймовірності реалізації порушень стану захищеності інформаційних ресурсів ІТС на рівнях базової еталонної моделі взаємодії відкритих систем. Застосування отриманої методики оцінки порушень захищеності дозволить розробити методи оцінки рівня порушень стану захищеності від загроз для встановлення ефективності функціонування підсистеми оцінки порушень захищеності в режимі реального часу, що підвищить загальний рівень інформаційної безпеки ІТС та інформаційних ресурсів, що в них оброблюються.

Ефективне функціонування системи оцінки ризиків і загроз є важливим елементом стратегічного планування та забезпечення формування розвинених ринкових відносин у кожній господарській системі з притаманній їй системі публічного управління. Зокрема, такі системи називаються національними, оскільки вони функціонують на макро-(державному) рівні, охоплюють процеси, які стосуються забезпечення суспільної безпеки, а також засновані на широкій міжвідомчій взаємодії і співпраці різних суб’єктів управлінських відносин. Застосування сучасних методів і технологій оцінювання ризиків і загроз у країнах з різним рівнем розвитку ринкових відносин, а також моделювання кризових ситуацій і розробка сценарних прогнозів дозволяють підвищити достовірність отриманих результатів, а також сформувати широку доказову базу для подальшого аналізу. Ці методи використовуються в країнах з різним рівнем розвитку ринкових відносин, зокрема в країнах Європи, Азії, Океанії тощо. Сучасному світу притаманні швидкі та непередбачувані зміни безпекового середовища, зокрема відомі ефективні європейські та азійські моделі. На нашу думку, саме вони потребують вивчення для подальшого визначення механізмів узгоджених дій для реагування на загрози різного характеру та походження, а також формування та реалізація відповідних заходів в Україні. Відмітимо, що національні системи оцінки ризиків і загроз можуть бути представлені на різних рівнях - як загальнодержавному, регіональному та міжрегіональному і місцевому рівнях. Катастрофічна ситуація в світі та окремих регіонів, обумовлена поширенням COVID-19 у на всіх континентах, актуалізує питання розбудови національних механізмів захисту, формування відповідного законодавства й організаційних заходів, підготовки відповідних фахівців, у т.ч. антикризового управління на всіх рівнях. У статті представлені окремі результати дослідження кращих світових практик у цій сфері в європейських і азійських країнах, зокрема національних систем оцінки ризиків і загроз Великої Британії, Нідерландів і Нової Зеландії. Подальші моделі будуть представлені в наступних статтях і наукових роботах. Системи європейських країн є найбільш комплексними та охоплюють практично повний цикл процесів оцінювання загроз, виявлення вразливостей і підготовки стратегічних рішень на різних рівнях. Приклад Нової Зеландії цікавий тим, що в цій країні Океанії принципи захисту та стійкого розвитку повністю імплементовані в систему забезпечення національної безпеки. Тому оцінювання загроз, моделювання кризових ситуацій і підвищення готовності до реагування на загрози, антикризове управління, відновлення - все це відбувається в рамках єдиного циклу. Саме ця країна цікавить сьогодні фахівців і дослідників в цій сфері. Організаційно національні системи оцінки ризиків і загроз зазначених країн представляють собою добре упорядковані формати широкої міжвідомчої взаємодії та співпраці з недержавними суб’єктами. Також ці системи знаходять оптимальний баланс між урядуванням і наукою.

