<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE article PUBLIC "-//NLM//DTD JATS (Z39.96) Journal Publishing DTD v1.3 20210610//EN" "JATS-journalpublishing1-3.dtd">
<article article-type="research-article" dtd-version="1.3" xmlns:mml="http://www.w3.org/1998/Math/MathML" xmlns:xlink="http://www.w3.org/1999/xlink" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xml:lang="ru"><front><journal-meta><journal-id journal-id-type="publisher-id">sat</journal-id><journal-title-group><journal-title xml:lang="ru">НАУКА и ТЕХНИКА</journal-title><trans-title-group xml:lang="en"><trans-title>Science &amp; Technique</trans-title></trans-title-group></journal-title-group><issn pub-type="ppub">2227-1031</issn><issn pub-type="epub">2414-0392</issn><publisher><publisher-name>Belarusian National Technical University</publisher-name></publisher></journal-meta><article-meta><article-id custom-type="elpub" pub-id-type="custom">sat-743</article-id><article-categories><subj-group subj-group-type="heading"><subject>Research Article</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="ru"><subject>ПРИБОРОСТРОЕНИЕ. ИНФОРМАТИКА</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="en"><subject>INSTRUMENT ENGINEERING. INFORMATICS</subject></subj-group></article-categories><title-group><article-title>МЕТОДИЧЕСКИЙ ПОДХОД К АНАЛИЗУ И ОЦЕНКЕ ЗАЩИЩЕННОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ, ОСНОВАННЫЙ НА ОПАСНОСТИ УЯЗВИМОСТЕЙ</article-title><trans-title-group xml:lang="en"><trans-title>METHODOLOGICAL APPROACH TO ANALYSIS AND EVALUATION OF INFORMATION PROTECTION IN INFORMATION SYSTEMS BASED ON VULNERABILITY DANGER</trans-title></trans-title-group></title-group><contrib-group><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Кротюк</surname><given-names>Ю. М.</given-names></name><name name-style="western" xml:lang="en"><surname>Krotiuk</surname><given-names>Y. M.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Кандидат технических наук</p></bio><email xlink:type="simple">sat@bntu.by</email><xref ref-type="aff" rid="aff-1"/></contrib><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Камлюк</surname><given-names>В. А.</given-names></name><name name-style="western" xml:lang="en"><surname>Kamliuk</surname><given-names>V. A.</given-names></name></name-alternatives><email xlink:type="simple">sat@bntu.by</email><xref ref-type="aff" rid="aff-2"/></contrib></contrib-group><aff xml:lang="ru" id="aff-1"><institution>Объединенный институт проблем информатики НАН Беларуси</institution></aff><aff xml:lang="ru" id="aff-2"><institution>Лаборатория Касперского</institution><country>Russian Federation</country></aff><pub-date pub-type="collection"><year>2008</year></pub-date><pub-date pub-type="epub"><day>06</day><month>12</month><year>2008</year></pub-date><volume>0</volume><issue>6</issue><fpage>41</fpage><lpage>46</lpage><permissions><copyright-statement>Copyright &amp;#x00A9; Кротюк Ю.М., Камлюк В.А., 2008</copyright-statement><copyright-year>2008</copyright-year><copyright-holder xml:lang="ru">Кротюк Ю.М., Камлюк В.А.</copyright-holder><copyright-holder xml:lang="en">Krotiuk Y.M., Kamliuk V.A.</copyright-holder><license xml:lang="ru" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>Данная работа распространяется под лицензией Creative Commons Attribution 4.0.</license-p></license><license xml:lang="en" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>This work is licensed under a Creative Commons Attribution 4.0 License.</license-p></license></permissions><self-uri xlink:href="https://sat.bntu.by/jour/article/view/743">https://sat.bntu.by/jour/article/view/743</self-uri><abstract><p>Рассматривается методический подход к анализу и оценке безопасности информации в информационных системах, основанный на анализе уязвимостей и степени их опасности. Под опасностью уязвимости понимается сложность ее эксплуатации в составе информационной системы. Определены необходимые и достаточные условия эксплуатации уязвимостей. Предлагается обобщенная модель реализации атаки, на основе которой строится модель реализации атаки для эксплуатации конкретной уязвимости. Сформулирован критерий оценки защищенности информации в ИС, основанный на оценке опасности уязвимости. Предлагаемый подход позволяет получить количественную оценку защищенности ИС на основе предлагаемых схем реализации типовых атак для выделенных классов уязвимостей.</p><p>Методический подход использован при выборе вариантов реализации механизмов защиты в ИС, а также при оценке безопасности информации в действующих ИС.</p></abstract><trans-abstract xml:lang="en"><p>The paper considers a methodological approach to an analysis and estimation of information security in the information systems which is based on the analysis of vulnerabilities and an extent of their hazard. By vulnerability hazard it is meant a complexity of its operation as a part of an information system. The required and sufficient vulnerability operational conditions  have  been  determined in the paper. The paper proposes a generalized model for attack realization which is used as a basis for construction of an attack realization model for an operation of a particular vulnerability. A criterion for estimation of information protection in the information systems which is based on the estimation of vulnerability hazard is formulated in the paper. The proposed approach allows to obtain a quantitative estimation of the information system security on the basis of the proposed schemes on realization of typical attacks for the distinguished classes of vulnerabilities.</p><p>The methodical approach is used for choosing variants to be applied for realization of protection mechanisms in the information systems as well as for estimation of information safety in the operating information systems.</p></trans-abstract></article-meta></front><back><ref-list><title>References</title><ref id="cit1"><label>1</label><citation-alternatives><mixed-citation xml:lang="ru">Астахов, А. А. Анализ защищенности корпоративных систем / А. А. Астахов // Открытые системы. – 2002. – №7/8. – С. 44–49.</mixed-citation><mixed-citation xml:lang="en">Астахов, А. А. Анализ защищенности корпоративных систем / А. А. Астахов // Открытые системы. – 2002. – №7/8. – С. 44–49.</mixed-citation></citation-alternatives></ref><ref id="cit2"><label>2</label><citation-alternatives><mixed-citation xml:lang="ru">Вихорев, С. В. Как узнать откуда напасть и откуда исходит угроза безоапасности / С. В. Вихорев, Р. Ю. Кобиев // Конфидент. – 2002. – №1. – С. 44–49.</mixed-citation><mixed-citation xml:lang="en">Вихорев, С. В. Как узнать откуда напасть и откуда исходит угроза безоапасности / С. В. Вихорев, Р. Ю. Кобиев // Конфидент. – 2002. – №1. – С. 44–49.</mixed-citation></citation-alternatives></ref><ref id="cit3"><label>3</label><citation-alternatives><mixed-citation xml:lang="ru">Симонов, С. Современные технологии анализа рисков в информационных системах / С. Симонов // PC Week/RE = Компьютерная неделя. – 2001. – № 37 (307).</mixed-citation><mixed-citation xml:lang="en">Симонов, С. Современные технологии анализа рисков в информационных системах / С. Симонов // PC Week/RE = Компьютерная неделя. – 2001. – № 37 (307).</mixed-citation></citation-alternatives></ref></ref-list><fn-group><fn fn-type="conflict"><p>The authors declare that there are no conflicts of interest present.</p></fn></fn-group></back></article>
