• СЕРИЯ УНИВЕРСИТЕТСКИХ МОДУЛЕЙ: КИБЕРПРЕСТУПНОСТЬ

  • Модуль 9: Кибербезопасность и предупреждение киберпреступности: практические методы и меры

  • Введение   Результаты обучения

  • Основные вопросы

    • Активы, уязвимости и угрозы 
    • Риск
    • Раскрытие информации об уязвимостях
    • Меры обеспечения кибербезопасности и удобство использования
    • Ситуационное предупреждение преступности
    • Обнаружение инцидентов, реагирование на них, восстановление и обеспечение готовности
    • Заключение
    • Список использованной литературы
  • Упражнения

  • Возможная структура занятия

  • Список основной литературы

  • Список дополнительной литературы

  • Оценка учащихся

  • Дополнительные   средства   обучения

  • First published in April 2019 
  •  
 
  This module is a resource for lecturers  

 

Раскрытие информации об уязвимостях

 

Термины «информационная безопасность» и «кибербезопасность» используются взаимозаменяемо, хотя это не вполне правильно (von Solms and van Niekerk, 2013). Несмотря на отсутствие согласованного определения понятия информационной безопасности, широко используется определение, включенное в стандарт ISO/IEC 27002. В стандарте ISO/IEC 27002 информационная безопасность определяется как «сохранение конфиденциальности, целостности и доступности информации». Как и в случае информационной безопасности, не существует универсального определения понятия кибербезопасности. Согласно Международному союзу электросвязи (МСЭ), «[к]ибербезопасность состоит в стремлении обеспечить достижение и сохранение свойств безопасности у ресурсов организации или пользователя, направленных против соответствующих угроз безопасности в киберсреде» (ITU-T X.1205). Таким образом, кибербезопасность подразумевает защиту не только киберпространства, «но и… тех… [кто] функционирует в киберпространстве, и любые их ресурсы, которые могут быть доступны через киберпространство» (von Solms and van Niekerk, 2013, p. 101).

Знаете ли вы?

Стандарт ISO/IEC 27002 включает в себя 14 областей контроля информационной безопасности, а также руководство по реализации мер контроля информационной безопасности и требования для каждой из этих мер контроля. Этими областями являются: политика информационной безопасности; организация информационной безопасности; безопасность персонала; управление активами; контроль доступа; криптография; физическая безопасность и защита от природных угроз; безопасность производственной деятельности; безопасность обмена информацией; приобретение, разработка и обслуживание систем; отношения с поставщиками; управление инцидентами информационной безопасности; аспекты информационной безопасности в менеджменте непрерывности бизнеса; и соответствие.

Хотите знать больше? 

Для получения дополнительной информации об этих мерах контроля см.: https://www.iso.org/obp/ui/#iso:std:iso-iec:27002:ed-1:en.   

Информационная безопасность и кибербезопасность зависят от раскрытия информации об уязвимостях. Когда уязвимости обнаруживаются исследователями и специалистами в данной области, раскрытие информации о таких уязвимостях может быть либо полным, либо ответственным (Trull, 2015). Полное раскрытие предполагает обнародование информации об уязвимостях программного или аппаратного обеспечения в Интернете (например, на веб-сайте) до того, как эти уязвимости будут устранены (Trull, 2015). Напротив, ответственное раскрытие подразумевает нераскрытие информации об уязвимости до тех пор, пока организация, ответственная за аппаратное или программное обеспечение, не устранит уязвимость (Trull, 2015). При ответственном раскрытии исследователь или специалист связывается с затронутой организацией и ждет, пока организация не выпустит исправление для выявленной уязвимости. После выпуска исправления исследователь или специалист может официально раскрыть информацию об уязвимости и получить признание и вознаграждение за нахождение уязвимости. При использовании такого метода раскрытия информации исследователь или специалист может просить о предоставлении ему так называемого идентификатора общеизвестных уязвимостей информационной безопасности ( CVE). CVE, который представляет собой «список общих идентифицирующих элементов общеизвестных уязвимостей кибербезопасности» (CVE, n.d.), используется для отслеживания уязвимостей в основных элементах программного обеспечения, а также лиц, обнаруживающих такие уязвимости. В дополнение к методам полного и ответственного раскрытия информации, исследователь или специалист может выбрать принцип нераскрытия уязвимости (Cencini, Yu, & Chan, 2005). Еще одним методом раскрытия информации является координированное раскрытие уязвимостей, которое означает «процесс сбора информации от лиц, обнаруживших уязвимости, координации обмена этой информацией между соответствующими заинтересованными сторонами и раскрытие информации о наличии уязвимостей программного обеспечения и смягчении негативных последствий различным заинтересованным сторонам, включая общественность» (Householder, Wassermann, Manion, and King, 2017). 

Существуют руководящие принципы передовой практики  по раскрытию информации об уязвимостях и управлению уязвимостями. В качестве примера можно привести руководства по передовой практике, разработанные и опубликованные Международной организацией по стандартизации (ИСО) и Международной электротехнической комиссией (МЭК) (для получения дополнительной информации об этих организациях см. модуль 4 Серии модулей по киберпреступности: «Введение в цифровую криминалистику»), для раскрытия уязвимостей ( ISO/IEC 29147) и процессов управления  уязвимостями  ( ISO/IEC 30111).    

 
Next: Cybersecurity measures and usability
Back to top