В Державній прикордонній службі широко застосовуються автоматизовані робочі місця у складі Інтегрованої інформаційно-телекомунікаційної системи «Гарт». Високошвидкісні телекомунікаційні мережі забезпечують оперативний обмін інформацією між ними, що є як перевагою для користувача, так і джерелом небезпеки в аспекті вразливості, що несе за собою небезпеку для інформації, яка зберігається та передається з використанням мобільних пристроїв. В роботі проведено аналіз вразливостей сучасних мобільних пристроїв з використанням високошвидкісних мобільних мереж. Технологія мобільних пристроїв є повноцінним обчислювальним пристроєм, що підтримує більшу частину функціоналу традиційних електронно-обчислювальної машини(ЕОМ) за значно менших розмірів, що дозволяє обробляти інформацію віддалено й оперативно, скоротивши на цьому час і зусилля. Враховуючи що інформація, яка передається або зберігається при використанні мобільних автоматизованих робочих місць може містити інформацію різних рівнів конфіденціальності, а втрата може привести до негативних наслідків, проведено аналіз існуючих загроз інформаційній безпеці при використанні мобільних автоматизованих робочих місць та здійснено оцінку вразливостей та загроз інформації. Питання безпеки інформації останніми роками вивчали вітчизняні вчені такі як Платоненко А., Жованик М., Войтович О., Війтюк В. та інші. Платоненко А. у своїх дослідженнях доводить що використовуючи спеціалізоване програмно-апаратне забезпечення є можливість підвищити рівень захисту мереж від зловмисних дій, а правильне налаштування та відповідальне використання особистої техніки допоможе ефективно та безпечно використовувати можливості сучасних мобільних пристроїв. Необізнаність користувачів та адміністраторів мереж, що призводить до великої ймовірності перехоплення інформації вирішується навчанням правилам інформаційної безпеки. Ймовірність перехоплення інформації можна зменшити шляхом використання засобів захисту в повному обсязі, але проблема відсутності коректного налаштування може залишатись, через використання нестійких паролів [1]. В свою чергу Жованик М. стверджує що принципи побудови політики захис¬ту мобільних пристроїв «Bring Your Own Device» та «Mobile Device Management» (MDM) - «управлін¬ня мобільними пристроями» це прості та ефективні рішення, що стосуються питань безпеки інформаційних ресурсів в корпоративній мережі які орієнтова¬ні на специфіку управління пристроями співробіт¬ників в корпоративному середовищі та надають широкий набір можливостей по управлінню мобільними пристроя¬ми, що використовуються у корпоративній діяльнос¬ті [2].

У роботі визначено захищеність інформаційно-комунікаційної системи під якою ми вважатимемо її здатність забезпечувати цілісність, конфіденційність та доступність інформації, виявляти зловмисні втручання та не допускати їх впливу на інформацію. Наведено комерційні методики визначення рівня захищеності інформаційно-комунікаційної системи орієнтовані на реалізацію функцій, узгоджених з менеджментом та працівниками компанії, визначено позитивні аспекти такого підходу та недоліки. Проведено аналіз стандартів, що у свою чергу не дало вичерпної відповіді на питання побудови інформаційно-комунікаційної системи заданого рівня захищеності, оскільки положення стандартів дають можливість оцінити ризики кібербезпеки, а не захищеність. Ступінь ризику найчастіше оцінюється як низький, середній, високий чи критичний. За результатами огляду положень міжнародних стандартів інформаційної безпеки та нормативних документів України, що регламентують розробку та безпечне функціонування інформаційно-комунікаційних систем можемо констатувати факт, що питанню числового вимірювання рівня захищеності увага не приділяється. Враховуючи вектор загроз інформаційній безпеці та різноманіття засобів захисту корпоративної мережі здійснено огляд сучасних інструментів кібербезпеки, що існує на ринку, та встановлено, що користуються попитом багатофункціональні платформи, які поєднують кілька інструментів (антивірус, міжмережевий екран, сканер вразливостей тощо). Виявлено, що актуальним є питання вибору інструментарію захисту інформації в інформаційно-комунікаційній системі, враховуючи необхідні функції забезпечення безпеки та наявні ресурси підприємства.

В статті розроблені методичні елементи процедур динамічної інтеграції засобів забезпечення охорони та оборони військових аеродромів, в основі яких лежить поняття вразливість об'єктів і поняття динамічної інтеграції, пов'язане з динамічними характеристиками дій противника, що допускає адекватну реакцію системи захисту на ці дії шляхом управління структурою, характеристиками та параметрами єдиної системи. Розкрита проблема людського фактора та запропоновані рішення, які дозволять знизити її вплив на якість виконання заходів з охорони та оборони військових аеродромів. Розроблена кваліметрична модель оцінки вразливості аеродрому, де критеріями оцінки вразливості є якість та ризик. Показано, що процедура оцінювання в даному випадку засновується на моделі якості функціонування аеродрому.

