В основу побудови різних систем захисту інформації покладено процес оцінювання ризиків. Для його реалізації застосовуються відомі методи аналізу та оцінювання ризиків, засновані на експертних оцінках. Часто в процесі оцінювання доводиться стикатися з ситуаціями, при яких виникають труднощі з залученням експертів або вони не завжди чітко можуть оцінити ту чи іншу вразливість ресурсів інформаційних систем. Також при практичному використанні таких систем виникає необхідність оперативного оцінюваннята моніторингу (в реальному часі) ризиків без залучення експертів. У зв'язку з цим доцільно використовувати відповідні бази даних уразливостей. Відомі підходи поки не дозволяють ефекти-вно вирішувати поставлені завдання. Для цього пропонується метод оцінювання ризиків на основі відкритих баз даних уразливостей. Він, на відміну від відомих методів, шляхом використання оцінок, які надаються в існуючих базах даних, дозволяє автоматизувати процес оцінювання ризиків без залучення експертів відповідної предметної області.
В основу построения различных систем защиты информации положен процесс оценивания рисков. Для его реализации применяются известные методы анализа и оценивания рисков, основанные на экспертных оценках. Часто в процессе оценивания приходится сталкиваться с ситуациями, при которых возникают сложности с привлечением экспертов или они не всегда четко могут оценить ту или иную уяз-вимость ресурсов информационных систем. Также при практическом использовании таких систем возни-кает необходимость оперативного оценивания и мониторинга (в реальном времени) рисков без привлечения экспертов. В связи с этим целесообразно использовать соответствующие базы данных уязвимостей. Существующие подходы пока не позволяют эффективно решать поставленные задачи. Для этого предлагается метод оценивания рисков на основе открытых баз данных уязвимостей. Он, в отличие от известных методов, путем использования оценок, которые предоставляются в существующих базах данных, позволяет ав-томатизировать процесс оцениваниярисков без привлечения экспертов соответствующей предметной об-ласти.
The basis of information security management system (ISMS) is the processes of analysis and risk assessment. The known methods of analysis and risk assessment based on expert assessments are applied for their implementation. Often in the process of assessment there are situations when the expert cannot always clearly determine a particular vulnerability of Information Systems Resources (ISR). Also at practical use of such systems there is a need for rapid risk assessment and monitoring (real-time) without the involvement of experts. Therefore, it is advisable to use the corresponding database vulnerabilities. The existing approaches do not solve the task effectively. For this purpose, the risk assessment method based on open databases vulnerabilities is offered. It, in contrast to the known methods, through the use of assessments that are available in existing databases, automates the process of risk assessment not involving the experts for this related subject area.
