Система оценивания рисков информационной безопасности - "Риск-калькулятор"

Abstract

В обеспечении надежности процессов обработки информации и достижении требуемого уровня информационной безопасности особое место занимает управление рисками нарушения базовых характеристик безопасности ресурсов информационных систем, таких как конфиденциальность, целостность и доступность. На текущий момент для эффективного функционирования большинства существующих систем оценивания рисков информационной безопасности требуется поддержка эксперта. Как следствие, это повышает стоимость и время реализации указанного процесса. Поэтому актуальным является разработка таких систем, которые позволят автоматизировать процесс оценивания рисков информационной безопасности, например, путем использования необходимых для работы входных величин (например, CVSS метрик) из соответствующих баз данных. В связи с этим, предложена структурно-параметрическая модель системы оценивании рисков – «РИСК-КАЛЬКУЛЯТОР», которая, за счет базовых структурных компонент (подсистем формирования первичных и вторичных данных), позволяет минимизировать участие эксперта и максимально автоматизировать процесс формирования необходимых для оценивания параметров. На ее основе разработаны базовый алгоритм и программное средство, которое, в отличие от известных, использует в качестве входных данных оценочные параметры в виде метрик CVSS. Это обеспечивает высокую гибкость и удобство при оценивании рисков безопасностью ресурсов информационных систем в реальном времени без привлечения экспертов соответствующей предметной области.