Information security has been growing steadily in recent times. Every organization depends on information technology and information security of cyberphysical systems to successfully perform its work. This has become not just a condition for the stability of doing business, but the most important strategic factor for its future development, even in the current, very turbulent environment. Cyberphysical systems can contain a wide variety of entities, ranging from office networks, financial and personnel systems to highly specialized systems. The rapid development of cyber-physical systems has become due to the large number of cyberattacks, which have become one of the most powerful threats to the security of cyber-physical systems. Many studies have been conducted on the risk assessment method, and limited work has been published on quantifying the security risk of cyber-physical systems. In this paper, a technique for the risk assessing of the cyber-physical systems’ information security based on the vulnerabilities’ interconnect is proposed. Technique operates with two indicators to quantify the risk: the probability of attack success and the index of the consequences of the attack based on the graph of the vulnerability. The first indicator - the index of the probability of a successful attack is calculated taking into account the interdependencies between vulnerabilities, the second indicator when calculating the index of the consequences of the attack takes into account the impact on the physical area resulting from cyberattack. A quantitative experimental example showed whether a system risk and an optimal attack target are possible.

Використання безпілотних літальних апаратів під час виконання різнорідних завдань за призначенням вимагає розроблення додаткових механізмів захисту їх від впливу радіоелектронних перешкод, погодних умов та підвищення безпеки польотів в зоні виконання завдань. Одним з підходів зменшення вразливості безпілотного літального апарату є використання інерційних засобів навігації. Додатково до них можуть використовуватися методи обробки зображення, що отримуються підсистемою оптичного орієнтування, для оцінки параметрів руху та виробки управляючих впливів. У статті запропоновано метод навігації безпілотного літального апарату для оцінювання динамічних параметрів руху за даними, отриманими оптичною підсистемою. У даній роботі запропоновано адаптивний метод визначення параметрів вектору руху безпілотного літального апарату, що реалізує процедуру адаптивної зміни розміру і стратегію пошуку вектору руху, що залежить від структури блоку зображення та його властивостей. Проведено аналіз існуючих методів оцінки параметрів вектору руху на основі обробки оптичних даних. Проведено формальний опис оптичного потоку та визначено процедуру його отримання. Визначено склад алгоритмів для обробки оптичного потоку. Обґрунтовано вибір блокового алгоритму оцінки руху. Блокові алгоритми є вигідним компромісом по співвідношенню обчислювальної складності та необхідної точності знайдених векторів, що характеризують рух безпілотного літального апарату. Комбінування прийомів та алгоритмів різної категорії в рамках класу блокових методів дозволяє побудувати адаптивні алгоритми оцінки руху, що володіють заданими властивостями і можуть бути реалізовані апаратно. Розглянуті методи обробки зображення можуть застосовуватися як ще один додатковий засіб автономної корекції інерційних навігаційних систем в додаток до супутникових навігаційних систем. Такий підхід дозволяє ефективно протидіяти джерелам безпеки й протидії та підвищувати ефективність використання та зменшення економічних витрат на експлуатацію безпілотних літальних апаратів.

