Vulnerability management using a formalized description

Authors

  • V.O. Poddubnyi Харківський національний університет радіоелектроніки, Ukraine
  • O.V. Severinov Харківський національний університет радіоелектроніки, Ukraine https://orcid.org/0000-0002-6327-6405

DOI:

https://doi.org/10.30837/rt.2020.4.203.11

Keywords:

vulnerabilities, vulnerability management system, ISMS, formalized description of ITS, qualitative assessment of vulnerabilities, NVD, CVSS

Abstract

The article considers the main stages of vulnerability management and the problems arising in risk assessment and decision making during vulnerability management in the information and telecommunications system. It is assumed that modern techniques are not sufficient for effective vulnerability management. There is a need for creating a risk assessment system to improve decision-making procedures. The comparison of the formalized and informal description of the information and telecommunication system is described. The conclusion from the comparison results is that the formalized description has a number of advantages, so it is necessary that it should be built based on a formalized description of the information and telecommunication system. When adding qualitative vulnerability assessments (such as Common Vulnerability Scoring System vulnerabilities), this system will be unambiguous, clear, flexible, and easy to use. An additional advantage of such a system is the ability to automate assessment and decision-making processes, which will eliminate human influence and minimize the subjective factor in the management of vulnerabilities in the information and telecommunications system. Such a system will not exclude the influence of the security administrator, but will help him in decision-making, risk assessment, reduce the likelihood of errors, will help new staff in choosing decisions.

References

Tom Palmaers, Dennis Distler, Implementing a Vulnerability Management Process // SANS Institute Information Security Reading Room, 2013. 24 с.

ISO/IEC 27035:2016. Information technology – Security techniques – Information security incident management, 2016. (Міжнародний стандарт)

Про прийняття національних стандартів, про прийняття поправок до національних стандартів: затв. Національним Органом Стандартизації від 10 грудня 2018 р. №470

ISO/IEC 27005 Information technology – Security techniques – Information security risk management, 2018. (Міжнародний стандарт)

ISO/IEC 27001 Information technology – Security techniques – Information security management systems – Requirements, 2013. (Міжнародний стандарт)

Сєвєрінов О. В., Черниш В. І., Молчанова М. Є. Управління інформаційною безпекою згідно міжнародних стандартів // Системи управління, навігації та зв'язку. Вип. 2011. Т. 4. С. 250-253.

НД ТЗІ 2.5-004-99. Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу. Київ : Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України, 1999. 61с.

Common Vulnerability Scoring System version 3.1: Specification Document [Електронний ресурс] Режим доступу: https://www.first.org/cvss/specification-document

National Vulnerability Database [Електронний ресурс] Режим доступу: https://nvd.nist.gov

Замула А. А., Северинов А. В., Корниенко М. А. Анализ моделей оценки рисков информационной безопасности для построения системы защиты информации // Наука і техніка Повітряних Сил Збройних Сил України. 2014. №. 2. С. 133-138.

Published

2020-12-23

How to Cite

Poddubnyi, V., & Severinov, O. (2020). Vulnerability management using a formalized description. Radiotekhnika, 4(203), 121–125. https://doi.org/10.30837/rt.2020.4.203.11

Issue

Section

Articles