У статті здійснено дослідження історичних умов реалізації публічного управління у сфері захисту економіки України у період національно-визвольних процесів і українського державотворення 1917–1921 років. Проведена історична реконструкція особливостей публічного управління у сфері захисту української національної економіки та здійснена аналітична інтерпретація механізму державного впливу на стан її захищеності в умовах воєнної агресії проти України у досліджуваний період. Основними методами проведеного дослідження є історично-правовий, який дозволив виявити історичні закономірності формування інституціоналізації публічно-адміністративних механізмів на українських землях у досліджуваний період; метод моделювання, який надав можливість оцінити дієвість управлінських впливів урядів на систему захисту економіки, внутрішніх механізмів функціонування органів публічної влади щодо посилення економічної спроможності промисловості, аграрного сектору та торгівлі; системний метод, за допомогою якого здійснено дослідження комплексної проблеми формування системи механізмів публічного управління у сфері захисту економіки у часи національно-визвольних змагань 1917–1921 рр. Результатом дослідження став висновок про те, що всі чотири державні формування: Українська Народна Республіка (часів президентства М.С. Грушевського), Західноукраїнська Народна Республіка, Українська Держава (часів гетьмана П.П. Скоропадського), Українська Народна Республіка (часів Директорії С.В. Петлюри) здійснювали консолідацію у сфері економічної діяльності з метою її стабілізації. Проведений аналіз інструментів впливу надав можливість допустити, що головним вектором централізації була аграрна сфера, на яку спрямовувалися законодавчі ініціативи і спектр адміністративно-правових впливів. У результаті дослідження резюмовано, що недостатній рівень системності і контрольованості елементів публічного управління у сфері забезпечення захисту економіки України в умовах Національно-визвольних змагань 1917–1921 рр. призвів до вразливості економіки, що в умовах воєнної агресії призвело до руйнування економічних інституцій і державності загалом.

Метою доповіді є побудова системи оцінки вразливостей в ІТС та обробка ризику, що створюють дані вразливості. В доповіді наводяться основні принципи побудови системи оцінки вразливостей в ІТС, її структура, принципи впровадження та використання.

Когутенко, М. Є. Модель оцінки вразливостей бази даних підприємства : випускна кваліфікаційна робота : 125 "Кібербезпека" / М. Є. Когутенко ; керівник роботи М. А. Синенко ; НУ "Чернігівська політехніка", кафедра кібербезпеки та математичного моделювання . – Чернігів, 2021. – 55 с.
Мета роботи: розробка моделі оцінки вразливостей бази даних підприємства. Об’єкт дослідження: процес оцінки вразливостей бази даних підприємства щодо інформаційної безпеки. Предмет дослідження: модель оцінки вразливостей бази даних підприємства. Методи дослідження: дослідження теоретичної основи про різновиди баз даних, їх види та класифікації; аналіз проблем необхідності захисту баз даних; структуризація загроз безпеці інформації у базах даних; дослідження вразливостей безпеки баз даних; розгляд стандартів у сфері інформаційної безпеки; дослідження процесу управління вразливостями; аналіз засобів оцінки вразливостей. Результати та новизна: структуровано загрози безпеці інформації у базах даних; проаналізовано процес управління вразливостями та засоби оцінки вразливостей; структуровано процес оцінки вразливостей баз даних та розроблено структурно-логічну модель оцінки вразливостей баз даних. Галузь застосування: модель оцінки вразливостей бази даних підприємства може бути використана в організаціях чи структурах, які бажають оцінити вразливості бази даних.
Purpose: develop a model for assessing the vulnerabilities of the enterprise database Object of research: the process of assessing the vulnerabilities of the enterprise database to information security. Subject of research: model of vulnerability assessment of enterprise database. Research methods: research of the theoretical basis of the types of databases, their types and classifications; analysis of problems of the need to protect databases; structuring information security threats in databases; study of database security vulnerabilities; consideration of standards in the field of information security; study of the management process of the vulnerability; analysis of vulnerability assessment tools. Results and novelty: structured threats to information security in databases; the process of vulnerability management and means of vulnerability assessment are analyzed; structured a process for assessing database vulnerabilities, and develop a logical model for assessing database vulnerabilities. Field of the application: the enterprise database vulnerability assessment model can be used in organizations or entities that want to assess database vulnerabilities.

Запропоновано систему профілювання вразливостей при керуванні розумним будинком, яка на відмінну від відомих залучає враховує особливості архітектури розумного будинку та залучає методологію оцінки ризиків OCTAVE, із обрахунком відносної оцінки ризику, що дозволило розробити профілі загроз та вразливостей для підвищення стійкості проектованих систем розумних будинків.

Об’єктом дослідження є структурний синтез підсистем первинних перетворювачів. Предметом дослідження є методи структурного синтезу підсистем первинних перетворювачів. Метою даної роботи є удосконалення методу функціонування системи структурного синтезу підсистем первинних перетворювачів.